3G Интернет на Cisco 881

Конфигурируем 3G модем для Cisco (на примере Sierra Wireless 880E-G).
Сначала нужно создать профиль соединения (тоесть APN логин и пароль)
делается это так (не из глобальной конфигурации а из enable)

Router#cellular 0 gsm profile create 3 fixedip.nw chap megafon megafon

Далее нужно настроить интерфейс cellular - у меня это cellular 0

Router#conf t
Router(config)#interface cellular 0
Router(config-if)#encapsulation ppp
Router(config-if)#ppp chap hostname megafon
Router(config-if)#ppp chap password megafon
Router(config-if)#ppp ipcp dns request
Router(config-if)#async mode interactive
Router(config-if)#ip address negotiated

Router(config)#chat-script MEGAFON "" "ATD*99*3#" TIMEOUT 30 CONNECT
Тут 3 - это номер профиля который мы создали выше.

Router(config)#interface cellular 0
Router(config-if)#dialer string MEGAFON

Ищем линию связанную с модемом:
Router#sh line
   Tty Typ     Tx/Rx    A Modem  Roty AccO AccI   Uses   Noise  Overruns   Int
*     0 CTY              -    -      -    -    -      0       0     0/0       -
      1 AUX      0/0     -    -      -    -    -      0       0     0/0       -
I     3 TTY              -    -      -    -    -      0       0     0/0     Ce0
      8 VTY              -    -      -    -    -      0       0     0/0       -
      9 VTY              -    -      -    -    -      0       0     0/0       -
     10 VTY              -    -      -    -    -      0       0     0/0       -
     11 VTY              -    -      -    -    -      0       0     0/0       -
     12 VTY              -    -      -    -    -      0       0     0/0       -

У меня это line 3

Router(config)#line 3
Router(config-line)#script dialer MEGAFON
Router(config-line)#modem inOut
Router(config-line)#no exec
Router(config-line)#exec-timeout 0 0

Теперь нам еще понадобится ACL в котором будет указан траффик который должен попадать в dialer.

Router(config)#access-list 1 permit any
Router(config)#dialer-list 1 protocol ip list 1

И теперь этот dialer-list указать в интерфейсе.

Router(config)#interface cellular 0
Router(config-if)#dialer-group 1

Далее на него нужен маршрут, наверное с указанием веса, так как врядли это единственный маршрут, пусть будет так:

Router(config)#ip route 0.0.0.0 0.0.0.0 cellular 0 200

Ну и в заключении NAT:

Router(config)#ip access-list extended NATACL
Router(config-ext-nacl)#permit ip 192.168.0.0 0.0.0.255 any

Router(config)#ip nat inside source list NATACL interface cellular 0 overload

Router(config)#interface cellular 0
Router(config-if)#ip nat outside

Теперь дело за проверкой.
Router#sh int cellular 0
Cellular0 is up, line protocol is up
  Hardware is 3G Modem-HSPA/UMTS/EDGE/GPRS-850/900/1800/1900/2100MHz / Global
  Description: uplink
  Internet address is 100.87.93.139/32
  MTU 1500 bytes, BW 2000 Kbit/sec, DLY 100000 usec,
     reliability 255/255, txload 4/255, rxload 18/255
  Encapsulation PPP, LCP Open
  Open: IPCP, loopback not set
  Keepalive not supported
  Last input 00:00:00, output 00:00:00, output hang never
  Last clearing of "show interface" counters never
  Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 0
  Queueing strategy: fifo
  Output queue: 0/10 (size/max)
  5 minute input rate 142000 bits/sec, 20 packets/sec
  5 minute output rate 34000 bits/sec, 19 packets/sec
     6426 packets input, 6566728 bytes, 0 no buffer
     Received 0 broadcasts (0 IP multicasts)
     0 runts, 0 giants, 0 throttles
     0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored, 0 abort
     5176 packets output, 1089212 bytes, 0 underruns
     0 output errors, 0 collisions, 2 interface resets
     0 unknown protocol drops
     0 output buffer failures, 0 output buffers swapped out
     0 carrier transitions
     DCD=up  DSR=up  DTR=up  RTS=up  CTS=up

Router#sh cellular 0 network

Current Service Status = Normal, Service Error = None

Current Service = Combined

Packet Service = HSDPA (Attached)

Packet Session Status = Active

Current Roaming Status = Home

Network Selection Mode = Automatic

Country = RUS, Network = MegaFon

Mobile Country Code (MCC) = 250

Mobile Network Code (MNC) = 2

Location Area Code (LAC) = 7806

Routing Area Code (RAC) = 39

Cell ID = 40740

Primary Scrambling Code = 419

PLMN Selection = Automatic

Registered PLMN =  , Abbreviated =

Service Provider = MegaFon

Ну и в заключении весь тестовый конфигурациооный файл:

(там нет профиля, он храниться на модеме, Router#cellular 0 gsm profile create 3 fixedip.nw chap megafon megafon).

!

! Last configuration change at 10:14:00 UTC Tue Mar 25 2014

version 15.2

no service pad

service timestamps debug datetime msec

service timestamps log datetime msec

no service password-encryption

!

hostname Router

!

boot-start-marker

boot-end-marker

!

!

!

aaa new-model

!

!

!

!

!

!

!

aaa session-id common

!

memory-size iomem 10

ip auth-proxy max-login-attempts 5

ip admission max-login-attempts 5

!

!

!

!

ip dhcp pool DPOOL

 network 192.168.0.0 255.255.255.0

 default-router 192.168.0.1 

 dns-server 8.8.8.8 8.8.4.4 

!

!

ip cef

no ipv6 cef

!

!

multilink bundle-name authenticated

chat-script MEGAFON "" "ATD*99*3#" TIMEOUT 30 CONNECT

!

!

!

!

!

!

controller Cellular 0

!

!

!

!

!

interface FastEthernet0

 no ip address

 spanning-tree portfast

!

interface FastEthernet1

 no ip address

 spanning-tree portfast

!

interface FastEthernet2

 no ip address

 spanning-tree portfast

!

interface FastEthernet3

 no ip address

 spanning-tree portfast

!

interface FastEthernet4

 no ip address

 duplex auto

 speed auto

!

interface Cellular0

 description uplink

 ip address negotiated

 ip nat outside

 ip virtual-reassembly in

 encapsulation ppp

 dialer in-band

 dialer idle-timeout 0

 dialer string "*99*3#"

 dialer string MEGAFON

 dialer-group 1

 async mode interactive

 ppp chap hostname megafon

 ppp chap password 0 megafon

 ppp ipcp dns request

!

interface Vlan1

 ip address 192.168.0.1 255.255.255.0

 ip nat inside

 ip virtual-reassembly in

!

ip forward-protocol nd

no ip http server

no ip http secure-server

!

!

ip nat inside source list NATACL interface Cellular0 overload

ip route 0.0.0.0 0.0.0.0 Cellular0 200

!

ip access-list extended NATACL

 permit ip 192.168.0.0 0.0.0.255 any

!

access-list 1 permit any

dialer-list 1 protocol ip list 1

!

!

!

!

control-plane

!

!

!

line con 0

line aux 0

line 3

 exec-timeout 0 0

 script dialer MEGAFON

 modem InOut

 no exec

 rxspeed 7200000

 txspeed 2000000

line vty 0 4

 transport input all

!

!

end

Источник: olegcisco.blogspot.ru/2014/03/3g-cisco-881.html

Как посмотреть открытые порты на Cisco

Чтоб быстро посмотреть какие порты открыты (слушаются именно самим маршрутизатором - тоесть control-plane) можно использовать команду:

show control-plane host open-ports

На Cisco ASA как всегда все по другому:

sh asp table socket

Источник: olegcisco.blogspot.ru/2014/05/cisco.html

Лицензирование межсетевых экранов Cisco ASA 5500

В данной статье мы попытались собрать полезную информацию о лицензировании межсетевых экранов Cisco Systems ASA5500 серии. Итак, приступим.

Лицензия K9
Если говорить о шифровании, межсетевые экраны ASA поставляются в 2-х вариантах. Первый вариант - на конце каждого партийного номера имеется символ K8 ( к примеру, ASA5505-K8), второй вариант, на конце содержится символ K9 (к примеру, ASA5505-BUN-K9).
Данные варианты различаются наличием у последнего варианта (K9) возможности шифрования алгоритмами 3DES/AES, когда у первого варианта, где на конце партийного номера имеется K8 возможность шифрования только DES.
Чем они отличаются?
Если не вникать в сложности алгоритмов шифрования, то разницу можно охарактеризовать так: информацию, зашифрованную алгоритмом DES ( K8) можно расшифровать, когда как информацию зашифрованную алгоритмами 3DES/AES расшифровать практически невозможно( а в литературе пишут что не возможно вовсе).
Где может понадобится шифрование? Шифрование требуется во всех формах VPN туннелей, будь то site-to-site IPSEC, remote access VPN, anyconnect SSL VPN и другие. Если на ASA не установлена лицензия K9, могут возникнуть некоторые трудности использования, из самых известных это не возможность использования  SSL anyconnect VPN и невозможность использования графической оболочки управления межсетевым экраном ASDM.


Лицензия Security Plus
Платформа: ASA5505
Партийный номер для заказа: ASA5505-SEC-PL=
Какой функционал открывает (расширяет):
- 802.1q trunking, т.е открывает VLAN транки;
- позволяет создавать DMZ зоны;
- увеличивает колличество VLAN c 3 до 20 ( в базовой версии имеется 3 VLAN, один из которых может  взаимодействовать только с одним другим;
- dual ISP ( позволяет настроить резервирование провайдеров в режиме Active/Standby);
- увеличивает колличество одновременных соединений с 10.000 до 25.000;
- увеличивает колличество site-to-site и IKEv1 IPSEC client подключений с 10 до 25;
Примечания: при выборе модели межсетевого экрана, надо помнить, что ASA5505 не поддерживает резервирование Failover (Active/Active или Active/Standby Failover) ни в каком варианте, а также не поддерживает возможности использования контекстов безопасности.

 Платформа: ASA5510
Партийный номер для заказа: ASA5510-SEC-PL=
Какой функционал открывает (расширяет):
- увеличивает скорость 2-ух портов до скорости Gigabit Ethernet ( в базовой версии все порты Fast Ethernet);
- увеличивает колличество одновременных соединений с 50.000 до 130.000;
- увеличивает колличество VLAN c 50 до 100;
- позволяет создавать отказоустойчивость межсетевых экранов ( Active/Active или Active/Standby Failover);


Платформа: ASA5512
Партийный номер для заказа: ASA5510-SEC-PL=
Какой функционал открывает (расширяет):
- увеличивает колличество VLAN c 50 до 100;
- позволяет создавать отказоустойчивость межсетевых экранов ( Active/Active или Active/Standby Failover);

Подключение к ASA по SSL.

В настоящий момент очень большой интерес со стороны клиентов вызывает организация удаленного подключения к сети предприятия в целях использования общих ресурсов (данных, хранящихся на серверах, программах, таких как 1C-предприятие и т.д). Cisco ASA предоставляет широкий выбор способов безопасного подключения к сети предприятия из любого места, где имеется выход в интернет.
Основными характеристиками, которым должно обладать подключение это:
1. Безопасность. Данные, которыми обменивается удаленный сотрудник с офисной сетью, должны быть защищены.
2. Простота подключения. Любой сотрудник, который желает подключиться к офисной сети, не должен испытывать сложности с настраиванием удаленного подключения и тратить на это много времени.  Действий для подключения должно быть не много,Все действия должны быть интуитивно понятны.
3. Унифицированность. Удаленный сотрудник должен иметь возможность подключаться к сети с любого устройства (мобильное устройтсво, ПК), а не только с заранее преднастроенного.
Наиболее оптимальным вариантом удаленного подключения на данный момент является SSL VPN подключение. Не будем вдаваться в технические особенности данного протокола, а перейдем сразу к тому, как же можно предусмотреть данный вариант удаленного подключения к Cisco ASA.
Для терминирования SSL подключений на ASA должны быть установлены одна из лицензий: Anyconnect Essentials и Anyconnect Premium SSL VPN.

Anyconnect Essentials
Платформа:
ASA5505       ASA-AC-E-5505  до 25   одновременных подключений
ASA5510       ASA-AC-E-5510  до 250  одновременных подключений
ASA5512       ASA-AC-E-5512  до 250  одновременных подключений
ASA5515       ASA-AC-E-5515  до 250  одновременных подключений
ASA5520       ASA-AC-E-5520  до 750  одновременных подключений
ASA5525       ASA-AC-E-5525  до 750  одновременных подключений
ASA5545       ASA-AC-E-5545  до 2500 одновременных подключений
ASA5555       ASA-AC-E-5555  до 5000 одновременных подключений

Описание.
Лицензия Essentials позволяет настроить подключение Client-Based подключение удаленных пользователей. Сотрудник может с любого устройства зайти на внешний IP адрес ASA, авторизовавшись, скачать программный клиент Anyconnect Essentials, установить его, и подключиться к сети предприятия. Для того, чтобы иметь возможность подключаться не только с ПК, но и с мобильных устройств, требуется лицензия Anyconnect Mobile.Anyconnect Premium SSL VPN
Описание.
Лицензия Anyconnect Premium покупается в зависимости от колличества требуемых одновременных SSL-подключений к ASA. Имея те же функции, как и Essentials (см. выше), лицензии Premium позволяют организовать Веб портал ( доступ к ресурсам предприятия из браузера), использовать Cisco Secure desktop.

Anyconnect Mobile
Платформа:
ASA5505       ASA-AC-M-5505
ASA5510       ASA-AC-M-5510    
ASA5512       ASA-AC-M-5512
ASA5515       ASA-AC-M-5515
ASA5520       ASA-AC-M-5520
ASA5525       ASA-AC-M-5525
ASA5545       ASA-AC-M-5545
ASA5555       ASA-AC-M-5555

Описание.
Данная лицензия позволяет устанавливать Anyconnect соединение с мобильных устройств ( Android, Windows phone, iOS и др.). Требуется, чтобы на АСА также была установлена лицензия Essentials или необходимое колличество Anyconnect Premium SSL VPN.

Cisco ASA Security Context.
Межсетевой экран CISCO ASA может быть разделен на несколько виртуальных межсетевых экранов - контекстов безопасности. Каждый контекст может реализовывать свою политику безопасности. 
ASA5505 не поддерживает данного функционала. в ASA5510 Base license также нет данного функционала, для его использования нужна лицензия Security Plus ( по умолчанию 2 Contexts).

Максимальное колличество контекстов безопасности по платформам:
ASA5505  - не поддерживает
ASA5510  - до 5
ASS5512  - не поддерживает
ASA5515  - до 5
ASA5520  - до 20
ASA5525  - до 20
ASA5540  - до 50
ASA5545  - до 50

Партийные номера для заказа (последняя цифра указывает на количество контекстов):
ASA5500-SC-5
ASA5500-SC-10
ASA5500-SC-20

Cisco ASA 5500 IPS SSP License
Если в моделях ASA 5510, 5520, 5540 для наличия функций Intrusion Preventioon System (система предотвращения вторжений) требовалось докупать соответствующий модуль (AIP SSC), то в моделях ASA5500-X, т.е 5512, 5515, 5525, 5545, 5555 требуется открыть функционал IPS приобретением лицензии. Вы можете заказать межсетевой экран как вместе с лицензией (IPS bundle), так и по отдельности. К примеру, приобрести лицензию не сразу.
Партийные номера:
L-ASA5512-IPS-SSP
L-ASA5515-IPS-SSP
L-ASA5525-IPS-SSP
L-ASA5545-IPS-SSP
L-ASA5555-IPS-SSP
Необходомо так же узнать, что для обновления сигнатур необходимо приобрести соответствующую подписку.

Источник: nnetwork.ru/content/asalicense/