Как стать автором
Обновить
3.52

Cisco *

Цисководы всех стран, присоединяйтесь!

Сначала показывать
Порог рейтинга
Уровень сложности

Подключаем Firewall через ePBR

Время на прочтение11 мин
Количество просмотров2K

Спустя неожиданно длительный перерыв возвращаюсь для продолжения разбора технологий, использующихся в построении сетей ЦОД. Настало время разобрать тему подключения внешних устройств, таких как Firewall, Proxy и других сетевых сервисов. А что делать, когда необходимо создать целую цепочку из таких сервисов, пропустив через них весь или только часть трафика? Конечно, использовать статику, но не обычную же.

Читать далее
Всего голосов 6: ↑6 и ↓0+6
Комментарии0

EIGRP SIA – а, собственно, зачем?

Уровень сложностиПростой
Время на прочтение5 мин
Количество просмотров1.2K

EIGRP stuck-in-active – почему одного holddown таймера недостаточно? Копаемся в деталях времён IOS 12.0 (это археология, детка!).

Читать далее
Всего голосов 3: ↑3 и ↓0+3
Комментарии0

OSPFv2: петли маршрутизации без регистрации и смс

Уровень сложностиСредний
Время на прочтение7 мин
Количество просмотров3.1K

Не так давно я рассказал про одну из причин появления RFC 2328 на смену RFC 1583. Впрочем, описанный сценарий возникновения петли маршрутизации совсем не единственный. Помимо изменения метрики агрегированных маршрутов, RFC 2328 также изменил процесс выбора лучшего маршрута для внешних префиксов; а всё потому, что старый алгоритм мог приводить к петле маршрутизации без регистрации и СМС.

Читать далее
Всего голосов 3: ↑3 и ↓0+3
Комментарии0

OSPFv2: путешествие туда и обратно

Уровень сложностиСредний
Время на прочтение8 мин
Количество просмотров4.6K

Общеизвестно, что существуют несколько версий протокола OSPF. Однако не только лишь все знают о том, что для OSPFv2 есть несколько вариантов RFC; подавляющая часть реализаций OSPF соответствуют RFC 1583 или RFC 2328. Пикантность ситуации в том, что эти RFC несовместимы между собой, о чём говорит и показывает вендор-которого-нельзя-называть. Ну и зачем же тогда IETF заморочилось созданием второго стандарта? Ответ прост: RFC 1583 содержит архитектурные недостатки, которые могут привести к образованию в сети петель маршрутизации.

Одно из наиболее ярких отличий между стандартами – вычисление метрики суммарного маршрута на ABR.

Читать далее
Всего голосов 3: ↑3 и ↓0+3
Комментарии2

Истории

Находчивость и смекалка. Как мы теперь чиним железки Cisco

Время на прочтение6 мин
Количество просмотров37K

В нашу лабораторию небольшим, но стабильным потоком потекли железки, которые раньше обслуживались в сервис-центрах производителей. Вместе с ними появились и новые загадочные случаи с почти необъяснимыми багами. Скажу честно, что мы не были к этому готовы, но стараемся изо всех сил. Сегодня расскажу о том, как искали причины и устраняли одну такую странную поломку в ASA, а заодно объясню, как наш отдел справляется со сложившейся ситуацией.

Читать далее
Всего голосов 85: ↑83 и ↓2+100
Комментарии95

IP MTU: как перестать жить и начать ботать заголовки

Уровень сложностиПростой
Время на прочтение3 мин
Количество просмотров6.3K

Старина IPv4… В сетевом мире он распространён так же, как и воздух на Земле. Однако несмотря на то, что миллионы людей используют этот протокол в повседневной жизни, у IPv4 всё ещё есть пара сюрпризов в рукаве. Сегодня мы рассмотрим один из них.

Читать далее
Всего голосов 10: ↑9 и ↓1+10
Комментарии1

Зачем OSPF нужен Forwarding address в зонах NSSA

Уровень сложностиПростой
Время на прочтение5 мин
Количество просмотров1.9K

В предыдущей заметке я описал, как можно заткнуть дыру в кривом дизайне OSPF – костылём, который усложняет и так запутанный OSPF.

NSSA-зона ещё больше усугубляет ситуацию: OSPF использует Forwarding Address в Type-5 LSA, которые транслированы из Type-7 LSA, чтобы обеспечить оптимальную маршрутизацию.

Читать далее
Рейтинг0
Комментарии2

OSPF Forwarding Address: ещё один костыль, часть 2

Уровень сложностиПростой
Время на прочтение3 мин
Количество просмотров1.8K

В первой заметке я описал типичный (насколько его проповедуют в интернете) сценарий использования Forwarding Address (FA): два ASBR подключены к одному внешнему сегменту, причём redistribution маршрутов настроен только на одном из них.

Очевидно, что такой дизайн плох с точки зрения отказоустойчивости, но, возможно, существуют сценарии, когда использование OSPF FA уместно?

Читать далее
Всего голосов 4: ↑4 и ↓0+4
Комментарии4

OSPF Forwarding Address: ещё один костыль

Уровень сложностиПростой
Время на прочтение4 мин
Количество просмотров2K

Один из моих читателей прислал мне любопытный вопрос об NSSA (подробнее в будущей статье), который побудил меня копнуть глубже вопрос о том, зачем понадобилось поле OSPF Forwarding Address (FA) в Type-5 и Type-7 LSA.

Читать далее
Всего голосов 4: ↑4 и ↓0+4
Комментарии2

Inter-AS mVPNs: MDT SAFI, BGP Connector & RPF Proxy Vector

Уровень сложностиСложный
Время на прочтение22 мин
Количество просмотров1.5K

Внедрение Inter-AS Multicast VPN сопряжено с рядом узких мест в случае, когда в ядре сети не используется протокол BGP. Эта статья описывает распространённое решение таких проблем, реализованное на базе Cisco IOS с использованием расширений протоколов MP-BGP и PIM.

Читать далее
Всего голосов 1: ↑1 и ↓0+1
Комментарии0

Route-based VPN между Linux StrongSwan и Cisco ISR

Время на прочтение4 мин
Количество просмотров8.8K

Всем доброго времени суток!

Захотелось поделиться реализацией Hun-and-Spoke VPN между Cisco ISR (в качестве споков) и Linux+StrongSwan swanctl (в качестве хабов).

Небольшая предыстория.

На данный момент, в нашей инфраструктуре используется моновендорная среда, базирующаяся на решениях Cisco. В свете последних событий, начали подыскивать возможные варианты замещения как на стороне бранчей (споков), так и на стороне хабов.

Хабы располагаются в ДЦ в виде Cisco CSR. И вот с ними и была основная проблема, так как отечественные решения не могут пока предложить что-то наподобие полностью готового виртуального роутера (поправьте в комментариях, если я ошибаюсь).

В итоге, пока остановились на решении Linux+StrongSwan+FRR.

Читать далее
Всего голосов 5: ↑4 и ↓1+4
Комментарии1

FHRP Nightmare: Пентест домена резервирования FHRP

Уровень сложностиСредний
Время на прочтение15 мин
Количество просмотров13K

Для того, чтобы повысить уровень отказоустойчивости своей сети на уровне маршрутизации, сетевые администраторы в большинстве случаев используют протоколы семейства FHRP. В рамках данной статьи ты узнаешь как пентестер может атаковать домены отказоустойчивости FHRP

Читать далее
Всего голосов 6: ↑5 и ↓1+5
Комментарии14

Как я Anyconnect на GitLab натягивал

Время на прочтение29 мин
Количество просмотров7.2K

Добрый день.

Меня зовут Василий и я сетевой инженер.

В данной статье хочу рассказать вам про шишки, которые мы насобирали, чтобы достичь удобного в администрировании и поддержке корпоративного VPN.

Хочу сразу предупредить, что в статье будет больше слов чем кода, так как больше хочется показать подход, нежели чем предоставить готовое решение.

Итак, поехали.

Поехали!
Всего голосов 10: ↑9 и ↓1+10
Комментарии11

Ближайшие события

GLBP Nightmare. Как атаковать протокол GLBP и перехватить трафик внутри сети

Уровень сложностиСредний
Время на прочтение6 мин
Количество просмотров7.2K

В моей статье ты узнаешь, что может значить наличие протокола GLBP в сети для пентестера. А также, будут рассмотрены превентивные меры, позволяющие повысить уровень безопасности домена GLBP. Эта работа содержит в себе теоретическую часть и практическую, в которой будет раскрыт импакт при проведении атаки.

Читать далее
Всего голосов 8: ↑7 и ↓1+6
Комментарии4

BlueTeam Trainings — разбор задания WireDive категории Digital Forensics от CyberDefenders

Уровень сложностиСредний
Время на прочтение9 мин
Количество просмотров4K

Это первая статья из цикла “BlueTeam Trainings”. CyberDefenders является учебно-тренировочной платформой, которая предоставляет возможность на практике проверять уже имеющиеся навыки и приобретать новые в области информационной безопасности.

Читать далее
Всего голосов 3: ↑3 и ↓0+3
Комментарии0

Cisco UCS C220 (Fabric Interconnection 6842) + Dell EMC VNX 5300

Время на прочтение3 мин
Количество просмотров2.7K
image

Началось с того, что у меня развалилась FS — подробнее тут. Бэкапов, конечно же, нет.
Как определил? Потребовалось прокинуть новый VLAN, а он прокидывается только Cisco UCS Manager далее (CUM). Перезагрузил Fabric B, она в варнинге (warning), подключился консольником и увидел ошибку, спустя 7 месяцев раздобыл ресурсы для того, чтобы все виртуалки перенести на другие сервера. Перенёс VM, перезагрузил Fabric A, и ВСЁ!!! Больше ничего не загрузилось.

Для меня этот зверь был необуздан, поэтому много искал и читал…

Для начала требуется скачать с оф. сайта прошивку. Несмотря на то, что у меня Interconnection 6248, прошивку скачивал для 6100 Series. Распаковал bin файл через 7zip и достал:

  • ucs-6100-k9-kickstart.5.2.3.N2.2.23e.bin;
  • ucs-6100-k9-system.5.2.3.N2.2.23e.bin;
  • ucs-manager-k9.2.2.3e.bin.

Поставил ноут, загрузился с Ubuntu, нажав при загрузке «Попробовать сейчас» (Try now), скачал и запустил SSH demon, потом установил статичный ip, подключился в первую фабрику.
Читать дальше →
Всего голосов 8: ↑8 и ↓0+8
Комментарии2

Выбор лучшего пути по версии BGP в L3VPN: скрытый нюанс

Уровень сложностиСредний
Время на прочтение8 мин
Количество просмотров4K

Если вы хоть раз настраивали MPLS L3VPN, то у вас не возникнет сомнения в том, что весь подход вертится вокруг BGP. Будучи протоколом маршрутизации с развитым чувством собственного достоинства (в конце концов, он является основой для интернета), BGP использует внушительный список атрибутов префикса, которые лежат в основе алгоритма выбора лучшего маршрута. Несмотря на неприличную длину этого списка, большинство параметров предназначены для обеспечения детерминированности результата алгоритма, а не для управления трафиком руками инженера. Впрочем, иногда даже самые популярные параметры не подходят для решения определённой задачи. Если вы видите EIGRP в связке с L3VPN, возможно, это наш сегодняшний пациент.

Читать далее
Всего голосов 2: ↑2 и ↓0+2
Комментарии3

Cisco Jabber и Skype for Bussiness. Часть первая

Время на прочтение7 мин
Количество просмотров7.1K
Во многих организациях стоит задача переезда с умирающего Skype for Bussiness на Cisco Jabber и/или Cisco Webex, но сделать это нужно плавно, не перегружая техническую поддержку организации и не вызывая большого недовольства переезжающих пользователей. В этом выпуске расскажу про свой опыт. Моей задачей стояло реализовать схему звонков, конференций всех типов, передачу сообщений и совместный доступ к экрану между пользователями Cisco Jabber/Cisco Webex и S4B по SIP URI, цифровая нумерация была не важна.


Читать дальше →
Всего голосов 5: ↑3 и ↓2+3
Комментарии8

Ремарки в Cisco IOS ACL

Время на прочтение4 мин
Количество просмотров6K

Недавно встретил среди своей команды некоторое непонимание принципов работы ремарок в списках доступа. Ремарки расценивались, как еще еще одна строка с правилом. Не было понимания, как работать с блоками правил под одной ремаркой и т.п.

Хотел найти внятное описание по этой теме, но к своему великому удивлению, ничего не нашел. Поэтому решил описать данную тему сам.

Читать далее
Всего голосов 5: ↑5 и ↓0+5
Комментарии5

Тропа OSPF: от LSA до графа

Уровень сложностиСредний
Время на прочтение18 мин
Количество просмотров7.4K

Роли LSA довольно подробно разобраны в разных источниках: router LSA описывает узлы графа, network LSA предназначен для широковещательных сегментов сети, summary LSA обеспечивает взаимодействие разных зон между собой… Однако собрать эти структуры данных воедино в целостный граф кажется мне достаточно нетривиальной задачей. Безусловно, RFC является источником абсолютного знания в такого рода вопросах, но лично мне сравнительно долго не удавалось его полноценно осознать. В этой статье я хотел бы поделиться своим представлением о назначении типов LSA, а также процессом построения графа на основе LSDB.

Читать далее
Всего голосов 5: ↑4 и ↓1+4
Комментарии5

Вклад авторов