Пассивный ftp на cisco router

Router(config)# ip ftp username user
Router(config)# ip ftp password password
Router(config)# ip ftp passive
Router(config)# ip ftp source-interface gi 0/0

http://www.cisco.com/c/en/us/td/docs/ios/12_2/configfun/configuration/guide/ffun_c/fcf011.html

Cisco AnyConnect: image in use

При обновлении *.pkg файлов webdeploy дистрибутивов anyconnect на файлике для виндовса (anyconnect-win-3.1.04072-k9.pkg) процесс встал колом с невразумительными, неизвестными гуглу, сообщениями:

"Image is in use and cannot be removed"
"Image is in use and cannot be changed"

Из-за приличного размера файлы anyconnect лежат на отдельном, user flash, asa-шки, той что сзади, доступной для кастомерского рукоблудия.


Будучи извлеченной, флешка читалась/писалась без ошибок и успешно прошла fsck.

Обратно правда не встала, ибо перечитывайте доку перед, а не после:

Can I hot-swap the flash drive? For example, is it possible to change the flash drive when Cisco ASA is powered ON and running?

It is always recommended that you turn off the Cisco ASA while you insert the flash drive. This disables all the running processes and allows the ASA to recognize the flash from the boot process.


Дело шло к перезагрузке.
Перезагрузка не заладилась, на этапе чтения конфига:

....
Thread Name: pix_flash_config_thread
Abort: Watchdog failure
    vector 0x00000000
       edi 0x00000001
       esi 0x00000001
       ebp 0x6f170488
       esp 0x6f1703cc
       ebx 0x00000000
       edx 0x00000001
       ecx 0x00000001
       eax 0xfffffffc
error code n/a
       eip 0xdd6aa82b
        cs 0x00000073
    eflags 0x00003246
       CR2 0x00000000

..............

Begin to dump crashinfo to flash....

End of console dump.
Do 'show crashinfo' after reboot to retrieve other crash information
Process shutdown finished
Rebooting.....

В сухом остатке:
причина срабатывания watchdog-а да и странных проблем при замене дистрибутива anyconnect для виндовса - медленная флешка, ессно не родная, без корпоративных наклеек. Kingston 256mb compact flash.

Файлики дистров для linux и macos  втрое меньшего размера, на них низкая скорость флеша не сказывалась. Вот так жирный виндовс в очередной раз всех перемог.

Воткнутый вместо нее Transcend 45X ребут проскакивает, с asdm upload дружит. Осталось дождаться следующего затыка, теперь уже у трансенда.

MAC Filters with Wireless LAN Controllers (WLCs) Configuration Example

http://www.cisco.com/c/en/us/support/docs/wireless-mobility/wlan-security/91901-mac-filters-wlcs-config.html

Расширение корпоративного справочника Cisco CallManager

Модуль «Директория» пакета PhoneUP служит для организации корпоративного телефонного справочника, и является альтернативой штатному телефонному справочнику CUCM. Основные отличия сервиса «Директория» от справочника, идущего в стандартной поставке Cisco CallManager:

Resetting the LWAPP Configuration on a Lightweight AP (LAP)

Resetting the LWAPP Configuration on a Lightweight AP (LAP)

Troubleshoot Connections through the PIX and ASA

http://www.cisco.com/c/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/71871-asa-pix-troubleshooting.html#s1

• ASA Capture Feature
  The administrator needs to create an access-list that defines what traffic the ASA needs to capture. After the access-list is defined, the capture command incorporates the access-list and applies it to an interface.
  

  ciscoasa(config)#access-list inside_test permit icmp any host 192.168.1.1
  ciscoasa(config)#capture inside_interface access-list inside_test interface inside
  

  The user pings the inside interface of the ASA (ping 192.168.1.1). This output is displayed.
  

  ciscoasa#show capture inside_interface
     1: 13:04:06.284897 192.168.1.50 > 192.168.1.1: icmp: echo request
  
  !--- The user IP address is 192.168.1.50.
  
  

  Note: In order to download the capture file to a system such as ethereal, you can do it as this output shows.
  

  
  !--- Open an Internet Explorer and browse with this https link format:
  
  https://[/]/capture//pcap
  

  Refer to ASA/PIX: Packet Capturing using CLI and ASDM Configuration Example in order to know more about Packet Capturing in ASA.
  

Поиск цискофона по серийному номеру.

Поиск цискофона по серийному номеру, прилада (.net 3.0) сканирует сеть, вытаскивает "Serial Number" и "Model Number", бонусом поднимает адрес/имя коммутатора и его порт.

SerialGrabber.zip

show anyconnect logged user

Managing, Monitoring, and Troubleshooting AnyConnect Sessions

You can find both the username and the index number (established by the order of the client images) in the output of the show vpn-sessiondb svc command.

Cisco IP Communicator – Emergency Responder Service Error

Для win-vista и старше:

x64: HKEY_Local_Machine\Software\Wow6432Node\Cisco Systems, Inc.\Communicator

x32: HKEY_Local_Machine\Software\Cisco Systems, Inc.\Communicator

создать DWORD  EnableCDP с значением 0

2851 e1

interface Serial0/0/0:15
 no ip address
 encapsulation hdlc
- isdn switch-type primary-net5
+ isdn switch-type primary-4ess
+ isdn not-end-to-end 64
 isdn incoming-voice voice
 isdn bind-l3 ccm-manager
 no cdp enable

Personal address book / персональный каталог CUCM

Personal address book  aka  "персональный каталог" в CUCM
для 4.3 есть синхронизация с Windows Address Book (до win 7)

синхронизатор http://srv-ccm1/CCMPluginsClient/TabSyncInstall.exe, синхронизирует с "

%HOMEDRIVE%%HOMEPATH%\Application Data\Microsoft\Address Book\%USERNAME%.wab"

AnyConnect was not able to establish a connection to the specified secure gateway после ввода пароля.

 AnyConnect (windows) после ввода пароля выдает: 

 AnyConnect was not able to establish a connection to the specified secure gateway. Please try connect again 

Со стороны ASA:

 Nov 19 11:06:38 12.16.10.10 %ASA-4-113019: Group = anyconn_ad_tgroup, Username = UserName, IP = 185.228.213.98, Session disconnected. Session Type: SSL, Duration: 0h:00m:00s, Bytes xmt: 6773, Bytes rcv: 2550, Reason: User Requested
Nov 19 11:06:38 12.16.10.10 %ASA-6-725007: SSL session with client outside:185.228.213.98/50286 terminated.

Решение:
На клиенте включен "Internet Connection Sharing" на одном или нескольких интерфейсах. Шаринг отключить. ICS не трогать.

Cisco Pix/ASA hairpinning

Traffic not passing through to remote site while using AnyConnect VPN on site-to-site IPSEC tunnel. This is by design.  The ASA does not allow traffic to pass in and out of the same interface.  This is called hairpinning and is bad security design.

Cisco Anyconnect с аутентификацией в AD и группой доступа

Конфигурация aaa аналогична IPSEC VPN
Сам anyconnect в настройке сильно проще классического IPSEC-base клиента.

(применимо к 8.2.x)


10.20.30.0/24 - dmz
10.10.0.0/16 - inside
10.50.50.0/24 - pool vpn


access-list nonat extended permit ip 10.10.0.0 255.255.0.0 10.50.50.0 255.255.255.0.
access-list nonat_dmz extended permit ip 10.20.30.0 255.255.255.0 10.50.50.0 255.255.255.0.

ip local pool anyconad_pool 10.50.50.1-10.50.50.254 mask 255.255.255.0

ldap attribute-map AnyConnectAD2VPNMap
  map-name  memberOf IETF-Radius-Class
  map-value memberOf CN=RA_AnyConnect,OU=ASA,OU=suborg,DC=domain,DC=ru anyconad_policy

aaa-server AD_AnyConMain protocol ldap
 reactivation-mode timed

aaa-server AD_AnyConMain (inside) host 10.10.1.42
 ldap-base-dn OU=suborg,DC=domain,DC=ru
 ldap-group-base-dn OU=suborg,DC=domain,DC=ru
 ldap-scope subtree
 ldap-login-password SecurePassword
 ldap-login-dn cn=User,OU=ASA,OU=suborg,DC=domain,DC=ru
 server-type microsoft
 ldap-attribute-map AnyConnectAD2VPNMap

aaa-server AD_AnyConMain (inside) host 10.10.1.58
 ldap-base-dn OU=suborg,DC=domain,DC=ru        
 ldap-group-base-dn OU=suborg,DC=domain,DC=ru 
 ldap-scope subtree                          
 ldap-login-password SecurePassword         
 ldap-login-dn cn=User,OU=ASA,OU=suborg,DC=domain,DC=ru
 server-type microsoft
 ldap-attribute-map AnyConnectAD2VPNMap

group-policy NoAccessAnyCon internal
 group-policy NoAccessAnyCon attributes
 vpn-simultaneous-logins 0
 vpn-tunnel-protocol svc.
 address-pools none

group-policy anyconad_policy internal
group-policy anyconad_policy attributes
 dns-server value 10.20.30.20 10.20.30.25
 vpn-simultaneous-logins 15
 vpn-tunnel-protocol svc
 password-storage enable
 default-domain value domain.ru

tunnel-group anyconad_tgroup type remote-access
 tunnel-group anyconad_tgroup general-attributes
 address-pool anyconad_pool
 authentication-server-group AD_AnyConMain
 default-group-policy NoAccessAnyCon
 authorization-required

tunnel-group anyconad_tgroup webvpn-attributes
 group-alias "MegaCorp Co. Ltd" enable

Восстановление пароля CUCM CRA Administration

Тыц:  http://www.cisco.com/c/en/us/support/docs/voice-unified-communications/unified-contact-center-express/68323-resetcrspw.html#topic1-problem


-----

Complete these steps in order to resolve this issue:

1. Rename the ccndir.ini file that resides in the C:\winnt\system32\ccn folder.
2. Set the com.cisco.wf.admin.installed entry to False in the appadmin.properties file that resides in the C:\Program Files\wfavvid folder.

Then, complete these steps:

1. Navigate to the C:\winnt\system32\ccn folder.
2. Rename ccndir.ini to old.ccndir.ini or any other name you select.
3. Navigate to the C:\Program Files\wfavvid folder.
4. Locate the appadmin.properties file (see Figure 3).
   Figure 3 – Locate the appadmin.properties File
5. Edit the appadmin.properties file with a word processor such as Notepad.
6. Set the com.cisco.wf.admin.installed entry in the appadmin.properties file to False (see arrow A in Figure 4).
   Figure 4 – Modify the appadmin.properties File
7. Save and close the file.
   The problem no longer occurs after you complete this procedure.
8. Choose Start > Programs > Cisco CRA Administrator > Application Administrator from the CRS server to launch the Application Administrator, and log in as the Administrator user with the ciscocisco password.
   The login is now successful.
   Note: If you are unable to access the CRA Administration page after you change the IP address of the Cisco CallManager, you need to update the Cisco CallManager IP address in the CRS Serviceability Utility. Refer to the Updating Cisco CRS IP Address Information section of the Cisco CRS Administration Guide 4.1(1)  for information.

JTAPI::Mutex Lock Errors.

Снятие блокировки с приложения JTAPI: http://www.cisco.com/c/en/us/support/docs/voice-unified-communications/unified-contact-center-express/91203-mutex-lock-error.html


Note: You need to log into the DC Directory Manager as a Directory Manager in order to make the necessary changes. //иначе не будет прав на редактирования, ошибкок впрочем тоже выдаваться не будет, прекрасный повод потупить.

1. In the DC Directory LDAP, choose CCN Apps > clusters > [profile] > Locks > Locks.00000000 and confirm that these mutex lock entries are named as this list shows:
   

   lockApplicant?empty
   lockOwner?empty
   lockUsage?empty,
   lockUserInfo?empty
   lockUserTimestamp?empty

2.If any of the entries in step 1 are missing the ?empty suffix in their name, then they need to be renamed to exactly match the list in step 1.

Note: You can ignore the lockExpiration entry. It does not need the ?empty suffix in the name.

3.If any of the lock____?empty entries are missing completely, you must add them manually. In order to add the entry, complete these steps:

Note: The lockApplicant?empty value is used for illustration purposes only.

a.Right-click on Locks.00000000 and select New > ciscoCCNocConfigInfoCES.

b.Enter the name as lockApplicant?empty and press Enter.

c.In the next window, click Add and enter x in the Enter String value box. Then click OK.

d.Click OK again.

4.Once you have confirmed that all of these entries are named properly, confirm that these entries have the value configured as x (lowercase x):

lockApplicant?empty
lockOwner?empty
lockUsage?empty,
lockUserInfo?empty
lockUserTimestamp?emptyNote: Ignore the lockExpiration entry in this step. Its value should not be x.

If any of these lock entry values is not configured as x, then configure them as x.

Cisco CP-7936

Питание подется по ethernet, стандарту PoE не соответствует: 19 Вольт 1 Ампер

Power injector и блок питания в составе кита: CP-7936-PWR-KIT=
Артикул power injector: "2215-06626-602", он же "POLYCOM SoundStation IP 4000 2215-06626-601"


PS
Тем не менее питание стандартизовано: "cisco pre poe standart new"

PS
тыц
http://pinoutsguide.com/Net/poe_pinout.shtml
http://pinoutdiagram.com/power-over-ethernet-poe-pinout/

vsx7000, nat, asa 5510

конфигурация asa:
-----------------------------------------------------------------
name 192.168.2.2 vsx7000_int description Polycom VSX7000
name 8.3.12.11     vsx7000_ext description vsx7000.domain.com
object-group service TCP_vsx7000 tcp
  port-object eq h323
  port-object range 3230 3239
 
object-group service UDP_vsx7000 udp
  port-object range 1718 1719
  port-object range 3230 3269

access-list outside_in extended permit tcp any host vsx7000_ext object-group TCP_vsx7000
access-list outside_in extended permit udp any host vsx7000_ext object-group UDP_vsx7000
access-list inside_in extended permit tcp host vsx7000_int any
access-list inside_in extended permit udp host vsx7000_int any

static (inside,outside) vsx7000_ext vsx7000_int netmask 255.255.255.255 norandomseq
-----------------------------------------------------------------

конфигурация vsx:

-----------------------------------------------------------------

System > Admin Settings > Network > IP > Firewall
Fixed Ports * 
NAT Configuration -> Manual

NAT Outside Address 8.3.12.11
NAT is H.323 Compatible - включен для работы через VPN, иначе выключен.
-----------------------------------------------------------------

Календарь мероприятий для партнеров компании Cisco в России и странах СНГ

Календарь мероприятий для партнеров компании Cisco в России и странах СНГ


Материалы с прошедших мероприятий Вы можете скачать: здесь

Дополнительные материалы по технологиям Вы сможете скачать: здесь

asa mount point's

В 8.2.5.13 похоже сломали копирование на ftp, Permission denied при любых условиях. В нотисах смена полиси не упомянута :-(


Компенсировать утрату мона через mount point cifs

mount backup1 type cifs
 server 192.168.1.4
 share backup$
 domain LocalDomain
 username backupasa
 password paSSword
 status enable

по аналогии можно создаеть mount point для ftp, собсно точно так же не работает как и copy XXX ftp:

mount backup: type ftp
 server 192.168.1.4
 path /incoming/asa/
 username  backupasa
 password paSSword
 mode passive
 status enable