ru.cisco

 
 - RU.CISCO ---------------------------------------------------------------------
 From : Edward Phetisoff                     2:5020/400     04 May 2005  21:51:28
 To : Alexandr Oskolkov
 Subject : Re: Вопрос по PIX 7.0
 -------------------------------------------------------------------------------- 
 

 Alexandr Oskolkov пишет:
 
 AO> Hello, All!
 AO> 11 Apr 05 15:02, Alexey Pogulyaev wrote to All:
 
 AP>> Добрый день господа.
 AP>> Вопрос к тем, кто ставил у себя 7.0 .
 AP>> Ваши впечатления ? Hе слишком сырая ?
 AO> ... и полностью ли оно конвеpтит конфиг в новый (не теpяется ли 
 
 конфигуpация).
 
 AO> с условием, что pаботоспособность остается. в конфиге кpиптомапы и 
 
 сообpазные
 
 AO> им команды (помимо всего пpочего). судя по доке - конвеpтит 
 
 автоматом... но
 
 AO> мало ли :) были ли пpециденты pемотного апдейта девайса или 
 
 лучше "pядом с
 
 AO> больным" во вpемя апдейта быть ? :)
 
 Я обновлялся удаленно... консоль в AUX и вперед...
 Hиже мои впечатления, "+"-ы приводить не интересно, на сайте их 
 достаточно, "-"-ы, возможно кому-то помогут...
 
 По поводу upgrade:
 1. на 515-ом с установленным PDM-ом необходимо устанавливать софт из 
 монитора, иначе получаешь примерно следующее сообщение (описано в 
 документации, я его специально решил получить):
 Erasing current image
 Insufficient flash space available for this request:
   Size info: request:5066808 current:1941560 delta:3125248 free:2883584
 
 2. при установке софта, старый конфиг сохраняется в отдельном файле...
 3. флеш переформатируется, для отката необходима обратная операция 
 (даже если софт запущен из памяти)...
 4. в конце установки PIX старый конфиг пропускает через 7.0. В процессе 
 пишет о возникших ошибках (рекомендую их записать куда-нибудь отдельно)
 
 Вот что обнаружилось:
 ......ERROR: Deny rules not supported in Policy Nat
 Config Error -- nat (inside) 20 access-list translated_other dns 0 0
 Policy Nat тут больше не живет :)...
 
 ERROR: This command is no longer needed. The LOCAL user database is 
 always enabled.
  *** Output from config line 350, "aaa-server LOCAL protoco..."
 .ERROR: This command is no longer needed. The 'floodguard' feature is 
 always enabled.
  *** Output from config line 372, "floodguard enable"
 Это просто так, для информации...
 sysopt connection permit-pptp
        ^
 ERROR: % Invalid input detected at '^' marker.
 Это вообще не понятно, т.к. в итоге pptp инспектировался...
 isakmp key 12345678901234 address HOSTNAME netmask 255.255.255.25
 5 no-xauth no-config-mode
         ^
 ERROR: % Invalid input detected at '^' marker.
 *** Output from config line 400, "isakmp key 1234567890123..."
 Вот тут-то был вынесен ключик... IPSec с Preshared key после этого не 
 работал... Проблема решается настройкой tunnel-group вручную
 
 Вынесло почти весь EasyVPN Server...
 
 vpdn group internet accept dialin pptp
   ^
 ERROR: % Invalid input detected at '^' marker.
 *** Output from config line 448, "vpdn group internet acce..."
 Это написано в релиз нотах...
 
 Что выяснялось в процессе эксплуатации:
 1. не поддерживаются Turbo-ACL. Если на 6.3(3) загрузка процессора при 
 где-то тысячи соединений была 5-8%, то на 7.0(1) она превратилась в 36 
 (минимум что видел)-57%
 2. счетчики в ACL, использующихся в Policy NAT, не увеличиваются... Кол-
 во хитов всегда 0!
 3. не поддерживается deny при Policy NAT => существенное изменение 
 логики
 4. выяснилось, что Policy NAT работает некорректно... трафик, который 
 должен был уходить с одного адреса, уходил с адреса, прописаного в 
 статике (команда static). Как такое возможно - даже представить не 
 могу...
 5. мучения с 7.0 закончились большим кол-вом сообщений типа
 May 03 2005 17:09:53  PIX-515 : %PIX-3-201011: Connection limit 
 exceeded 100/100 for inbound packet from 4.3.2.1/21032 to 1.2.3.4/80 on 
 interface outside
 Сайт извне не открывался...
 Если посмотреть вот сюда:
 http://www.cisco.com/univercd/cc/td/doc/product/iaabu/pix/pix_sw/v_70/70
 _syslg/saslmsgs.htm#wp1280389
 То найти 201011 не получится...
 Если почитать конфигурейшн гайд, то из него следует, что никаких 
 лимитов по умолчанию не должно стоять. Что это за сообщение и чем оно 
 вызвано - не ясно, после чего была выполнена команда downgrade (тут 
 надо отдать должное программистам - отработала замечательно)
 -- 
 Отправлено через сервер Форумы@mail.ru - http://talk.mail.ru
 --- ifmail v.2.15dev5.3
  * Origin: Talk.ru (2:5020/400)
 
 

Вернуться к списку тем, сортированных по: возрастание даты  уменьшение даты  тема  автор