Критическая уязвимость в коммутаторах Cisco

Компания Cisco предупредила об устранении критической уязвимости (CVE-2018-0171) в коммутаторах с поддержкой технологии SMI (Smart Install), которая позволяет удалённо получить полный контроль над устройством без прохождения аутентификации. Сообщается, что уже зафиксировано применение уязвимости для атак на крупных провайдеров и элементы критической инфраструктуры некоторых стран, поэтому администраторам рекомендуется срочно установить обновление или отключить в настройках технологию SMI, предназначенную для автоматизации начальной настройки и загрузки прошивки для новых коммутаторов.
Читать дальше →

user and access

определение терминов.
enable secret — пароль на вход в режим enable (привилегированный режим), который хранится в маршрутизаторе в зашифрованном виде.
enable password — то же самое, но хранится в незашифрованном виде.
virtual terminal password — пароль виртуального терминала, или пароль Telnet. Если он задан, то любой пользователь, который попытается получить доступ к маршрутизатору по протоколу Telnet, должен будет ввести этот пароль.

Читать дальше →

rate-limit на интерфейсе

вариант 1

ip access-list extended 2000
permit ip any host 10.0.0.22

ip access-list extended 2699
permit ip any any

interface GigabitEthernet0/1.8
rate-limit output access-group 2000 8192000 1536000 3072000 conform-action transmit exceed-action drop
.....
rate-limit output access-group 2699 256000 65536 131072 conform-action transmit exceed-action drop



sh run
....
!
interface GigabitEthernet0/1.8
 description 9
 encapsulation dot1Q 11
 ip address 10.1.1.1 255.255.255.192 secondary
 ip address 10.0.0.1 255.255.255.192
 ip flow ingress
 ip flow egress
 rate-limit output access-group 2000 8192000 1536000 3072000 conform-action transmit exceed-action drop
 rate-limit output access-group 2699 256000 65536 131072 conform-action transmit exceed-action drop
 no cdp enable
!
.....
access-list 2000 permit ip any host 10.0.0.22
access-list 2699 permit ip any any


Читать дальше →

acl

conf t
interface GigabitEthernet0/2
 ip access-group in_block in
exit
!
ip access-list extended in_block
 deny   udp any any eq ntp log
 permit udp host 91.1.1.1 host 91.1.1.3 eq domain
 permit udp host 91.1.1.1 host 91.1.1.13 eq domain
 permit tcp host 91.1.1.1 any
 permit icmp host 91.1.1.1 any
!



Читать дальше →

rate-limit для QoS’а на Cisco

rate-limit output 15360000 2880000 5760000 conform-action transmit exceed-action drop

rate-limit output ‘rate’ ‘burst_norm’ ‘burst_max’ conform-action transmit exceed-action drop


burst_norm = rate * 0,125 * 1,5 (seconds)
burst_max = burst_norm * 2

0,125 = 1(byte)/8(bits)