Pull to refresh

Comments 26

Если NTP серверов несколько, то хорошим тоном будет вешать на один из них prefer. Иначе, если качество доступа к ним окажется очень хорошим и синхронизация самих серверов будет на высоте, то роутер просто не сможет решить, который из серверов выбрать (случай из практики; 3845 с каким-то 12-м IOS, если не ошибаюсь)

будьте поаккуратнее с использованием DNS-имён для NTP-серверов — это часто тормозит загрузку роутера

Можно просто выкинуть option 42 из DHCP и не поднимать NTP на домашней железке.

В данном сетапе внутренний NTP сервер нужен был для горы железных админок, которые торчат в OOB-сети. Тем не менее, самой Cisco тоже надо откуда-то время брать, даже без раздачи его в локалку.

Я говорил именно про домашнюю сеть. Зачем самой cisco время? Чтобы поднимался vpn и логи удобно было анализировать... в домашней сети? Это так же удивительно как cisco за $500 в домашней сети.

Мне очень Linksys нравился в свое время.

Да - да - да Удивляйтесь у меня и на даче Cisco и вафля тоже

А я не знаю куда девать пачку 2602I и два базовых контроллера: вроде как живые, но в офисе сняли при замене на AX, дома тоже не нужны,так как тоже AX стоят от Unifi, вот и думаю куда пристроить. Видать на дачу и осталось тащить. С вафлёй смена поколений более остро чувствуется.

Кто в здравом уме на l3-коммутатор будет вешать белый ip и выставлять наружу? Эти железки не для этого.

ISR — это модельный ряд роутеров. Именно такие выставляют попой в интернет.

Не увидел - где тут привязка dhcp-сервера к LAN?

Добрый день, встречал ещё провайдеров где обязательно и mtu прописать, иначе некоторые ресурсы не открываются.

Боюсь что нет, насколько мне известно, ASDM только с Cisco ASA умеет работать, а не с IOS/IOS-XE.

ASA лучше подходит для таких сценариев, она сильно проще в настройке и скоро перегонит IOS по фичам. В 9.18 даже появились loopback-интерфейсы для BGP.

Не могу сосчитать количество лет, сколько это говорят ))

И с простотой вопрос дискуссионный, имхо, так как там есть свои наркоманские конструкции в конфиге.

Наркомания в основном с ACL при отсутствии vti и loopback, зато редактировать ACL через ASDM одно удовольствие.

В своё время переход с IOS сильно поднял качество жизни в моём SMB, а на Западе ASA 5505 была стандартном де-факто для небольших филиалов и домашних офисов.

ASA уже мертвый продукт, вряд ли далеко уедут

Я так и не понял её статуса, новый фичи продолжают добавлять и ASA до сих пор основная платформа для AnyConnect. При этом есть Firepower, который намного лучше подходит на роль "офисного роутера".

ACL на аплинковом порту interface GigabitEthernet0/0/0 разве не решит эту проблему?

Вообще, у циски есть целый гайд на этот счет, в котором существенно больше закрываемых дырок конфига из коробки.

пару замечаний

  1. не используйте в вашей сохо 192.168.0 или 192.168.1 просто потому что эта адресация используется в 99% других сохов и если чисто гипотетически когда нибудь придется подключаться к другим сохам через ВПН придется разгребать грабли, которые можно было убрать с самого начала

  2. это заклинание:

 snmp-server host 198.51.100.254 version 2c CommunityName

указывает циске куда слать трапы
для ограничения SNMP клиентов используется другое:

snmp-server community BLABLABA RO 123

где RO значит ReadOnly, а 123 - номер ACL с списком клиентов

Спасибо за замечания. Про первое не соглашусь, так как как не раскидывай по приватным префиксам, если будешь интегрироваться, скорее всего в любом случае будет грозить перенумерация.

А про SNMP спасибо, дополню в текст.

Насколько же проще такое реализовать на FortiGate. Тоже железка не для SOHO, но сильно проще в настройке.

На FortiGate закрыть цепочку input та ещё задача.

Отдельная feature Local In Policy. Через web-интерфейс доступна только на чтение.

Вот только NTP и DNS там на определённый интерфейс вешаются. Не надо на WAN интерфейс их вешать и тогда и в Local In Policy закрывать не надо.

Проблема разве что с SNMP, но там тоже есть немного не элегантное решение. Доступ к snmp, вебу и ssh открываться в локальных политиках на адреса trusted hosts в админах. Если всем админам дать доступ только с доверенных адресов, то FortiGate не будет отвечать на запросы с других адресов ни на веб интерфейс, ни на ssh, ни на snmp.

Only those users with full accounts are able to leave comments. Log in, please.

Articles