I’m trying to update the enable secret and account password on a Cisco3560-CG switch with an encrypted password shared by devices throughout the company. I use the following command for the enable secret and get the following output.
enable secret 5 <encrypted password>
ERROR: The secret you entered is not a valid encrypted secret. To
enter an UNENCRYPTED secret, do not specify type 5 encryption. When
you properly enter an UNENCRYPTED secret, it will be encrypted.
We’ve used this encrypted password successfully on many other devices so I know it’s a valid encrypted secret, but we haven’t used it on any other 3560-CG’s.
We’ve tried updating to the latest OS (15.2.2E6) and rolling back to 15.0.2 and neither helps. I can add an enable secret in clear text, but that doesn’t work for our organizational policy.
Has anyone else run into this issue on this or any other model of Cisco switch?
asked Mar 15, 2017 at 14:08
You are receiving the error because the «password» you are entering is not a proper MD5 hash. Check to verify that you are trying to enter a complete MD5 hash and that it is not another type of hash. Cleartext, Type 4 or Type 7 passwords will not suffice.
You may be trying to use a password obscured by a Vigenère cipher. The Vigenère cipher is often refered as a Type 7 password. It is associated with the service password-encryption and enable password 7 supersecretpwcommands.
Type 7 password hashes look something like this:
098f6bcd4621d373cade4e832627b4f6
Type 5 (MD5) hashes look a little something like this:
$1$jR5i$.HDBuKq.wIDOn2EYpCPYc0
Cisco Type 5 hashes will always be comprised of 3 elements, separated by $.
For the above example:
- 1 — Denotes a salted hash
- jR5i — 24-bit randomly generated salt value
- .HDBuKq.wIDOn2EYpCPYc0 — MD5 hash
Jeremy Stretch does a great write-up on how Cisco leverages MD5 here:
http://packetlife.net/blog/2008/jul/9/a-bit-more-detail-on-ios-password-hashes/
answered Mar 15, 2017 at 15:00
TDurdenTDurden
1,2411 gold badge7 silver badges13 bronze badges
4
HardDisk
MemberMember Posts: 62 ■■□□□□□□□□
When would I want to use «enable secret 0 cisco»
vs
«enable secret cisco» command?
Odom text P. 244-245
I’ve tried it both ways and found that the «show run» results seem to be the same. Plus per Odom’s text both passwords are stored in the config file as MD5 values.
Comments
-
chmorin
Senior Member Member Posts: 1,446 ■■■■■□□□□□When would I want to use «enable secret 0 cisco»
vs
«enable secret cisco» command?
Odom text P. 244-245
I’ve tried it both ways and found that the «show run» results seem to be the same. Plus per Odom’s text both passwords are stored in the config file as MD5 values.
Router(config)#enable secret ? 0 Specifies an UNENCRYPTED password will follow 5 Specifies an ENCRYPTED secret will follow LINE The UNENCRYPTED (cleartext) 'enable' secret level Set exec level password
The short answer:
Yes, whatever you input it is encrypted in the config. Not sure why.
There is no reason I can think of why anyone would prefer a clear text password.Currently Pursuing
WGU (BS in IT Network Administration) — 52%| CCIE:Voice Written — 0% (0/200 Hours)
Cisco Networking isn’t just a job, it’s a Lifestyle.
-
fly351
cisco noob Member Posts: 360I am really not sure why both are an option (LINE and 0). Maybe using 0 was the only supported option on an older IOS?
CCNP :study:
-
HardDisk
Member Member Posts: 62 ■■□□□□□□□□I think the answer to my «enable secret 0 password» question is beyond the scope of the CCNA exam.
However if anyone else is still interested I have posted below some additional information that will help to point the way towards the final answer.Using Local Credential to do AAA (Authentication, Authorization and Accounting)
·[FONT="] challenge authentication: in this authentication method, the password is never transmitted between the server and the client, but it needs that both client and server know the clear text password. Client and server will agree on a random function to apply to the clear text password (the challenge), apply the function, then apply a non-reversible (MD5 for example) cryptographic function to the result.This is the resulting string that will be transmitted on the network. It is safe from spying becuase of the cryptographic function, it is safe from replay attacks because of the random function.
But: the server needs to know the clear text password.[/FONT]
-
DevilWAH
The Bringer of Light Member Posts: 2,997 ■■■■■■■■□□the 0 is the default,
so «enable secret cisco» is identica to «enable secret 0 cisco»
its simply going to be to do with the code behind it,
for it to know the difference between encrypted and unencrypted entries there has to be a field for this value.
CISCO have chosen that a value of 5 in this field designates an encrypted password.
so leaving it empty (ie 0 ) designates a plaintext password will follow.
is a bit like
«crypto key generate <cr>»
and
«crypto key generate rsa <cr>»both do identical things.
CISCO generaly seem to leave in the full syntax of a default command, when they create a default entry.
this is why you can see both 0 and 5
- If you can’t explain it simply, you don’t understand it well enough. Albert Einstein
- An arrow can only be shot by pulling it backward. So when life is dragging you back with difficulties. It means that its going to launch you into something great. So just focus and keep aiming.
-
alan2308
Ann Arbor, MIMember Posts: 1,854 ■■■■■■■■□□So I’ve been playing around with this a bit, «enable secret cisco» and «enable secret 0 cisco» both operate the same, the way that I expected. But when I type «enable secret 5 cisco» I get:
ERROR: The secret you entered is not a valid encrypted secret.
To enter an UNENCRYPTED secret, do not specify type 5 encryption.
When you properly enter an UNENCRYPTED secret, it will be encrypted.And when I type «enable secret 5 $1$22z1$DSmD9tY8tcuyi/tjo.GQC/ (which is the hash of cisco) it works.
So «enable secret 5» is expecting you to enter the hash? When would it make sense to enter a hash?
-
fly351
cisco noob Member Posts: 360And when I type «enable secret 5 $1$22z1$DSmD9tY8tcuyi/tjo.GQC/ (which is the hash of cisco) it works.
So «enable secret 5» is expecting you to enter the hash? When would it make sense to enter a hash?
Yep, if you already have the md5 hash, then you can copy/paste it in there using the «5» parameter. I can’t think of a reason why you would want to use the hash instead of just entering it in plain-text and letting the md5 algorithm hash it out. Unless.. you are 100% positive you know your passwords, and you don’t want to save your passwords in plain text in the config files.
CCNP :study:
-
DevilWAH
The Bringer of Light Member Posts: 2,997 ■■■■■■■■□□how about pasting a saved config in to a switch. you dont want to save you password in plain text in you backed up configs. or you want to set the same pass word on mutiply switches over the net work. you can set a batch job to up date all your devices, secure in the knowlge that even if some one sees what you are doing, captures the traffic or steals your backed up configs the can,t access you switches. i always set up new devices by pasting a default config, and although the default config is store in a secure file. its still nice to know that even if some one did get them they still dont have our password.
- If you can’t explain it simply, you don’t understand it well enough. Albert Einstein
- An arrow can only be shot by pulling it backward. So when life is dragging you back with difficulties. It means that its going to launch you into something great. So just focus and keep aiming.
-
DevilWAH
The Bringer of Light Member Posts: 2,997 ■■■■■■■■□□oh our local secret password is a last resort authentacation method. so the plain text is very long and complex (i cant rember it i have to open a safe to get to it) but like i say setting it up is easy when you can leave the hashed version in plain view. in big networks the ability to enter the hashed version is a god send from a security point of view.
- If you can’t explain it simply, you don’t understand it well enough. Albert Einstein
- An arrow can only be shot by pulling it backward. So when life is dragging you back with difficulties. It means that its going to launch you into something great. So just focus and keep aiming.
-
alan2308
Ann Arbor, MIMember Posts: 1,854 ■■■■■■■■□□how about pasting a saved config in to a switch.
Wow, I feel a bit dumb now for asking when the answer is so obvious, and something I’ve done a hundred times.
-
m_rayansaz
Junior Member Registered Users Posts: 1 ■□□□□□□□□□Hi guys,
Regarding this question, let me discuss it from a programming view.
IOS has a command interpreter and whatever command is receiving despite of coming from console or a configuration file, it has to interpret and decide what to do.
By the way although cisco wants to make entering command in an easy way (by entering in clear text), in another side for security purpose of this command, it registers the commands in running configuration file as hashed equivalent of the password.
Now if next time cisco interpreter reach to the same command in running configuration due to existing an additional parameter, interpreter will understand whether the expression is password or its hashed one.
To do test you think that you edit startup config file and there instead of «secret 5 hashed pass» you modify and put «secret 0 original pass«
and see how it will be ok having plain secret password in config file!Try and let me know
-
theodoxa
Senior Member Member Posts: 1,340 ■■■■□□□□□□I believe if you use «enable secret 5» that you need to supply an MD5 Hash of the desired password. If you use «enable secret» or «enable secret 0» you would supply the plain text password and IOS would hash it [and store the hashed value in the configuration] for you.
R&S: CCENT → CCNA → CCNP → CCIE [ ]
Security: CCNA [ ]
Virtualization: VCA-DCV [ ] -
theodoxa
Senior Member Member Posts: 1,340 ■■■■□□□□□□So I’ve been playing around with this a bit, «enable secret cisco» and «enable secret 0 cisco» both operate the same, the way that I expected. But when I type «enable secret 5 cisco» I get:
ERROR: The secret you entered is not a valid encrypted secret.
To enter an UNENCRYPTED secret, do not specify type 5 encryption.
When you properly enter an UNENCRYPTED secret, it will be encrypted.And when I type «enable secret 5 $1$22z1$DSmD9tY8tcuyi/tjo.GQC/ (which is the hash of cisco) it works.
So «enable secret 5» is expecting you to enter the hash? When would it make sense to enter a hash?
If you wanted to type some commands into a text file so that you could run those same commands on a number of router, but you did not want to have passwords stored in plain text on a computer somewhere. For example:
user admin secret 5 $1$22z1$DSmD9tY8tcuyi/tjo.GQC/
enable secret 5 $1$22z1$DSmD9tY8tcuyi/tjo.GQC/
line console 0
logging synchronous
exec-timeout 0 0
line aux 0
logging synchronous
exec-timeout 15 0
login local
line vty 0 15
logging synchronous
exec-timeout 10 0
login local
transport input ssh
exit
crypto key generate rsa modulus 1024
ip ssh version 2Could be pasted into multiple routers to configure them to have the same user account, enable password, and enable ONLY SSH on the VTY Lines, as well as set the exec-timeout and prevent log messages from breaking apart what you are typing.
R&S: CCENT → CCNA → CCNP → CCIE [ ]
Security: CCNA [ ]
Virtualization: VCA-DCV [ ]
chmorin 
fly351 
DevilWAH 
alan2308 
m_rayansaz 
← Вернуться в раздел «В помощь системному администратору»
cRYSMAS Не надо ничего разграничивать на циске. В виндовом нэймсервере 10.2.10.3 в его настройках во вкладке Пересылка (Forwarding) укажи пересылать неразрешимые запросы на нэймсерверы прова или гуглевские.
Автор: sVIVs
Дата сообщения: 28.08.2015 17:05
День, добрый!
Продолжение истории с ipsec между cisco881-k9 и Zyxel USG 300
Предыстория:
Есть локальная сеть за cisco881: 192.168.15.0 255.255.255.0
Из этой сети есть выход в интернет, через l2tp.
Ниже рабочий конфиг:
Код:
version 15.3
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
service internal
!
hostname Router881
!
boot-start-marker
boot-end-marker
!
!
!
aaa new-model
!
!
aaa authentication login default local
!
aaa session-id common
memory-size iomem 10
!
ip dhcp excluded-address 192.168.15.1 192.168.15.149
!
ip dhcp pool LAN
network 192.168.15.0 255.255.255.0
default-router 192.168.15.1
dns-server 192.168.15.1
lease 3
!
ip domain name domain.ru
ip name-server 80.252.130.254
ip name-server 80.252.130.253
ip name-server 8.8.8.8
ip inspect WAAS flush-timeout 10
ip cef
no ipv6 cef
l2tp-class class1
!
vpdn enable
!
vpdn-group 1
request-dialin
protocol l2tp
initiate-to ip 10.255.255.254 priority 1
l2tp hidden
l2tp ignore tx-speed
no l2tp tunnel authentication
ip mtu adjust
!
license udi pid CISCO881-K9 sn FCZ183160LA
!
!
username admin privilege 15 secret 5 $1$N8hW$KdmbpaoOqmZFxP5A/VHgt/
!
ip ssh time-out 60
ip ssh authentication-retries 2
ip ssh version 2
pseudowire-class class2
encapsulation l2tpv2
protocol l2tpv2 class1
ip local interface FastEthernet4
!
interface FastEthernet0
no ip address
!
interface FastEthernet1
no ip address
!
interface FastEthernet2
no ip address
!
interface FastEthernet3
no ip address
!
interface FastEthernet4
ip address 10.201.156.xx 255.255.255.0
no ip redirects
no ip proxy-arp
ip nat outside
ip virtual-reassembly in
load-interval 30
duplex auto
speed auto
no cdp enable
!
interface Virtual-PPP1
ip address negotiated
no ip redirects
no ip proxy-arp
ip nat outside
ip virtual-reassembly in max-reassemblies 1024
no peer neighbor-route
no keepalive
ppp authentication chap callin
ppp chap hostname User
ppp chap password 7 003045265744D52542E7415
ppp direction callout
ppp ipcp dns request
ppp timeout retry 1
no cdp enable
pseudowire 10.255.255.254 10 encapsulation l2tpv2 pw-class class2
!
interface Vlan1
description ==LAN==
ip address 192.168.15.1 255.255.255.0
no ip redirects
no ip proxy-arp
ip nat inside
no ip virtual-reassembly in
!
ip forward-protocol nd
no ip http server
no ip http secure-server
!
ip dns server
ip nat translation max-entries 1000000
ip nat translation max-entries all-host 150000
ip nat inside source list natglobal interface Virtual-PPP1 overload
ip nat inside source list natlocal interface FastEthernet4 overload
ip route 0.0.0.0 0.0.0.0 Virtual-PPP1
ip route 10.255.255.254 255.255.255.255 10.201.156.254
ip route 80.252.130.248 255.255.255.248 10.201.156.254
!
ip access-list extended natglobal
deny ip 192.168.15.0 0.0.0.255 0.0.0.1 10.255.255.254
deny ip 192.168.15.0 0.0.0.255 80.252.130.248 0.0.0.7
permit ip 192.168.15.0 0.0.0.255 any
ip access-list extended natlocal
permit ip 192.168.15.0 0.0.0.255 80.252.130.248 0.0.0.7
permit ip 192.168.15.0 0.0.0.255 0.0.0.1 10.255.255.254
deny ip any any
!
line con 0
no modem enable
line aux 0
line vty 0 4
privilege level 15
transport input telnet ssh
!
!
end
Автор: Apeir0n
Дата сообщения: 07.09.2015 16:46
Приветствую, коллеги.
Хотел бы получить совет «стратегического» плана.
Есть головное предприятие и ряд филиалов.
Есть основная сеть VPN L2, арендуемая у одного оператора и резервная сеть, арендуемая у другого оператора.
Окончание — Ethernet.
Сейчас организовано динамическое резервирование по доступности на базе SLA.
Что хотелось бы получить — загрузить оба канала, получить резервирование.
Агрегирование каналов, как я понимаю доступно только для каналов точка-точка.
Какую технологию применить? Туннелирование?
Автор: vlary
Дата сообщения: 07.09.2015 18:26
sVIVs
Цитата:
$my_ip_address — вот здесь совсем не понятно — локальный ip cisco -192.168.15.1 или ip внутри сети провайдера ip address 10.201.156.xx или внешний ip cisco?
Ни тот, ни другой, и не третий. Тот, который пров выдает тебе на interface Virtual-PPP1
Если он белый, естественно, а не 10.х.х.х
Apeir0n Да, туннелирование GRE подойдет. Можно дополнительно защитить IPSec.
Автор: sVIVs
Дата сообщения: 09.09.2015 16:40
vlary
Спасибо, уже подсказали.
К сожалению, пока не взлетело(
Автор: slut
Дата сообщения: 09.09.2015 16:44
Apeir0n
Cisco OER/PfR
Автор: Graay4
Дата сообщения: 16.09.2015 11:31
Добрый день. С филиала прихал свич SF300-24 который при загрузке выдавал ошибку
Illegal mac address FF:FF:FF:FF:FF:FF и предлагал ввести правильный МАК. Я ввел мак адрес напечатанный сзади на свиче, но немного ошибся…. + не ввел запрашиваемы после этого серийник свича.
Свич запустился, я на нем обновил прошивку до последней 1.4.1.3 версии. Вроде пока работает.
Возможно ли теперь изменить мак и сериийник свича?
+
SF-300#show version
SW version 1.4.1.3 ( date 29-Mar-2015 time 16:24:16 )
Boot version 1.3.5.06 ( date 21-Jul-2013 time 15:12:10 )
HW version V
Автор: vlary
Дата сообщения: 16.09.2015 16:22
Graay4
Цитата:
Возможно ли теперь изменить мак и сериийник свича?
Попробуй, может, получится: http://www.anticisco.ru/forum/viewtopic.php?t=4644
Автор: Graay4
Дата сообщения: 17.09.2015 11:36
vlary
Не могу попасть в ROMMon на этом sf300… пробывал подключатся путтей и виндовым гипертерминалом + разные комбинации клавиш break; ctrl+break; ctrl+6; ctrl+c; кликнуть мышкой по послать Break; и поменять скорость на порту на 1200 и зажать пробел…
Автор: Graay4
Дата сообщения: 22.09.2015 11:39
Пишут, что нет rommona в smallbusiness. Может есть еще варианты? Как то же он сменился…
Автор: DrSqaer
Дата сообщения: 03.10.2015 16:16
Коллеги приветсвтую,
имеется проблема.
В качестве сервера PPTP Cisco 2951 (C2951-UNIVERSALK9-M, Version 15.2(2)T)
Настройки следующие, выкладываю всё что касаемо PPTP
!
ip dhcp pool pptp-users
network 10.10.10.0 255.255.255.0
default-router 10.10.10.1
dns-server 192.168.0.2
option 249 hex 10ac.100a.0a0a.0110.c0a8.0a0a.0a01
lease 0 1
!
!
vpdn enable
!
vpdn-group STO
! Default PPTP VPDN group
accept-dialin
protocol pptp
virtual-template 1
!
!
interface Loopback0
ip address 10.10.10.1 255.255.255.0
!
!
interface Virtual-Template1
ip unnumbered Loopback0
peer default ip address dhcp-pool pptp-users
ppp encrypt mppe auto
ppp authentication ms-chap-v2
!
В целом всё работает, да и конфиг то в целом стандартный. НО!
Цепляемся Windows 7 клиентом или Ubuntu, пытаемся передать на удалённый хост за Cisco файл, и получаем фриз. Т.е сессия всё ещё активна, но доступа куда-либо нет. А самое интересное не это, а то что включение debug ppp mppe events решает вопрос Карл, сессия стабильна! В логах
Vi4 MPPE: missed 1 key changes, recomputing
Vi4 MPPE: missed 4 key changes, recomputing
Vi4 MPPE: rx key change error — diff = 4094
Убунта пишет когда всё перестаёт работать
pppd[2743]: Protocol-Reject for unsupported protocol 0xa4e8
pppd[2743]: Protocol-Reject for unsupported protocol 0xb038
Может кто сталкивался?
UPD
Пока это «решается» отключением CEF на Virtual интерфейсе. В реальности похоже на баг IOS.
А Debug как подсказали умные люди по видимости отключает CEF чтобы лить всё через проц и анализировать.
Автор: 19851105vadim
Дата сообщения: 22.10.2015 20:22
Всем привет. Если не трудно, подскажите откуда можно взять cat4000.6-1-1.bin ? Уже весь инет облазил. Заранее спасибо!
Автор: vlary
Дата сообщения: 22.10.2015 23:02
DrSqaer Чем вызван выбор именно pptp?
19851105vadim А поднять глаза на шапку темы не судьба? И чуть-чуть подумать.
Автор: cRYSMAS
Дата сообщения: 02.11.2015 15:39
Приветствую!!!
Вопрос кто занимался шифрованием паролей пользователей автоматизируется на циске кроме МД5 можно как то?
хочу сделать так: conft : username xxx privilege 15 secret 9 password
( 0 Specifies an UNENCRYPTED secret will follow
5 Specifies a MD5 HASHED secret will follow
8 Specifies a PBKDF2 HASHED secret will follow
9 Specifies a SCRYPT HASHED secret will follow
)
но ругается на ошибку:
ERROR: The secret you entered is not a valid encrypted secret.
To enter an UNENCRYPTED secret, do not specify type 9 encryption.
When you properly enter an UNENCRYPTED secret, it will be encrypted.
Если я правильно понимаю он ругается что вводится не зашифрованный пароль, вводил MD5 все равно такая же ошибка, есть спец. приблуда которая шифрует пароли в PBKDF2/SCRYPT HASHED secret will follow
???
Автор: vlary
Дата сообщения: 03.11.2015 01:13
Цитата:
есть спец. приблуда которая шифрует пароли в PBKDF2/SCRYPT HASHED…
Есть приблуда. Попробуй эту перловку:
Код: use Crypt::ScryptKDF qw (scrypt_raw);
# …здесь сам напишешь чтение аргументов, вызов функции
sub cisco9 {
if (defined $argsalt && length($argsalt)==14) { $salt = $argsalt; } else { $salt = randstr(14,@i64); }
my $h = scrypt_raw($_[1],$salt,16384,1,1,32);
my $s = base64_wpa($h);
print «u-cisco9:$9$$salt$$s:$u:0:$_[0]::n»;
}
Автор: melboyscout
Дата сообщения: 12.11.2015 18:30
Подскажите пожалуйста, имеется хаб R0 и два споука (R3, R4). между ними поднят ipsec. как заставить увидеть с одного споука второй?
[more=R0]R0:
——-
crypto isakmp policy 1
encr 3des
hash md5
authentication pre-share
group 2
lifetime 3600
!
crypto isakmp key MT_Key3 address 192.168.10.3
crypto isakmp key MT_Key4 address 192.168.10.4
crypto isakmp key MT_Key5 address 192.168.10.5
!
crypto ipsec transform-set myset esp-des esp-md5-hmac
!
crypto map mymap 3 ipsec-isakmp
set peer 192.168.10.3
set transform-set myset
match address 100
!
crypto map mymap 4 ipsec-isakmp
set peer 192.168.10.4
set transform-set myset
match address 104
!
ip domain-name r0.my
!
interface FastEthernet0/0
ip address 192.168.10.1 255.255.255.0
duplex auto
speed auto
crypto map mymap
!
interface FastEthernet0/1
ip address 192.168.0.1 255.255.255.0
duplex auto
speed auto
!
ip classless
ip route 192.168.3.0 255.255.255.0 192.168.10.3
ip route 192.168.4.0 255.255.255.0 192.168.10.4
ip route 192.168.5.0 255.255.255.0 192.168.10.5
!
access-list 100 permit ip 192.168.0.0 0.0.0.255 192.168.3.0 0.0.0.255
access-list 100 permit ip 192.168.4.0 0.0.0.255 192.168.3.0 0.0.0.255
access-list 104 permit ip 192.168.0.0 0.0.0.255 192.168.4.0 0.0.0.255
access-list 104 permit ip 192.168.3.0 0.0.0.255 192.168.4.0 0.0.0.255[/more]
[more=R3]R3
—————————-
crypto isakmp policy 1
encr 3des
hash md5
authentication pre-share
group 2
lifetime 3600
!
crypto isakmp key MT_Key3 address 192.168.10.1
!
crypto ipsec transform-set myset esp-des esp-md5-hmac
!
crypto map mymap 3 ipsec-isakmp
set peer 192.168.10.1
set transform-set myset
match address 100
!
interface FastEthernet0/0
ip address 192.168.10.3 255.255.255.0
duplex auto
speed auto
crypto map mymap
!
interface FastEthernet0/1
ip address 192.168.3.1 255.255.255.0
duplex auto
speed auto
!
ip classless
ip route 0.0.0.0 0.0.0.0 192.168.10.1
!
access-list 100 permit ip 192.168.3.0 0.0.0.255 192.168.0.0 0.0.0.255
access-list 100 permit ip 192.168.3.0 0.0.0.255 192.168.4.0 0.0.0.255[/more]
[more=R4]R4
————————
crypto isakmp policy 1
encr 3des
hash md5
authentication pre-share
group 2
lifetime 3600
!
crypto isakmp key MT_Key4 address 192.168.10.1
!
crypto ipsec transform-set myset esp-des esp-md5-hmac
!
crypto map mymap 4 ipsec-isakmp
set peer 192.168.10.1
set transform-set myset
match address 100
!
interface FastEthernet0/0
ip address 192.168.10.4 255.255.255.0
duplex auto
speed auto
crypto map mymap
!
interface FastEthernet0/1
ip address 192.168.4.1 255.255.255.0
duplex auto
speed auto
!
ip classless
ip route 0.0.0.0 0.0.0.0 192.168.10.1
!
access-list 100 permit ip 192.168.4.0 0.0.0.255 192.168.0.0 0.0.0.255
access-list 100 permit ip 192.168.4.0 0.0.0.255 192.168.3.0 0.0.0.255[/more]
Автор: alespopov
Дата сообщения: 13.11.2015 08:53
melboyscout
Смотреть в сторону DMVPN и EIGRP ?!
Автор: melboyscout
Дата сообщения: 13.11.2015 08:57
alespopov
не, мне не нужно динамическиая маршрутизация. я готов проделать ацкий труд и добалять в акссес листы записи. ведь в дальнейшем можно будет ограничивать доступ с одного филиала на другие
Автор: alespopov
Дата сообщения: 13.11.2015 16:44
К чему все эти «велосипеды» и «сизифов труд», — потом ограничите по ACL на интерфейсах, ну и фильтрацию маршрутов никто не отменял. Или я не понял вопроса про ‘увидеть’ …
Автор: melboyscout
Дата сообщения: 13.11.2015 17:42
У меня зоопарк: циска и кучу микротиков
Автор: melboyscout
Дата сообщения: 13.11.2015 20:28
К циске звездой (по вайфаю) подключены микротики. Нужно организовать айписек шифрование между устройствами. Причем, звезда не чистая. Пускай есть 4 луча, а от каждого такого луча еще подлучи. Так вот, как организовать это шифрование, что бы при отвале одного основноо луча, на подлучах оставалась связь, и шифрованная.
По маршрутизации думаю Оспф. А вот айписек кроме чистого криптомапа подобрать не могу для этого зоопарка. Или что посоветуете?
Автор: vlary
Дата сообщения: 14.11.2015 00:09
melboyscout
Цитата:
Или что посоветуете?
В корне пересмотреть структуру. То, что ты пытаешься сделать,
надо в цирке показывать. Соединять с циской микротики по вайфаю это вообще жесть.
Вайфай — он хорош для конечных пользователей, если полоса и качество связи не критичны.
И потом, зачем это соединение еще и шифровать? Там же свое шифрование есть.
Автор: melboyscout
Дата сообщения: 14.11.2015 06:47
vlary
Требование заказчика.
Да, и забудьте что там вайфай. Достаточно знать, что есть линк
Автор: sidjohn
Дата сообщения: 15.11.2015 10:32
Помогите с конфигом плиз
rACL…собствеено нужно чтобы 10.110.0.016 могли ходить в 192.168.2.0/24, а последнии не могли в 10ю сеть, только до определенных хостов.
Отрабатывает rACL наполовину, т.е. 10я сеть не могжет попасть в 192.168….
в GNS работает, на реальной железке нет…
ip access-list extended VLAN_Access_1stLINE_out
10 permit ip any any reflect refVLAN_Access_1stLINE_in
ip access-list extended VLAN_Access_1stLINE_in
5 evaluate refVLAN_Access_1stLINE_in
10 permit ip 192.168.2.0 0.0.0.255 192.168.2.0 0.0.0.255
20 permit ip 192.168.2.0 0.0.0.255 host 10.110.1.22
30 permit ip 192.168.2.0 0.0.0.255 host 10.110.1.30
40 deny ip 192.168.2.0 0.0.0.255 10.110.0.0 0.0.255.255
50 permit ip any any
Автор: Munche
Дата сообщения: 17.11.2015 03:02
Вечер добрый!
Достались в наследство несколько железок.
Проблема собственно в том, что не работает ip cef — точнее напрочь отсутствует.
Кто знает как победить?
Код:
#conf t
Enter configuration commands, one per line. End with CNTL/Z.
(config)#ip cef
^
% Invalid input detected at ‘^’ marker.
Автор: ipmanyak
Дата сообщения: 17.11.2015 10:21
Munche Полагаю cef нет потому, что WS-C2960S — свичи Layer 2, а ip cef — фича Layer 3
Автор: Munche
Дата сообщения: 17.11.2015 17:16
ipmanyak
Сайт циски утверждает что на данной модели в данной прошивке эта функция есть.
Автор: ipmanyak
Дата сообщения: 18.11.2015 06:46
Munche Не верю. Ответы на ваши команды ip cef и sh ip доказывает обратное!
Покажите ссылку.
Cisco Express Forwarding (CEF) — технология высокоскоростной маршрутизации/коммутации пакетов, использующаяся в маршрутизаторах и коммутаторах третьего уровня фирмы Cisco Systems.
Ваши свичи второго уровня. Что не ясно?
Для понимания http://admindoc.ru/1419/ip-routing-and-forwarding/
Фактически ip cef объединяет в себе информацию L2 и L3 уровней, чтобы быстрее форвардить пакеты, по сути до таблицы маршрутизации пакет не доходит, но ip cef работает с таблицей FIB, которая формируется из таблицы routing table (RIB). На ваших свичах L2 никакой маршрутизации нет, простая коммутация пакетов.
Почему вы заморочились CEF вообще ?
Автор: sever829
Дата сообщения: 18.11.2015 08:04
Всем привет. Никак не могу настроить SPA232D, все делаю по инструкции, но вот никак не получается зарегистрироваться, из за того, что он якобы не может авторизоваться. Digest user есть, его ассоциировал с устройством. В wireshark пишет:
SIP 456 Status: 401 Unauthorized |
Не пойму где он не может авторизоваться, из за этого CUCM его постоянно сбрасывает.
Автор: Munche
Дата сообщения: 18.11.2015 12:24
Цитата:
Ответы на ваши команды ip cef и sh ip доказывает обратное!
Вот ответ на команду
Код: #sh ipv6 ?
access-list Summary of access lists
cef Cisco Express Forwarding for IPv6
dhcp IPv6 DHCP
features IPV6 features
general-prefix IPv6 general prefixes
interface IPv6 interface status and configuration
local IPv6 local options
mld MLD Snooping info on Catalyst Vlans
mtu MTU per destination cache
nd Show IPv6 ND related information
neighbors Show IPv6 neighbor cache entries
policy Policy routing
prefix-list List IPv6 prefix lists
protocols IPv6 Routing Protocols
route Show IPv6 route table entries
routers Show local IPv6 routers
snooping IPv6 snooping show commands
static IPv6 static routes
traffic IPv6 traffic statistics
Страницы: 12345678910111213141516171819202122232425262728293031323334353637383940414243444546474849505152535455565758596061626364656667686970717273747576777879808182838485868788899091929394
Предыдущая тема: Не могу побороть вирус Nimda
Форум Ru-Board.club — поднят 15-09-2016 числа. Цель — сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.
Passwords
Enable password = clear text, enable password is still around because it is backwards compatible. (Some older IOS do not support “enable secret” and some devices running in boot mode also do not support “enable secret”.
Enable secret = uses md5, if both enable password and enable secret are applied; enable secret will override the enable password.
Service Password-encryption = encrypted with Vigenere cipher. (not as strong as md5)
Create a policy for minimum length passwords.
Policy should force users to have a password that is of a certain minimum length and to include numbers within the password.
To set the minimum length of a password we use the password min-length command.
R2(config)#security passwords min-length ?
<0-16> Minimum length of all user/enable passwords
Interesting, if we try to use “5” we get an error.
R2(config)#username rob secret ?
0 Specifies an UNENCRYPTED secret will follow
5 Specifies a HIDDEN secret will follow
LINE The UNENCRYPTED (cleartext) user secret
R2(config)#username rob secret 5 donutt
ERROR: The secret you entered is not a valid encrypted secret.
To enter an UNENCRYPTED secret, do not specify type 5 encryption.
When you properly enter an UNENCRYPTED secret, it will be encrypted.
The problem is the number “5” after secret; I’m not sure 100% why this is, but I can tell you it doesn’t work. We need to enter the command as:
R2(config)#username rob secret donutt
R2(config)# <– Here you see we get no error.
And in the running config we can see that the password is hashed with md5.
username rob secret 5 $1$1e47$cT.zP2o0SsqVuz18CoNG4.
The “5” here is for md5 and not privilege level 5, if this was a privilege level 5 the word privilege would be in front à“privilege 5”.
Example:
R2(config)#username rob privilege 7 secret donutt
Do a show running-config and we get:
username rob privilege 7 secret 5 $1$wfUN$.WuLAc0/GLZbfuuE2H87E0
Next we will look at setting passwords with a privilege exec level with “enable secret level”.
R2(config)#enable secret ?
0 Specifies an UNENCRYPTED password will follow
5 Specifies an ENCRYPTED secret will follow
LINE The UNENCRYPTED (cleartext) ‘enable’ secret
level Set exec level password <–
R2(config)#enable secret level 7 c1sc0kid
enable secret level 7 5 $1$fCmu$ptm3a3Q/pfz8QPP0QgjGD/
Here we can see that we have a privilege level of “7” and hashed with md5.
MD5 = developed in 1991 to replace MD4, hashing algorithm, produces a 128 bit hash value. Defined by RFC 1321. MD5 uses “rainbow tables” that can be used to crack MD5 and reassemble the original data, this is where we can “Salt” our passwords.
http://en.wikipedia.org/wiki/MD5
Salt – salting a password is when you add random bit(s) to a password before encrypting the password. Adds a little more protection to the md5 hash algorithm and betters your chances against a dictionary and brute force attacks.
http://en.wikipedia.org/wiki/Salt_%28cryptography%29
How to change the default setting for failed login attempts.
R2(config)#security authentication ?
failure Authentication failure logging
R2(config)#security authentication failure ?
rate Authentication failure threshold rate
R2(config)#security authentication failure rate ?
<2-1024> Authentication failure threshold rate
R2(config)#security authentication failure rate 4 ?
log log a message if the Authentication failures over the last one minute
equalled this number
R2(config)#security authentication failure rate 4 log
This entry was posted on Thursday, August 9th, 2012 at 1:09 pm and tagged with login, md5, password, salt and posted in Passwords. You can follow any responses to this entry through the RSS 2.0 feed.