Cisco Support Community
отмена
Отображаются результаты для 
Вместо этого искать 
Вы имели в виду: 
Объявления
Добро пожаловать в Сообщество Технической поддержки Cisco. Мы рады получить обратную связь .
New Member

Замена стэка 3750 на 3850

Добрый день!

В конторе создана сеть, в качестве ядра стоит стэк из двух Cisco 3750G (WS-C3750-12S и WS-C3750-24T) версия iOS 12.2 (44)SE

Сейчас приобретено две Cisco 3850-24S-E (CAT3K_CAA-UNIVERSALK9-M version 03.07.04E release software fc1)

Т.к. данная сеть досталась в наследство, то в процессе разбора конфига возникли вопросы:

1. В 3750 есть строка system mtu routing 1500 - а в 3850 нет таких команд. Как правильно в 3850 команду набрать?

2. vlan internal allocation policy ascending - команда определяет, как резервировать vlan на порту в режиме L3, в моем случае влан один и как мне узнать сверху вниз или снизу вверх он резервирует вланы?

3. Есть строка snmp-server enable traps cluster - на что ее заменили в 3850?

4. control-plane - что означает данная строка в конфиге 3750?

5. mls qos aggregate-policer wo 12000000 256000 exeed-action drop - что означает данная строка, она работает глобально или вешается на интерфейс, т.к. qos на всех портах выключен

6. Есть строка, что она означает?

crypto pki trustpoint TP-self-signed-1838356545280
 enrollment selfsigned
 subject-name cn=IOS-Self-Signed-Certificate-1838356545280
 revocation-check none
 rsakeypair TP-self-signed-1838356545280
crypto pki certificate chain TP-self-signed-1838356545280
 certificate self-signed 01 nvram:IOS-Self-Sig#3012.cer

Спасибо большое за ответы!

70 ОТВЕТ.
New Member

Добрый день,

Добрый день,

По порядку:

1. Эта команда определяет МТУ для Л3 портов. Также это значение по умолчанию. Если в конфиге новых свитчей команда не присутствует, то можно не волноваться, дефолт всё равно 1500.

2. Если ascending - это по возрастанию. 

3. Не могу сказать точно. Посмотрите в config guide.

4. Control plane - это секция конфигурации в которой задаются параметры доступа к управлению устройством. Например ограничение менеджмент траффика или пинга непосредственно к свитчу. Так как в Вашем случае секция пуста, то все настройки дефолтные. Можете смело игнорировать.

5. Это именованный полисер "wo", задающий ограничение трафика. Это вешается через политику QoS на интерфейс. Если QoS отключён, можете игнорировать.

6. Это конфигурация самоподписанного сертификата SSL. На новых свитчах будет своя пара ключей и сертификат. Переносить конфиг не требуется.

Удачной Вам миграции :)

New Member

Сергей, спасибо Вам за ответ!

Сергей, спасибо Вам за ответ!

Ваши ответы подтвердили мои предположения.

В выходные производил переключение 

Заработало все, кроме Интернета, и потерял доступ к ASA
Схему приложил.
Оператор1 заведен через DMZ и ASA
Оператор2 заведен прямым патчкордом между оборудованием и транком принимаю влан

Два вопроса:
1. У меня с 3850 не получалось зайти на ASA командой ssh
3850#ssh ASA-5510
[Connection to ASA-5510 aborted: error status 0]
изначально в конфиге отключил https
no ip http secure-server
Когда тестил 3850 включил опять https
Включил ssh версии 2
ip ssh version 2
Есть ли какая связка по сертификатам между ASA и 3750 (3850)?

Может мне сертификат создать с определенной длиной шифрования? Как посмотреть какая длина ключа на ASA?
2. Не пойму почему не заработал Интернет, ладно тот, что через ASA и DMZ заведен, но Оператор2 должен был заработать.
ASA перезагружал, прокси тоже перезагружал.
На проксе отключил порт Оператора1
На циске тоже отключил порты оператора1.
Позвонил в техподдержку Оператора2, мало ли у них сбой, подтвердили полную работоспособность Интернет канала, привязки к маку у них нет.

Подскажите. пожалуйста, по появившимся вопросам!

Спасибо!

New Member

АСА должна разрешить доступ с

АСА должна разрешить доступ с определённых адресов на SSH. Проверьте конфиг на команду "ssh IP_ADDR MASK INTERFACE_NAME" она задаёт диапазон адресов с которых разрешён логин по SSH.

Не смогу сказать определённо, так как нету информации по маршрутизации. Есть ли пинг на линке к оператору2? Если да, то есть ли дефолтный маршрут? Как внутренние сети получают дефолт гейтвей? IGP?

New Member

asa5510# sh sshTimeout: 30

asa5510# sh ssh
Timeout: 30 minutes
Version allowed: 2
10.3.0.0 255.255.255.0 inside
10.3.0.4 255.255.255.255 inside
10.43.79.0 255.255.255.0 inside
10.0.0.0 255.255.255.0 management

На 3750 есть - ip host asa5510 10.0.0.187 эту строку я перенес на 3850

Пинг к АСА по ip с 3850 был

С прокси сервера шлюз оператора2 пинговался, про Оператор1 я забыл проверить

С 3850 пинга до шлюза Оператора нет (так и должно быть).

Я на 3850 транком принимаю влан от Оператора2 и тоже на 3850 отдаю влан Оператора2 аксессом в сторону Прокси сервера

Шлюзом для всех у меня выступает 3850

New Member

10.3.0.0 255.255.255.0

10.3.0.0 255.255.255.0 inside
10.3.0.4 255.255.255.255 inside
10.43.79.0 255.255.255.0 inside
10.0.0.0 255.255.255.0 management

Это весь список адресов и интерфейсов, с которых можно заходить на асу по SSH. Попадает ли в этот список 3850?

Понятно, то есть маршрутизации с 3850 в интернет у Вас нету, есть только layer2 линк для прокси сервера, так? В таком случае, надо проверить пинг с прокси сервера до шлюза оператора.

В общем получается дефолт маршрут Вам не нужен в сети. Только для прокси сервера. И из внутренних сетей доступ только до прокси сервера по внутреннему интерфейсу. Всё верно?

New Member

У 3750 (3850) адрес из сети

У 3750 (3850) адрес из сети 10.0.0.ххх

Мой ПК в сети 10.43.79. доступа нет к АСА по ссш

можете в личку адрес прислать, я вам конфиги вышлю

New Member

sergey.lisitsin@gmail.com

sergey.lisitsin@gmail.com

New Member

Отправил

Отправил

New Member

В конфигах ничего

В конфигах ничего криминального не нашёл. Давайте поподробнее, что не работает. Во-первых, вывод "show ssh" с асы. Во-вторых, есть ли пинг между прокси сервером и шлюзом оператора? Какой VLAN используете для линка между прокси и оператором?

New Member

1.asa5510# sh sshTimeout: 30

1.asa5510# sh ssh
Timeout: 30 minutes
Version allowed: 2
10.3.0.0 255.255.255.0 inside
10.3.0.4 255.255.255.255 inside
10.43.79.0 255.255.255.0 inside
10.0.0.0 255.255.255.0 management

2. Пинг с прокси сервера до шлюза Оператора2 проходил без проблем

Пинг до Оператора1 не проверял

3. Оператор1 gi2/0/23 - vlan для интернета 178

Оператор2 gi2/0/21 - vlan 461

New Member

Работает ли Интернет с проки

Работает ли Интернет с проки сервера? Есть ли пинг дальше?

New Member

С прокси сервера не могу

С прокси сервера не могу проверить открытие сайта, т.к. это железка , а не сервер.

Пинг дальше - это до гугла?

New Member

Да, хотя бы.

Да, хотя бы.

New Member

Сейчас работает 3750.

Сейчас работает 3750.

3850 лежит на столе рядом

Проверить не возможности.

Поэтому и разбираюсь в проблеме, чтобы донастроить 3850 и установить в стойку.

У вас тоже предположение, что Интернет должен работать?

New Member

Ну в общем, если стэк только

Ну в общем, если стэк только даёт VLAN для связи со шлюзом, то больше ничего не требуется. Главное чтобы стэк при этом имел связь и маршруты ко всем внутренним сетям. Для полноты картины нужно проследить путь от клиента до сервера или от клиента прямо в Интернет через оператора1.

New Member

На стеке все маршруты есть, т

На стеке все маршруты есть, т.к. я ко всем цискам офиса подключился (это больше 10 штук), до серверной подсети подключился. В соседнем здании тоже все сети видел.

Как только вернул подключение на 3750, сразу появился Инет

Единственное, это АСА была не доступна

New Member

Траффик из внутренних сетей

Траффик из внутренних сетей идёт к прокси серверу через асу?

New Member

Нет, т.к. все межэтажные

Нет, т.к. все межэтажные подсети сводятся на 3750

Вот внешняя сеть Оператора1 заведена через DMZ и ASA

Внешняя сеть Оператора2 заведена напрямую от оборудования Оператора2 до 3750 минуя DMZ и ASA

New Member

В таком случае вообще не вижу

В таком случае вообще не вижу почему может не работать оператор2. Вы не проверяли статус трекинг объектов когда подключали 3850? OSPF поднимался?

New Member

Статут трекинг не проверял,

Статут трекинг не проверял, но пинг

на .....1.1

.....2.1

.....3.1 

проходил

Как проверить, поднят OSPF или нет?

New Member

show ip ospf neig

show ip ospf neig

show ip ospf database

New Member

Как я вижу себе порядок

Как я вижу себе порядок действий, после переключения:

1. Проверяю ОСПФ

show ip ospf neig

show ip ospf database

2. Проверяю пинг с прокси сервера до шлюзов Операторов и до внешнего мира

3. С прокси сервера можно трасировку проверить до гугла

С АСА то мне чего делать? Я так понимаю моя ошибка 

3850#ssh ASA-5510
[Connection to ASA-5510 aborted: error status 0]
Это проблема с сертификатами?

Как мне длину ключа узнать на АСА?

Икак мне проверить длину ключа сертификата на 3850

Или для ACA отдельный сертификат сгенерировать?

На 3750 два сертификата

vtz-3750-distr-1#dir nvram:
Directory of nvram:/

477 -rw- 31556 <no date> startup-config
478 ---- 3020 <no date> private-config
1 -rw- 0 <no date> ifIndex-table
2 -rw- 597 <no date> IOS-Self-Sig#3001.cer
3 ---- 12 <no date> persistent-data
4 -rw- 599 <no date> IOS-Self-Sig#3002.cer

New Member

Ключи проверить так:

Ключи проверить так:

show crypto key mypubkey rsa

New Member

Ключи на 3750

Ключи на 3750

3750-distr-1#show crypto key mypubkey rsa
% Key pair was generated at: 03:01:22 MSK Mar 1 1993
Key name: TP-self-signed-1838545280
Storage Device: private-config
Usage: General Purpose Key
Key is not exportable.
Key Data:
30819F30 0D06092A 864886F7 0D010101 05000381 8D003081 89028181 00D2E57B
54170BDA 4DF7EF62 3EEF3126 22EDC424 7A668B43 47B8E96B 5D50CB1E 1D3F9037
BF13B06D 4152060E 579A80D6 F1C0703D A12D0F54 814913A1 5027BDCA 5FF80DD4
97E0A109 7F6072F7 A6AB7A85 4F678B3A 9030A835 80629811 73E6C432 E0F0AB4E
554A054E 40EB7C29 C56D53BB 737D4145 1F9F82D4 2CE01484 EBCE0B2F 57020301 0001
% Key pair was generated at: 03:23:39 MSK Mar 1 1993
Key name: vtz-3750-distr-1.domen.ru
Storage Device: private-config
Usage: General Purpose Key
Key is not exportable.
Key Data:
305C300D 06092A86 4886F70D 01010105 00034B00 30480241 00B6C1D3 97312033
3D682204 BF7F2496 1D4F976C D3C4139E B5EF7BDE CABD2837 675BADAC 3C6533E7
4A44855C 94FAE155 D0A90F55 79B1B86F 0F164005 7917FACB 95020301 0001
% Key pair was generated at: 22:05:10 MSK Mar 3 1993
Key name: TP-self-signed-1838545280.server
Temporary key
Usage: Encryption Key
Key is not exportable.
Key Data:
307C300D 06092A86 4886F70D 01010105 00036B00 30680261 00AF3AB6 16E79164
FF396D19 215EC739 16E120BC F8EF9010 7D9D9427 C02177CB 92ECA44A AE1D3F5E
2095A3B2 408C5ECC C8B9AC76 342CF505 38E7260B 1ED30DA7 0ABC26D2 D154D0DC
821DCB57 CDA48144 C4CA61B8 613B6BFC EA4D6509 CE8B9F66 E3020301 0001

Ключи на АСА

asa5510# show crypto key mypubkey rsa
Key pair was generated at: 11:06:06 MSK Apr 28 2008
Key name: <Default-RSA-Key>
Usage: General Purpose Key
Modulus Size (bits): 512
Key Data:

305c300d 06092a86 4886f70d 01010105 00034b00 30480241 00d1d8bf 1e489261
fc108588 8c915e3e 715290f1 0f7e2605 fa6db09d b54b3bb3 246c123f dd264c26
f35d065b 8835727f f1f5e9bf 51d16e2d 9d34e56a 6a8c8c93 f5020301 0001
Key pair was generated at: 10:48:22 MSK Oct 25 2004
Key name: <Default-RSA-Key>.server
Usage: Encryption Key
Modulus Size (bits): 768
Key Data:

307c300d 06092a86 4886f70d 01010105 00036b00 30680261 00d212b8 c5fca54b
8a7e1c1d d54ebf34 324f6d98 156e15b8 2c83c601 ae1f92ed 1b91fa7f c75ccf54
c4c58cb2 dea86c00 5b5db16c 4035a82a 7de9f0d5 15823094 975961c8 c42ed3e4
6841adc9 9b6b5900 546dec0b 6fccd0e0 5aba0af6 43918a0d 6d020301 0001

Ключи на 3850

distrib#show crypto key mypubkey rsa
% Key pair was generated at: 11:09:51 MSK Apr 19 2017
Key name: TP-self-signed-262759517
Key type: RSA KEYS
Storage Device: private-config
Usage: General Purpose Key
Key is not exportable. Redundancy enabled.
Key Data:
30819F30 0D06092A 864886F7 0D010101 05000381 8D003081 89028181 00B56301
0018269E 6A551081 6A02C85F 9F7D9C54 6A7144DC 78112D48 B0823AB7 573B08B2
6ED59EB1 86F4D2BE 2F610E9C AD8E90BA 7F3ED967 DA365E82 B2BB0679 5834B278
88075138 9965F3C8 668C16F0 4C91FD26 2F0BF078 7B5285F1 24E6F504 252C282A
0FAA23FE DEE81883 01E7039F 748CB97D C2E2AADE E8A175D9 24FDA238 8D020301 0001
% Key pair was generated at: 10:25:06 MSK Apr 24 2017
Key name: CISCO_IDEVID_SUDI_LEGACY
Key type: RSA KEYS
Storage Device: not specified
Usage: General Purpose Key
Key is not exportable. Redundancy enabled.
Key Data:
30819F30 0D06092A 864886F7 0D010101 05000381 8D003081 89028181 00A0490F
86DDB415 BE94259A 75E9791D D967902D E59249B6 89C0EDF4 F76A76AF C07C0B6D
2B20D5D8 74695C1F 7435A398 6DBFBF5D 6AD3A5CC 89FC28A3 C71866D3 1C3BD78F
201FD7B5 5C93E275 55541BB8 CE646683 EE6D8780 3B7439B2 36C8F634 FED8EBBA
8340B8CF 7ED99B35 B41C71E1 EB3BF9D9 571FF6E1 B94A0C84 11DD7A85 BF020301 0001
% Key pair was generated at: 10:25:06 MSK Apr 24 2017
Key name: CISCO_IDEVID_SUDI
Key type: RSA KEYS
Storage Device: not specified
Usage: General Purpose Key
Key is not exportable. Redundancy enabled.
Key Data:
30820122 300D0609 2A864886 F70D0101 01050003 82010F00 3082010A 02820101
00C61F65 C48D7038 CF4D9C49 51D8C03A 678943B9 C0B7980F 491566DD 015089D7
D5859D4A 5229DB59 CEA0A9BF 3DB0D591 65E04330 2795A0FC 145E7B62 C345BC39
F07EB0FE 16471A14 6F28BEE8 13E7DFE6 80B24A65 C2473E7C CFDE63C4 AC55DAC9
B35D8AD2 9808C5C9 211D706F 654B11AD D7FA66AC DC21CFB7 04CA2EFD CDE94875
FDB0E4F0 86660096 B201F094 A03E83C5 B768465A B7712B4F E865BF70 6CD4E645
5B262F73 781B2D5B 51408E27 FF4D5F2B E5D2E473 E0F63611 88C23D8B 90EB73E4
96637BF9 EA1455B7 4A7CBC7C C0685D1B 5AA07498 BFDC2DD2 0E600F9D 65133CE4
F6D519E8 EB68CFFF F42398D8 38F6872C 4A608104 66FB8DF9 B99F9696 CE6D397D
35020301 0001
% Key pair was generated at: 15:25:05 MSK Apr 25 2017
Key name: TP-self-signed-262759517.server
Key type: RSA KEYS
Temporary key
Usage: Encryption Key
Key is not exportable. Redundancy enabled.
Key Data:
307C300D 06092A86 4886F70D 01010105 00036B00 30680261 00E84734 AD58FCEC
30645765 EE3B995C EE0959A8 C5863C2D 092F3A22 490FA50C 0D615EAE 1F833DF4
12E401C7 5F857A14 C9A71DE9 75A31287 088D7A73 6E1ECAC5 62C7794B 1B142327
82BF6CE4 E1D25429 6DAA78F6 11285594 5E9F8E02 9182177E E1020301 0001

Может быть наоборот в ключах что то лишнее?

Если на АСА пишется длина ключа, то на 3750 и 3850 нет

Может просто надо создать с нужной длиной?

New Member

Да, для версии SSH 2.0, если

Да, для версии SSH 2.0, если не изменяет память, ключ нужен с длиной не менее 1024. Сгенерируйте на асе новый ключ.

config t

crypto key generate rsa general modul 1024

New Member

Для понимания: а почему

Для понимания: а почему генерировать ключ надо на АСА а не на 3850.

Ведь и АСА и 3850 поддерживают версию ssh 2 ?

New Member

distrib#sh ip sshSSH Enabled

distrib#sh ip ssh
SSH Enabled - version 2.0
Authentication methods:publickey,keyboard-interactive,password
Encryption Algorithms:aes128-ctr,aes192-ctr,aes256-ctr,aes128-cbc,3des-cbc,aes192-cbc,aes256-cbc
MAC Algorithms:hmac-sha1,hmac-sha1-96
Authentication timeout: 120 secs; Authentication retries: 3
Minimum expected Diffie Hellman key size : 1024 bits
IOS Keys in SECSH format(ssh-rsa, base64 encoded):
ssh-rsa AAAAB3NzaC1yc2EAAAGGGGkkADAQABAAAAgQC1YwEAGCaealUQgWoCyF+ffZxUanFE3HgRLUiwgjq3
VzsIsm7VnrGG9NK+L2EOnK2OkLp/Ptln2jZegrK7BnlYNLJ4iAdROJll88hmjBbwTJH9Ji8L8Hh7UoXx
JOb1BCUsKCoPqiP+3ugYgwHnA590jLl9wuKq3uihddkk/aI4jQ==

После того как я перевел включил версию 2 ssh, 3850 походу сгенерировал новый ключ с длиной 1024. 

Или же все таки надо на АСА тоже ключ 1024 сгенерировать?

После генерации нового ключа я никак не повлияю на работу АСА?

А я правильно понимаю, что и 3850 и АСА могут во второй версии ssh работать и как клиент и как сервер?

New Member

Да, правильно. Генерируйте

Да, правильно. Генерируйте новый ключ на асе и попробуйте зайти ещё раз.

New Member

Если я ключ сгенерирую на

Если я ключ сгенерирую на текущую работу с 3750 это никак не повлияет?

И как сгенерированный ключ в случае чего удалить?

208
Просмотры
5
Полезный материал
70
Ответы
СоздатьДля создания публикации, пожалуйста в систему