Object Groups not IPSec

Restrictions for Object Groups for ACLs

•You can use object groups only in extended named and numbered ACLs.

•Object group-based ACLs support only IPv4 addresses.

•Object group-based ACLs support only Layer 3 interfaces (such as routed interfaces and VLAN interfaces). Object group-based ACLs do not support Layer 2 features such as VLAN ACLs (VACLs) or port ACLs (PACLs).

•Object group-based ACLs are not supported with IPsec.

•The highest number of object group-based ACEs supported in an ACL is 2048. 

http://www.cisco.com/c/en/us/td/docs/ios/sec_data_plane/configuration/guide/15_1/sec_data_plane_15_1_book/sec_object_group_acl.html#wp1132617

Еще о IPSec

В прошлой статье мы с Вами уяснили как устанавливается защищенный IPsec туннель между двумя маршрутизаторами. Но теория это конечно хорошо, сейчас мне бы с Вами хотелось рассмотреть практическую часть: настройка LAN-to-LAN с помощью crypto-map.
И так, перво-наперво необходимо определить политики первой фазы: для ее защиты используем шифрование AES 192 бита, проверка целостности проходит по ф-ии SHA второй версии с выходным хэшем 384 бита, аутентификация между пирами — по локальному ключу, время жизни сессии — сутки, номер группы ДХ — 15.

crypto isakmp policy 10
encr aes 192
hash sha384
authentication pre-share
group 15

Прим.: в версиях 12.4 ф-ия sha version 2 недоступна, равно как и «большие» группы ДХ
Далее задаем секретный ключ для аутентификации пиров друг с другом

crypto isakmp key CISCO address 10.250.250.3

Следующим шагом создаем настройки для второй фазы IPsec: шифрование 3des, проверка целостности по SHA-384

crypto ipsec transform-set SET_3DES-SHA384 esp-3des esp-sha384-hmac

После этого необходимо описать «интересный трафик» — т.е. тот, который необходимо шифровать.

ip access-list extended ACL_L2L
permit ip 172.16.1.0 0.0.0.255 172.16.3.0 0.0.0.255

И поскольку сначала в IOS производится NAT, а только потом IPsec — выводим трафик между двумя сетями их под трансляций

ip access-list extended ACL_NAT
5 deny ip 172.16.1.0 0.0.0.255 172.16.3.0 0.0.0.255

Создаем крипто-карту, в которой описываем созданные параметры

crypto map CRMAP_L2L 10 ipsec-isakmp
set peer 10.250.250.3
set transform-set SET_3DES-SHA384
match address ACL_L2L

Как Вы могли заметить, то IPsec-туннель мы пытаемся построить между Loopback-интерфейсами. Но! Трафик то идет с интерфейсом Serial 1/0, и ip source адреса у пакетов будут соответствующие. Что же делать? Одним из вариантов решения такого казуса является финт ушами:

route-map MAP_L2L-LOOP permit 10
match ip address ACL_L2L
set interface Loopback0
ip local policy route-map MAP_L2L-LOOP
!
interface Loopback0
crypto map CRMAP_L2L

Т.е. весь трафик, который мы хотим зашифровать между офисами заворачиваем на Loopback 0 и на этот интерфейс вешаем crypto-map. На сим и успокоимся
Прим.: вторым вариантом решения проблемы является команда crypto map CRMAP_L2L local-address Loopback 0. В этом случае, crypto-map вешается на физический интерфейс, но ip source для всех пакетов будет изменен. В целом, такой вариант более предпочтителен, чем заворачивание трафика на Loopback, поскольку все пакеты, которые идут на логический интерфейс обрабатываются по process switching

Теперь запускаем пинг между локальными сетями, которые находятся за маршрутизаторами:

R3#ping 172.16.1.1 so Loopback 10
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 172.16.1.1, timeout is 2 seconds:
Packet sent with a source address of 172.16.3.3
.!!!!
Success rate is 80 percent (4/5), round-trip min/avg/max = 144/161/192 ms

Как вы видите — связь между офисами есть, профит! Но! Как можно заметить, первый пакет (а иногда и больше) теряется. Почему? — причиной этого является тот факт, что IPsec туннель строится на сразу после конфигурации, а только по-требованию, т.е. когда есть интересный трафик. Соответственно, если первоначально туннеля нет и тут вдруг появляется трафик для шифрования, то маршрутизаторам между собой первоначально надо обо всем договориться (что и как шифровать) — а на это требуется время, вот пакет и теряется. Давайте посмотрим, что же происходит в этот самый момент времени: (запускаем debug crypto isakmp)

R3#ping 172.16.1.1 so Loopback 10

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 172.16.1.1, timeout is 2 seconds:

Packet sent with a source address of 172.16.3.3

С самого начала маршрутизатор пытается найти уже существующее Security Association (SA). Поскольку она не может быть сейчас найдена, маршрутизатор начинает инициацию ISAKMP-сессии.

ISAKMP:(0): SA request profile is (NULL)

ISAKMP: Created a peer struct for 10.250.250.1, peer port 500

ISAKMP: New peer created peer = 0x6A7DC96C peer_handle = 0×80000008

ISAKMP: Locking peer struct 0x6A7DC96C, refcount 1 for isakmp_initiator

ISAKMP: local port 500, remote port 500

ISAKMP: set new node 0 to QM_IDLE

ISAKMP: Find a dup sa in the avl tree during calling isadb_insert sa = 6A3C9130

По умолчанию для согласования выбирается агрессивный режим IKE, но поскольку мы отключили его, стартует обычный режим (Main mode). Основываясь на ISAKMP-политике, начинается просмотр локально сконфигурированных ключей для удаленного пира. Первый пакет IKE не будет отослан до тех пор, пока такой ключ не найден. Пакет инициализации сессии содержит в себе список локальных ISAKMP-политик

ISAKMP:(0):Can not start Aggressive mode, trying Main mode.

ISAKMP:(0):found peer pre-shared key matching 10.250.250.1

ISAKMP:(0): constructed NAT-T vendor-rfc3947 ID

ISAKMP:(0): constructed NAT-T vendor-07 ID

ISAKMP:(0): constructed NAT-T vendor-03 ID

ISAKMP:(0): constructed NAT-T vendor-02 ID

ISAKMP:(0):Input = IKE_MESG_FROM_IPSEC, IKE_SA_REQ_MM

ISAKMP:(0):Old State = IKE_READY  New State = IKE_I_MM1

ISAKMP:(0): beginning Main Mode exchange

ISAKMP:(0): sending packet to 10.250.250.1 my_port 500 peer_port 500 (I) MM_NO_STATE

ISAKMP:(0):Sending an IKE IPv4 Packet.

ISAKMP (0): received packet from 10.250.250.1 dport 500 sport 500 Global (I) MM_NO_STATE

Только что локальный маршрутизатор получил ответ на сообщение инициализации сессии. В этом сообщении содержится ISAKMP-политика, выбранная удаленной стороной. Помимо этого, содержится дополнительная информация – Vendor ID.

ISAKMP:(0):Input = IKE_MESG_FROM_PEER, IKE_MM_EXCH

ISAKMP:(0):Old State = IKE_I_MM1  New State = IKE_I_MM2

ISAKMP:(0): processing SA payload. message ID = 0

ISAKMP:(0): processing vendor id payload

ISAKMP:(0): vendor ID seems Unity/DPD but major 69 mismatch

ISAKMP (0): vendor ID is NAT-T RFC 3947

ISAKMP:(0):found peer pre-shared key matching 10.250.250.1

ISAKMP:(0): local preshared key found

ISAKMP : Scanning profiles for xauth …

Маршрутизатор пытается проматчить политику, которая была выбрана удаленной стороной по списку локально настроенных политик первой фазы. Если совпадение найдено, система переходит к шагу обмена ключами (Key Exchange).

ISAKMP:(0):Checking ISAKMP transform 1 against priority 10 policy

ISAKMP:      encryption AES-CBC

ISAKMP:      keylength of 192

ISAKMP:      hash SHA384

ISAKMP:      default group 15

ISAKMP:      auth pre-share

ISAKMP:      life type in seconds

ISAKMP:      life duration (VPI) of  0×0 0×1 0×51 0×80

ISAKMP:(0):atts are acceptable. Next payload is 0

ISAKMP:(0):Acceptable atts:actual life: 0

ISAKMP:(0):Acceptable atts:life: 0

ISAKMP:(0):Fill atts in sa vpi_length:4

ISAKMP:(0):Fill atts in sa life_in_seconds:86400

ISAKMP:(0):Returning Actual lifetime: 86400

ISAKMP:(0)::Started lifetime timer: 86400.

ISAKMP:(0): processing vendor id payload

ISAKMP:(0): vendor ID seems Unity/DPD but major 69 mismatch

ISAKMP (0): vendor ID is NAT-T RFC 3947

ISAKMP:(0):Input = IKE_MESG_INTERNAL, IKE_PROCESS_MAIN_MODE

ISAKMP:(0):Old State = IKE_I_MM2  New State = IKE_I_MM2

Далее высылается третье сообщение, которое содержит в себе KE в качестве полезной нагрузки.

ISAKMP:(0): sending packet to 10.250.250.1 my_port 500 peer_port 500 (I) MM_SA_SETUP

ISAKMP:(0):Sending an IKE IPv4 Packet.

ISAKMP:(0):Input = IKE_MESG_INTERNAL, IKE_PROCESS_COMPLETE

ISAKMP:(0):Old State = IKE_I_MM2  New State = IKE_I_MM3

Получен IKE-ответ от удаленного соседа. В данный момент, маршрутизаторы могут сгенерировать сессионный ключ базируясь на ДХ алгоритме и pre-shared ключе.

ISAKMP (0): received packet from 10.250.250.1 dport 500 sport 500 Global (I) MM_SA_SETUP

ISAKMP:(0):Input = IKE_MESG_FROM_PEER, IKE_MM_EXCH

ISAKMP:(0):Old State = IKE_I_MM3  New State = IKE_I_MM4

ISAKMP:(0): processing KE payload. message ID = 0

ISAKMP:(0): processing NONCE payload. message ID = 0

ISAKMP:(0):found peer pre-shared key matching 10.250.250.1

ISAKMP:(1005): processing vendor id payload

ISAKMP:(1005): vendor ID is Unity

ISAKMP:(1005): processing vendor id payload

ISAKMP:(1005): vendor ID is DPD

ISAKMP:(1005): processing vendor id payload

ISAKMP:(1005): speaking to another IOS box!

ISAKMP:received payload type 20

ISAKMP (1005): His hash no match — this node outside NAT

ISAKMP:received payload type 20

ISAKMP (1005): No NAT Found for self or peer

ISAKMP:(1005):Input = IKE_MESG_INTERNAL, IKE_PROCESS_MAIN_MODE

ISAKMP:(1005):Old State = IKE_I_MM4  New State = IKE_I_MM4

Пятое и шестое сообщения вместе составляю IKE ID обмен и аутентификацию пиров Однако, как мной было замечено раньше, эти самые ID не используются для аутентификации в Main, так как сгенерированный сессионный ключ подразумевает под собой двустороннюю аутентификацию. Сообщение ниже содержит в себе локальный ID маршрутизатора.

ISAKMP:(1005):Send initial contact

ISAKMP:(1005):SA is doing pre-shared key authentication using id type ID_IPV4_ADDR

ISAKMP (1005): ID payload

        next-payload : 8

        type         : 1

        address      : 10.250.250.3

        protocol     : 17

        port         : 500

        length       : 12

ISAKMP:(1005):Total payload length: 12

ISAKMP:(1005): sending packet to 10.250.250.1 my_port 500 peer_port 500 (I) MM_KEY_EXCH

ISAKMP:(1005):Sending an IKE IPv4 Packet.

ISAKMP:(1005):Input = IKE_MESG_INTERNAL, IKE_PROCESS_COMPLETE

ISAKMP:(1005):Old State = IKE_I_MM4  New State = IKE_I_MM5

Ответ на последнее сообщение содержит в себе ответный IKE ID. В данном случае от IP-адрес Loopback 0 маршрутизатора R1.

ISAKMP (1005): received packet from 10.250.250.1 dport 500 sport 500 Global (I) MM_KEY_EXCH

ISAKMP: (1005): processing ID payload. Message ID = 0

ISAKMP: (1005): ID payload

        next-payload : 8

        type         : 1

        address      : 10.250.250.1

        protocol     : 17

        port         : 500

        length       : 12

ISAKMPL0):: peer matches *none* of the profiles

ISAKMP: (1005): processing HASH payload. Message ID = 0

ISAKMP:(1005):SA authentication status:

        authenticated

ISAKMP:(1005):SA has been authenticated with 10.250.250.1

ISAKMP: Trying to insert a peer 10.250.250.3/10.250.250.1/500/,  and inserted successfully 6A7DC96C.

ISAKMP:(1005):Input = IKE_MESG_FROM_PEER, IKE_MM_EXCH

ISAKMP:(1005):Old State = IKE_I_MM5  New State = IKE_I_MM6

ISAKMP (1005): received packet from 10.250.250.1 dport 500 sport 500 Global (I) MM_KEY_EXCH

ISAKMP: set new node 31880102 to QM_IDLE

ISAKMP:(1005): processing HASH payload. Message ID = 31880102

ISAKMP:(1005): processing DELETE payload. Message ID = 31880102

ISAKMP:(1005):peer does not do paranoid keepalives.

ISAKMP:(1005):deleting node 31880102 error FALSE reason “Informational (in) state 1”

ISAKMP:(1005):Input = IKE_MESG_INTERNAL, IKE_PROCESS_MAIN_MODE

ISAKMP:(1005):Old State = IKE_I_MM6  New State = IKE_I_MM6

ISAKMP:(1005):Input = IKE_MESG_INTERNAL, IKE_PROCESS_COMPLETE

ISAKMP:(1005):Old State = IKE_I_MM6  New State = IKE_P1_COMPLETE

После завершения первой фазы сразу стартует вторая фаза IPsec в быстром режиме (Quick Mode). Сообщение инициации содержит в себе локальное Proxy ID и политики безопасности локального маршрутизатора (алгоритм шифрования, хэш ф-ия и пр.)

ISAKMP:(1005):beginning Quick Mode exchange, M-ID of 421917716

ISAKMP:(1005):QM Initiator gets spi

ISAKMP:(1005): sending packet to 10.250.250.1 my_port 500 peer_port 500 (I) QM_IDLE

ISAKMP:(1005):Sending an IKE IPv4 Packet.

ISAKMP:(1005):Node 421917716, Input = IKE_MESG_INTERNAL, IKE_INIT_QM

ISAKMP:(1005):Old State = IKE_QM_READY  New State = IKE_QM_I_QM1

ISAKMP:(1005):Input = IKE_MESG_INTERNAL, IKE_PHASE1_COMPLETE

ISAKMP:(1005):Old State = IKE_P1_COMPLETE  New State = IKE_P1_COMPLETE

Следующее сообщение – ответ от соседа. Дебаг показывает  transform-set, который был выбран удаленной стороной и другие SA-параметры.

ISAKMP (1005): received packet from 10.250.250.1 dport 500 sport 500 Global (I) QM_IDLE

ISAKMP:(1005): processing HASH payload. message ID = 421917716

ISAKMP:(1005): processing SA payload. message ID = 421917716

ISAKMP:(1005):Checking IPSec proposal 1

ISAKMP: transform 1, ESP_3DES

ISAKMP:   attributes in transform:

ISAKMP:      encaps is 1 (Tunnel)

ISAKMP:      SA life type in seconds

ISAKMP:      SA life duration (basic) of 3600

ISAKMP:      SA life type in kilobytes

ISAKMP:      SA life duration (VPI) of  0×0 0×46 0×50 0×0

ISAKMP:      authenticator is HMAC-SHA384

ISAKMP:(1005):atts are acceptable.

ISAKMP:(1005): processing NONCE payload. message ID = 421917716

ISAKMP:(1005): processing ID payload. message ID = 421917716

ISAKMP:(1005): processing ID payload. message ID = 421917716

ISAKMP:(1005): Creating IPSec SAs

        inbound SA from 10.250.250.1 to 10.250.250.3 (f/i)  0/ 0

        (proxy 172.16.1.0 to 172.16.3.0)

        has spi 0xB137F9B8 and conn_id 0

        lifetime of 3600 seconds

        lifetime of 4608000 kilobytes

        outbound SA from 10.250.250.3 to 10.250.250.1 (f/i) 0/0

        (proxy 172.16.3.0 to 172.16.1.0)

        has spi  0x6E55B6EF and conn_id 0

        lifetime of 3600 seconds

        lifetime of 4608000 kilobytes

Последний пакет QM завершает согласование IPsec-канала. Сейчас обе стороны процесса могут обмениваться шифрованный трафиком.

ISAKMP:(1005): sending packet to 10.250.250.1 my_port 500 peer_port 500 (I) QM_IDLE

ISAKMP:(1005):Sending an IKE IPv4 Packet.

ISAKMP:(1005):deleting node 421917716 error FALSE reason «No Error»

ISAKMP:(1005):Node 421917716, Input = IKE_MESG_FROM_PEER, IKE_QM_EXCH

ISAKMP:(1005):Old State = IKE_QM_I_QM1  New State = IKE_QM_PHASE2_COMPLETE

Дебаг это дело хорошее, но есть еще и команды типа show
Посмотреть состояние ISAKMP:

R3#show crypto isakmp sa

IPv4 Crypto ISAKMP SA

dst             src             state          conn-id status

10.250.250.1    10.250.250.3    QM_IDLE           1001 ACTIVE

 

Если в графе «state» стоит QM_IDLE, а в «status» ACTIVE — то все хорошо — все политики согласованы и туннель скорее всего установлен.
Чтобы посмотреть информацию об IPsec-трафике (сколько зашифровано, сколько расшифровано, какие политики применяются):

R3#show crypto ipsec sa

interface: Loopback0

    Crypto map tag: CRMAP_L2L, local addr 10.250.250.3

   protected vrf: (none)

   local  ident (addr/mask/prot/port): (172.16.3.0/255.255.255.0/0/0)

   remote ident (addr/mask/prot/port): (172.16.1.0/255.255.255.0/0/0)

   current_peer 10.250.250.1 port 500

     PERMIT, flags={origin_is_acl,}

    #pkts encaps: 8, #pkts encrypt: 8, #pkts digest: 8

    #pkts decaps: 8, #pkts decrypt: 8, #pkts verify: 8

    #pkts compressed: 0, #pkts decompressed: 0

    #pkts not compressed: 0, #pkts compr. failed: 0

    #pkts not decompressed: 0, #pkts decompress failed: 0

    #send errors 2, #recv errors 0

     local crypto endpt.: 10.250.250.3, remote crypto endpt.: 10.250.250.1

     path mtu 1514, ip mtu 1514, ip mtu idb Loopback0

     current outbound spi: 0x4B4B88F6(1263241462)

     PFS (Y/N): N, DH group: none

     inbound esp sas:

      spi: 0x282FD762(674223970)

        transform: esp-3des esp-sha384-hmac ,

        in use settings ={Tunnel, }

        conn id: 1, flow_id: SW:1, sibling_flags 80000046, crypto map: CRMAP_L2L

        sa timing: remaining key lifetime (k/sec): (4491492/3494)

        IV size: 8 bytes

        replay detection support: Y

        Status: ACTIVE

     inbound ah sas:

     inbound pcp sas:

     outbound esp sas:

      spi: 0x4B4B88F6(1263241462)

        transform: esp-3des esp-sha384-hmac ,

        in use settings ={Tunnel, }

        conn id: 2, flow_id: SW:2, sibling_flags 80000046, crypto map: CRMAP_L2L

        sa timing: remaining key lifetime (k/sec): (4491492/3494)

        IV size: 8 bytes

        replay detection support: Y

        Status: ACTIVE

     outbound ah sas:

     outbound pcp sas:

Посмотреть состояние сессии:

R3#show crypto session

Crypto session current status

Interface: Loopback0

Session status: UP-ACTIVE

Peer: 10.250.250.1 port 500

  IKEv1 SA: local 10.250.250.3/500 remote 10.250.250.1/500 Active

  IPSEC FLOW: permit ip 172.16.3.0/255.255.255.0 172.16.1.0/255.255.255.0

        Active SAs: 2, origin: crypto map

 

 

 

http://www.anticisco.ru/blogs/?p=1473

Настройка туннеля IPSec между маршрутизаторами Cisco

Как настроить туннель IPSec между маршрутизаторами Cisco с шифрованием трафика.

В рассматриваемом примере две отдельные локальные сети с приватными адресами (192.168.1.0/24 и 192.168.2.0/24), подключенные к интерфейсам FastEthernet0/0 маршрутизаторов Cisco. Маршрутизаторы могут быть практически любой модели, но операционная система Cisco IOS на них должна поддерживать шифрование (имя файла IOS должно включать символы «k9»). Внешние интерфейсы (FastEthernet0/1) этих маршрутизаторов подключены к глобальной сети с реальными IP-адресами (1.0.0.1/24 и 1.0.0.2/24). Настроим IPSec-туннель между внутренними сетями, чтобы пользователи одной сети могли безопасно обращаться к ресурсам другой, при этом трафик будет шифроваться. Также настроим NAT, чтобы тунеллировался только трафик из одной сети в другую, а остальной трафик (например, в Интернет), шел по другому каналу. Для второго маршрутизатора настройки такие же, меняется только адрес внутренней сети и внешнего интерфейса, соответственно изменяются access-list’ы.

Настройка IPsec на IOS состоит из нескольких шагов:

1. Настраиваем политики первой фазы IPsec – определяем метод шифрования, группу ДХ, метод аутентификации. Делается это в режиме конфигурирования crypto isakmp policy
2. Если на первом шаге для аутентификации были выбраны преднастроенные ключи, то этот ключ необходимо задать командой crypto isakmp key
3. Задаем набор политик для второй фазы IPsec: алгоритм шифрования, метод проверки подлинности трафика (иными словами, хэш-функцию). Делается это командой crypto ipsec transform-set.
4. Создаем расширенные списки доступа для определения того, какой трафик необходимо шифровать, а какой нет.
5. Создаем карту шифрования, которая будет в себе содержать необходимый набор политик второй фазы, идентификатор удаленной стороны и вешаем эту карту на интерфейс. Создать карту шифрования можно командой crypto-map

version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
hostname c2811-1
no aaa new-model
ip cef
crypto isakmp policy 100
 encryption aes           # можно выбирать des, 3des, aes 128, aes 192, aes 256
 hash md5                 # md5 или sha1
 authentication pre-share #pre-share, rsa-sig или rsa-encr
 group 2                  # группа безопасности для шифрования трафика при обмене ключами между маршрутизаторами
crypto isakmp key cisco address 1.0.0.2  # адрес другого маршрутизатора – конца туннеля
crypto ipsec transform-set PEERS esp-aes esp-md5-hmac
crypto map IPSEC 100 ipsec-isakmp
 set peer 1.0.0.2                         # адрес другого маршрутизатора – конца туннеля
 set security-association idle-time 600
 set transform-set PEERS
 set pfs group1                           # использование DH-алгоритма при первоначальном обмене ключами
 match address ACL_IPSEC
interface FastEthernet0/0                 # внешний интерфейс
 encapsulation dot1Q 1 native
 ip address 1.0.0.1 255.255.255.0
 ip nat outside
 ip virtual-reassembly
 no snmp trap link-status
 crypto map IPSEC
interface FastEthernet0/1                 # внутренний интерфейс
 encapsulation dot1Q 2
 ip address 192.168.1.1 255.255.255.0
 ip nat inside
 ip virtual-reassembly
 no snmp trap link-status
ip route 0.0.0.0 0.0.0.0 FastEthernet0/0
ip route 192.168.2.0 255.255.255.0 1.0.0.2
ip http server
no ip http secure-server
ip nat inside source list 101 interface FastEthernet0/0 overload
ip access-list extended ACL_IPSEC          # крипто-ACL
 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255
 permit ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255
 permit ip host 1.0.0.1 host 1.0.0.2
 permit ip host 1.0.0.2 host 1.0.0.1
 deny   ip any any
access-list 101 deny   ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255
# эта строка нужна, чтобы NAT не использовался для внутренних адресов – они связываются через туннель IPSec
access-list 101 permit ip 192.168.1.0 0.0.0.255 any
line con 0
line aux 0
line vty 0 4
 password cisco
 login

Сброс пароля и настроек Cisco Pix 506e

Сегодня ко мне в руки попал данный аппарат. Нужно было вернуть его к заводским настройкам. Порывшись по форумам я не нашёл толковой пошаговой инструкции, поэтому напишу свою.
1. Скачиваем и устанавливаем программу Cisco TFTP Server
2. Подключаемся к консоли с помощью кабеля COM-RJ45 и любого терминального клиента, например, HyperTerminal, входящего в стандартную поставку Windows, или Putty (freeware), или VanDyke SecureCRT (платная). В общем выбор есть.
Используем следующие параметры терминального соединения:
- бит в секунду (бод): 9600
- бит данных: 8
- четность: нет
- стоп-бит: 1
- контроль передачи: Xon/Xoff
3. Подключаем витую пару в один из портов Циски, а другой стороной напрямую в комп или в свитч. И подаём питание к Циске.
4. Ждём пока загрузится и находим строку такого вида:
"Cisco PIX Firewall Version 6.3(3)"
Здесь мы видим версию встроенного ПО
Находим по этой ссылке версию бинарника файла соответствующую нашей и сохраняем его в TFTP Server Root Directory.
5. Перезагружаем Циску (можно просто передёрнуть питание) и во время загрузки нажимаем клавишу “ESC”. дальше процесс идёт таким образом (текст скопирован из Telnet-консоли):

Using 0: i82559 @ PCI(bus:0 dev:13 irq:10), MAC: 0050.54fe.42f9
monitor> address 192.168.100.1 (даём циске адрес из нашей подсети)
address 192.168.100.1
monitor> server 192.168.100.45 (прописываем айпишник вашего компа, где установлен TFTP-сервер)
server 192.168.100.45
monitor> file np63.bin (прописываем имя файла который мы скачали)
file np63.bin
monitor> ping 192.168.100.45 (пингуем наш TFTP-сервер)
Sending 5, 100-byte 0xf8d3 ICMP Echoes to 192.168.100.45, timeout is 4 seconds:
!!!!!
Success rate is 100 percent (5/5)
monitor> tftp (запускаем процесс копирования бинарника)
tftp np63.bin@192.168.100.45...................................
Received 92160 bytes
 
Cisco Secure PIX Firewall password tool (3.0) #0: Tue Aug 22 23:22:19 PDT 2000
Flash=i28F640J5 @ 0x300
BIOS Flash=AT29C257 @ 0xd8000
 
Do you wish to erase the passwords? [yn] y
Passwords have been erased.
 
Rebooting....

6. После перезагрузки ждём пока загрузится ПО

pixfirewall> enable (включаем режим администрирования)
Password: (нажимаем Enter)
pixfirewall# configure terminal
pixfirewall(config)# configure factory-default
Begin to apply factory-default configuration:
Clear all configuration
Excuting command: interface ethernet0 auto
Excuting command: interface ethernet1 100full
Excuting command: ip address outside dhcp setroute

 или
pixfirewall#  write erase
pixfirewall#  reload



http://vokinburt.livejournal.com/199170.html

PIX 506e обновление прошивки до 7.1(2)

У Вас должно быть хотя бы 64 МБ ОЗУ.
Подходят любые планки DIMM, если конечно остался у вас такой раритет.

SETUP: TFTP Server:192.168.5.1 PIX: 192.168.5.2 Consoled into PIX.

CISCO SYSTEMS PIX FIREWALL
Embedded BIOS Version 4.3.207 01/02/02 16:12:22.73
Compiled by morlee
64 MB RAM

PCI Device Table.
Bus Dev Func VendID DevID Class Irq
00 00 00 8086 7192 Host Bridge
00 07 00 8086 7110 ISA Bridge
00 07 01 8086 7111 IDE Controller
00 07 02 8086 7112 Serial Bus 9
00 07 03 8086 7113 PCI Bridge
00 0D 00 8086 1209 Ethernet 11
00 0E 00 8086 1209 Ethernet 10

Cisco Secure PIX Firewall BIOS (4.2) #0: Mon Dec 31 08:34:35 PST 2001
Platform PIX-506E
System Flash=E28F640J3 @ 0xfff00000

Use BREAK or ESC to interrupt flash boot.
Use SPACE to begin flash boot immediately.
Reading 1974784 bytes of image from flash.
##################################################################################
64MB RAM
mcwa i82559 Ethernet at irq 11 MAC: 001a.a2a4.5c33
mcwa i82559 Ethernet at irq 10 MAC: 001a.a2a4.5c32
System Flash=E28F640J3 @ 0xfff00000
BIOS Flash=am29f400b @ 0xd8000

-----------------------------------------------------------------------
     ||        ||
     ||        ||
    ||||      ||||
..:||||||:..:||||||:..
c i s c o S y s t e m s
Private Internet eXchange
-----------------------------------------------------------------------
Cisco PIX Firewall

Cisco PIX Firewall Version 6.3(5)
Licensed Features:
Failover: Disabled
VPN-DES: Enabled
VPN-3DES-AES: Enabled
Maximum Physical Interfaces: 2
Maximum Interfaces: 4
Cut-through Proxy: Enabled
Guards: Enabled
URL-filtering: Enabled
Inside Hosts: Unlimited
Throughput: Unlimited
IKE peers: Unlimited

This PIX has a Restricted (R) license.

Cryptochecksum(unchanged): 6a5b0c6c fd46250c 3dd9bb06 a6df7e62
Type help or '?' for a list of available commands.
pixfirewall> en
Password:
pixfirewall(config)# no dhcpd address 192.168.1.2-192.168.1.254 inside
DHCPD disabled on inside interface because address pool is removed
pixfirewall(config)# no dhcpd enable inside
pixfirewall(config)# ip address inside 192.168.5.2 255.255.255.0
pixfirewall(config)# ping 192.168.5.1
192.168.5.1 response received -- 0ms
192.168.5.1 response received -- 0ms
192.168.5.1 response received -- 0ms
pixfirewall(config)# exit
pixfirewall# wr mem
Building configuration...
Cryptochecksum: 5ca481c6 1487c90e c50ead2b a3088231
[OK]
pixfirewall# clear flashfs
pixfirewall# sh flash
flash file system: version:0 magic:0x0
file 0: origin: 0 length:0
file 1: origin: 0 length:0
file 2: origin: 0 length:0
file 3: origin: 0 length:0
file 4: origin: 0 length:0
file 5: origin: 0 length:0
pixfirewall# reboot
Proceed with reload? [confirm]

Rebooting..ÿ

CISCO SYSTEMS PIX FIREWALL
Embedded BIOS Version 4.3.207 01/02/02 16:12:22.73
Compiled by morlee
64 MB RAM

PCI Device Table.
Bus Dev Func VendID DevID Class Irq
00 00 00 8086 7192 Host Bridge
00 07 00 8086 7110 ISA Bridge
00 07 01 8086 7111 IDE Controller
00 07 02 8086 7112 Serial Bus 9
00 07 03 8086 7113 PCI Bridge
00 0D 00 8086 1209 Ethernet 11
00 0E 00 8086 1209 Ethernet 10

Cisco Secure PIX Firewall BIOS (4.2) #0: Mon Dec 31 08:34:35 PST 2001
Platform PIX-506E
 System Flash=E28F640J3 @ 0xfff00000

Use BREAK or ESC to interrupt flash boot.
Use SPACE to begin flash boot immediately.
[Hit ESC]
Flash boot interrupted.
0: i8255X @ PCI(bus:0 dev:14 irq:10)
1: i8255X @ PCI(bus:0 dev:13 irq:11)

Using 1: i82557 @ PCI(bus:0 dev:13 irq:11), MAC: 001a.a2a4.5c33
Use ? for help.
monitor> address 192.168.5.2
address 192.168.5.2
monitor> server 192.168.5.1
server 192.168.5.1
monitor> file pix712.bin
file pix712.bin
monitor> tftp
tftp pix712.bin@192.168.5.1..........................................................
Received 6764544 bytes

Cisco PIX Security Appliance admin loader (3.0) #0: Tue Mar 14 16:46:07 PST 2006
#############################################################
64MB RAM

Total NICs found: 2
mcwa i82559 Ethernet at irq 11 MAC: 001a.a2a4.5c33
mcwa i82559 Ethernet at irq 10 MAC: 001a.a2a4.5c32
BIOS Flash=am29f400b @ 0xd8000
Old file system detected. Attempting to save data in flash

Initializing flashfs...
flashfs[7]: Checking block 0...block number was (-2131)
flashfs[7]: erasing block 0...done.
flashfs[7]: Checking block 1...block number was (-12656)
flashfs[7]: erasing block 1...done.
flashfs[7]: Checking block 2...block number was (-31472)
flashfs[7]: erasing block 2...done.
flashfs[7]: Checking block 3...block number was (32183)
flashfs[7]: erasing block 3...done.
flashfs[7]: Checking block 4...block number was (27050)
flashfs[7]: erasing block 4...done.
flashfs[7]: Checking block 5...block number was (10385)
flashfs[7]: erasing block 5...done.
flashfs[7]: Checking block 6...block number was (27686)
flashfs[7]: erasing block 6...done.
flashfs[7]: Checking block 7...block number was (1814)
flashfs[7]: erasing block 7...done.
flashfs[7]: Checking block 8...block number was (22750)
flashfs[7]: erasing block 8...done.
flashfs[7]: Checking block 9...block number was (11436)
flashfs[7]: erasing block 9...done.
flashfs[7]: Checking block 10...block number was (10399)
flashfs[7]: erasing block 10...done.
flashfs[7]: Checking block 11...block number was (-4384)
flashfs[7]: erasing block 11...done.
flashfs[7]: Checking block 12...block number was (10801)
flashfs[7]: erasing block 12...done.
flashfs[7]: Checking block 13...block number was (3939)
flashfs[7]: erasing block 13...done.
flashfs[7]: Checking block 14...block number was (29271)
flashfs[7]: erasing block 14...done.
flashfs[7]: Checking block 15...block number was (3)
flashfs[7]: erasing block 15...done.
flashfs[7]: Checking block 16...block number was (-12561)
flashfs[7]: erasing block 16...done.
flashfs[7]: Checking block 17...block number was (-17835)
flashfs[7]: erasing block 17...done.
flashfs[7]: Checking block 18...block number was (25075)
flashfs[7]: erasing block 18...done.
flashfs[7]: Checking block 19...block number was (18017)
flashfs[7]: erasing block 19...done.
flashfs[7]: Checking block 20...block number was (21479)
flashfs[7]: erasing block 20...done.
flashfs[7]: Checking block 21...block number was (-3643)
flashfs[7]: erasing block 21...done.
flashfs[7]: Checking block 22...block number was (-18350)
flashfs[7]: erasing block 22...done.
flashfs[7]: Checking block 23...block number was (25412)
flashfs[7]: erasing block 23...done.
flashfs[7]: Checking block 24...block number was (8285)
flashfs[7]: erasing block 24...done.
flashfs[7]: Checking block 25...block number was (-11600)
flashfs[7]: erasing block 25...done.
flashfs[7]: Checking block 26...block number was (-32046)
flashfs[7]: erasing block 26...done.
flashfs[7]: Checking block 27...block number was (1769)
flashfs[7]: erasing block 27...done.
flashfs[7]: Checking block 28...block number was (-28376)
flashfs[7]: erasing block 28...done.
flashfs[7]: Checking block 29...block number was (-19639)
flashfs[7]: erasing block 29...done.
flashfs[7]: Checking block 30...block number was (-20657)
flashfs[7]: erasing block 30...done.
flashfs[7]: Checking block 31...block number was (3744)
flashfs[7]: erasing block 31...done.
flashfs[7]: Checking block 32...block number was (-11933)
flashfs[7]: erasing block 32...done.
flashfs[7]: Checking block 33...block number was (17275)
flashfs[7]: erasing block 33...done.
flashfs[7]: Checking block 34...block number was (23299)
flashfs[7]: erasing block 34...done.
flashfs[7]: Checking block 35...block number was (-13460)
flashfs[7]: erasing block 35...done.
flashfs[7]: Checking block 36...block number was (10511)
flashfs[7]: erasing block 36...done.
flashfs[7]: Checking block 37...block number was (-10457)
flashfs[7]: erasing block 37...done.
flashfs[7]: Checking block 38...block number was (30155)
flashfs[7]: erasing block 38...done.
flashfs[7]: Checking block 39...block number was (7950)
flashfs[7]: erasing block 39...done.
flashfs[7]: Checking block 40...block number was (-13108)
flashfs[7]: erasing block 40...done.
flashfs[7]: Checking block 41...block number was (-13108)
flashfs[7]: erasing block 41...done.
flashfs[7]: Checking block 42...block number was (-13108)
flashfs[7]: erasing block 42...done.
flashfs[7]: Checking block 43...block number was (-13108)
flashfs[7]: erasing block 43...done.
flashfs[7]: Checking block 44...block number was (-13108)
flashfs[7]: erasing block 44...done.
flashfs[7]: Checking block 45...block number was (-13108)
flashfs[7]: erasing block 45...done.
flashfs[7]: Checking block 46...block number was (-13108)
flashfs[7]: erasing block 46...done.
flashfs[7]: Checking block 47...block number was (-13108)
flashfs[7]: erasing block 47...done.
flashfs[7]: Checking block 48...block number was (-13108)
flashfs[7]: erasing block 48...done.
flashfs[7]: Checking block 49...block number was (-13108)
flashfs[7]: erasing block 49...done.
flashfs[7]: Checking block 50...block number was (-13108)
flashfs[7]: erasing block 50...done.
flashfs[7]: Checking block 51...block number was (-13108)
flashfs[7]: erasing block 51...done.
flashfs[7]: Checking block 52...block number was (-13108)
flashfs[7]: erasing block 52...done.
flashfs[7]: Checking block 53...block number was (-13108)
flashfs[7]: erasing block 53...done.
flashfs[7]: Checking block 54...block number was (-13108)
flashfs[7]: erasing block 54...done.
flashfs[7]: Checking block 55...block number was (-13108)
flashfs[7]: erasing block 55...done.
flashfs[7]: Checking block 56...block number was (-13108)
flashfs[7]: erasing block 56...done.
flashfs[7]: Checking block 57...block number was (-13108)
flashfs[7]: erasing block 57...done.
flashfs[7]: Checking block 58...block number was (-13108)
flashfs[7]: erasing block 58...done.
flashfs[7]: Checking block 59...block number was (-13108)
flashfs[7]: erasing block 59...done.
flashfs[7]: Checking block 60...block number was (-13108)
flashfs[7]: erasing block 60...done.
flashfs[7]: Checking block 61...block number was (0)
flashfs[7]: erasing block 61...done.
flashfs[7]: 0 files, 1 directories
flashfs[7]: 0 orphaned files, 0 orphaned directories
flashfs[7]: Total bytes: 7870464
flashfs[7]: Bytes used: 1024
flashfs[7]: Bytes available: 7869440
flashfs[7]: flashfs fsck took 53 seconds.
flashfs[7]: Initialization complete.

Saving the configuration
!
Saving a copy of old configuration as downgrade.cfg
!
Saved the activation key from the flash image
Saved the default firewall mode (single) to flash
The version of image file in flash is not bootable in the current version of
software.
Use the downgrade command first to boot older version of software.
The file is being saved as image_old.bin anyway.
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

Upgrade process complete
Need to burn loader....
Erasing sector 0...[OK]
Burning sector 0...[OK]

Licensed features for this platform:
Maximum Physical Interfaces : 2
Maximum VLANs : 2
Inside Hosts : Unlimited
Failover : Not supported
VPN-DES : Enabled
VPN-3DES-AES : Enabled
Cut-through Proxy : Enabled
Guards : Enabled
URL Filtering : Enabled
Security Contexts : 0
GTP/GPRS : Disabled
VPN Peers : Unlimited

This platform does not support Failover.

--------------------------------------------------------------------------
      .            .
      |            |
     |||          |||
   .|| ||.     . || ||.
.:||| | |||:..:||| | |||:.
C i s c o S y s t e m s
--------------------------------------------------------------------------

Cisco PIX Security Appliance Software Version 7.1(2)

****************************** Warning *******************************
This product contains cryptographic features and is
subject to United States and local country laws
governing, import, export, transfer, and use.
Delivery of Cisco cryptographic products does not
imply third-party authority to import, export,
distribute, or use encryption. Importers, exporters,
distributors and users are responsible for compliance
with U.S. and local country laws. By using this
product you agree to comply with applicable laws and
regulations. If you are unable to comply with U.S.
and local laws, return the enclosed items immediately.

A summary of U.S. laws governing Cisco cryptographic
products may be found at:
http://www.cisco.com/wwl/export/crypto/tool/stqrg.html

If you require further assistance please contact us by
sending email to export@cisco.com.
******************************* Warning *******************************

Copyright (c) 1996-2006 by Cisco Systems, Inc.

Restricted Rights Legend

Use, duplication, or disclosure by the Government is
subject to restrictions as set forth in subparagraph
(c) of the Commercial Computer Software - Restricted
Rights clause at FAR sec. 52.227-19 and subparagraph
(c) (1) (ii) of the Rights in Technical Data and Computer
Software clause at DFARS sec. 252.227-7013.

Cisco Systems, Inc.
170 West Tasman Drive
San Jose, California 95134-1706

timeout sip-disconnect 0:02:00 sip-invite 0:03:00
^
ERROR: % Invalid input detected at '^' marker.
*** Output from config line 40, "timeout sip-disconnect 0..."
ERROR: This command is no longer needed. The LOCAL user database is always enabled.
*** Output from config line 48, "aaa-server LOCAL protoco..."
ERROR: This command is no longer needed. The 'floodguard' feature is always enabled.
*** Output from config line 55, "floodguard enable"

Cryptochecksum (unchanged): 5ca481c6 1487c90e c50ead2b a3088231
INFO: converting 'fixup protocol dns maximum-length 512' to MPF commands
INFO: converting 'fixup protocol ftp 21' to MPF commands
INFO: converting 'fixup protocol h323_h225 1720' to MPF commands
INFO: converting 'fixup protocol h323_ras 1718-1719' to MPF commands
INFO: converting 'fixup protocol http 80' to MPF commands
INFO: converting 'fixup protocol netbios 137-138' to MPF commands
INFO: converting 'fixup protocol rsh 514' to MPF commands
INFO: converting 'fixup protocol rtsp 554' to MPF commands
INFO: converting 'fixup protocol sip 5060' to MPF commands
INFO: converting 'fixup protocol skinny 2000' to MPF commands
INFO: converting 'fixup protocol smtp 25' to MPF commands
INFO: converting 'fixup protocol sqlnet 1521' to MPF commands
INFO: converting 'fixup protocol sunrpc_udp 111' to MPF commands
INFO: converting 'fixup protocol tftp 69' to MPF commands
INFO: converting 'fixup protocol sip udp 5060' to MPF commands
INFO: converting 'fixup protocol xdmcp 177' to MPF commands
************************************************************************
** **
** *** WARNING *** WARNING *** WARNING *** WARNING *** WARNING *** **
** **
 ** ----> Current image running from RAM only!
en
Password:
pixfirewall# sh ver

Cisco PIX Security Appliance Software Version 7.1(2)

Compiled on Tue 14-Mar-06 17:00 by dalecki
System image file is "Unknown, monitor mode tftp booted image"
Config file at boot was "startup-config"

pixfirewall up 15 secs

Hardware: PIX-506E, 64 MB RAM, CPU Pentium II 300 MHz
Flash E28F640J3 @ 0xfff00000, 8MB
BIOS Flash AM29F400B @ 0xfffd8000, 32KB

0: Ext: Ethernet0 : address is 001a.a2a4.5c32, irq 10
1: Ext: Ethernet1 : address is 001a.a2a4.5c33, irq 11

Licensed features for this platform:
Maximum Physical Interfaces : 2
Maximum VLANs : 2
Inside Hosts : Unlimited
Failover : Not supported
VPN-DES : Enabled
VPN-3DES-AES : Enabled
Cut-through Proxy : Enabled
Guards : Enabled
pixfirewall# sh flash

Directory of flash:/

4 -rw- 1830 16:23:18 Aug 04 2012 downgrade.cfg
7 -rw- 1978424 16:23:34 Aug 04 2012 image_old.bin

7870464 bytes total (5884928 bytes free)
pixfirewall# delete downgrade.cfg

Delete filename [downgrade.cfg]?

Delete flash:/downgrade.cfg? [confirm]

pixfirewall# delete image_old.bin

Delete filename [image_old.bin]?

Delete flash:/image_old.bin? [confirm]

pixfirewall# sh ip
System IP Addresses:
Interface Name IP address Subnet mask Method
Ethernet1 inside 192.168.5.2 255.255.255.0 CONFIG
Current IP Addresses:
Interface Name IP address Subnet mask Method
Ethernet1 inside 192.168.5.2 255.255.255.0 CONFIG
pixfirewall# copy tftp://192.168.5.1/pix712.bin flash

Address or name of remote host [192.168.5.1]?

Source filename [pix712.bin]?

Destination filename [pix712.bin]?

Accessing tftp://192.168.5.1/pix712.bin...!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

Writing file flash:/pix712.bin...
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

6764544 bytes copied in 72.900 secs (93952 bytes/sec)
pixfirewall# sh flash

Directory of flash:/

4 -rw- 6764544 16:29:38 Aug 04 2012 pix712.bin

7870464 bytes total (1101312 bytes free)
pixfirewall# show run | i boot
pixfirewall# config t
pixfirewall(config)# boot system pix712.bin
INFO: Converting pix712.bin to flash:/pix712.bin
pixfirewall(config)# exit
pixfirewall# wr mem
Building configuration...
Cryptochecksum: 1c4473b8 dc713c6f 0b1336b3 b45dea54

1765 bytes copied in 0.430 secs
[OK]
pixfirewall# show run | i boot
boot system flash:/pix712.bin
pixfirewall# reload
Proceed with reload? [confirm]
pixfirewall#

***
*** --- START GRACEFUL SHUTDOWN ---
Shutting down isakmp
Shutting down File system

***
*** --- SHUTDOWN NOW ---

Rebooting....

CISCO SYSTEMS PIX FIREWALL
Embedded BIOS Version 4.3.207 01/02/02 16:12:22.73
Compiled by morlee
64 MB RAM

PCI Device Table.
Bus Dev Func VendID DevID Class Irq
00 00 00 8086 7192 Host Bridge
00 07 00 8086 7110 ISA Bridge
00 07 01 8086 7111 IDE Controller
00 07 02 8086 7112 Serial Bus 9
00 07 03 8086 7113 PCI Bridge
00 0D 00 8086 1209 Ethernet 11
00 0E 00 8086 1209 Ethernet 10

Cisco Secure PIX Firewall BIOS (4.2) #0: Mon Dec 31 08:34:35 PST 2001
Platform PIX-506E
System Flash=E28F640J3 @ 0xfff00000

Use BREAK or ESC to interrupt flash boot.
Use SPACE to begin flash boot immediately.
Reading 123392 bytes of image from flash.

PIX Flash Load Helper

Initializing flashfs...
flashfs[0]: 6 files, 3 directories
flashfs[0]: 0 orphaned files, 0 orphaned directories
flashfs[0]: Total bytes: 7870464
flashfs[0]: Bytes used: 6770176
flashfs[0]: Bytes available: 1100288
flashfs[0]: Initialization complete.

Reading image flash:/pix712.bin
Launching image flash:/pix712.bin
###############################################

64MB RAM

Total NICs found: 2
mcwa i82559 Ethernet at irq 11 MAC: 001a.a2a4.5c33
mcwa i82559 Ethernet at irq 10 MAC: 001a.a2a4.5c32
BIOS Flash=am29f400b @ 0xd8000

Initializing flashfs...
flashfs[7]: 6 files, 3 directories
flashfs[7]: 0 orphaned files, 0 orphaned directories
flashfs[7]: Total bytes: 7870464
flashfs[7]: Bytes used: 6770176
flashfs[7]: Bytes available: 1100288
flashfs[7]: flashfs fsck took 9 seconds.
flashfs[7]: Initialization complete.

Need to burn loader....
Erasing sector 0...[OK]
Burning sector 0...[OK]

Licensed features for this platform:
Maximum Physical Interfaces : 2
Maximum VLANs : 2
Inside Hosts : Unlimited
Failover : Not supported
VPN-DES : Enabled
VPN-3DES-AES : Enabled
Cut-through Proxy : Enabled
Guards : Enabled
URL Filtering : Enabled
Security Contexts : 0
GTP/GPRS : Disabled
VPN Peers : Unlimited

This platform does not support Failover.

--------------------------------------------------------------------------
      .            .
      |            |
     |||          |||
   .|| ||.      .|| ||.
.:||| | |||:..:||| | |||:.
C i s c o S y s t e m s
--------------------------------------------------------------------------

Cisco PIX Security Appliance Software Version 7.1(2)

****************************** Warning *******************************
This product contains cryptographic features and is
subject to United States and local country laws
governing, import, export, transfer, and use.
Delivery of Cisco cryptographic products does not
imply third-party authority to import, export,
distribute, or use encryption. Importers, exporters,
distributors and users are responsible for compliance
with U.S. and local country laws. By using this
product you agree to comply with applicable laws and
regulations. If you are unable to comply with U.S.
and local laws, return the enclosed items immediately.

A summary of U.S. laws governing Cisco cryptographic
products may be found at:
http://www.cisco.com/wwl/export/crypto/tool/stqrg.html

If you require further assistance please contact us by
sending email to export@cisco.com.
******************************* Warning *******************************

Copyright (c) 1996-2006 by Cisco Systems, Inc.

Restricted Rights Legend

Use, duplication, or disclosure by the Government is
subject to restrictions as set forth in subparagraph
(c) of the Commercial Computer Software - Restricted
Rights clause at FAR sec. 52.227-19 and subparagraph
(c) (1) (ii) of the Rights in Technical Data and Computer
Software clause at DFARS sec. 252.227-7013.

Cisco Systems, Inc.
170 West Tasman Drive
San Jose, California 95134-1706

Cryptochecksum (unchanged): 1c4473b8 dc713c6f 0b1336b3 b45dea54
Type help or '?' for a list of available commands.
pixfirewall> sh ver

Cisco PIX Security Appliance Software Version 7.1(2)

Compiled on Tue 14-Mar-06 17:00 by dalecki
System image file is "flash:/pix712.bin"
Config file at boot was "startup-config"

pixfirewall up 7 secs

Hardware: PIX-506E, 64 MB RAM, CPU Pentium II 300 MHz
Flash E28F640J3 @ 0xfff00000, 8MB
BIOS Flash AM29F400B @ 0xfffd8000, 32KB

0: Ext: Ethernet0 : address is 001a.a2a4.5c32, irq 10
1: Ext: Ethernet1 : address is 001a.a2a4.5c33, irq 11

Licensed features for this platform:
Maximum Physical Interfaces : 2
Maximum VLANs : 2
Inside Hosts : Unlimited
Failover : Not supported
VPN-DES : Enabled
VPN-3DES-AES : Enabled
Cut-through Proxy : Enabled
Guards : Enabled
pixfirewall> en
Password:
pixfirewall# sh flash

Directory of flash:/

4 -rw- 6764544 16:29:38 Aug 04 2012 pix712.bin

7870464 bytes total (1100288 bytes free)
pixfirewall#
pixfirewall#

http://www.tunnelsup.com/upgrade-a-cisco-pix-506e-to-run-7-1-pix-code

New-Style TACACS+ Configuration for IOS 15.0

While working with Cisco Catalyst IOS image 12.2(58)SE1, I noticed that configuration for TACACS+ had changed. My first clue that there was a problem was the following:

switch(config)#tacacs-server host 192.168.9.25
This cli will be deprecated soon. Use new server cli 

Ominous.

It seems that part of the reason for the change is so that you can now specify an IPv4 and IPv6 address for each TACACS+ server.
Listed below is the old school TACACS+ configuration I was using.


tacacs-server host 192.168.9.25 
tacacs-server key rycserdOb 
!
aaa group server tacacs+ TAC_PLUS 
    server 192.168.9.25

 
This now becomes:
tacacs server AUTH 
    address ipv4 192.168.9.25 
    key rycserdOb 
! 
aaa group server tacacs+ TAC_PLUS 
    server name AUTH

tacacs server AUTH1
 address ipv4 192.168.9.25
 key rycserdOb
!
tacacs server AUTH2
 address ipv4 192.168.9.100
 key rycserdOb
!
aaa group server tacacs+ TAC_PLUS
 server name AUTH1
 server name AUTH2

Подмена номера

To Change caller ID of a Station’s outbound calls aka  calls over the PSTN issue the following command

change public-unknown-numbering 1

once you issue this command , click on the 2 tab to make a new entry
you should now see the below picture


Ext Len = The amount of digits used for this station internally
Ext Code= Station or Extension ID
Trunk Group = The ISDN  Trunk group you want this caller id to be active on
Cpn Prefix= The caller ID number you want to appear
Cpn Total= the total amount of digits for this caller id



Пример:
Ext           Ext            Trk             CPN                     Total
Len        Code         Grp(s)         Prefix                  CPN Len  
  5            14              10         4951112233               10
  5            15              10         4951112233               12

При звонке с номера 14*** по 10 транку передается АОН   (495)111-22-33
При звонке с номера 15*** по 10 транку передается АОН   (495)111-22-33-15






http://avayareference.wordpress.com/tag/change-public-unknown-numbering/