- Начнем с настройки проверки пользовательских сертификатов
- 1000base-bx10-d and 1000base-bx10-u sfp for single-fiber bidirectional applications
- Anticisco blogs » blog archive » anyconnect с аутентификацией по сертификатам ldap
- Cisco transceiver modules – cisco sfp modules for gigabit ethernet applications data sheet
- Cisco коммутатор cisco c9200-24t-re купить | официальный сайт
- Configurations
- Кабели и разъемы
- Коммутатор cisco catalyst 9200l-24t-4x
- Поддержка платформы
- Технический паспорт и заказ продукции
Начнем с настройки проверки пользовательских сертификатов
Чтобы ASA могла посчитать сертификат валидным, ей самой нужен валидный сертификат. Можно настроить ASA чтобы она сама могла запросить сертификат у CA через NDES, но у меня, по какой-то причине, так и не взлетело. Поэтому есть способ, что называется, «в лоб» — запросить сертификат вручную через web-интерфейс CA.Перед запросом сертификата ASA необходимо прописать FQDN и домен:
раздел, в котором это делается, видно в самом верху скриншота, далее будет так же
Подойдет сертификат Web-сервера, шаблон которого уже имеется в CA, но с небольшим изменением — нужно включить возможность экспортировать закрытый ключ. Я клонировал шаблон запроса сертификата и изменил параметры в нём (в дефолтном нет возможности что-то изменить):https://www.youtube.com/watch?v=cdn.ly.comwidgetsmedia.html
Далее идем в веб-интерфейс CA и запрашиваем сертификат для ASA, не забыв отметить ключ как экспортируемый:
После запроса сертификата, устанавливаем его себе на ПК.
Установленный сертификат необходимо экспортировать с закрытым ключом в файл. Для этого заходим в оснастку управления сертификатами certmgr.msc в раздел с личными сертификатами:
Включите все сертификаты цепочки в экспортируемый файл, таким образом, мы включим в него корневой сертификат CA:
В следующем шаге придумываем пароль на сертификат и сохраняем файл.
Теперь нужно этот самый сертификат импортировать на ASA:
И если вы сделали все правильно, то сертификат успешно установится после нажатия «Add Certificate». При этом у вас появиться и Identity и CA Certificate.
На этом этапе ASA уже может авторизовывать пользователей с валидными сертификатами, которые выданы этим же CA, но пока не будет проверять отозван сертификат или нет — это нужно исправить. Иначе как-то не безопасно.
Выбираем корневой сертификат в разделе CA Certificates и редактируем:
1000base-bx10-d and 1000base-bx10-u sfp for single-fiber bidirectional applications
Модули SFP 1000BASE-BX-D и 1000BASE-BX-U, совместимые со стандартами IEEE 802.
3ah 1000BASE-BX10-D и 1000BASE-BX10-U, работают на одномканале стандартного SMF.
Устройство 1000BASE-BX10-D всегда подключается к устройству 1000BASE-BX10-U с помощью одной нити стандартного SMF с рабочей дальностью передачи до 10 км.
Обмен данными по одной нити волокна достигается разделением длин волн передачи двух устройств (как показано на рисунке): 1000BASE-BX10-D передает канал длиной 1490 нм и принимает сигнал длиной 1310 нм, тогда как 1000BASE-BX10-U передает на длине волны 1310 нм и принимает сигнал на длине волны 1490 нм.
Как показано на рисунке, нужно наличие сплиттера с мультиплексированием разделением по длине волны (WDM-Wavelength-DivisionMultiplexing), встроенного в SFP трансивер, для разделения световых путей длиной 1310 нм и 1490 нм.
Рисунок 4.
Двунаправленная передача одной нити SMF
Трансиверы SFP GLC-BX-D и GLC-BX-U также поддерживают функции цифрового оптического мониторинга (DOM-Digital Optical Monitoring) в соответствии с отраслевым стандартом SFF-8472 Multisource Agreement (MSA).
Эта функция дает пользователю возможность отслеживать параметры SFP в реальном времени, такие как выходная оптическая мощность, входная оптическая мощность, температура, ток смещения лазера и напряжение питания приемопередатчика.
GLC-BX-D-I и GLC-BX-U-I являются аналогами GLC-BX-D и GLC-BX-U, рассчитанными на промышленную температуру (IND).
Anticisco blogs » blog archive » anyconnect с аутентификацией по сертификатам ldap
Задача — дать людям доступ во внутреннюю сеть конторы через Cisco Anyconnect. Для пущей безопасности добавим требование аутентификации людей учетке в Active directory и наличию сертификата. Также попытаемся сразу решить вопрос использования Anyconnect под разными ОС.
Задачу можно разделить на несколько пунктов:
- Настройка CA и выпуск сертификатов
- Настройка Active directory
- Настройка ASA
В такой же последовательности опишу решение.
I. Certificate Authority.
Мы тут всё-таки на my-sertif.ru, а не на linux.org.ru, поэтому вопрос развёртывания CA позволю себе опустить 
Остановлюсь только на деталях.
В качестве CA используется решение на openssl, после установки и настройки рекомендуется сделать под свои нужды несколько скриптов — для выпуска сертификатов и для генерации из них контейнера типа .p12.
Что следует учесть при выпуске сертификата? Для Cisco VPN Client под MacOS было актуально, чтобы DNS Name, на которое выпущен сертификат, совпадало с именем ASA, к которой вы подключаетесь. Для Anyconnect эта практика полезна (человеку будет проще разобраться в куче сертификатов, лежащих в хранилище), но не необходима. Полезным будет также детально заполнить поля Subject, нам потом по ним сопоставлять пользователя с его профилем VPN. Я выпускаю цепочку сертификатов, делаю из них .p12. Для импорта этого контейнера на ASA следует сделать из .p12 выжимку в 64-битном формате, примерно так:
openssl base64 -in /usr/local/etc/certificates/Project01.p12 -out /root/tmp.dmp
Содержимое tmp.dmp нам понадобится единожды. В дальнейшем все клиенты будут пользоваться .p12, но есть тонкий момент — клиенты под linux, им нужен не контейнер, а пара ключей. Теоретически каждый линуксоид может сам поставить себе openssl и раздербанить контейнер на составляющие двумя командами:
openssl pkcs12 -in Project01.p12 -nocerts -out Project01.key
openssl pkcs12 -in Project01.p12 -clcerts -nokeys -out Project01.pem
Результат сохраняется в каталоги /way/to/.cisco/certificates/client/private и /way/to/.cisco/certificates/client соответственно.
Под всеми остальными системами вы просто два раза дважды щёлкаете на Project01.p12 и устанавливаете его в хранилище.
Пусть результатом наших усилий будет установленный сертификат Project01.p12 с нижеприведёнными данными. Если есть нужда разводить разные группы VPN, различать сертификаты легко, варьируя значения CN и OU.
Subject Alternative Name: DNS Name = ciscoasa.test.ru
Subject: E = admin@test.ru
CN = Project01.test.ru
OU = Project01
O = Test
L = City
S = Region
C = RU
II. Active Directory.
Поднятие и общую настройку AD я тоже опущу (technet.microsoft.com в помощь 
), остановлюсь только на нужных для решения задачи деталях, их мало.
ASA должна иметь учетную запись, чтобы спрашивать всякие вещи у AD. Заведите какой-нибудь бесправный ldapauth, пароль будет лежать на asa в полуприкрытом виде.
Заведите группу, членство в которой будет разрешать человеку подключаться к VPN, пусть будет VPN_Project01.
III. Cisco ASA.
Вот мы и подошли к самому главному. Дальнейшее верно для версий 8.4(4)1 и 9.1(4).
Для начала введём общие настройки. Включим сам Anyconnect, выберем приемлемые для нас техники шифрования, укажем (у меня самоподписанный) сертификат, которым представляется ASA клиенту, перевесим ASDM с 443 порта на 8443, повесим Anyconnect на 443.
http server enable 8443
ssl encryption aes256-sha1 aes128-sha1 3des-sha1
ssl trust-point Trustpoint_Self external
ssl certificate-authentication interface external port 443
webvpn
enable external // я включаю Anyconnect только для подключений снаружи, external — имя внешнего интерфейса
no anyconnect-essentials
anyconnect enable
tunnel-group-list enable // разрешим клиенту смотреть список возможных профилей подключений
tunnel-group-map enable rules // включим возможность поиска профиля по сертификату
Какой путь проходит клиент при попытке подключения? Сначала клиент показывает установленные сертификаты. Если какой-то из показанных подходит (импортирован на ASA в нашем случае), железка ищет соответствие между ним и профилем подключения. Соответствие задаётся через certificate map, профиль подключения называется tunnel-group. Если требуемое находится, из профиля берётся информация, у какого сервера, как и что спрашивать (authentication-server-group, в нашем случае — логин-пароль в AD). Если аутентификация проходит успешно, то человека пускают в профиль и навешивают на него групповую политику, политика берётся исходя из членства в группе в AD. Если в какой-то момент наша логика даёт сбой, т.е. клиент везде аутентифицировался, но конкретную политику на него применить не выходит (map’ы криво настроили), клиент получает политику по умолчанию (default-group-policy). Я предпочитаю политику по умолчанию делать в духе deny ip any any.
Импортируем .p12 на ASA, используя ранее сделанный tmp.dmp.
crypto ca import TrustPoint_Project01 pkcs12 PASSWORD
JNVDdP8Eku lKGZcCdhynzLY A1P9mD2plXwTcU/V9h0rXLvuucnzohJo Ej7Fv1
…
2 PRpnH6K5Qb DvVuJqjaXV9ibw8sZcJiv7oE29X6tqy3zIn3RtPF0H392Vk68dY
quit
В перспективе будет возможно, что одна железка будет содержать разные группы VPN, а один человек сможет иметь членства в более, чем одной группе AD. Чтобы сразу пресечь возможные проблемы, будем создавать по «опросной группе» на ASA для каждой потенциальной группы VPN. Под опросной группой я подразумеваю настройки сервера aaa и соответствия ldap к политикам.
map-value — устанавливаем соответствие группы AD (VPN_Project01) к групповой политике, применяемой к подключению (GP_Project01).
ldap-login-dn и иже с ним — детали по учетке ldapauth, созданной для того, чтобы ASA могла ходить на AD. Пароль, скрытый за звёздочками, можно себе напомнить через more system:running-config.
ldap attribute-map LDAPMap-Project01
map-name memberOf IETF-Radius-Class
map-value memberOf CN=VPN_Project01,CN=Users,DC=test,DC=ru GP_Project01 // та самая группа в AD и политика, ей соответствующая
aaa-server ldap_Project01 protocol ldap
aaa-server ldap_Project01 (local) host 192.168.0.10 // для отказоустойчивости можно добавить ещё один сервер ldap с аналогичными настройками
server-port 636 // ldaps лучше, чем ldap
ldap-base-dn OU=Managed Objects,DC=test,DC=ru // где искать учетку пользователя
ldap-scope subtree
ldap-login-password *****
ldap-login-dn ldapauth // здесь и выше — ранее упомянутая учетка ldapauth
ldap-over-ssl enable
server-type microsoft
ldap-attribute-map LDAPMap-Project01
Создадим политику по умолчанию.
group-policy GP_NO_Access internal
group-policy GP_NO_Access attributes
banner value NO ACCESS
wins-server none
dns-server none
vpn-simultaneous-logins 0
vpn-tunnel-protocol ssl-client
default-domain value test.ru
Создаём профиль подключения, к нему будут применяться групповые политики.
tunnel-group TG_Project01 type remote-access
tunnel-group TG_Project01 general-attributes
authentication-server-group ldap_Project01
default-group-policy GP_NO_Access
authorization-required
tunnel-group TG_Project01 webvpn-attributes
authentication aaa certificate
group-alias Project01_VPN enable
Зададим соответствие между сертификатом и профилем подключения (если показан сертификат для Project01, то идём в тоннельную группу для Project01). Условие — операции сравнения свойств сертификата, я сравниваю поля из Subject name. В данном случае смотрю, содержит ли CN слово project01. Можно использовать eq (равно) заместо co (содержит) и над другими полями. Map создан сразу в двух местах, чтобы наша конфигурация работала и в новых версиях аса, и в старых.
crypto ca certificate map CM_Project01 10
subject-name attr cn co project01
tunnel-group-map CM_Project01 10 TG_Project01
webvpn
certificate-group-map CM_Project01 10 TG_Project01
Для создания рабочей групповой политики нужно заранее создать некоторые детали.
Создадим блок адресов, которые ASA будет раздавать подключившимся (DHCP), отдельно создадим группу с этой подсетью, настроим правила фильтрации и список маршрутов, которые будут выдаваться клиентам (т.н. Split-tunneling). В данном примере подключившийся клиент сможет ходить в сеть проекта по ssh и в сеть с корпоративными серверами (по портам, ограниченным группой SG_2Servers). Возможно, что придётся настроить nat (не транслировать трафик из VPN).
ip local pool Project01_pool 172.31.205.10-172.31.205.30 mask 255.255.255.0
object-group network Project01_RAS
network-object 172.31.205.0 255.255.255.0
// список маршрутов, задаётся через ACL такого формата
access-list ACL_Project01_VPN_nets extended permit ip object-group Project01_nets any
access-list ACL_Project01_VPN_nets extended permit ip object-group Servers_nets any
// ACL для фильтрации трафика
access-list ACL_VPN_filter_Project01 extended permit tcp object-group Project01_RAS object-group Project01_nets eq 22
access-list ACL_VPN_filter_Project01 extended permit object-group SG_2Servers object-group Project01_RAS object-group Servers_nets
nat (external,local) source static Project01_RAS Project01_RAS destination static Project01_nets Project01_nets
nat (external,local) source static Project01_RAS Project01_RAS destination static Servers_nets Servers_nets
Теперь мы готовы к созданию групповых политик. Ничего нового тут нет.
group-policy GP_Project01 internal
group-policy GP_Project01 attributes
banner value VPN for Project01
wins-server none
dns-server value 192.168.0.10 192.168.10.10
vpn-simultaneous-logins 1
vpn-filter value ACL_VPN_filter_Project01
vpn-tunnel-protocol ssl-client
split-tunnel-policy tunnelspecified
split-tunnel-network-list value ACL_Project01_VPN_nets
default-domain value test.ru
address-pools value Project01_pool
На этом всё, можно подключаться. Не забываем в клиенте убрать галку «Block connections to untrusted servers» (у нас тут самоподписки) и поставить галку «Allow LAN access when using VPN» (чтобы работал Split tunneling).
Если что-то не отрабатывает, в отладке нам помогут:
debug aaa authentication
debug aaa authorization
debug webvpn 255
debug webvpn anyconnect 255
debug crypto ca 255
Если есть подозрение, что что-то не то в ASA закэшировалось, на этапе настройки можно попробовать сделать так (в рабочем окружении такое могут не оценить):
webvpn
no enable external
no anyconnect enable
enable external
anyconnect enable
Метки: anyconnect, certificate, ldap
Опубликовано: Безопасность cisco
Cisco transceiver modules – cisco sfp modules for gigabit ethernet applications data sheet
Cost-effective Small Form-factor Pluggable (SFP) transceivers for Gigabit Ethernet applications
Product overview
The industry-standard Cisco® Small Form-Factor Pluggable (SFP) Gigabit Interface Converter (Figure 1) links your switches and routers to the network. The hot-swappable input/output device plugs into a Gigabit Ethernet port or slot. Optical and copper models can be used on a wide variety of Cisco products and intermixed in combinations of 1000BASE-T, 1000BASE-SX, 1000BASE-LX/LH, 1000BASE-EX, 1000BASE-ZX, or 1000BASE-BX10-D/U on a port-by-port basis.
Figure 1.
Cisco Optical Gigabit Ethernet SFP
Figure 2.
Cisco 1000BASE-T Copper SFP
Figure 3.
Cisco 2-Channel 1000BASE-BX Optical SFP
● Hot swappable to maximize uptime and simplify serviceability
● Flexibility of media and interface choice on a port-by-port basis, so you can “pay as you populate”
● Robust design for enhanced reliability
● Supports Digital Optical Monitoring (DOM) capability
1000BASE-T SFP for copper networks
The 1000BASE-T SFP operates on standard Category 5 unshielded twisted-pair copper cabling of link lengths up to 100 m (328 ft). Cisco 1000BASE-T SFP modules support 10/100/1000 auto negotiation and Auto MDI/MDIX.
1000BASE-SX SFP for multimode fiber only
The 1000BASE-SX SFP, compatible with the IEEE 802.3z 1000BASE-SX standard, operates on legacy 50 μm multimode fiber links up to 550 m and on 62.5 μm Fiber Distributed Data Interface (FDDI)-grade multimode fibers up to 220 m. It can support up to 1km over laser-optimized 50 μm multimode fiber cable.
1000BASE-LX/LH SFP for both multimode and single-mode fibers
The 1000BASE-LX/LH SFP, compatible with the IEEE 802.3z 1000BASE-LX standard, operates on standard single-mode fiber-optic link spans of up to 10 km and up to 550 m on any multimode fibers. When used over legacy multimode fiber type, the transmitter should be coupled through a mode conditioning patch cable. For details on this implementation, refer to https://www.my-sertif.ru/en/US/prod/collateral/modules/ps5455/product_bulletin_c25-530836.html.
1000BASE-EX SFP for long-reach single-mode fibers
The 1000BASE-EX SFP operates on standard single-mode fiber-optic link spans of up to 40 km in length. A 5-dB inline optical attenuator should be inserted between the fiber-optic cable and the receiving port on the SFP at each end of the link for back-to-back connectivity.
1000BASE-ZX SFP for long-reach single-mode fibers
The 1000BASE-ZX SFP operates on standard single-mode fiber-optic link spans of up to approximately 70 km in length. The SFP provides an optical link budget of 21 dB, but the precise link span length depends on multiple factors such as fiber quality, number of splices, and connectors.
When shorter distances of Single-Mode Fiber (SMF) are used, it might be necessary to insert an inline optical attenuator in the link to avoid overloading the receiver. A 10-dB inline optical attenuator should be inserted between the fiber-optic cable plant and the receiving port on the SFP at each end of the link whenever the fiber-optic cable span loss is less than 8 dB.
The dual-rate 100M/1G 10Km SFP is interoperable with the IEEE 100BASE-LX and 1000BASE-LX/LH standards.
The GLC-GE-DR-LX SFP also supports Digital Optical Monitoring (DOM) functions according to the industry-standard SFF-8472 Multisource Agreement (MSA). This feature gives the end user the ability to monitor real-time parameters of the SFP, such as optical output power, optical input power, temperature, laser bias current, and transceiver supply voltage.
The GLC-GE-DR-LX SFP can interoperate with other 100M SFPs/interfaces as long as those are based on 100BASE-LX10 standard. A 5dB attenuator is needed on the path of dual-rate SFP Tx and 100BASE-LX10 interface Rx. No attenuator is needed on the other fiber strand.
SFP Operation at 1G
The GLC-GE-DR-LX SFP can interoperate with other 1G SFPs/interfaces as long as those are based on 1000BASE-LX/LH standard. No attenuator is needed in any fiber strand.
1000BASE-BX10-D and 1000BASE-BX10-U SFP for single-fiber bidirectional applications
The 1000BASE-BX-D and 1000BASE-BX-U SFPs, compatible with the IEEE 802.3ah 1000BASE-BX10-D and 1000BASE-BX10-U standards, operate on a single strand of standard SMF.
A 1000BASE-BX10-D device is always connected to a 1000BASE-BX10-U device with a single strand of standard SMF with an operating transmission range up to 10 km. The communication over a single strand of fiber is achieved by separating the transmission wavelength of the two devices as depicted in Figure 2: 1000BASE-BX10-D transmits a 1490-nm channel and receives a 1310-nm signal, whereas 1000BASE-BX10-U transmits at a 1310-nm wavelength and receives a 1490-nm signal. As shown, the presence of a Wavelength-Division Multiplexing (WDM) splitter integrated into the SFP to split the 1310-nm and 1490-nm light paths.
Figure 4.
Bidirectional transmission of a single strand of SMF
The GLC-BX-D and GLC-BX-U SFPs also support Digital Optical Monitoring (DOM) functions according to the industry-standard SFF-8472 Multisource Agreement (MSA). This feature gives the end user the ability to monitor real-time parameters of the SFP, such as optical output power, optical input power, temperature, laser bias current, and transceiver supply voltage.
The GLC-BX-D-I and GLC-BX-U-I are the Industrial temperature rated (IND) counterparts of GLC-BX-D and GLC-BX-U SFPS. This allows link operation in harsh environmental conditions where the module case temperature can be in the range -40°C to 85°C.
The 2-channel 1000BASE-BX-D SFP module, also known as Compact SFP, integrates two IEEE 802.3ah 1000BASE-BX10-D interfaces in one SFP module. The GLC-2BX-D or GLC-2BX-D-I is always connected to two 1000BASE-BX10-U interfaces over two single strands of standard SMF with an operating transmission range up to 10km.
GLC-2BX-D or GLC-2BX-D-I is designed to connect to any standard-based Customer Premises Equipment (CPE) in FTTx links (Figure 3).
Figure 5.
Compact SFP deployment with Cisco Catalyst 4500
1000BASE-BX40-D and 1000BASE-BX40-U for single-fiber bidirectional applications
The Cisco GLC-BX40-D-I, GLC-BX40-DA-I, and GLC-BX40-U-I SFPs operate on a single strand of standard SMF.
A GLC-BX40-D-I or GLC-BX40-DA-I device connects to a GLC-BX40-U-I device with a single strand of standard SMF with an operating transmission range up to 40 km.
The communication over a single strand of fiber is achieved by separating the transmission wavelength of the two devices. The GLC-BX40-D-I, GLC-BX40-DA-I, and GLC-BX40-U-I SFPs also support Digital Optical Monitoring (DOM) functions according to the industry-standard SFF-8472 Multisource Agreement (MSA). This feature gives the end user the ability to monitor real-time parameters of the SFP, such as optical output power, optical input power, temperature, laser bias current, and transceiver supply voltage.
1000BASE-BX80-D and 1000BASE-BX80-U for single-fiber bidirectional applications
The Cisco GLC-BX80-D-I and GLC-BX80-U-I SFPs operate on a single strand of standard SMF.
A GLC-BX80-D-I device is always connected to a GLC-BX80-U-I device with a single strand of standard SMF with an operating transmission range up to 80 km.
The communication over a single strand of fiber is achieved by separating the transmission wavelength of the two devices. The GLC-BX80-D-I and GLC-BX80-U-I SFPs also support Digital Optical Monitoring (DOM) functions according to the industry-standard SFF-8472 Multisource Agreement (MSA). This feature gives the end user the ability to monitor real-time parameters of the SFP, such as optical output power, optical input power, temperature, laser bias current, and transceiver supply voltage.
Platform support
The Cisco 1-Gbps SFPs are supported across a variety of Cisco networking equipment*. For more details, refer to the document SFP Compatibility Matrix at: https://www.my-sertif.ru/en/US/docs/interfaces_modules/transceiver_modules/compatibility/matrix/OL_6981.pdf
● ASA5500 Series Appliances ● ASR 901 and 903 Series Routers ● ASR 1000, 9000, and 9000v Series Routers ● Catalyst Express 500 and Express 520 ● Catalyst 2350 and 2360 Series ● Catalyst 2900, 2940, 2950, 2960, 2960-Plus, 2960-C, 2960-S, 2960-SF, 2960-X Series ● Catalyst 2970 and 2975 Series ● Catalyst 3000 and 3100 Blade Switches ● Catalyst 3500XL Series ● Catalyst 3550, 3560, 3560-C, 3560-E, 3560-X Series ● Catalyst 3750-E Series, 3750 Metro, 3750-X Series ● Catalyst 3850 Series ● Catalyst 4500 and 4500-X Series ● Catalyst 4900 Series ● Catalyst 6000 Series ● Catalyst 6800 Series ● Cisco 1941 Series Router ● Cisco 2600, 2800, 2900 Series Router ● Cisco 3200, 3600, 3700 Series Router ● Cisco 4400 Series Router ● Cisco 5700 Series Wireless LAN Controller ● Cisco 6400 Universal Access Router | ● Cisco uBR7200 Series ● Cisco 7200, 7300, 7500, and 7600 Series Routers ● Cisco 10000 and uBR 10000 Series Routers ● Cisco 10700 Series Internet Router ● Cisco 12000 Series Router ● Cisco 2000 Connected Grid Router Series ● Cisco 2500 Connected Grid Switch Series ● Cisco IE2000 and IE2000U Series ● Cisco IE3010 Series ● Cisco MDS 9000 ● Cisco ME 2400 ● Cisco ME 2600X ● Cisco ME 3400 ● Cisco ME 3600X and ME 3800X ● Cisco ME 4600 and ME 4900 Series ● Cisco ME 6500 Series ● Cisco MWR 2941 Mobile Wireless Router ● CRS Router Series ● CSS 11500 Series ● Cisco RF Gateway Series ● NAM 2200 Series Appliances ● Nexus 2000, 3000, 4000, 5000, 7000, 9000, 9300, 9500 (modular) Series |
Cabling and connectors
Connectors include the following:
● Dual LC/PC connector (1000BASE-SX, 1000BASE-LX/LH, 1000BASE-EX and 1000BASE-ZX)
● Single LC/PC connector (1000BASE-BX-D and 1000BASE-BX-U)
● RJ-45 connector (1000BASE-T)
Note: Only connections with patch cords with PC or UPC connectors are supported. Patch cords with APC connectors are not supported. All cables and cable assemblies used must be compliant with the standards specified in the standards section.
Table 1 provides cabling specifications for the SFPs that you install in the Gigabit Ethernet port. Note that all SFP ports have LC-type connectors, and the minimum cable distance for all SFPs listed (multimode and single-mode fiber) is 6.5 feet (2 m).
Table 1. SFP Port cabling specifications
Product | Wavelength (nm) | Fiber Type | Core Size (μm) | Modal Bandwidth (MHz* Km)*** | Operating Distance (m) |
1000BASE-SX | 850 | MMF | 62.5 | 160 (FDDI-grade) | 220 (722 ft) |
62.5 | 200 (OM1) | 275 (902 ft) | |||
50 | 400 (400/400) | 500 (1,640 ft) | |||
50 | 500 (OM2) | 550 (1,804 ft) | |||
50 | 2000 (OM3) | 1000 (3281 ft) | |||
50 | 4700 (OM4) | 1000 (3281 ft) | |||
50 | 4700 (OM5) | 1000 (3281 ft) | |||
1000BASE-LX/LH | 1310 | MMF* | 62.5 | 500 | 550 (1,804 ft) |
50 | 400 | 550 (1,804 ft) | |||
50 | 500 | 550 (1,804 ft) | |||
SMF | –** | – | 10,000 (32,821 ft) | ||
1000BASE-EX | 1310 | SMF | –** | – | 40,000 (131,234 ft) |
1000BASE-ZX | 1550 | SMF | – | – | Approximately 70 km depending on link loss |
GLC-GE-DR-LX | 1310 | SMF | –** | – | 10,000 (32,821 ft) |
1000BASE-BX-U | 1310 | SMF | –** | – | 10,000 (32,821 ft) |
1000BASE-BX-D | 1490 | SMF | –** | – | 10,000 (32,821 ft) |
GLC-BX40-D-I | 1550 | SMF | –** | – | 40,000 (131,234 ft) |
GLC-BX40-DA-I | 1490 | SMF | –** | – | 40,000 (131,234 ft) |
GLC-BX40-U-I | 1310 | SMF | –** | – | 40,000 (131,234 ft) |
GLC-BX80-D-I | 1570 | SMF | –** | – | 80,000 (262,467 ft) |
GLC-BX80-U-I | 1490 | SMF | –** | – | 80,000 (262,467 ft) |
* A mode-conditioning patch cord, as specified by the IEEE standard, is required regardless of the span length. Note how the mode conditioning patch cord for 62.5-μm fibers has a different specification from the mode-conditioning patch cord for 50-μm fibers.
** ITU-T G.652 SMF as specified by the IEEE 802.3z standard.
*** Specified at transmission wavelength.
Optical specifications
Table 2 specifies the optical parameters for the SFPs. Both receiver power and channel insertion loss specifications must be met for guaranteed operation.
Table 2. Main optical parameters
* Maximum channel insertion loss is defined for maximum distance guaranteed as specified in Table 1 and by fiber type. When links are deployed over shorter distances, additional channel insertion loss may be allowed.
Dimensions
Dimensions (H x W x D): 8.5 x 13.4 x 56.5 mm. Cisco SFPs typically weigh 75 grams or less.
Environmental conditions and power requirements
Operating temperature range:
● Commercial temperature range (COM): 0 to 70°C (32 to 158°F)
● Extended temperature range (EXT): -5°C to 85°C (23 to 185°F)
● Industrial temperature range (IND): -40 to 85°C (-40 to 185°F)
● Storage temperature range: -40 to 85°C (-40 to 185°F)
Cisco SFP modules typically consume up to 1W per SFP port, with the exception of the Compact SFP (GLC-2BX-D) consuming up to 1.5W.
Table 3 lists temperature range and DOM support information for the SFPs.
Table 3. Temperature range and DOM support
To place an order, refer to Table 4 and visit the Cisco Ordering Home Page
Table 4. Ordering information
● Standard warranty: 5 years
● Expedited replacement available via a Cisco SMARTnet® Service support contract
Information about Cisco’s environmental sustainability policies and initiatives for our products, solutions, operations, and extended operations or supply chain is provided in the “Environment Sustainability” section of Cisco’s Corporate Social Responsibility (CSR) Report.
Reference links to information about key environmental sustainability topics (mentioned in the “Environment Sustainability” section of the CSR Report) are provided in the following table:
Cisco makes the packaging data available for informational purposes only. It may not reflect the most current legal developments, and Cisco does not represent, warrant, or guarantee that it is complete, accurate, or up to date. This information is subject to change without notice.
Safety:
● Laser Class I 21CFR1040 LN#50 7/2001
● Laser Class I IEC 60825-1
Standards:
● IEEE 802.3z
● IEEE 802.3ah
● GR-20-CORE: Generic Requirements for Optical Fiber and Optical Fiber Cable
● GR-326-CORE: Generic Requirements for Single-Mode Optical Connectors and Jumper Assemblies
● GR-1435-CORE: Generic Requirements for Multifiber Optical Connectors
Learn more about the Cisco SFP Ethernet Converter Modules by contacting your sales representative or visiting https://www.my-sertif.ru/c/en/us/products/interfaces-modules/transceiver-modules/index.html.
Flexible payment solutions to help you achieve your objectives
Cisco Capital makes it easier to get the right technology to achieve your objectives, enable business transformation and help you stay competitive. We can help you reduce the total cost of ownership, conserve capital, and accelerate growth. In more than 100 countries, our flexible payment solutions can help you acquire hardware, software, services and complementary third-party equipment in easy, predictable payments. Learn more.
Cisco коммутатор cisco c9200-24t-re купить | официальный сайт
Мы предлагаем следующие способы доставки товара:
Самовывоз из пункта выдачи
Самостоятельное получение заказа в пункте выдачи. Дата и время получения заранее согласуется с менеджером магазина.
Отгрузка товара юридическим лицам осуществляется только при наличии печати или правильно оформленной и заполненной доверенности, наличии паспорта получателя.
Отгрузка физическим лицам, в случае оплаты заказа банковскими картами, возможна только при предъявлении паспорта плательщика.
Для получения заказа, оплаченного вышеуказанным способом, третьим лицом необходимо наличие нотариально заверенной доверенности.
Курьерская доставка по Москве
Доставка по адресу покупателя или до пункта приема транспортной компании в г. Москве. Дата и время доставки заранее согласуется с менеджером магазина.
Доставка транспортной компанией по России
Доставка транспортной компанией по России до пункта выдачи транспортной компании или до конечного адреса покупателя.
Мы предлагаем следующие способы оплаты товара:
Оплата наличными
Оплата за наличный расчет для физических и юридических лиц. После внесения денежных средств Покупатель подписывает товаросопроводительные документы и получает кассовый чек. Отгрузка товара юридическим лицам осуществляется только при наличии печати или правильно оформленной и заполненной доверенности, наличии паспорта получателя.
Безналичная оплата
Мы работаем с физическими и юридическими лицами за безналичный расчёт со 100% предоплатой с оформлением всех предусмотренных законодательством документов. Счёт на оплату направляется Покупателю на электронную почту после запроса счета через форму на сайте либо по электронной почте. Цена на заказанный товар действительна в течение 2 дней с момента оформления Заказа.
Электронные способы
Оплата Заказа электронными способами, в т.ч. банковскими картами. Оплата Заказа данным способом доступна запросом ссылки на оплату у нашего менеджера.
Configurations
Linux Client Setup
Step 1. Download the Anyconnect package, extract the contents and install the Anyconnect application on the Linux client.
tactest:Documents$ pwd /home/tactest/Documents tactest:Documents$ ls anyconnect-linux64-4.6.03049-predeploy-k9.tar.gz tactest:Documents$ tar -xvf anyconnect-linux64-4.6.03049-predeploy-k9.tar.gz tactest:Documents$ ls anyconnect-linux64-4.6.03049 anyconnect-linux64-4.6.03049-predeploy-k9.tar.gz tactest:Documents$ cdanyconnect-linux64-4.6.03049/vpn/ tactest:vpn$ sudo su [sudo] password for tactest: root:vpn# pwd /home/tactest/Documents/anyconnect-linux64-4.6.03049/vpn root:vpn# ./vpn_install.sh Installing Cisco AnyConnect Secure Mobility Client...
Step 2. Create a certificate signing request for the identity certificate on Linux client using OpenSSL.
[dime@localhost ~]$ openssl genrsa -des3 -out server.key 2048 Generating RSA private key, 2048 bit long modulus .................................. ............................................ e is 65537 (0x10001) Enter pass phrase for server.key: Verifying - Enter pass phrase for server.key: [dime@localhost ~]$ [dime@localhost ~]$ openssl rsa -in server.key -out server.key.insecure Enter pass phrase for server.key: writing RSA key [dime@localhost ~]$ mv server.key server.key.secure [dime@localhost ~]$ [dime@localhost ~]$ mv server.key.insecure server.key [dime@localhost ~]$ [dime@localhost ~]$ ! The insecure key is now named server.key, and you can use this file to generate the CSR without passphrase. [dime@localhost ~]$ [dime@localhost ~]$ openssl req -new -key server.key -out server.csr You are about to be asked to enter information that will be incorporated into your certificate request. What you are about to enter is what is called a Distinguished Name or a DN. There are quite a few fields but you can leave some blank For some fields there will be a default value, If you enter '.', the field will be left blank. ----- Country Name (2 letter code) [XX]:US State or Province Name (full name) []:CA Locality Name (eg, city) [Default City]:SJ Organization Name (eg, company) [Default Company Ltd]:Cisco Organizational Unit Name (eg, section) []:HTTS Common Name (eg, your name or your server's hostname) []:dimenet Email Address []: Please enter the following 'extra' attributes to be sent with your certificate request A challenge password []: An optional company name []: [dime@localhost ~]$ [dime@localhost ~]$ ls | grep -i server server.csr server.key server.key.secure [dime@localhost ~]$ [dime@localhost ~]$ cat server.csr -----BEGIN CERTIFICATE REQUEST----- MIICvTCCAaUCAQAwYTELMAkGA1UEBhMCVVMxCzAJBgNVBAgMAkNBMQswCQYDVQQH DAJTSjEOMAwGA1UECgwFQ2lzY28xDTALBgNVBAsMBEhUVFMxGTAXBgNVBAMMEGRp bWViCG5lCAgICAgICAgwggEiMA0GCSqGSIb3DQEBAQUAA4IBDwAwggEKAoIBAQC/ 0e5PF09y45/ vlfZbuWRaw1vUiJPxy8OdXZhKT7VmDSitdTnPs2Q7cfzVaM1GdIw c/HoHTL rmmCn2Ccc9NGoWok3damhhu19xAt2VXz8jS6mV5bqTeBLYEWJ2Tgh7wA 4/0aPGILZCkQNNn3PruTLe8dqfEhFU6nGp7iJKNjlvyd34Di5YL1NhEQGdZ9q7aK 5VE3nBhgELmPOle53Pt/ZYWwji138QN8Qo9bXOZmQmRXgRucFaeN0VJVF 0EnnAJ Y58 yiImEvqKe8h1OCxT2H/TH 5 XRHmggee/zZvis7JMWWcKACOUjQ9scTrjp z TW4CM2Cmox3AEcOJ9yg/AgMBAAGgFzAVBgkqhkiG9w0BCQcxCAwGY2lzY28IMA0G CSqGSIb3DQEBCwUAA4IBAQC7uRbj 0JxUw7REXc41Ma30WIxhhzvn6QGax8 EPlL c7wpsMtCSwV7BOgFLKqI7h dcME CfBYlcPre2/5LMYo336i9i0tsodV/ EU3NBg L/RSoH099wBIEo7Xxx30xi38PvnCPnbZZEL2IWrgTyO4ohEOUjEOYnD16kUJvISy Ky8z/3gGDRuhks2Yv4CTTRcvQAvljsLCOZiyaVVrp2xmsPtHxrd6vLrupoxdNpJy xG1P/67JMLS3qqpTuvAqXT5uT2OBAC2hBgMGuKZCOC3mR4WlmoED9woFPESUUMQf mKOksgQfrrxOZKPyhV8J4jByAjLSw6vh41dJHY9qKaGo -----END CERTIFICATE REQUEST----- [dime@localhost ~]$
Кабели и разъемы
Разъемы включают в себя следующее:
● Двойнойразъем LC / PC (1000BASE-SX, 1000BASE-LX/LH, 1000BASE-EX и 1000BASE-ZX)
● Одинразъем LC / PC (1000BASE-BX-D и 1000BASE-BX-U)
● Разъем RJ-45 (1000BASE-T)
Заметка: Поддерживаются только соединения патч-кордами с разъемами ПК или UPC.
Патч-корды с разъемами APC не поддерживаются. Все используемые кабели и кабельные сборки должны соответствовать стандартам, указанным в разделе стандартов.
В Таблице 1 представлены спецификации кабелей для модулей SFP, которые вы устанавливаете в порт Gigabit Ethernet. Обратите внимание, что все порты SFP имеют разъемы типа LC, а минимальная длина кабеля для всех перечисленных SFP (многомодовых и одномодовых оптоволоконных кабелей) составляет 6,5 футов (2 м).
Таблица 1. Характеристики кабелей порта SFP
Модель | Длина волны (nm) | Тип волокна | Размер ядра (μm) | Модальная пропускная способность (MHz* Km)*** | Рабочее расстояние (m) |
1000BASE-SX | 850 | MMF | 62.5 | 160 (FDDI-grade) | 220 (722 футов) |
62.5 | 200 (OM1) | 275 (902 футов) | |||
50 | 400 (400/400) | 500 (1,640 футов) | |||
50 | 500 (OM2) | 550 (1,804 футов) | |||
50 | 2000 (OM3) | 1000 (3281 футов) | |||
50 | 4700 (OM4) | 1000 (3281 футов) | |||
50 | 4700 (OM5) | 1000 (3281 футов) | |||
1000BASE-LX/LH | 1310 | MMF* | 62.5 | 500 | 550 (1,804 футов) |
50 | 400 | 550 (1,804 футов) | |||
50 | 500 | 550 (1,804 футов) | |||
SMF | –** | – | 10,000 (32,821 футов) | ||
1000BASE-EX | 1310 | SMF | –** | – | 40000 (131,234 футов) |
1000BASE-ZX | 1550 | SMF | – | – | Примерно 70 км в зависимости от потери связи |
GLC-GE-DR-LX | 1310 | SMF | –** | – | 10,000 (32,821 футов) |
1000BASE-BX-U | 1310 | SMF | –** | – | 10,000 (32,821 футов) |
1000BASE-BX-D | 1490 | SMF | –** | – | 10,000 (32,821 футов) |
GLC-BX40-D-I | 1550 | SMF | –** | – | 40,000 (131234 футов) |
GLC-BX40-DA-I | 1490 | SMF | –** | – | 40,000 (131234 футов) |
GLC-BX40-U-I | 1310 | SMF | –** | – | 40,000 (131234 футов) |
GLC-BX80-D-I | 1570 | SMF | –** | – | 80,000 (262467 футов) |
GLC-BX80-U-I | 1490 | SMF | –** | – | 80,000 (262467 футов) |
* Патч-корд для согласования режима, как указано в стандарте IEEE, требуется независимо от длины пролета.
** ITU-TG.
652 SMF, как указано в стандарте IEEE 802.
*** Указано на длине волны передачи.
Коммутатор cisco catalyst 9200l-24t-4x
Поддержка платформы
SFP Cisco 1 Гбит/с поддерживаются различным сетевым оборудованием Cisco *. Для получения более подробной информации обратитесь к документу SFP Compatibility Matrix .
● ASA5500 Series Appliances ● ASR 901 and 903 Series Routers ● ASR 1000, 9000, and 9000v Series Routers ● Catalyst Express 500 and Express 520 ● Catalyst 2350 and 2360 Series ● Catalyst 2900, 2940, 2950, 2960, 2960-Plus, 2960-C, 2960-S, 2960-SF, 2960-X Series ● Catalyst 2970 and 2975 Series ● Catalyst 3000 and 3100 Blade Switches ● Catalyst 3500XL Series ● Catalyst 3550, 3560, 3560-C, 3560-E, 3560-X Series ● Catalyst 3750-E Series, 3750 Metro, 3750-X Series ● Catalyst 3850 Series ● Catalyst 4500 and 4500-X Series ● Catalyst 4900 Series ● Catalyst 6000 Series ● Catalyst 6800 Series ● Cisco 1941 Series Router ● Cisco 2600, 2800, 2900 Series Router ● Cisco 3200, 3600, 3700 Series Router ● Cisco 4400 Series Router ● Cisco 5700 Series Wireless LAN Controller ● Cisco 6400 Universal Access Router | ● Cisco uBR7200 Series ● Cisco 7200, 7300, 7500, and 7600 Series Routers ● Cisco 10000 and uBR 10000 Series Routers ● Cisco 10700 Series Internet Router ● Cisco 12000 Series Router ● Cisco 2000 Connected Grid Router Series ● Cisco 2500 Connected Grid Switch Series ● Cisco IE2000 and IE2000U Series ● Cisco IE3010 Series ● Cisco MDS 9000 ● Cisco ME 2400 ● Cisco ME 2600X ● Cisco ME 3400 ● Cisco ME 3600X and ME 3800X ● Cisco ME 4600 and ME 4900 Series ● Cisco ME 6500 Series ● Cisco MWR 2941 Mobile Wireless Router ● CRS Router Series ● CSS 11500 Series ● Cisco RF Gateway Series ● NAM 2200 Series Appliances ● Nexus 2000, 3000, 4000, 5000, 7000, 9000, 9300, 9500 (modular) Series |
* Дополнительные платформы могут добавляться постоянно; Пожалуйста, проверьте матрицу совместимости для получения последней информации и наличия операционной системы, совместимой с Cisco, для каждой платформы.
Технический паспорт и заказ продукции
В Таблице приведена информация для заказа SFPтрансиверы (модули) Cisco серии GLC.
Таблица. Информация для заказа
№ | Модель | Цена (USD) | Описание |
1 | GLC-2BX-D= | $2,685 | 1000BASE-BX10 SFP, 1490NM, 2-Channels |
2 | GLC-2BX-D-I= | $2,952 | 1000BASE-BX10 SFP, 1490NM, 2-Channels, Industrial Temp |
3 | GLC-3750V2-FX12= | $1,500 | 12 units of GLC-FE-100FX for 3750v2 |
4 | GLC-3750V2-FX24= | $2,500 | 24 units of GLC-FE-100FX for 3750v2 |
5 | GLC-BX40-DA-I= | $2,705 | 1000BASE-BX40 SFP, 1490NM |
6 | GLC-BX40-D-I= | $2,705 | 1000BASE-BX40 SFP, 1550NM |
7 | GLC-BX40-U-I= | $2,706 | 1000BASE-BX40 SFP, 1310NM |
8 | GLC-BX80-D-I= | $5,750 | 1000BASE-BX80 SFP, 1570NM |
9 | GLC-BX80-U-I= | $5,750 | 1000BASE-BX80 SFP, 1490NM |
10 | GLC-BX-D= | $1,349 | 1000BASE-BX SFP, 1490NM |
11 | GLC-BX-D-I= | $1,300 | 1000BASE-BX SFP, 1490NM, Industrial Temperature |
12 | GLC-BX-U= | $1,349 | 1000BASE-BX SFP, 1310NM |
13 | GLC-BX-U-I= | $1,300 | 1000BASE-BX SFP, 1310NM, Industrial Temperature |
14 | GLC-EX-SMD= | $2,057 | 1000BASE-EX SFP transceiver module, SMF, 1310nm, DOM |
15 | GLC-FE-100BX-D= | $469 | 100BASE-BX10-D SFP |
16 | GLC-FE-100BX-D48= | $9,495 | 48 units of GLC-FE-100BX-D |
17 | GLC-FE-100BX-U= | $469 | 100BASE-BX10-U SFP |
18 | GLC-FE-100BX-URGD= | $551 | 100BASE-BX10-U Rugged SFP and Fiber Reel |
19 | GLC-FE-100BX-URGD= | $551 | 100BASE-BX10-U Rugged SFP and Fiber Reel |
20 | GLC-FE-100EX= | $618 | 100BASE-EX SFP (40km) |
21 | GLC-FE-100FX= | $250 | 100BASE-FX SFP for FE port |
22 | GLC-FE-100FX24= | $4,500 | 24 units of GLC-FE-100FX |
23 | GLC-FE-100FX48= | $9,000 | 48 units of GLC-FE-100FX |
24 | GLC-FE-100FX-RGD= | $289 | 100Base-FX Multi ModeRugged SFP |
25 | GLC-FE-100LX= | $418 | 100BASE-LX SFP for FE port |
26 | GLC-FE-100LX48= | $13,208 | 48 units of GLC-FE-100LX |
27 | GLC-FE-100LX-RGD= | $456 | 100Mbps Single Mode Rugged SFP |
28 | GLC-FE-100ZX= | $1,303 | 100BASE-ZX SFP (80km) |
29 | GLC-FE-T-I= | $440 | 100BASE-T SFP, Industrial Temp |
30 | GLC-GE-100FX= | $263 | 100BASE-FX SFP for GE SFP port on 3750,3560.2970,2960 |
31 | GLC-GE-DR-LX | $1,295 | 1000BASE-LX 100M Dual Rate SFP transceiver module, 1310nm |
32 | GLC-LH-SM= | $995 | GE SFP, LC connector LX/LH transceiver |
33 | GLC-LH-SMD= | $1,026 | 1000BASE-LX/LH SFP transceiver module, MMF/SMF, 1310nm, DOM |
34 | GLC-LX-NID-0= | $1,200 | 1000BASE-LX/LH SFP transceiver module, with NID functions |
35 | GLC-LX-SM-RGD= | $1,129 | 1000Mbps Single Mode Rugged SFP |
36 | GLC-SX-MM= | $500 | GE SFP, LC connector SX transceiver |
37 | GLC-SX-MMD= | $518 | 1000BASE-SX SFP transceiver module, MMF, 850nm, DOM |
38 | GLC-SX-MM-RGD= | $569 | 1000Mbps Multi-Mode Rugged SFP |
39 | GLC-T= | $395 | 1000BASE-T SFP |
40 | GLC-TE= | $471 | 1000BASE-T SFP transceiver module for Category 5 copper wire |
41 | GLC-T-RGD= | $410 | 1000Base-T SFP, Industrial Temp |
42 | GLC-ZX-SM= | $3,995 | 1000BASE-ZX SFP |
43 | GLC-ZX-SMD= | $4,114 | 1000BASE-ZX SFP transceiver module, SMF, 1550nm, DOM |
44 | GLC-ZX-SM-RGD= | $4,527 | 1000BASE-ZX Single Mode RuggedSFP |
45 | CIP-IPS-GLCLD-1Y | $1,000 | IPaaS Global Cloud – 1 YR |
46 | CIP-IPS-GLCLD-2Y | $2,000 | IPaaS Global Cloud – 2 YR |
47 | CIP-IPS-GLCLD-3Y | $3,000 | IPaaS Global Cloud – 3 YR |