Сообщения без ответов | Активные темы Текущее время: 28 мар 2024, 12:04



Ответить на тему  [ Сообщений: 7 ] 
catalyst 4500 проблема или обновление? 
Автор Сообщение

Зарегистрирован: 28 мар 2019, 14:42
Сообщения: 8
Добрый день! Подскажите, что может быть...
есть циска
Cisco IOS Software, IOS-XE Software, Catalyst 4500 L3 Switch Software (cat4500e-UNIVERSALK9NPE-M), Version 03.03.00.SG RELEASE SOFTWARE (fc3)
ROM: 15.0(1r)SG5
License Information for 'WS-X45-SUP7-E'
License Level: entservices Type: Permanent
Next reboot license Level: entservicescisco WS-C4506-E (MPC8572) processor (revision 10) with 2097152K/20480K bytes of memory.
Processor board ID FXS1628Q18R
MPC8572 CPU at 1.5GHz, Supervisor 7

работает более 10 лет. и где-то с пол года назад начались проблемы.. стали отваливаться telnet и ssh... просто падают порты и всё, доступ только через консоль и то необходимо еще ввести пароль enable
который с трудом возможно вспомнить (резервная копия конфига есть но дешифровать сложнее) причем после перезагрузки(розетку выдернуть и обратно) несколько недель ssh и telnet доступны и потом снова падают
Омрачается это все тем что данные две циски воткнуты в Нет с белыми адресами и я так думаю что их кладут извне.... или я не прав?
встал вопрос про обновление и понимаю что моего уровня познаний не хватает...
подскажите, я правильно нашел обновление для железа? и я ведь могу обновиться с данной версии которая у меня на cat4500e-universalk9.SPA.03.11.04.E.152-7.E4.bin
https://software.cisco.com/download/hom ... se/3.11.4E
или же где-то как-то нужно сначала обновиться до промежуточной версии? не могу найти информацию об этом...
переживаю за лицензию которая на железе развернута
или же нужно обновлять ROM?


09 авг 2021, 07:09
Профиль

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 925
zarj писал(а):
необходимо еще ввести пароль enable
который с трудом возможно вспомнить (резервная копия конфига есть но дешифровать сложнее)

enable в консоли - вы сами так сконфигурировали ее.
критичные пароли нужно хранить не в голове - вы пропадете/потеряете память и все - confreg.
если вы храните enable в pass7, то даже и сказать нечего, а secret разве можно дешифровать?
zarj писал(а):
стали отваливаться telnet и ssh... просто падают порты и всё, доступ только через консоль и

ну вот попадаете через консоль и смотрите занятые линии. может все сконфигурированные стали занятыми, раз вы говорите, что у них есть белые ip?
отключите telnet - у вас в сеть полную китайских сканеров смотрит не тестовый роутер)
включите timeout на vty
в крайнем случае сделайте себе пару линий на нестандартном порту ssh (смотреть ip ssh rotary) плюс acl на них же.
еще вариант - нагородить что то типа такого
Код:
login block-for 600 attempts 3 within 20
login delay 5
login quiet-mode access-class QUIET
ip access-list standard QUIET
 permit 10.1.1.0 0.0.0.255

только в этом случае нужно быть осторожным. У этого способа есть одна тонкость - не следует сохранять конфиг, если сработал login block-for.


09 авг 2021, 08:20
Профиль

Зарегистрирован: 14 май 2009, 12:57
Сообщения: 2067
Откуда: Волгоград
Обновлял недавно на 4507r+e sup8l-e rommon и ios до новейших. Заливаете на флеш (в моём случае было firmwareupgrade-151_1r_SG18.SPA и
cat4500es8-universalk9.SPA.03.11.04.E.152-7.E4.bin). Желательно цепляетесь физически консолью к супу.
Далее сносите свои настройки касательно образов загрузки (no boot system ...) и назначаете новые:

boot system flash slot0:firmwareupgrade-151_1r_SG18.SPA
boot system flash slot0:cat4500es8-universalk9.SPA.03.11.04.E.152-7.E4.bin
ex
wr

далее reload и смотрите в консоли как суп шьётся и грузится новый IOS.
Потом сносите апгрейд роммона:

no boot system flash slot0:firmwareupgrade-151_1r_SG18.SPA
ex
wr

Готово.


09 авг 2021, 09:02
Профиль ICQ

Зарегистрирован: 28 мар 2019, 14:42
Сообщения: 8
aliotru писал(а):
zarj писал(а):
необходимо еще ввести пароль enable
который с трудом возможно вспомнить (резервная копия конфига есть но дешифровать сложнее)

enable в консоли - вы сами так сконфигурировали ее.
критичные пароли нужно хранить не в голове - вы пропадете/потеряете память и все - confreg.
если вы храните enable в pass7, то даже и сказать нечего, а secret разве можно дешифровать?
zarj писал(а):
стали отваливаться telnet и ssh... просто падают порты и всё, доступ только через консоль и

ну вот попадаете через консоль и смотрите занятые линии. может все сконфигурированные стали занятыми, раз вы говорите, что у них есть белые ip?
отключите telnet - у вас в сеть полную китайских сканеров смотрит не тестовый роутер)
включите timeout на vty
в крайнем случае сделайте себе пару линий на нестандартном порту ssh (смотреть ip ssh rotary) плюс acl на них же.
еще вариант - нагородить что то типа такого
Код:
login block-for 600 attempts 3 within 20
login delay 5
login quiet-mode access-class QUIET
ip access-list standard QUIET
 permit 10.1.1.0 0.0.0.255

только в этом случае нужно быть осторожным. У этого способа есть одна тонкость - не следует сохранять конфиг, если сработал login block-for.


Ну сейчас когда telnet и ssh лежат наверно сложно, что-то сказать
RT01-1>sh line
Tty Typ Tx/Rx A Modem Roty AccO AccI Uses Noise Overruns Int
* 0 CTY - - - - - 0 1 75/0 -
1 VTY - - - - 20 108604 0 0/0 -
2 VTY - - - - 20 54957 0 0/0 -
3 VTY - - - - 20 30424 0 0/0 -
4 VTY - - - - 20 11849 0 0/0 -
5 VTY - - - - 20 3930 0 0/0 -
6 VTY - - - - 20 227162 0 0/0 -
7 VTY - - - - 20 44844 0 0/0 -
8 VTY - - - - 20 5961 0 0/0 -
9 VTY - - - - 20 1157 0 0/0 -
10 VTY - - - - 20 524 0 0/0 -
11 VTY - - - - 20 319 0 0/0 -
12 VTY - - - - 20 219 0 0/0 -
13 VTY - - - - 20 180 0 0/0 -
14 VTY - - - - 20 122 0 0/0 -
15 VTY - - - - 20 110 0 0/0 -
16 VTY - - - - 20 82 0 0/0 -

значения uses конечно большие но это же всего лишь попытки подключения не более, или я ошибаюсь?
и по поводу enable - я понимаю что я его задавал. но до момента пока работали ssh и telnet он его не спрашивал
а теперь на одном 4500м ssh активен,(телнет лежит) и когда по ssh цепляешься всё равно enable спрашивает, а раньше такого не было
но вот на нем есть активные подключения...
RT02-1>sh line
Tty Typ Tx/Rx A Modem Roty AccO AccI Uses Noise Overruns Int
* 0 CTY - - - - - 0 0 0/0 -
* 1 VTY - - - - - 1073629 0 0/0 -
* 2 VTY - - - - - 209432 0 0/0 -
3 VTY - - - - - 230941 0 0/0 -
* 4 VTY - - - - - 35203 0 0/0 -
* 5 VTY - - - - - 13900 0 0/0 -
6 VTY - - - - - 31522 0 0/0 -
7 VTY - - - - - 11869 0 0/0 -
8 VTY - - - - - 7379 0 0/0 -
9 VTY - - - - - 6257 0 0/0 -
10 VTY - - - - - 5859 0 0/0 -
11 VTY - - - - - 5391 0 0/0 -
12 VTY - - - - - 4836 0 0/0 -
13 VTY - - - - - 4386 0 0/0 -
14 VTY - - - - - 4237 0 0/0 -
15 VTY - - - - - 4191 0 0/0 -
16 VTY - - - - - 4012 0 0/0 -

хотя тут телнет лежит...


09 авг 2021, 11:06
Профиль

Зарегистрирован: 28 мар 2019, 14:42
Сообщения: 8
_2e_ писал(а):
Обновлял недавно на 4507r+e sup8l-e rommon и ios до новейших. Заливаете на флеш (в моём случае было firmwareupgrade-151_1r_SG18.SPA и
cat4500es8-universalk9.SPA.03.11.04.E.152-7.E4.bin). Желательно цепляетесь физически консолью к супу.
Далее сносите свои настройки касательно образов загрузки (no boot system ...) и назначаете новые:

boot system flash slot0:firmwareupgrade-151_1r_SG18.SPA
boot system flash slot0:cat4500es8-universalk9.SPA.03.11.04.E.152-7.E4.bin
ex
wr

далее reload и смотрите в консоли как суп шьётся и грузится новый IOS.
Потом сносите апгрейд роммона:

no boot system flash slot0:firmwareupgrade-151_1r_SG18.SPA
ex
wr

Готово.

я правильно понимаю, что можно последнюю версию скачать которая мне подходит(писал в первом посте) и проблем с последовательными обновлениями у циски нет?


09 авг 2021, 11:07
Профиль

Зарегистрирован: 14 май 2009, 12:57
Сообщения: 2067
Откуда: Волгоград
zarj писал(а):
я правильно понимаю, что можно последнюю версию скачать которая мне подходит(писал в первом посте) и проблем с последовательными обновлениями у циски нет?


В синтаксисе у свичей ничего не менялось.


09 авг 2021, 11:52
Профиль ICQ

Зарегистрирован: 07 сен 2014, 02:54
Сообщения: 548
Откуда: Msk
zarj писал(а):
Омрачается это все тем что данные две циски воткнуты в Нет с белыми адресами и я так думаю что их кладут извне...

Вполне вероятно. Если они доступны снаружи. Там китайцев, как ...
А в этом есть какой-то смысл, или "оно само"?

zarj писал(а):
доступ только через консоль и то необходимо еще ввести пароль enable

Чтобы в консоли работало, как в telnet-е:

aaa new-model
aaa authentication login default local
aaa authorization console
aaa authorization exec default local

username SuperAdmin privilege 15 secret <passwd>

aliotru писал(а):
отключите telnet - у вас в сеть полную китайских сканеров смотрит не тестовый роутер)
еще вариант - нагородить что то типа такого

Проще ограничить доступ к терминалу, прикрутив ACL к vtys.
В этот ACL нужно прописать свои сети, из которых должен быть доступ.
Если нужен удаленный доступ, то он делается через VPN в свою сеть, а оттуда в эти свитчи.

http://ciscotips.ru/acl-on-vty

_________________
Knowledge is Power


15 авг 2021, 02:10
Профиль
Показать сообщения за:  Поле сортировки  
Ответить на тему   [ Сообщений: 7 ] 

Кто сейчас на конференции

Сейчас этот форум просматривают: Baidu [Spider] и гости: 47


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Designed by ST Software for PTF.
Русская поддержка phpBB