Salve a tutti,
mi sto cimentando nella configurazione di un catalyst 3560x per la prima volta.
Dopo il primo step di configurazione con l' express setup quando digito l' indirizzo IP via web e inserisco la password mi compare la schermata che allego senza_http.jpg. Invece se apro in https mettendo IE8 in modalità compatibilità si apre una schermata come con_https.jpg. Se apro in telnet e provo a mandare il comando "show run" non funziona.
Qualcuno sa aiutarmi?
Grazie
Configurazione catalyst 3560x
Moderatore: Federico.Lagni
-
Rizio
- Messianic Network master
- Messaggi: 1158
- Iscritto il: ven 12 ott , 2007 2:48 pm
- Contatta:
Per i problemi con internet explorer non ti posso aiutare perchè non uso quell'interfaccia per accedere agli switch. Credo di base sia solo un problema di versione di java (l'sdm -o chi per lui- usa java) perciò prova ad aggiornarla e vedi cosa succede.
Per quanto riguarda l'accesso via telnet bisogna che tu sia un pò più specifico perchè detta così non vuole dire nulla. Cosa hai fatto esattamente?
La teoria vuole che tu acceda digitando da un prompt del dos:dopodichè ti viene chieso username e passgour (solitamente username:cisco password:cisco) poi entri in modalità enable con il comando,
A quel punto allora il comando show run ti mostra la configurazione, ma non prima.
Rizio
Per quanto riguarda l'accesso via telnet bisogna che tu sia un pò più specifico perchè detta così non vuole dire nulla. Cosa hai fatto esattamente?
La teoria vuole che tu acceda digitando da un prompt del dos:
Codice: Seleziona tutto
telnet $INDIRIZZO_DELLO_SWITCHCodice: Seleziona tutto
enableA quel punto allora il comando show run ti mostra la configurazione, ma non prima.
Rizio
Si vis pacem para bellum
-
squasar
- n00b
- Messaggi: 18
- Iscritto il: lun 11 mar , 2013 6:14 pm
Ciao,
grazie della risposta. Per il telnet avevo impostato un automatismo e non mi ero accorto che non mi prendeva il comando enable quindi ho risolto. Per l' interfaccia web mi sembra strano perchè ho un vecchio 2960 che funziona egregiamente con l' ultima versione di java.
Se posso volevo chiedere una cosa più specifica che riguarda il fatto per cui ho acquistato un 3560x: posso vero limitare la banda sulla porta 80 per uno specifico indirizzo IP su una porta specifica?
grazie della risposta. Per il telnet avevo impostato un automatismo e non mi ero accorto che non mi prendeva il comando enable quindi ho risolto. Per l' interfaccia web mi sembra strano perchè ho un vecchio 2960 che funziona egregiamente con l' ultima versione di java.
Se posso volevo chiedere una cosa più specifica che riguarda il fatto per cui ho acquistato un 3560x: posso vero limitare la banda sulla porta 80 per uno specifico indirizzo IP su una porta specifica?
-
Rizio
- Messianic Network master
- Messaggi: 1158
- Iscritto il: ven 12 ott , 2007 2:48 pm
- Contatta:
?!? Con uno switch?!? Naaaaa....squasar ha scritto:posso vero limitare la banda sulla porta 80 per uno specifico indirizzo IP su una porta specifica?
Battute a parte non che io sappia. Il 3560 è uno switch ed è layer 3, quello che chiedi tu minimo si fà layer 4 (se non layer 7 per le conf più spinte). Puoi però farlo con un proxy tipo squid o altri.
Rizio
Si vis pacem para bellum
-
squasar
- n00b
- Messaggi: 18
- Iscritto il: lun 11 mar , 2013 6:14 pm
Ciao,
ho visto questo post qui https://supportforums.cisco.com/thread/2111295.
Sembra si possa fare in qualche modo ma non capisco come. O almeno a me basterebbe poter limitare la porta 80 per tutti gli IP su quella porta.
ho visto questo post qui https://supportforums.cisco.com/thread/2111295.
Sembra si possa fare in qualche modo ma non capisco come. O almeno a me basterebbe poter limitare la porta 80 per tutti gli IP su quella porta.
-
Rizio
- Messianic Network master
- Messaggi: 1158
- Iscritto il: ven 12 ott , 2007 2:48 pm
- Contatta:
Molto interessante!!!
E' una cosa che non avevo mai cercato perchè i 3560 che ho sono solo switch di periferia e queste pratiche solitamente si fanno sugli switch di core perciò ti ringrazio per l'informazione.
Per quanto riguarda l'applicazione postami uno show run (epurato dalle password e altri dati sensibili) e vediamo come applicarli.
Rizio
E' una cosa che non avevo mai cercato perchè i 3560 che ho sono solo switch di periferia e queste pratiche solitamente si fanno sugli switch di core perciò ti ringrazio per l'informazione.
Per quanto riguarda l'applicazione postami uno show run (epurato dalle password e altri dati sensibili) e vediamo come applicarli.
Rizio
Si vis pacem para bellum
-
squasar
- n00b
- Messaggi: 18
- Iscritto il: lun 11 mar , 2013 6:14 pm
Ciao eccomi di ritorno al mio problema sono stato un po' indaffarato.
Ti ringrazio per l' aiuto.
Dunque ti posto la configurazione che è pulita in quanto il catalyst è nuovo e non ho configurato ancora nessuna porta:
!
version 12.2
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname Switch3560x
!
boot-start-marker
boot-end-marker
!
enable secret 5 $1$/0VX$1lVc0z/7MDzOwLzCQFa9l.
!
!
!
no aaa new-model
clock timezone UTC 1
clock summer-time UTC recurring last Sun Mar 2:00 last Sun Oct 3:00
system mtu routing 1500
!
!
!
!
crypto pki trustpoint TP-self-signed-3320307328
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-3320307328
revocation-check none
rsakeypair TP-self-signed-3320307328
!
!
crypto pki certificate chain TP-self-signed-3320307328
certificate self-signed 01
30820244 308201AD A0030201 02020101 300D0609 2A864886 F70D0101 04050030
31312F30 2D060355 04031326 494F532D 53656C66 2D536967 6E65642D 43657274
69666963 6174652D 33333230 33303733 3238301E 170D3933 30333031 30303031
33305A17 0D323030 31303130 30303030 305A3031 312F302D 06035504 03132649
4F532D53 656C662D 5369676E 65642D43 65727469 66696361 74652D33 33323033
30373332 3830819F 300D0609 2A864886 F70D0101 01050003 818D0030 81890281
8100B726 03DCCFBA D1622B3E 02F1291E 892DD79F F4B0C86F E0E4BC02 BB400A7B
47F2C122 AA6BA31E FD2D277D 10FBD4E1 A4D45B82 D05F1188 854EFD6B 0C250AD5
FCAA7B4F 8C94663C 8B7D1057 742E0120 E5C3CE6E BB83B151 B074FD81 848C2DC5
67A83BB3 0808DBC6 02F993C7 049FABBF 6A356DCC B7874704 F37C8F55 C176C1E5
F3AB0203 010001A3 6C306A30 0F060355 1D130101 FF040530 030101FF 30170603
551D1104 10300E82 0C537769 74636833 35363078 2E301F06 03551D23 04183016
8014AC4E C25A321D 66D3066C 186EF280 EC4B62DC 0560301D 0603551D 0E041604
14AC4EC2 5A321D66 D3066C18 6EF280EC 4B62DC05 60300D06 092A8648 86F70D01
01040500 03818100 B5F2AF4B 81B396DF 3F312443 83CB735E 4666AD64 B5AF0F49
647075BD 092C1949 558E9429 FF564B6F 0AEDF027 F7610424 EECE3D42 07637082
53C9BAFD 57983FF0 F85653E1 0105A82A C060E957 DE481FF0 B800983E 899077E5
45998323 88CE1279 AAA8DF18 959428D2 886C065B 895AB4EA EBD46126 F2ED4850
188709BD F4FE19E0
quit
spanning-tree mode pvst
spanning-tree extend system-id
!
!
!
!
vlan internal allocation policy ascending
!
!
!
interface FastEthernet0
no ip address
!
interface GigabitEthernet0/1
!
interface GigabitEthernet0/2
!
interface GigabitEthernet0/3
!
interface GigabitEthernet0/4
!
interface GigabitEthernet0/5
!
interface GigabitEthernet0/6
!
interface GigabitEthernet0/7
!
interface GigabitEthernet0/8
!
interface GigabitEthernet0/9
!
interface GigabitEthernet0/10
!
interface GigabitEthernet0/11
!
interface GigabitEthernet0/12
!
interface GigabitEthernet0/13
!
interface GigabitEthernet0/14
!
interface GigabitEthernet0/15
!
interface GigabitEthernet0/16
!
interface GigabitEthernet0/17
!
interface GigabitEthernet0/18
!
interface GigabitEthernet0/19
!
interface GigabitEthernet0/20
!
interface GigabitEthernet0/21
!
interface GigabitEthernet0/22
!
interface GigabitEthernet0/23
!
interface GigabitEthernet0/24
!
interface GigabitEthernet0/25
!
interface GigabitEthernet0/26
!
interface GigabitEthernet0/27
!
interface GigabitEthernet0/28
!
interface GigabitEthernet0/29
!
interface GigabitEthernet0/30
!
interface GigabitEthernet0/31
!
interface GigabitEthernet0/32
!
interface GigabitEthernet0/33
!
interface GigabitEthernet0/34
!
interface GigabitEthernet0/35
!
interface GigabitEthernet0/36
!
interface GigabitEthernet0/37
!
interface GigabitEthernet0/38
!
interface GigabitEthernet0/39
!
interface GigabitEthernet0/40
!
interface GigabitEthernet0/41
!
interface GigabitEthernet0/42
!
interface GigabitEthernet0/43
!
interface GigabitEthernet0/44
!
interface GigabitEthernet0/45
!
interface GigabitEthernet0/46
!
interface GigabitEthernet0/47
!
interface GigabitEthernet0/48
!
interface GigabitEthernet1/1
!
interface GigabitEthernet1/2
!
interface GigabitEthernet1/3
!
interface GigabitEthernet1/4
!
interface TenGigabitEthernet1/1
!
interface TenGigabitEthernet1/2
!
interface Vlan1
ip address 192.168.0.1 255.255.255.0
!
ip default-gateway 192.168.0.254
ip classless
ip http server
ip http secure-server
!
!
!
line con 0
line vty 0 4
password xxxxxxxxxx
login
line vty 5 15
password xxxxxxxxxx
login
!
end
Ho letto del comando "match ip protocol" ma mi sembra che non sia possibile utilizzarlo sul 3650x. Guardando i camandi delle ACL mi sembra di capire che si possa negare o permettere porte su IP ma non limitare. Spero di sbagliarmi.
Ti ringrazio per l' aiuto.
Dunque ti posto la configurazione che è pulita in quanto il catalyst è nuovo e non ho configurato ancora nessuna porta:
!
version 12.2
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname Switch3560x
!
boot-start-marker
boot-end-marker
!
enable secret 5 $1$/0VX$1lVc0z/7MDzOwLzCQFa9l.
!
!
!
no aaa new-model
clock timezone UTC 1
clock summer-time UTC recurring last Sun Mar 2:00 last Sun Oct 3:00
system mtu routing 1500
!
!
!
!
crypto pki trustpoint TP-self-signed-3320307328
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-3320307328
revocation-check none
rsakeypair TP-self-signed-3320307328
!
!
crypto pki certificate chain TP-self-signed-3320307328
certificate self-signed 01
30820244 308201AD A0030201 02020101 300D0609 2A864886 F70D0101 04050030
31312F30 2D060355 04031326 494F532D 53656C66 2D536967 6E65642D 43657274
69666963 6174652D 33333230 33303733 3238301E 170D3933 30333031 30303031
33305A17 0D323030 31303130 30303030 305A3031 312F302D 06035504 03132649
4F532D53 656C662D 5369676E 65642D43 65727469 66696361 74652D33 33323033
30373332 3830819F 300D0609 2A864886 F70D0101 01050003 818D0030 81890281
8100B726 03DCCFBA D1622B3E 02F1291E 892DD79F F4B0C86F E0E4BC02 BB400A7B
47F2C122 AA6BA31E FD2D277D 10FBD4E1 A4D45B82 D05F1188 854EFD6B 0C250AD5
FCAA7B4F 8C94663C 8B7D1057 742E0120 E5C3CE6E BB83B151 B074FD81 848C2DC5
67A83BB3 0808DBC6 02F993C7 049FABBF 6A356DCC B7874704 F37C8F55 C176C1E5
F3AB0203 010001A3 6C306A30 0F060355 1D130101 FF040530 030101FF 30170603
551D1104 10300E82 0C537769 74636833 35363078 2E301F06 03551D23 04183016
8014AC4E C25A321D 66D3066C 186EF280 EC4B62DC 0560301D 0603551D 0E041604
14AC4EC2 5A321D66 D3066C18 6EF280EC 4B62DC05 60300D06 092A8648 86F70D01
01040500 03818100 B5F2AF4B 81B396DF 3F312443 83CB735E 4666AD64 B5AF0F49
647075BD 092C1949 558E9429 FF564B6F 0AEDF027 F7610424 EECE3D42 07637082
53C9BAFD 57983FF0 F85653E1 0105A82A C060E957 DE481FF0 B800983E 899077E5
45998323 88CE1279 AAA8DF18 959428D2 886C065B 895AB4EA EBD46126 F2ED4850
188709BD F4FE19E0
quit
spanning-tree mode pvst
spanning-tree extend system-id
!
!
!
!
vlan internal allocation policy ascending
!
!
!
interface FastEthernet0
no ip address
!
interface GigabitEthernet0/1
!
interface GigabitEthernet0/2
!
interface GigabitEthernet0/3
!
interface GigabitEthernet0/4
!
interface GigabitEthernet0/5
!
interface GigabitEthernet0/6
!
interface GigabitEthernet0/7
!
interface GigabitEthernet0/8
!
interface GigabitEthernet0/9
!
interface GigabitEthernet0/10
!
interface GigabitEthernet0/11
!
interface GigabitEthernet0/12
!
interface GigabitEthernet0/13
!
interface GigabitEthernet0/14
!
interface GigabitEthernet0/15
!
interface GigabitEthernet0/16
!
interface GigabitEthernet0/17
!
interface GigabitEthernet0/18
!
interface GigabitEthernet0/19
!
interface GigabitEthernet0/20
!
interface GigabitEthernet0/21
!
interface GigabitEthernet0/22
!
interface GigabitEthernet0/23
!
interface GigabitEthernet0/24
!
interface GigabitEthernet0/25
!
interface GigabitEthernet0/26
!
interface GigabitEthernet0/27
!
interface GigabitEthernet0/28
!
interface GigabitEthernet0/29
!
interface GigabitEthernet0/30
!
interface GigabitEthernet0/31
!
interface GigabitEthernet0/32
!
interface GigabitEthernet0/33
!
interface GigabitEthernet0/34
!
interface GigabitEthernet0/35
!
interface GigabitEthernet0/36
!
interface GigabitEthernet0/37
!
interface GigabitEthernet0/38
!
interface GigabitEthernet0/39
!
interface GigabitEthernet0/40
!
interface GigabitEthernet0/41
!
interface GigabitEthernet0/42
!
interface GigabitEthernet0/43
!
interface GigabitEthernet0/44
!
interface GigabitEthernet0/45
!
interface GigabitEthernet0/46
!
interface GigabitEthernet0/47
!
interface GigabitEthernet0/48
!
interface GigabitEthernet1/1
!
interface GigabitEthernet1/2
!
interface GigabitEthernet1/3
!
interface GigabitEthernet1/4
!
interface TenGigabitEthernet1/1
!
interface TenGigabitEthernet1/2
!
interface Vlan1
ip address 192.168.0.1 255.255.255.0
!
ip default-gateway 192.168.0.254
ip classless
ip http server
ip http secure-server
!
!
!
line con 0
line vty 0 4
password xxxxxxxxxx
login
line vty 5 15
password xxxxxxxxxx
login
!
end
Ho letto del comando "match ip protocol" ma mi sembra che non sia possibile utilizzarlo sul 3650x. Guardando i camandi delle ACL mi sembra di capire che si possa negare o permettere porte su IP ma non limitare. Spero di sbagliarmi.
-
squasar
- n00b
- Messaggi: 18
- Iscritto il: lun 11 mar , 2013 6:14 pm
-
Rizio
- Messianic Network master
- Messaggi: 1158
- Iscritto il: ven 12 ott , 2007 2:48 pm
- Contatta:
Praticamente devi inserire la class map sotto la vlan (è la cosa che dicono all'operatore del post) invece che sotto altre interfacce.
Ma se prosegui a leggere anche lui dice che alla fine non va come vorrebbe lui.
Praticamente modifichi questa conf secondo i tuoi parametri e la inserisci sotto la vlan 1:
Prova poi sappimi dire perchè io rimango un pò scettico.
Rizio
Ma se prosegui a leggere anche lui dice che alla fine non va come vorrebbe lui.
Praticamente modifichi questa conf secondo i tuoi parametri e la inserisci sotto la vlan 1:
Codice: Seleziona tutto
access-list 140 permit tcp any INDIRIZZO_IP_CHE_VUOI_LIMITARE eq 80
!
class-map test
match access-group 140
policy-map test
class test
police 1024000 128000 exceed-action drop
!
int vlan 1
service-policy input testRizio
Si vis pacem para bellum
-
Rizio
- Messianic Network master
- Messaggi: 1158
- Iscritto il: ven 12 ott , 2007 2:48 pm
- Contatta:
Mah, bisognerebbe provare, io purtroppo in questi giorni non riesco, sono incasinato al lavoro (ho aperto il post per risponderti stamattina e sono riuscito ad inviartelo solo pochi minuti fàsquasar ha scritto:Ciao,
ho trovato questo: https://supportforums.cisco.com/thread/198256.
Che possa funzionare?
)Prova poi facci sapere. Se hai dei dubbi posta pure ma io non riesco a provarlo per ora.
Rizio
Si vis pacem para bellum
-
squasar
- n00b
- Messaggi: 18
- Iscritto il: lun 11 mar , 2013 6:14 pm
Ciao a tutti.
Ho una novità riguardo all' interfaccia web che non funzionava. Penso possa servire a più di una persona e mi stupisco che nessuno abbia mail avuto questo problema.
Ho guardato il codice che veniva elaborato dalla pagina ed ho scoperto che il software all’ interno del 3560x tiene conto della lingua del sistema operativo quindi nel caso dell’ Italia va a leggere la sottocartella /IT/. Peccato che questa sottocartella nel sistema dello switch 3560x non esista. Quindi il sistema va a cercare la cartella IT e non funziona. Provando con un sistema operativo in inglese va a leggere la cartella /EN/ che in questo caso esiste e quindi il sistema parte. Basta quindi dire ad un browser come Chrome di impostare la lingua in inglese ed il gioco è fatto.
Ho una novità riguardo all' interfaccia web che non funzionava. Penso possa servire a più di una persona e mi stupisco che nessuno abbia mail avuto questo problema.
Ho guardato il codice che veniva elaborato dalla pagina ed ho scoperto che il software all’ interno del 3560x tiene conto della lingua del sistema operativo quindi nel caso dell’ Italia va a leggere la sottocartella /IT/. Peccato che questa sottocartella nel sistema dello switch 3560x non esista. Quindi il sistema va a cercare la cartella IT e non funziona. Provando con un sistema operativo in inglese va a leggere la cartella /EN/ che in questo caso esiste e quindi il sistema parte. Basta quindi dire ad un browser come Chrome di impostare la lingua in inglese ed il gioco è fatto.
-
Rizio
- Messianic Network master
- Messaggi: 1158
- Iscritto il: ven 12 ott , 2007 2:48 pm
- Contatta:
Bene, grazie della condivisione.
Rizio
Rizio
Si vis pacem para bellum
-
squasar
- n00b
- Messaggi: 18
- Iscritto il: lun 11 mar , 2013 6:14 pm
Ciao a tutti.
Sto provando ad inserire i comandi per limitare il traffico http.
Ho inserito queste righe:
Switch3560x(config)#mls qos
Switch3560x(config)#ip access-list extended http
Switch3560x(config-ext-nacl)#permit tcp any any eq 80
Switch3560x(config-ext-nacl)#policy-map child-policy
Switch3560x(config-pmap)#class http
class map http not configured
Switch3560x(config-pmap)#police cir 256000 conform-action-transmit exceed-action-drop
^
% Invalid input detected at '^' marker.
Non mi prende il comando "police".
Io ho la versione "IP base" e non "IP services".
E' possibile che sia questo il problema?
Sto provando ad inserire i comandi per limitare il traffico http.
Ho inserito queste righe:
Switch3560x(config)#mls qos
Switch3560x(config)#ip access-list extended http
Switch3560x(config-ext-nacl)#permit tcp any any eq 80
Switch3560x(config-ext-nacl)#policy-map child-policy
Switch3560x(config-pmap)#class http
class map http not configured
Switch3560x(config-pmap)#police cir 256000 conform-action-transmit exceed-action-drop
^
% Invalid input detected at '^' marker.
Non mi prende il comando "police".
Io ho la versione "IP base" e non "IP services".
E' possibile che sia questo il problema?
