Comments 26
Если NTP серверов несколько, то хорошим тоном будет вешать на один из них prefer. Иначе, если качество доступа к ним окажется очень хорошим и синхронизация самих серверов будет на высоте, то роутер просто не сможет решить, который из серверов выбрать (случай из практики; 3845 с каким-то 12-м IOS, если не ошибаюсь)
будьте поаккуратнее с использованием DNS-имён для NTP-серверов — это часто тормозит загрузку роутера
Можно просто выкинуть option 42 из DHCP и не поднимать NTP на домашней железке.
В данном сетапе внутренний NTP сервер нужен был для горы железных админок, которые торчат в OOB-сети. Тем не менее, самой Cisco тоже надо откуда-то время брать, даже без раздачи его в локалку.
Я говорил именно про домашнюю сеть. Зачем самой cisco время? Чтобы поднимался vpn и логи удобно было анализировать... в домашней сети? Это так же удивительно как cisco за $500 в домашней сети.
Мне очень Linksys нравился в свое время.
Да - да - да Удивляйтесь у меня и на даче Cisco и вафля тоже
Кто в здравом уме на l3-коммутатор будет вешать белый ip и выставлять наружу? Эти железки не для этого.
Не увидел - где тут привязка dhcp-сервера к LAN?
Добрый день, встречал ещё провайдеров где обязательно и mtu прописать, иначе некоторые ресурсы не открываются.
ничего не понятна!, можно сделать тоже самое на asdm?
Боюсь что нет, насколько мне известно, ASDM только с Cisco ASA умеет работать, а не с IOS/IOS-XE.
ASA лучше подходит для таких сценариев, она сильно проще в настройке и скоро перегонит IOS по фичам. В 9.18 даже появились loopback-интерфейсы для BGP.
Не могу сосчитать количество лет, сколько это говорят ))
И с простотой вопрос дискуссионный, имхо, так как там есть свои наркоманские конструкции в конфиге.
ASA уже мертвый продукт, вряд ли далеко уедут
ACL на аплинковом порту interface GigabitEthernet0/0/0 разве не решит эту проблему?
Вообще, у циски есть целый гайд на этот счет, в котором существенно больше закрываемых дырок конфига из коробки.
пару замечаний
не используйте в вашей сохо 192.168.0 или 192.168.1 просто потому что эта адресация используется в 99% других сохов и если чисто гипотетически когда нибудь придется подключаться к другим сохам через ВПН придется разгребать грабли, которые можно было убрать с самого начала
это заклинание:
snmp-server host 198.51.100.254 version 2c CommunityName
указывает циске куда слать трапы
для ограничения SNMP клиентов используется другое:
snmp-server community BLABLABA RO 123
где RO значит ReadOnly, а 123 - номер ACL с списком клиентов
Насколько же проще такое реализовать на FortiGate. Тоже железка не для SOHO, но сильно проще в настройке.
На FortiGate закрыть цепочку input та ещё задача.
Отдельная feature Local In Policy. Через web-интерфейс доступна только на чтение.
Вот только NTP и DNS там на определённый интерфейс вешаются. Не надо на WAN интерфейс их вешать и тогда и в Local In Policy закрывать не надо.
Проблема разве что с SNMP, но там тоже есть немного не элегантное решение. Доступ к snmp, вебу и ssh открываться в локальных политиках на адреса trusted hosts в админах. Если всем админам дать доступ только с доверенных адресов, то FortiGate не будет отвечать на запросы с других адресов ни на веб интерфейс, ни на ssh, ни на snmp.
Сказ о том, как случайно не сделать роутер Cisco публичным DNS и NTP сервером