Cisco *

В продолжение к посту.
В прошлый раз я рассматривал соединение, когда со стороны циски и микрота были реальные IP'ы.
Здесь рассмотрю пример «серого реальника», т.е серый IP, который провайдер маскирует у себя под внешний с безусловной переадресацией (binat).

Техническая задача: организовать ipip-тоннель между офисами, с шифрованием ipsec, при помощи Mikrotik RB450G и Cisco 2821.

Ньюансы

на циске внешний IP, а на микротике серый, который маскируется провайдером под внешний, с безусловной переадресацией (обращения к этому внешнику из интернета редиректятся на интерфейсный, серый «IP»).
Схема:

Всем доброго дня!

В этой статье я бы хотел поговорить про возможности Cisco IOS Access Control Lists (ACLs). Тема многим из вас должна быть знакомой, поэтому мне хочется обобщить информацию по разным типам ACLs. Я кратко пробегусь по основам, а затем поговорим про специальные типы ACLs: time-based (на основе времени), reflexive (отражающие), dynamic (динамические). Итак, начнем…

В прошлой статье мы рассмотрели основные моменты настройки сетевого оборудования HUAWEI и остановились на статической маршрутизации. В сегодняшнем топике речь пойдёт о динамической маршрутизации по протоколу OSPF совместно с маршрутизаторами Cisco. Добро пожаловать под кат.

Cisco ACS (Access Control Server) — система для централизованной аутентификации, авторизации и аккаутинга пользователей на всякого рода оборудовании, в частности на активном сетевом оборудовании различных производителей.

Имея достаточно небольшой опыт работы системным администратором в крупной компании enterprise сегмента пришёл к выводу, что каждый системный администратор в идеале должен иметь одну учётную запись для авторизации на всех необходимых ему ресурсах: сетевое оборудование, серверы, рабочие станции и т. д. Это связано как с удобством администрирования, так и с безопасностью. В случае увольнения человека можно залочить всего одну учёту в одном хранилище и пропадёт доступ абсолютно ко всему. Но идеальных случаев, как известно, не бывает. В статье мы попробуем приблизиться к идеалу и настроим авторизацию пользователей на активном сетевом оборудовании с использованием учётной записи Active Directory.

HUAWEI – одна из крупнейших китайских компаний в сфере телекоммуникаций. Основана в 1988 году.

Компания HUAWEI достаточно недавно вышла на российский рынок сетевого оборудования уровня Enterprise. С учётом тенденции тотальной экономии, на нашем предприятии очень остро встал вопрос о подборе достойной замены оборудованию Cisco.
В статье я попытаюсь рассмотреть базовые аспекты настройки сервисов коммутации и маршрутизации оборудования HUAWEI на примере коммутатора Quidway серии 5300.

Существуют рекомендованные, общепринятые средства сбора логов сетевого оборудования — SNMP, syslog и иже с ними. Обычно они прекрасно работают, но временами требуется нечто большее.

Техническая задача: организовать ipip-тоннель между офисами, с шифрованием ipsec, при помощи Mikrotik RB450G и Cisco 2821.

Ньюансы

• последняя версия софта на микроте (5.20)
• тип тоннеля на циске IPIP
• тип трансформы «transport», вместо «tunnel»

Исходные данные

• Cisco 2821 (OS v12.4)
• 2. Mikrotik RB450G
• 3. Реальные внешние IP на обоих устройствах
• 4. Адрес циски: 77.77.77.226. Подсеть со стороны циски: 10.192.0.0/22
• 5. Адрес микротика: 88.88.88.2. Подсеть со стороны микротика: 192.168.88.0/24

Предыстория

Столкнулся по работе с необходимостью замены серверов в наших филиалах, на что-нибудь более надёжное, аппаратное.
Связь у нас с центральным офисом осуществляется через тонели с шифрованием ipsec. В центральном офисе у нас, собственно всё на кошкообразных построено, а в большинстве филиалов стоят обычные сервера под FreeBSD, которые цепляются тонелями, с помощью racoon.
Встала задача, в связи с устареванием, выходом из строя самих серверов, начать устанавливать простые, недорогие аппаратные решения.

Братья по-разуму, коллеги и форумы натолкнули меня на изделия Mikrotik, и сразу же я направил к ним письмо следующего содержания:

Использование BGP при наличии двух каналов в Интернет для выборочного анонсирования

Вводные данные

При наличии двух собственных подсетей /24, столкнулся с необходимостью стандартной работы BGP, и погуглив, обнаружил минимальное количество информации по этой теме. На просторах рунета, в основном рассматриваются случаи, когда имеется одна сетка /24, и 2 провайдера, один из которых используется, как резервный. Да даже и этот случай рассмотрен некорректно, либо разрознено, нормально встретил описания только на англоязычных ресурсах.

Сразу же оговорюсь — рассматриваемые фичи CiscoOS: EXIST-MAP и NON-EXIST-MAP не поддерживаются UNIX-аналогами (типа Quagga).

В данной статье я рассмотрю два примера конфигов, исходя из следующих данных.

1. У нас есть два канала: основной рабочий и резервный. Оба провайдера анонсируют нам дефолт. Использование обоих каналов для нас нежелательно. Мы, в свою очередь, будем анонсировать им свои подсети, но если жив основной канал — анонс наших префиксов в резервный канал мы принудительно запретим, и будем анонсировать, только в случае падения рабочего канала
2. У нас есть два рабочих канала. И нам необходимо, чтобы через первый канал всегда работала (анонсировалась) наша первая подсеть, а через второй канал — наша вторая подсеть. Оба провайдера при этом анонсируют нам дефолты. В случае, если падает один из каналов — мы переносим анонс с этого канала, на оставшийся в живых. При возобновлении работы упавшего канала — возвращаем анонсы в начальный вид — по одной подсети через каждого провайдера

Теория:

По роду своей деятельности, достаточно часто приходилось слышать от счастливых обладателей Cisco ASA в базовом комплекте поставки (без дополнительных дорогостоящих модулей типа CSC-SSM), в принципе как и других SOHO\SMB маршрутизаторов данного производителя, нарекания на достаточно слабые возможности фильтрации URL, проксирования и других вкусностей, которые умеет делать даже самый простенький проски-сервер.

Однако из этого положения есть выход и достаточно простой. В этой статье я вам покажу пример работы связки Cisco ASA5510 + Squid, которая отлично справляется с поставленными задачами.

Имеется один реальный ip (1.1.1.1), три внутренние подсети 192.168.2.0/24 192.168.3.0/24 172.16.0.0/24. Так же имеется дама из бухгалтерии у которой должен работать клиет-банк через наш NAT. SSM-CSC-10 модуль подключен патч-кордом в порт асы f0/3.

Немного про ASA 5510
Основной принцип настройки интерфейсов ASA сводится к назначению security-level от 0 до 100.
0 ставится на незащищённую сеть, как правило внешнюю.
100 ставится на внутреннюю сеть которую нам надо защитить.

Для того чтобы пакет прошел из интерфейса где security-level =0 в интерфейс где security-level =100 нужно создать разрешающее правило в access-list. Нам это понадобиться когда мы будем прокидывать во «внутрь» порт через NAT к нашему клиет-банку в бухгалтерию, а так же для ssh доступа к секурити модулю.

Сразу скажу что у asa 5510 нет своего telnet клиента и это весьма печально. Но выход есть.
Сводится все к тому что в модуле ASA-SSM-CSC-10 стоит наш любимый Linux, поэтому нам надо получить root консоль модуля, а оттуда уже telnet.
Логин пароль по умолчанию на ASA-SSM-CSC-10 модуль cisco Cisco.

• Активируем root аккаунт в модуле
• Заворачиваем NAT-ом tcp порт, например 5555, на ssh порт модуля (В нашем примере у модуля будет ip 192.168.1.1 и порт ssh 22)
• Разрешаем tcp порт 5555 в access-list
• Подключаемся извне по ssh на порт 5555. И вуаля попадаем в bash консоль модуля.
• Дальше заветная команда telnet

Последние несколько лет мою квартирную сеть (12 компьютеров и с десяток Wi-Fi устройств) верой и правдой обслуживала cisco 2651XM. Телефония (12FXS и 4FXO на NM-HDA) и два провайдера по 30 Мбит унлимитного интернета от каждого. До активного пользования торрентами всеми членами семьи она справлялась на отлично, но при запущенном юторренте, более чем на одном компьютере 2651XM полностью загибалась. Потратив месяц на оптимизацию и не найдя достойных компромиссов, железка была отправлена на заслуженную пенсию (на komok.com, где за сущие копейки тут же обрела себе нового хозяина...), а на боевое дежурство встала cisco 2821. Сериал про борьбу с собственной жабой на тему доп. инвестиций в домашнюю сеть в размере 700$ я упущу… Как и полагается железка была взята юзаной, с минимальной памятью 256М и уже с весьма сильно шумящими вентиляторами, на которые железка активно ругалась, назойливо выдавая сообщение о периодической остановке одного из вентиляторов и низких оборотах на двух других. Вскрытие чистка и смазка вентиляторов решили проблему увы только частично. Один из вентиляторов полностью «воскресить» в итоге так и не удалось, слишком поздно увы! Он слишком долго проработал в пыли и без смазки, по этому хоть крутиться и начал и даже шуметь практически перестал, но должных оборотов уже не дает. Придется менять! :( Пробежавшись по ебаю, увидел их минимальную цену равную 22$, что меня само собой не вдохновило! 700р за вентилятор, да еще и пара недель ожиданий!

Иногда, а скорее всего довольно часто, возникает необходимость обеспечения отказоустойчивости серверов или ещё лучше приложений, запущеных на этих самых серверах.

Способов это сделать довольно много:
— может сам сервис изначально придуман с возможностью отказоустойчивости — его можно запустить на нескольких серверах и клиент сам найдет рабочий из списка;
— можно наворотить кластер средствами операционной системы;
— можно придумать что-то с виртуализацей (тот же кластер, только вид сбоку);

Но к сожалению иногда, и таки довольно часто в моей личной практике, возникает ситуация выходящая за рамки этих возможностей: денег нет, сеть есть, приложение самописное на коленке — кластер не соберешь, клиентская часть умеет ходить только на один сервер. И вдруг это приложение стало критичным, надо сделать 25x8x366. Под катом один из довольно безобидных способов.

После долгой работы с Linux и Cisco через консоль, я начинаю путаться и писать цисковые команды в BASH и наоборот. К моему раздражению, они не делают того, что я хочу, чтобы они делали. Поэтому я придумал небольшой хак для BASH, который позволяет эмулировать пару команд IOS CLI в баш. Делается это так:

echo 'alias show="cat"' >> ~/.bashrc
echo 'alias i="grep --color"' >> ~/.bashrc

После перелогина, в баше можно делать так:

В самом начале преподавания в сетевой академии Cisco, я столкнулся с проблемами, с которыми, наверное, сталкивается каждый начинающий инструктор.

Во-первых, не знал каким образом начать курс преподавания, сколько времени выделить на преподавание теоретической и практической части, учитывая, что на весь курс выделяется около шести месяцев.

Во-вторых, какие основные понятия должны освоить студенты для успешного освоения курса и последующей сдачи экзаменов. Столкнувшись с такими проблемами, стал искать решения. Перепробовав многие методы, остановился на ментальных картах, которые по моему мнению является если не идеальным, но упрощающим методом в систематизировании знаний.

Какие задачи преследует данная статья:
1) Дать определение ментальных карт;
2) Описать структуру курсов Cisco CCNA Exploration;
3) Показать примеры использования ментальных карт в данном курсе;
4) Описать преимущества перед обычными методами преподавания.

Рад приветствовать всех хабражителей.
В соответствии с новыми требованиями, на работе стали создаваться резервированные каналы связи, при первичной настройке которых, балансировка траффика в EIGRP не заработала, пришлось разбираться с этим интересным вопросом.

Схема сети

Дано:
У нас есть сеть 172.18.230.224/27, назовем её «нашей сетью», из нее передаются очень важные данные в две других сети ID и IE соответственно. Передача должна осуществляться по резервированным каналам связи, то есть у нас есть основной и резервный каналы. Два интересных нюанса:
1) В сеть ID настроена статическая маршрутизация и, sla-monitors и ip load-sharing per-packet, балансировка работает исправно;
2) В сети IE работает протокол динамической маршрутизации EIGRP и при первичной настройке балансировка не заработала, а почему, разберемся далее.

27 февраля 2012 на конференции RSA Conference, Cisco Systems анонсировала обновление линейки межсетевых экранов Cisco ASA, её дополнят 5 новых моделей: 5512-X, 5515-X, 5525-X, 5545-X и 5555-X.

В качестве основных нововведений, заявляется:

• Четырёхкратный рост производительности, пропускная способность МСЭ составляет 1 — 4 Гбит/с, 250 Мбит/с — 1,3 Гбит/с для IPS и 200 — 700 Мбит/с для VPN
• Монолитное шасси, включающее модули ускорения и расширения — дополнительные функции активируются программным ключем
• Переход на 64-разрядную архитектуру с оптимизацией под многоядерные процессоры и возможностью запуска дополнительных сервисов в будущем с помощью обновления ПО

Дата прекращения поддержи текущих моделей (ASA 5505, 5510, 5520, 5540 и 5550) не сообщается.

Сегодня мы рассмотрим разнесение на разные компьютеры оболочки GNS3 и эмулятора Cisco IOS Dynamips.

Дано:
мощный сервер (дом/работа/Hetzner/Amazone) и достаточно слабое рабочее место (ноутбук/нетбук/etc.).
Задача:
перенести нагрузку от эмуляции большого числа IOS на сервер для комфортной работы.
Решение:
Будут рассмотрены несколько вариантов — штатный (! Да, вы не замечали в настройках вкладку «Гипервизоры»? ) и работающие с костылями [unix way], но на мой взгляд несколько удобней.

Для работы будем использовать следующее ПО:
— GNS3 0.8.2-BETA, но должно работать и на ветке 0.7.x
— Dinamips 0.2.8-RC2
— Linux Ununtu 11.10 / Windows 7
— bash, tmux, ssh

Решил я найти замену своему D-Link DIR-300, т.к. держать качественное соединение с моим новым провайдером по L2TP он упорно отказывался, да и вообще железка морально устарела. Перечитав кучу обзоров домашних маршрутизаторов я понял, что, в принципе, они все одинаковые: с одинаковыми возможностями и скучным web-интерфейсом. А всякие плюшки, вроде внешних накопителей и торрент клиентов, мне и даром не надо. Квартира у меня маленькая, поэтому вариант установки отдельного компа по типу hp micro server не подходит, да и денег жалко.

Эмулятору GNS3 на хабре была посвящена не одна статья, и думаю, что многие, кто работает с оборудованием Cisco, сталкивались с необходимостью запуска сетевого оборудования в виртуальной среде для проверки интересующих топологий и решений, при отладке неработающих конфигураций, либо просто при подготовке к сертификации или изучении той или иной технологии.

В последних версиях GNS3 появилась возможность эмуляции такого устройства, как Cisco ASA. Это устройство является многофункциональным межсетевым экраном, может работать в различных режимах (routed/transparent; single/multiple context), применяться в отказоустойчивых конфигурациях (active/standby; active/active) и т.д. В статье приводятся результаты тестирования и выводы, насколько полно поддерживается данный функционал при виртуализации этого устройства в GNS3.

Привет всем!
Не могу удержаться и не поделиться опытом реализации такой нужной фичи как call paging на Cisco CallManager. Работать это должно примерно так:

1. абонент снимает трубку, нажимает клавишу доступа к функции и начинает вещать;
2. заранее определенные телефоны получают и воспроизводят звук через свои динамики громкой связи.

К сожалению, несмотря на то, что пейджинг – стандартная функция любой традиционной АТС, CCM его не умеет. Однако, благодаря встроенному в телефоны серии 7900 XML-браузеру, пейджинг (и не только его) можно реализовать в виде сервиса.