По обновленным данным, крайне необходимо обратить внимание на следующие параметры Вашего оборудования Cisco (в случае его использования):
Повышенное внимание следует уделить устройствам, требующим лицензирования и/или подписки, в том числе:
1. Все решения безопасности (Cisco ISE, Cisco ASA)
2. Устройства телефонии и унифицированные коммуникации (UC)
3. Все решения Software-defined

Если в Вашей локальной сети установлено оборудование CISCO из этого перечня, то в качестве меры противодействия, для предотвращения возможных перебоев в работе оборудования Роскомнадзор рекомендует на выходе Вашей инфраструктуры в сеть Интернет поставить жесткий access-list с запретом трафика на адрес tools.cisco.com. В этом случае будет отложенный период от 30 до 90 дней, когда функционал оборудования сохранится.

Убедитесь, что ваши интерфейсы управления Cisco настроены правильно.

Инструкция по безопасной настройке Cisco.

Инструкция. Проверка наличия smartinstall.

1. Заходим на оборудование, вводим команду — «show vstack config«:

#show vstack config
Role: Client (SmartInstall disabled);

Вывод говорит, что компонент выключен, никаких действия не требуется.

2. Заходим на оборудование, вводим команду — «show vstack config«:

#show vstack config
Role: Not Director (SmartInstall enabled) <- компонент включен
Vstack Director IP address: 0.0.0.0
*** Following configurations will be effective only on director ***
Vstack default management vlan: 1
Vstack start-up management vlan: 1
Vstack management Vlans: none

Join Window Details:
Window: Open (default)
Operation Mode: auto (default)
Vstack Backup Details:
Mode: On (default)
Repository:

Компонент включен, для его отключения:

2.1 Заходим в конфигурацию «conf t«:

2.2 Вводим команду «no vstack»

2.3 Проверяем «show vstack config»

3. Если коммутатор не применяет команду «no vstack» требуется на vlan управления применить ACL

3.1. создаем ACL

Заходим в конфигурацию «:»

ip access-list extended SMI_HARDENING_LIST
deny tcp any any eq 4786
permit ip any any
exit

3.2 применяем на vlan управления:

int vlan 11 – номер vlan управления
ip access-group SMI_HARDENING_LIST in
exit

Проверка лицензий.
4. Выполнить команду (если такой команды нет, то переходим к п.5)

#show license status
Smart Licensing is ENABLED <- если DISABLED то никаких действия не требуется
Registration:
Status: REGISTERED
Smart Account: XXXXX
Virtual Account: DEFAULT
Export-Controlled Functionality: NOT ALLOWED
Initial Registration: SUCCEEDED on Nov 13 09:12:34 NNNN MSK
Last Renewal Attempt: SUCCEEDED on Nov 02 09:15:07 NNNN MSK
Next Renewal Attempt: May 01 09:15:05 NNNN MSK
Registration Expires: Nov 02 09:10:04 NNNN MSK

License Authorization:
Status: OUT OF COMPLIANCE on Nov 13 09:12:45 NNNN MSK
Last Communication Attempt: PENDING on Mar 04 15:58:19 2022 MSK
Failure reason: Waiting for reply
Next Communication Attempt: Mar 04 16:14:04 2022 MSK

Communication Deadline: May 06 01:36:48 2022 MSK

5. Выполнить команду (если такой команды нет, никаких действия не требуется)

#show call-home
Current call home settings:
call home feature : enable              <- включен call-home
call home message's from address: Not yet set up
call home message's reply-to address: Not yet set up
vrf for call-home messages: Not yet set up
contact person's email address: NNNN
contact person's phone number: Not yet set up
street address: Not yet set up
customer ID: Not yet set up
contract ID: Not yet set up
site ID: Not yet set up

source ip address: Not yet set up
source interface: Not yet set up
Mail-server: XXXXXXXXXXXXXXXXXXX
http proxy: XXXXXXXXXXXXXXXXXX
http secure:
server identity check: enabled
http resolve-hostname: default
Smart licensing messages: enabled

Profile: CiscoTAC-1 (status: ACTIVE)

6. Проверить конфигурацию call-home (имя профиля, email даны для примера)

#show run | beg ^call-home
call-home
contact-email-addr cisco_support@rt.ru
profile "CiscoTAC-1"
active
destination transport-method http
no destination transport-method email

7. При необходимости — заблокировать, например так

conf t
call-home
http-proxy "127.0.0.10" port 8128
profile "CiscoTAC-1"
destination transport-method http
no destination transport-method email
end

wr mem

Добавить комментарий

Ваш адрес email не будет опубликован.

Этот сайт использует Akismet для борьбы со спамом. Узнайте, как обрабатываются ваши данные комментариев.