в свитчах 3com Baseline Switch серии 2900 скрыт режим команд когда подключаешься по telnet.
Для этого нужно ввести команду

<3com baseline="" switch="">_cmdline-mode on

ввести заводской пароль 512900

После этого будет весь список команд:

<3com baseline="" switch="">?
User view commands:
  archive        Specify archive settings
  backup         Backup next startup-configuration file to TFTP server
  boot-loader    Set boot loader
  bootrom        Update/read/backup/restore bootrom
  cd             Change current directory 
  clock          Specify the system clock
  cluster        Run cluster command
  copy           Copy from one file to another 
  debugging      Enable system debugging functions
  delete         Delete a file 
  dir            List files on a file system 
  display        Display current system information
  fixdisk        Recover lost chains in storage device
  format         Format the device
  free           Clear user terminal interface
  ftp            Open FTP connection 
  initialize     Delete the startup configuration file and reboot system
  ipsetup        Specify the IP address of the VLAN interface 1 
  lock           Lock current user terminal interface
  logfile        Specify log file configuration
  mkdir          Create a new directory 
  more           Display the contents of a file 
  move           Move the file 
  ntdp           Run NTDP commands
  password       Specify password of local user
  ping           Ping function 
  pwd            Display current working directory 
  quit           Exit from current command view
  reboot         Reboot system
  rename         Rename a file or directory 
  reset          Reset operation
  restore        Restore next startup-configuration file from TFTP server 
  rmdir          Remove an existing directory 
  save           Save current configuration
  schedule       Schedule system task
  screen-length  Specify the lines displayed on one screen
  send           Send information to other user terminal interface
  sftp           Establish one SFTP connection 
  ssh2           Establish a secure shell client connection 
  stack          Switch stack system
  startup        Specify system startup parameters 
  summary        Display summary information of the device.
  super          Set the current user priority level 
  system-view    Enter the System View
  telnet         Establish one TELNET connection 
  terminal       Set the terminal line characteristic
  tftp           Open TFTP connection 
  tracert        Trace route function 
  undelete       Recover a deleted file 
  undo           Cancel current setting
  upgrade        Upgrade the system boot file or the Boot ROM program

чтобы зайти в режим конфигурации нужно ввести команду

<3com baseline="" switch="">system-view 
System View: return to User View with Ctrl+Z.
[3Com Baseline Switch]

Ограничение доступа к маршрутизатору по telnet или ssh с помощью ACL

Давайте разберёмся, как ограничить доступ к маршрутизатору.

Как не надо делать

Итак, есть маршрутизатор, мы, как администраторы хотим иметь возможность удалённо к нему подключаться по ssh либо telnet, но не хотим, чтобы к нему удалённо подключались злоумышленники и брутфорсили наши пароли. Задача достаточно сложная, если пытаться решить её применением расширенных ACL на интерфейсы маршрутизатора.
Допустим есть роутер с такими интерфейсами:

• Fa0/0 (191.168.0.1)
• Fa0/1 (192.168.1.1)
• Fa0/2 (192.168.2.1)

Чтобы зафильтровать доступ по telnet, на Fa0/0 нам пришлось бы применить такой ACL на вход:

access-list 101 deny tcp any host 192.168.0.1 eq telnet
access-list 101 deny tcp any host 192.168.1.1 eq telnet
access-list 101 deny tcp any host 192.168.2.1 eq telnet
access-list 101 permit ip any any

На Fa0/1 и Fa0/2 надо было бы применить тот же ACL. Так как к маршрутизатору можно подключиться на любой его интерфейс. Например, мы можем находиться в сети, подключенной через Fa0/0 и обратиться к роутеру через интерфейс Fa0/1. Наш трафик заходит через Fa0/0, маршрутизируется на Fa0/1 и там уже происходит подключение по telnet. Поэтому мы и перечислили все интерфейсы. Представьте теперь, что на каждом из интерфейсов уже был свой ACL со своими правилами по фильтрации. В этом случае у нас не получится применить общий ACL 101 на все интерфейсы, надо будет в каждый ACL добавлять три строчки. Представьте, что появился новый интерфейс Fa0/3 (192.168.3.1) – теперь нам надо обойти все созданные ранее ACL и добавить там строчку

deny tcp any host 192.168.3.1 eq telnet

Короче говоря, мы обязательно что-то забудем, да и вообще, так дела не делаются. К счастью, у cisco есть гораздо более простой способ ограничить доступ с каких-то адресов к telnet или ssh.

Как надо делать

Создаём стандартный ACL, в котором перечисляем адреса и сети, из который доступ по telnet надо разрешить. И применяем его непосредственно на line vty 0 4, то есть, на линии виртульного терминала, к которым происходит подключение. Таким образом, не важно, через какой интерфейс маршрутизатора telnet пакеты попадут на роутер, они будут отфильтрованы когда доберутся собственно до vty.
Например, в предыдущем примере, с тремя интерфейсами на маршрутизаторе надо разрешить подключение по telnet с адреса администратора (192.168.1.100), со всех остальных адресов – запретить. Настройка будет выглядеть так:

R1#configure terminal
Enter configuration commands, one per line.  End with CNTL/Z.
R1(config)#access-list 1 permit host 192.168.1.100
R1(config)#access-list 1 deny any
R1(config)#line vty 0 4
R1(config-line)#access-class 1 in

ACL 1 — простой ACL, состоящий из двух строк. Применён он на line vty и теперь не важно, откуда пришёл трафик, с какого интерфейса, с какой сети. Когда он дойдёт до VTY, он будет проверен на соответствие ACL и принят, либо отброшен.
Обратите внимание, что ACL применяется на интерфейсе командой access-group, а на vty — командой access-class.

Источник http://ciscotips.ru/acl-on-vty

Просмотр в VLC multicast потока

Столкнулся с проблемой невозможности принять multicast трафик на ОС Windows 7/8/10 плеером VLC.
WireShark и гугление навели на информацию о проблеме версии протокола IGMP в системе. До
Изменение версии протокола IGMP в операционной системе Windows иногда необходимо выполнить, если существуют проблемы с IPTV (например, не идет ТВ-вещание через IPTV-плеер).

Изменить (установить) нужную версию IGMP в операционной системе Windows можно через Редактор реестра (Regedit).
Внимание! Редактор реестра - инструмент, предназначенный только для опытных пользователей. Он предназначен для просмотра и изменения параметров в системном реестре операционной системы, в котором содержатся сведения о работе компьютера.
При неправильном изменении реестра могут возникнуть серьезные проблемы, поэтому точно выполняйте указанные ниже действия. Для дополнительной защиты рекомендуется создать резервную копию реестра перед его редактированием, которая позволит при возникновении неполадок восстановить реестр Windows.

Для запуска редактора реестра нажмите на Пуск > Выполнить, наберите regedit и затем нажмите кнопку OK (в Windows 7/8 нажмите клавишу Win + R, введите regedit и нажмите OK).

Перейдите в раздел реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
Здесь нужно добавить параметр IGMPVersion типа DWORD (32 bit) с нужным значением:
2 — для IGMPv1
3 — для IGMPv2
4 — для IGMPv3

Внимание! После редактирования реестра требуется перезагрузка операционной системы, чтобы изменения вступили в силу.
Например, популярный IPTV-плеер VLC media player по умолчанию использует протокол IGMP версии 3 для управления групповой (multicast) рассылкой, но, если выполнить указанную выше настройку, медиаплеер будет использовать протокол IGMPv2.

Cisco AnyConnect Secure 

Mobility Client

Что делать если при попытке подключения получаем ошибку:

The VPN client agent was unable to create the interprocess communication depot

Необходимо отключить общий доступ к сетевым интерфейсам.

1. Открыть панель управления (Control Panel)
2. Ткнуть Просмотр состояния сети и задач (View Network Status and Tasks)
3. Ткнуть Изменение параметров адаптера (Change adapter settings)
4. Правый тык по адаптеру с настроенным общим доступом и выбрать свойства (Properties)
5. Ткнуть вкладку Доступ (Sharing tab)
6. Убрать галку Разрешить другим пользователям сети использовать подключение к Интернету данного компьютера (Allow other network users to connect through this computer's Internet connection)
7. Ткнуть OK

Переустановить Cisco AnyConnect.

Пруф https://answers.microsoft.com/ru-ru/windows/forum/windows_8-security/the-vpn-client-agent-was-unable-to-create-the/0fa4cfd3-6174-42ee-8408-84e551c9911a

Раздельная политика паролей (Fine-Grained Password Policy)

Поступила интересная задача - сделать политику для группы пользователей. Сразу представилась давно известное замыкание групповой политики, которое применялось на пк в контексте пользователей, в данном случае не подходит так как политика паролей в GPO задается только на ПК.
Погуглив на тему политик паролей наткнулся не известную мне =( раздельную политику паролей.
Вариантов настройки масса, в контексте windows server 2012 R2 обрисую самый простой
Открываем оснастку Active Directory Administrative Center и переходим в
Password Settings Container (domain\system), легко найти по поиску в фильтре


По кнопке "NEW" создаем политику

В которой задаем необходимые параметры, и ниже подключаем к пользователю\лям или группам и жмем ОК.
Группа обязательно должна быть глобальной!

Дополнительные материалы для справки
https://technet.microsoft.com/ru-ru/library/cc770842%28v=ws.10%29.aspx
http://blogs.technet.com/b/uktechnet/archive/2012/08/28/guest-post-how-to-use-fine-grained-passwords-in-windows-server-2012.aspx
http://sysadmin.su/blog/169.html
http://habrahabr.ru/company/netwrix/blog/169543/
http://windowsnotes.ru/windows-server-2008/razdelnaya-politika-parolej-v-windows-server-2008/
https://dimanb.wordpress.com/2012/07/19/pso-ad/