Сообщения без ответов | Активные темы Текущее время: 28 мар 2024, 14:17



Ответить на тему  [ Сообщений: 37 ]  На страницу Пред.  1, 2
Замена 3750 на 3850 
Автор Сообщение

Зарегистрирован: 13 окт 2014, 09:10
Сообщения: 35
tonve, я не обижаюсь. Ваши коменты верные
Вот я бы и хотел от более опытных коллег услышать то, что надо проверить.
Просто каждый раз перетыкать провода и вечером после работы оставаться нет никакого желания.
Поэтому для себя пока решил следующее:.
1. Проверяю ОСПФ
show ip ospf neig
show ip ospf database
2. Проверяю пинг с прокси сервера до шлюзов Операторов и до внешнего мира
3. С прокси сервера можно трасировку проверить до гугла
4. Вот теперь проверю еще маки на интерфейсах в сторону Операторов

Ну и пока с АСА не могу решить, то ли с длиной ключей проблема, то ли надо на 3850 создать отдельный сертификат и привязать его к АСА
Код:
Ключи на 3750

3750-distr-1#show crypto key mypubkey rsa
% Key pair was generated at: 03:01:22 MSK Mar 1 1993
Key name: TP-self-signed-1838545280
Storage Device: private-config
Usage: General Purpose Key
Key is not exportable.
Key Data:
30819F30 0D06092A 864886F7 0D010101 05000381 8D003081 89028181 00D2E57B
54170BDA 4D67EF62 3EEF3126 22EDC424 7A668B43 47B8E96B 5D50CB1E 1D3F9037
BF13B06D 4152060E 579A80D6 F1C0703D A12D0F54 814913A1 5027BDCA 5FF80DD4
97E0A109 7F6072F7 A6AB7A85 4F678B3A 9030A835 80629831 73E6C432 E0F0AB4E
554A054E 40EB7C29 C56D53BB 737D4145 1F9F82D4 2CE01484 EBCE0B2F 57020301 0001
% Key pair was generated at: 03:23:39 MSK Mar 1 1993
Key name: vtz-3750-distr-1.domen.ru
Storage Device: private-config
Usage: General Purpose Key
Key is not exportable.
Key Data:
305C300D 06092A86 4886F70D 01010105 00034B00 30480241 00B6C1D3 97312033
3D682204 BF4F2496 1D4F976C D314139E B5EF7BDE CABD2837 675BADAC 3C6533E7
4A44855C 94FAE155 D0A90F55 79B1B86F 0F164005 7917FACB 95020301 0001
% Key pair was generated at: 22:05:10 MSK Mar 3 1993
Key name: TP-self-signed-1838545280.server
Temporary key
Usage: Encryption Key
Key is not exportable.
Key Data:
307C300D 06092186 4886F70D 01010105 00036B00 30680261 00AF3AB6 16E79164
FF396D19 215EC739 16E120BC F8EF9010 7D9D9427 C02177CB 92ECA44A AE1D3F5E
2095A3B2 408C5ECC C8B9AC778342CF505 38E7260B 1ED30DA7 0ABC26D2 D154D0DC
821DCB57 CDA48144 C4CA61B8 613B6BFC EA4D6509 CE8B9F66 E3020301 0001



Ключи на АСА

asa5510# show crypto key mypubkey rsa
Key pair was generated at: 11:06:06 MSK Apr 28 2008
Key name: <Default-RSA-Key>
Usage: General Purpose Key
Modulus Size (bits): 512
Key Data:

305c300d 06092a86 4586f70d 01010105 00034b00 30480241 00d1d8bf 1e489261
fc108588 8c915e3e 715290f1 0f7e2605 fa6db09d b5453bb3 246c123f dd264c26
f35d065b 8835727f f1f5e9bf 51d16e2d 9d34e56a 6a8c8c93 f5020301 0001
Key pair was generated at: 10:48:22 MSK Oct 25 2004
Key name: <Default-RSA-Key>.server
Usage: Encryption Key
Modulus Size (bits): 768
Key Data:

307c300d 06092a86 4836f70d 01010105 00036b00 30680261 00d252b8 c5fca54b
8a7e1c1d d54ebf34 324f6d98 156e15b8 2c83c601 ae1f92ed 1b91fa7f c75ccf54
c4c58cb2 dea86c00 5b5db16c 4035a82a 7de9f0d5 15823094 975961c8 c42ed3e4
6841adc9 9b6b5900 546dec0b 6fccd0e0 5aba0af6 43918a0d 6d020301 0001



Ключи на 3850

distrib#show crypto key mypubkey rsa
% Key pair was generated at: 11:09:51 MSK Apr 19 2017
Key name: TP-self-signed-262759517
Key type: RSA KEYS
Storage Device: private-config
Usage: General Purpose Key
Key is not exportable. Redundancy enabled.
Key Data:
30819F30 0D06092A 864886F7 0D010101 05000381 8D003081 89028181 00B56301
0018269E 6A551081 6A02C85F 9F7D9C54 6A7144DC 78112D48 B0823AB7 573B08B2
6ED59EB1 86F4D2BE 2F610E9C AD8E90BA 7F3ED967 DA365E82 B2BB0679 5834B278
88075138 9965F3C8 668C16F0 4C91FD26 2F0BF078 7B5285F1 24E6F504 252C282A
0FAA23FE DEE81883 01E7039F 748CB87D C2E2AADE E8A175D9 24FDA238 8D020301 0001
% Key pair was generated at: 10:25:06 MSK Apr 24 2017
Key name: CISCO_IDEVID_SUDI_LEGACY
Key type: RSA KEYS
Storage Device: not specified
Usage: General Purpose Key
Key is not exportable. Redundancy enabled.
Key Data:
30819F30 0D06092A 864886F7 0D010101 05000381 8D003081 89028181 00A0490F
86DDB415 BE94259A 75E9761D D967902D E59249B6 89C0EDF4 F76A76AF C07C0B6D
2B20D5D8 74695C1F 7435A398 6DBFBF5D 6AD3A5CC 89FC28A3 C71866D3 1C3BD78F
201FD7B5 5C93E275 55541BB8 CE646683 EE6D8780 3B7439B2 36C8F634 FED8EBBA
8340B8CF 7ED99B35 B41C71E1 EB3BF9D9 571FF6E1 B94A0C84 11DD7A85 BF020301 0001
% Key pair was generated at: 10:25:06 MSK Apr 24 2017
Key name: CISCO_IDEVID_SUDI
Key type: RSA KEYS
Storage Device: not specified
Usage: General Purpose Key
Key is not exportable. Redundancy enabled.
Key Data:
30820122 300D0609 2A864886 F70D0101 01050003 82010F00 3082010A 02820101
00C61F65 C48D7038 CF4D9C49 51D8C03A 678943B9 C0B7980F 491566DD 015089D7
D5859D4A 5229DB59 CEA039BF 3DB0D591 65E04330 2795A0FC 145E7B62 C345BC39
F07EB0FE 16471A14 6F28BEE8 13E7DFE6 80B24A65 C2473E7C CFDE63C4 AC55DAC9
B35D8AD2 9808C5C9 211D706F 654B11AD D7FA66AC DC21CFB7 04CA2EFD CDE94875
FDB0E4F0 86660096 B201F094 A03E83C5 B768465A B7712B4F E865BF70 6CD4E645
5B262F73 781B2D5B 51408E27 FF4D5F2B E5D2E473 E0F63611 88C23D8B 90EB73E4
96637BF9 EA3455B7 4A7CBC7C C0685D1B 5AA07498 BFDC2DD2 0E600F9D 65133CE4
F6D519E8 EB68CFFF F42398D8 38F6872C 4A608104 66FB8D49 B99F9696 CE6D397D
35020301 0001
% Key pair was generated at: 15:25:05 MSK Apr 25 2017
Key name: TP-self-signed-262759517.server
Key type: RSA KEYS
Temporary key
Usage: Encryption Key
Key is not exportable. Redundancy enabled.
Key Data:
307G300D 06092A86 4886F70D 01010105 00036B00 30680261 00E84734 AD58FCEC
30645765 EE3B995C EE0959A8 C5863C2D 092F3A22 490FA50C 0D615EAE 1F833DF4
12E401C7 5F857A14 C9A71DE9 75D31287 088D7A73 6E1ECAC5 62C7794B 1B142327
82BF6CE4 E1D25429 6DAA78F6 11285594 5E9F8E02 9182177E E1020301 0001


25 апр 2017, 16:31
Профиль

Зарегистрирован: 13 окт 2014, 09:10
Сообщения: 35
Вчера заменил оборудование!

Интернет работает!

Не работает доступ к ASA по ssh

distrib>ssh asa5510-1
[Connection to asa5510-1 aborted: error status 0]

Ключ на АСА с длиной 1024 сгенераровал заранее.

И на 3850 и на АСА версии ssh - 2

distrib#sh ip ospf neighbor

Neighbor ID Pri State Dead Time Address Interface
95.66.187.109 1 FULL/DR 00:00:33 10.0.1.41 Vlan20

distrib#sh ip ospf database

OSPF Router with ID (192.168.25.230) (Process ID 55)

Router Link States (Area 1)

Link ID ADV Router Age Seq# Checksum Link count
10.33.227.1 10.33.227.1 1047 0x8000123D 0x00F2A1 3
10.55.33.1 10.55.33.1 1352 0x800017A3 0x007191 4
10.60.33.1 10.60.33.1 188 0x800003B6 0x001517 1
95.66.187.109 95.66.187.109 1512 0x800070F5 0x002841 2
172.16.76.18 172.16.76.18 897 0x80000161 0x001A94 8
192.168.25.230 192.168.25.230 1572 0x8000165B 0x00BFC4 1

Net Link States (Area 1)

Link ID ADV Router Age Seq# Checksum
10.0.1.41 95.66.187.109 1512 0x8000001B 0x0047DF
10.0.1.50 10.55.33.1 1616 0x800001CC 0x008252

Type-5 AS External Link States

Link ID ADV Router Age Seq# Checksum Tag
0.0.0.0 95.66.187.109 1760 0x800070B3 0x009E91 55

и еще большой список сетей

Не совсем ясно по дебагу

distrib#debug ip ssh client
SSH Client debugging is on
distrib#
000372: *May 3 11:33:51: %SEC_LOGIN-5-LOGIN_SUCCESS: Login Success [user: admin] [Source: 10.4.9.2] [localport: 23] at 15:33:51 MSK Wed May 3 2017
000373: 19:13:45: SSH CLIENT3: protocol version id is - SSH-2.0-Cisco-1.25
000374: 19:13:45: SSH CLIENT3: protocol version exchange successful
000375: 19:13:46: SSH2 CLIENT 3: Using kex_algo = diffie-hellman-group1-sha1Server's public key below the mandatory size of 768 bits!
000376: *May 3 11:33:52: %SSH-3-RSA_SIGN_FAIL: Signature verification failed, status 8
distrib#
000377: 19:13:46: SSH CLIENT3: key exchange failure (code = 0)
000378: 19:13:46: SSH2 CLIENT 3: Failed to unqueue conn from list CONN 1 TTY 5
000379: 19:13:46: SSH CLIENT3: Session disconnected - error 0x00

Можете подсказать?
Спасибо!


03 май 2017, 15:00
Профиль

Зарегистрирован: 13 фев 2012, 15:46
Сообщения: 266
ssh -v 1 asa5510-1

Похоже, что у Вас на ASA ssh v1


03 май 2017, 15:16
Профиль

Зарегистрирован: 13 окт 2014, 09:10
Сообщения: 35
ssh version 2
эта строка из последнего бэкапа конфига
И до замены оборудования я проверял на АСА
asa5510# sh ssh
Timeout: 30 minutes
Version allowed: 2


03 май 2017, 15:31
Профиль

Зарегистрирован: 26 сен 2013, 10:29
Сообщения: 422
Цитата:
public key below the mandatory size of 768 bits

Не выполняется требование к длине паблик-ключа.
Это связано с обновлением openssh, после одного из обновлений было повышено требование до 768бит, нынешняя (пока эта версия только на bsd/linux) требует 1024.
На ssh-сервере cry key gen rsa, на запрос о длине вводим 1024


03 май 2017, 15:45
Профиль

Зарегистрирован: 13 окт 2014, 09:10
Сообщения: 35
Перед переключением я выполнил на АСА команду
crypto key generate rsa general mod 1024 lable SSH-KEY
И ключ создался


03 май 2017, 15:58
Профиль

Зарегистрирован: 26 сен 2013, 10:29
Сообщения: 422
А на коммутаторе?


03 май 2017, 16:04
Профиль

Зарегистрирован: 13 окт 2014, 09:10
Сообщения: 35
Я так понял они по умолчанию 1024

distrib#show crypto key mypubkey rsa
% Key pair was generated at: 11:09:51 MSK Apr 19 2017
Key name: TP-self-signed-262759517
Key type: RSA KEYS
Storage Device: private-config
Usage: General Purpose Key
Key is not exportable. Redundancy enabled.
Key Data:
30819F30 0D06092A 864886F7 0D010101 05000381 8D003081 89028181 00B56301
0018269E 6A551081 6A02C85F 9F7D9C54 6A7144DC 78112D48 B0823AB7 573B08B2
6ED59EB1 86F4D2BE 2F610E9C AD8E90BA 7F3ED967 DA365E82 B2BB0679 5834B278
88075138 9965F3C8 668C16F0 4C91FD26 2F0BF078 7B5285F1 24E6F504 252C282A
0FAA23FE DEE81883 01E7039F 748CB97D C2E2AADE E8A175D9 24FDA238 8D020301 0001
% Key pair was generated at: 10:25:06 MSK Apr 24 2017
Key name: CISCO_IDEVID_SUDI_LEGACY
Key type: RSA KEYS
Storage Device: not specified
Usage: General Purpose Key
Key is not exportable. Redundancy enabled.
Key Data:
30819F30 0D06092A 864886F7 0D010101 05000381 8D003081 89028181 00A0490F
86DDB415 BE94259A 75E9791D D967902D E59249B6 89C0EDF4 F76A76AF C07C0B6D
2B20D5D8 74695C1F 7435A398 6DBFBF5D 6AD3A5CC 89FC28A3 C71866D3 1C3BD78F
201FD7B5 5C93E275 55541BB8 CE646683 EE6D8780 3B7439B2 36C8F634 FED8EBBA
8340B8CF 7ED99B35 B41C71E1 EB3BF9D9 571FF6E1 B94A0C84 11DD7A85 BF020301 0001
% Key pair was generated at: 10:25:06 MSK Apr 24 2017
Key name: CISCO_IDEVID_SUDI
Key type: RSA KEYS
Storage Device: not specified
Usage: General Purpose Key
Key is not exportable. Redundancy enabled.
Key Data:
30820122 300D0609 2A864886 F70D0101 01050003 82010F00 3082010A 02820101
00C61F65 C48D7038 CF4D9C49 51D8C03A 678943B9 C0B7980F 491566DD 015089D7
D5859D4A 5229DB59 CEA0A9BF 3DB0D591 65E04330 2795A0FC 145E7B62 C345BC39
F07EB0FE 16471A14 6F28BEE8 13E7DFE6 80B24A65 C2473E7C CFDE63C4 AC55DAC9
B35D8AD2 9808C5C9 211D706F 654B11AD D7FA66AC DC21CFB7 04CA2EFD CDE94875
FDB0E4F0 86660096 B201F094 A03E83C5 B768465A B7712B4F E865BF70 6CD4E645
5B262F73 781B2D5B 51408E27 FF4D5F2B E5D2E473 E0F63611 88C23D8B 90EB73E4
96637BF9 EA1455B7 4A7CBC7C C0685D1B 5AA07498 BFDC2DD2 0E600F9D 65133CE4
F6D519E8 EB68CFFF F42398D8 38F6872C 4A608104 66FB8DF9 B99F9696 CE6D397D
35020301 0001
% Key pair was generated at: 15:25:05 MSK Apr 25 2017
Key name: TP-self-signed-262759517.server
Key type: RSA KEYS
Temporary key
Usage: Encryption Key
Key is not exportable. Redundancy enabled.
Key Data:
307C300D 06092A86 4886F70D 01010105 00036B00 30680261 00E84734 AD58FCEC
30645765 EE3B995C EE0959A8 C5863C2D 092F3A22 490FA50C 0D615EAE 1F833DF4
12E401C7 5F857A14 C9A71DE9 75A31287 088D7A73 6E1ECAC5 62C7794B 1B142327
82BF6CE4 E1D25429 6DAA78F6 11285594 5E9F8E02 9182177E E1020301 0001


03 май 2017, 16:21
Профиль

Зарегистрирован: 10 окт 2012, 09:51
Сообщения: 2679
pogreb писал(а):
Я так понял они по умолчанию 1024
как поняли?
А вообще со свича разрешен доступ по ssh? С компьютера своего подключаетесь по ssh к ASA?


04 май 2017, 06:19
Профиль

Зарегистрирован: 13 окт 2014, 09:10
Сообщения: 35
На АСА прописаны сети с которых должен быть доступ
10.3.0.0 255.255.255.0 inside
10.3.0.4 255.255.255.255 inside
10.43.79.0 255.255.255.0 inside (я в этой сети)
10.0.0.0 255.255.255.0 management (в этой сети все железки)

Я со своего ПК не пингую и по ссш зайти не могу

Про длину ключа на 3850 где то в выводе команды видел, хотя уже не уверен.
Предлагаете на 3850 выполнить команду
crypto key generate rsa general mod 1024 lable SSH-KEY


04 май 2017, 08:51
Профиль

Зарегистрирован: 10 окт 2012, 09:51
Сообщения: 2679
на 3850 один айпи задан?
pogreb писал(а):
Предлагаете на 3850 выполнить команду
это по желанию.


04 май 2017, 09:29
Профиль

Зарегистрирован: 13 окт 2014, 09:10
Сообщения: 35
crash писал(а):
на 3850 один айпи задан?
pogreb писал(а):
Предлагаете на 3850 выполнить команду
это по желанию.

ip host asa5510-1 10.0.0.187
ip host asa5510-2 10.0.0.187
АСА у меня в стэке
Поможет ли сертификат с ключем 2048?


04 май 2017, 11:46
Профиль
Показать сообщения за:  Поле сортировки  
Ответить на тему   [ Сообщений: 37 ]  На страницу Пред.  1, 2

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 55


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Designed by ST Software for PTF.
Русская поддержка phpBB