Cisco в качестве NTP-сервера

ntp logging !может быть много логов
ntp source Loopback0
ntp access-group peer 10
ntp access-group serve 10
ntp access-group serve-only 11
ntp server 85.21.78.8
ntp server 95.31.45.148
ntp server 213.145.129.29


В аксес-листе 10 (peer и serve) нужно разрешить все ваши NTP-серверы, если таковые имеются, а самое главное — NTP-серверы из списка вышестоящих серверов, которые мы выбрали и указали в настроках:
access-list 10 permit 10.1.1.2
access-list 10 permit 10.1.1.3
access-list 10 permit 85.21.78.8
access-list 10 permit 95.31.45.148
access-list 10 permit 213.145.129.29
access-list 10 deny   any

Уровни peer и serve имеют некоторые отличия друг от друга, но в нашем случае это неважно — с адресов из списка serve наш роутер/свич не будет сам синхронизироваться.

В аксес-листе 11 (serve-only) указываем адреса наших клиентов:
access-list 11 permit 10.1.1.0 0.0.0.255
access-list 11 deny any

Посмотреть состояние нашего сервера можно вот так:
cs#sh ntp status                                                             
Clock is synchronized, stratum 3, reference is 85.21.78.8                     
...

«Clock is synchronized» — значит всё нормально.

Можно убедиться в том, что какой-то из заданных вышестоящих серверов выбран (#):
cs#sh ntp associations
  address         ref clock       st   when   poll reach  delay  offset   disp
*~85.21.78.8      89.109.251.24    2     43    128    17 58.153  -0.383  3.737
+~95.31.45.148    .PPS.            1    279   1024     1 59.778  -0.216 187.55
 ~213.145.129.29  .INIT.          16      -    512     0  0.000   0.000 15937.
 * sys.peer, # selected, + candidate, - outlyer, x falseticker, ~ configured


Ну и, конечно, проверить синхронизацию с какого-нибудь компьтера:
ntpdate 10.1.1.1
12 Mar 14:26:44 ntpdate[16141]: adjust time server 10.1.1.1 offset 0.017100 sec


В случае если в выводе команды «sh ntp status» написано «Clock is unsynchronized», то значит сервер не работает и ваши клиенты не смогут синхронизироваться по нему. Можно включить дебуг «debug ntp all» или убрать все ограничения, заданные командами «ntp access-group».

Cisco Radiusd: NAS-Identifier

В логах Radius-а:
[acct_unique] WARNING: Attribute NAS-Identifier was not found in request, unique ID MAY be inconsistent                     


Смотрим дебуг и, действительно, Radius никакого NAS-Identifier не получает.

Включаем на Cisco:
radius-server attribute 32 include-in-access-req
radius-server attribute 32 include-in-accounting-req


Теперь получаем:
NAS-Identifier = «myhost.domain.tld»

Cisco: DHCP для выдачи DNS-сервера IPv6-клиентам

Есть PPPoE-клиенты, которые получают IPv6-адреса через SLAAC, префикс сети передаётся Radius-сом, также из Radius-а передаётся маршрут на дополнительную подсеть. Но вот адрес DNS-сервера выдать клиенту можно пока только через DHCP. Команда «ipv6 nd ra-dns-server» не работает, avpair «ipv6-dns-servers-addr» тоже.

Впрочем настройка DHCP-сервера для этих задач совсем несложная, заодно передадим и домен по-умолчанию:
!
ipv6 dhcp server IPV6_DHCP
dns-server 2001:db8:1::1
domain-name elcat.kg
!
interface Virtual-Template1
ipv6 nd other-config-flag
ipv6 dhcp server IPV6_DHCP
!

Опция «ipv6 nd other-config-flag» указывает, кто хостам надо использовать DHCP для других настроек, кроме получения адреса:
Hosts should use DHCP for non-address config

Cisco: IPv6 OSPF

Как настраивать IPv6 на циске писать не буду, да и вообще обойдусь минимумов слов )

Роутер R1
!
interface Vlan111
description R1
ipv6 address FE80::12 link-local
ipv6 address 2001:0db8:1::219/64
ipv6 ospf mtu-ignore
ipv6 ospf 1 area 0
!
router ospfv3 1
router-id 1.1.1.219
passive-interface default
no passive-interface Vlan111
!
address-family ipv6 unicast
area 0 range 2001:0db8::/32
default-information originate
redistribute connected
redistribute static
exit-address-family
!

Роутер R2
!
interface Vlan111
description R2
ipv6 address 2001:0db8:1::247/64
ipv6 ospf 1 area 0
ipv6 ospf mtu-ignore
!
router ospfv3 1
router-id 1.1.1.247
!
address-family ipv6 unicast
passive-interface default
no passive-interface Vlan222
redistribute connected
redistribute static
area 0 range 2001:0db8::/32
exit-address-family
!


Без команды «ipv6 ospf mtu-ignore», заданной на интерфейсах соседи постоянно падают с жалобой «Neighbor Down: Too many retransmissions» и никакие маршруты не передаются.

Команда «default-information originate» на роутере R1 даёт указание роутеру отправлять соседям ещё и default-route.

Несколько команд, чтобы посмотреть интересную информацию:
sh ipv6 route ospf
sh ipv6 ospf database

Cisco: Ограничение прав для пользователя

Возникла необходимость завести на роутере Cisco пользователя с минимально необходимыми для наших задач правами.

Для начало нужно убедиться, что включено вот это:
aaa new-model
aaa authorization exec default local

Заводим нужного пользователя с минимальным уровнем привилегий (0):
username test privilege 0 password Pass1234

По-умолчанию уровень привилегий равен 1, так что зайдя под обычным пользователем вы будете на уровень выше.

Даём указанному уровню доступ к нужным командам:
privilege exec level 0 traceroute
privilege exec level 0 ping
privilege exec level 0 show ip
privilege exec level 0 show

Указанные разрешения рекурсивные, т.е. чтобы работало «show ip», надо разрешить и «show».
Посмотреть доступные команды можно войдя под этим пользователем и введя знак вопроса. При этом внимательный админ заметит, что разрешена команда «enable», нам это не нужно, а потому разрешаем её только для уровня 1 и выше:
privilege exec level 1 enable

Убрать ранее введённые привилегии можно вот так:
privilege exec reset traceroute

П.С. На всякий случай подстрахуйтесь и настройте доступ через консоль сразу в привилегированный режим:
line con 0
privilege level 15
Пароль будет запрощен, но уровень привилегий будет сразу максимальным. Это может помочь если ошибётесь с настройками привилегий.

Автоконфигурирование IPv6 на Cisco

Есть роутер Cisco, на соответствующем интерфейсе включен ipv6. Надо убедиться, что роутер не позволяет хостам из этой сети автоматически получать адрес ipv6 при помощи механизма SLAAC (Stateless Address Autoconfiguration).

Отключить выдачу адресов ipv6 по запросу на автоконфигурирование:
interface Vlan66
 ipv6 nd prefix default 300 300 no-autoconfig
!


Запретить отправку объявлений о том, что мы роутер (Router Advertisements — RA):
interface Vlan66
 ipv6 nd ra suppress all
!


Если на роутере запрещёна отправка RA, то хост не сможет получить префикс сети от роутера и, соответственно, назначить себе «реальный» адрес, т.е. хост шлёт запросы Router Solicitation, но не получает ответа от роутера, в котором и должен быть передан префикс сети и прочие данные.
Если отправка RA не запрещена, но запрещено автоконфигурирование, то протокол Neighbor Discovery работает, соседи видны, но только по локальным адресам (link-local), например:
cs#sh ipv6 neighbors
IPv6 Address                              Age Link-layer Addr State Interface
FE80::21D:FFF:FEBE:AF12                     1 001d.0fbe.af12  DELAY Vl66


Если хост получил от роутера префикс сети, то он назначает себе адрес на основе полученного префикса и своего MAC-адреса. И мы можем увидеть его на роутере:
cs#sh ipv6 neighbors
IPv6 Address                              Age Link-layer Addr State Interface
FE80::21D:FFF:FEBE:AF12                     0 001d.0fbe.af12  REACH Vl66
2001:db8::21D:FFF:FEBE:AF12                0 001d.0fbe.af12  REACH Vl66


Короче говоря, чтобы работало автоконфигурирование нужно чтобы на циске были разрешены и автоконфигурирование и RA.

Даже если отключить на роутере RA уже после получения хостом адреса, связь через некоторое время пропадает. По крайней мере у меня так происходит между циской и CentOS 6.5. Обнаружение соседей (Neighbor Discovery) при этом работает. CentOS при попытке пингануть роутер ругается «Network is unreachable».

Дополнение

Прочитал где-то, что RA отключать нельзя в любом случае, а отключать SLAAC нужно опциями на интерфейсе, которые указывают хостам получать адреса и прочие настройки по DHCP:
ipv6 nd managed-config-flag
 ipv6 nd other-config-flag


При просмотре информации о IPv6 для этого интерфейса видим:
cs#sh ipv6 int vl66
...
  Hosts use DHCP to obtain routable addresses.
  Hosts use DHCP to obtain other configuration.
...


Однако, у меня при этом хосты всё равно получали адреса по SLAAC.

Дополнение 2

Ещё одна опция в попытке отключить раздачу SLAAC роутером:
interface Vlan66
 ipv6 nd prefix default no-advertise

Роутер будет отправлять RA, но в них не будет указан префикс сети, т.е. хосты не смогут «создать» адрес.

Т.к. мне до сих непонятно можно ли полностью отключать RA, я попытался сохранить эти анонсы и включил три другие опции:
interface Vlan66
 ipv6 nd prefix default no-advertise
 ipv6 nd managed-config-flag
 ipv6 nd other-config-flag


Проверил с Windows 7 и CentOS — адрес не получаю, но при просмотре списка соседей на этом интерфейсе вижу, что появились SLAAC-адреса других хостов:
cs#sh ipv6 neighbors vl66
...
2001:db8:C:0:211:32FF:FE90:7C23          133 0011.3290.7c23  STALE Vl66
2001:db8:C:0:21D:FFF:FEBE:AF12           219 001d.0fbe.af12  STALE Vl66
...

Возможно, хосты просто сохранили полученные ранее через SLAAC адреса.

Кстати, можно удалить всех соседей на интерфейсе или конкретный адрес одного соседа:
cs#clear ipv6 neighbors vlan66
cs#clear ipv6 neighbors vlan66 2001:db8:C:0:211:32FF:FE90:7C23


При этом надо было осторожным, если вы подключились к роутеру по IPv6 и потом удалили свой адрес из списка соседей, то скорее всего вы потеряете доступ к роутеру.