Как стать автором
Обновить
3.52

Cisco *

Цисководы всех стран, присоединяйтесь!

Сначала показывать
Порог рейтинга
Уровень сложности

Продолжаем обновление IOS

Время на прочтение2 мин
Количество просмотров7.1K
Часто бывает так, что на одной площадке размещено однотипное оборудование. И чтобы быстрее обновлять IOS'ы я пользуюсь следующим приемом.
Читать дальше →
Всего голосов 6: ↑6 и ↓0+6
Комментарии12

Обновим IOS

Время на прочтение5 мин
Количество просмотров112K
Рано или поздно все мы сталкиваемся с тем, что нам нужно обновить IOS. Если Вы никогда этого не делали, но сделать надо, то этот пост для вас!
Читать дальше →
Всего голосов 9: ↑7 и ↓2+5
Комментарии9

Курс молодого бойца: защищаем сам маршрутизатор

Время на прочтение6 мин
Количество просмотров45K
Следуя аксиомам безопасности, будем считать, что любой узел в сети является потенциальной целью. Поэтому хорошо бы знать, какие потенциально уязвимые места есть у этих самых узлов. Рассмотрим маршрутизатор cisco. Сразу же возникнет возражения: их много, сервисы поддерживаемые – разные и вообще, трудно свалить в одну кучу CRS-1 и древний 1600. Однако, я не ставлю своей целью охватить всё, но кое какие общие вещи опишу.
Читать дальше →
Всего голосов 8: ↑7 и ↓1+6
Комментарии3

Курс молодого бойца: перехватывающая аутентификация на маршрутизаторах

Время на прочтение4 мин
Количество просмотров9.3K
Нечеловеческим усилием воли :) таки дописал обещанный кусочек по защите маршрутизатором — cut-through proxy. Я описал здесь далеко не все тонкости, а скорее как всегда «на пальцах», чтобы проще было понять. Умный боец да разберется дальше без меня :)

Задача этой технологии – проверять имя и пароль пользователя перед тем, как выпустить его наружу или пустить внутрь периметра. Это часть общей идеологии IBNS (Identity Based Network System), где определяющим является имя пользователя и именно по имени можно сопоставлять настройки конкретного клиента, например, список доступа, в котором описано, что можно данному клиенту.
Для проверки пользователей можно использовать внешние базы данных, доступных по протоколу TACACS (цискина технология, ТСР/49), RADIUS (стандартная технология, UDP/1645 или UDP/1812 для аутентификации, UDP/1646 или UDP/1813 для сбора статистики) или Kerberos 5 (технология Microsoft).

Читать дальше →
Всего голосов 5: ↑4 и ↓1+3
Комментарии3

Подготовка к CCIE. Лабораторные работы

Время на прочтение1 мин
Количество просмотров4.9K
Не так давно мне посчастливилось сдать на CCIE Security. Я покупал в Internetworkexpert.com «рабочие книги» (workbook). С апреля этого года лабы поменялись, но некоторые обновлённые лабы Internetworkexpert мне любезно предоставили :)
Я решил, что лабы могут пригодиться тем, кто думает готовиться к CCIE или интересно, что ещё можно накрутить на цисках по безопасности. В каждой лабе содержится описание, диаграмма, начальные конфиги и самое интересное — решение поставленных задачек.

Надеюсь, это будет небезынитересно :)

ЗЫ Сами лабы выложены на антициско.ру в закладке «Софт». Не буду давать прямую ссылку — хабр этого почему то не любит :/
Всего голосов 5: ↑5 и ↓0+5
Комментарии12

Настройка SSH в Cisco

Время на прочтение1 мин
Количество просмотров274K
image

Задача:

Настроить SSH в Cisco. Сделать SSH средой по умолчанию для терминальных линий.

Решение:

1. cisco> enable
2. cisco# clock set 17:10:00 28 Aug 2009
3. cisco# configure terminal
Читать дальше →
Всего голосов 3: ↑1 и ↓2-1
Комментарии19

Тестирование модуля Cisco NME-RVPN + ПО KAV

Время на прочтение3 мин
Количество просмотров4.8K
Не так давно пришлось тестировать модуль Cisco NME-RVPN с ПО KAV, в изготовлении которого поучаствовали 3 вендора:
— Cisco — которая предоставила аппаратную платформу;
— S-Terra — российская компания разработчик, которая разработала ПО реализующее ГОСТ'овую криптографию
— Лаборатория Касперского — предоставила решение по проверке http, ftp и smtp -трафика на вредоносный код, а также решение по проверке почтовых сообщений на спам (для тех, кто знаком с продуктами Kaspersky Lab, на модуле были установлены KAV 4 Proxy и SMTP Mail Gateway).
Читать дальше →
Всего голосов 4: ↑4 и ↓0+4
Комментарии6

Настраиваем EoMPLS на маршрутизаторах Cisco

Время на прочтение6 мин
Количество просмотров48K
Многие из тех, кто постоянно работает с сетями Internet, наверняка слышали о такой замечательной технологии как MPLS.
MPLS открывает нам такие новые возможности как AToM (Any Transport over Mpls),Traffic Engineering и пр.
AToM позволяет передавать поверх сети IP/MPLS трафик таких протоколов второго уровня как ATM, Frame Relay, Ethernet, PPP, и HDLC.
В данной статье я бы хотел остановиться на технологии EoMPLS.

image
Дальше...
Всего голосов 26: ↑25 и ↓1+24
Комментарии42

Задачка на мультикаст с маршрутизаторами cisco

Время на прочтение1 мин
Количество просмотров7.8K
По материалам 5ой Российской Олимпиады cisco, где мне довелось проучаствовать в придумывании и тестировании задачек для финалистов, родилась такая непростая задачка:

Рассмотрим простейшую схему:

image

есть маршрутизатор cisco, за одним интерфейсом расположен компьютер с программой, принимающей потоковую передачу (например, VLC Player), за другим — передающая станция, вещающая поток (например, видео) на некоторый мультикастовый адрес.

Вы можете менять мультикастовый адрес потока, на который вещает сервер.

Задача1: можно ли заставить компьютер принять поток, не прибегая к мультикастовой машрутизации?
Задача2: можно ли заставить принять поток с условием, что вы вообще не знаете, что такое мультикаст, как работает и как настраивается?

ЗЫ Эту нетипичную задачку (второй вариант) из 30 человек решили 1.5 человека. Интересно, решите ли вы, ведь ваш уровень существенно выше CCNA, к коим относятся все участники Олимпиады.

ЗЫ Если вы желаете высказаться, но являетесь лишь читателем habra, заходите на форум на сайте www.anticisco.ru, где в разделе «Задачки на сообразительность» она продублирована. Регистрация на сайте простая.
Всего голосов 5: ↑4 и ↓1+3
Комментарии17

Защищаемся маршрутизатором: QoS

Время на прочтение11 мин
Количество просмотров187K
QoS — тема большая. Прежде чем рассказывать про тонкости настроек и различные подходы в применении правил обработки трафика, имеет смысл напомнить, что такое вообще QoS.

Quality of Service (QoS) — технология предоставления различным классам трафика различных приоритетов в обслуживании.

Во-первых, легко понять, что любая приоритезация имеет смысл только в том случае, когда возникает очередь на обслуживание. Именно там, в очереди, можно «проскользнуть» первым, используя своё право.
Очередь же образуется там, где узко (обычно такие места называются «бутылочным горлышком», bottle-neck). Типичное «горлышко» — выход в Интернет офиса, где компьютеры, подключенные к сети как минимум на скорости 100 Мбит/сек, все используют канал к провайдеру, который редко превышает 100 МБит/сек, а часто составляет мизерные 1-2-10МБит/сек. На всех.

Во-вторых, QoS не панацея: если «горлышко» уж слишком узкое, то часто переполняется физический буфер интерфейса, куда помещаются все пакеты, собирающиеся выйти через этот интерфейс. И тогда новопришедшие пакеты будут уничтожены, даже если они сверхнужные. Поэтому, если очередь на интерфейсе в среднем превышает 20% от максимального своего размера (на маршрутизаторах cisco максимальный размер очереди составляет как правило 128-256 пакетов), есть повод крепко задуматься над дизайном своей сети, проложить дополнительные маршруты или расширить полосу до провайдера.

Разберемся с составными элементами технологии

(дальше под катом, много)
Читать дальше →
Всего голосов 30: ↑29 и ↓1+28
Комментарии24

Просили-рассказываем: ASA 8.2 SSLVPN Shared Licenses

Время на прочтение3 мин
Количество просмотров5.1K
Начинаю надеюсь серию публикаций по Вашим просьбам :)
Начну вкратце с новой фичи ASA 8.2 (пусть опять обвинят в рекламе :))

В крупных компаниях часто возникает ситуация, когда точек подключения шифрованных туннелей — несколько. Пользователь подключается к той железке, которая ему ближе (настроена по умолчанию, динамически выбирается). Раньше приходилось на каждую железяку покупать довольно много лицензий. Это была бы небольшая проблема, если бы лицензии стоили недорого. Но удобная технология SSLVPN у циски стоит дорого.
К тому же циска официально объявила тендецию к переводу всех на SSLVPN, вместо IPSec VPN.

В версии ОС 8.2 эта проблема была решена.

Появилась такая фича, как разделяемые лицензии (shared licenses). Их суть в том, что покупается одна пачка лицензий, о ней знает сервер лицензий (АСАшка). Остальные точки подключения (пока только АСАшки, но впоследствии и рутеры) по необходимости лезут на сервер лицензий и просят себе расширить квоту.

Подробнее читаем под катом

Читать дальше →
Всего голосов 2: ↑0 и ↓2-2
Комментарии5

ADSL-интернет

Время на прочтение5 мин
Количество просмотров81K
Наверно тот у кого доступ в интернет осуществляется по ADSL заглядывал в настройки модема и натыкался на параметры vpi/vci. Впервые с ними столкнувшись возникает резонный вопрос «что это и для чего?» В этой статье я решила рассказать немного подробнее о том как осуществляется доступ по технологии ADSL, про PPPoE и конечно же про параметры vpi/vci.

Connecting...
Всего голосов 131: ↑128 и ↓3+125
Комментарии47

Маленькая задачка про ASA с глубоким смыслом :)

Время на прочтение1 мин
Количество просмотров4K
Мне часто задают очень похожие вопросы и я решил оформить их в виде задачки. Она не сложная, но надо знать, как это делается. После взлома головы, если вдруг не решите — расскажу непременно!

Итак, задачка:

Смотрим картинку:
image

Пусть есть ASA с версией ОС 8.0(4) как IPSec VPN концентратор. К ней подключаются клиенты. (Как вариант, это могут быть и компьютеры и маленькие железки, работающие как клиенты).

Задача: разрешить подключаться к ASA только из доверительных сетей (вариант: запретить подключаться из недоверительных сетей). Для клиентов из недоверительных сетей не должно происходить подключения вообще.

Пример применения: ваш VPN концентратор валят DoSом из Китая из сети 218.192.0.0/16. Надо запретить попытки подключения компам из этой сети.

Дерзайте!
Всего голосов 21: ↑16 и ↓5+11
Комментарии17

Ближайшие события

Multicast routing для IPTV

Время на прочтение8 мин
Количество просмотров220K
Один очень близкий мне человек, поклонник Хабра, захотел внести вклад в развитие блога Cisco. Являясь яростным поклонником того, что создает эта корпорация, он захотел поделиться опытом. =) Надеемся росчерк пера удался.

Относительно недавно мне посчастливилось познакомить и даже поконфигурять multicast routing для IPTV. Изначально, я с этой темой была совершенно не знакома, и это заставило меня вылакать горлышко от цистерны водки перекопать огромное количество документации, чтобы войти в курс дела.

И вот незадача. Обычно в документации выкладывают все и сразу и для человека, впервые столкнувшегося с этой темой, не понятно с чего начать. Во время чтения pdf’ок я ловила себя на мысли, что было бы неплохо наткнуться где-нибудь на статью, которая могла бы коротким путем провести от теории к практике, чтобы понять с чего стоит начать и где заострить внимание.

Мне не удалось обнаружить такую статью. Это побудило меня написать эту статейку для тех, кто также как и я столкнется с вопросом, что это за зверь IPTV и как с ним бороться.
Я хочу смотреть IPTV
Всего голосов 52: ↑48 и ↓4+44
Комментарии51

Курс молодого бойца: защищаемся маршрутизатором. Продолжение: NBAR

Время на прочтение2 мин
Количество просмотров23K
На многих маршрутизаторах, даже в базовом IOS есть довольно удобная и наглядная цискина технология: Network-Based Application Recognition (NBAR). При помощи неё маршрутизатор может распознать различные протоколы и приложения и при необходимости использовать эти знания для реализации качества обслуживания (QoS)

Каким же образом маршрутизатор может выделить из трафика различные протоколы?
Читать дальше →
Всего голосов 4: ↑4 и ↓0+4
Комментарии3

Курс молодого бойца: защищаемся маршрутизатором. Продолжение: IPS

Время на прочтение5 мин
Количество просмотров31K
Система предотвращения вторжений (Intrusion Prevention System, IPS).

Вообще линейка продуктов по системе предотвращения вторжений у компании cisco довольно широкая. Туда входят отдельно стоящие сенсоры IPS серии 42ХХ, модуль в 6500 — IDSM2, модуль в ASA — AIP-SSM, модуль в маршрутизатор (ISR) — NME-IPS, «карточка» в ISR — AIM-IPS. Ту же идеологию циска старается привнести и в софтовые решения на базе ISR, добавляя в IOS соответсвующий функционал.

Вся идеология обнаружения и предотвращения вторжений основана на понятии сигнатуры. Сигнатура по сути шаблон «неправильности» в одном пакете или потоке.

«Неправильности» бывают разные, начиная от типичных методов разведки и заканчивая сетевыми червями. Эти шаблоны старательно пишутся программистами циски и доходят до пользователя в виде обновлений. Т.е. система реактивна по своей сути и основана на постоянных обновлениях, что стоит денег. Лицензии на обновления привязываются к каждой железке непосредственно. Без лицензии можно менять ОС, но нельзя накатить обновления сигнатур.

Немного истории систем обнаружения и предотвращения вторжений на базе маршрутизаторов.
Читать дальше →
Всего голосов 5: ↑5 и ↓0+5
Комментарии3

Курс молодого бойца cisco: защищаем периметр маршрутизатором

Время на прочтение4 мин
Количество просмотров62K
Не претендуя на полноту изложения, попробую описать технологии, которыми можно воспользоваться для защиты периметра.

Рассматривать будем IOS с firewall feature set. Этот набор возможностей, как правило, есть во всех IOSах (в которых есть шифрование), кроме самого базового.

Итак, пусть на границе нашей сети стоит машрутизатор cisco, который и призван обеспечивать безопасность наших внутренних ресурсов.

Защищаем трафик.
Читать дальше →
Всего голосов 30: ↑25 и ↓5+20
Комментарии26

А теперь обещанная задачка посложнее

Время на прочтение2 мин
Количество просмотров2.6K
Надеюсь, вам не надоело разминать мозг :)

Обещанная задачка. Она же опубликована на ввв.антициско.ру. Надеюсь, там тоже народ подключится, можно будет подглядывать :))

Задачка, естесственно, умозрительная. Она имеет даже не одно, а минимум 2 совершенно разных решения. Не надо меня ругать за оторванность от жизни: это тренировка :) Итак:
_________________________________________________________________________________________
Читать дальше →
Всего голосов 14: ↑10 и ↓4+6
Комментарии53

Курс молодого бойца: тонкости настроек маршрутизаторов и коммутаторов

Время на прочтение3 мин
Количество просмотров25K
Будем считать, что вы уже активно осваиваете хитрости настройки через консоль. Пришло время рассказать ещё несколько тонкостей. О чём имеет смысл подумать при настройке маршрутизаторов и коммутаторов cisco.

Тонкость 1. Аккуратность.
Часто возникает задача что-нибудь добавить в текущую конфигурацию. Наверняка вы знаете, что многие элементы пишутся отдельно, а отдельно применяются (на интерфейс, ко всей железке и т.д.). Будьте крайне осторожны, изменяя настройки таких технологий, как PBR (route-map), QoS (policy-map), IPSec (crypto map), NAT. Лучше всего сначала снять их с использования, потом изменить, потом повесить снова. Связано это с тем, что все изменения вы вносите сразу же в состояние железки. Иногда то, что уже работает (например, подгружено в оперативку) конфликтует с новым конфигом. Не редки ситуации, когда железка уходит в перезагрузку после попытки изменения конфига.

Пример: пусть у нас есть route-map, примененный на интерфейс. Пусть нам надо его изменить. Наиболее «чистый» способ такой:

Читать дальше →
Всего голосов 41: ↑36 и ↓5+31
Комментарии40

Простая задачка. Для тех, кому уже не интересно читать про консоль :)

Время на прочтение1 мин
Количество просмотров2.3K
Оригинал задачки опубликован здесь

Требуется без применения статической маршрутизации или PBR связать две сети.
Грубо говоря, на роутерах настроены

(config-if)# ip address 10.X.X.1 255.255.255.0
(config-if)# no shut

и всё :)
Посередине там стоит ASA, но это большой рояли не играет. Задачка решается просто и если вместо ASA поставить маршрутизатор.

Поиграйте воображением: как заставить ходить пакеты? Если приведете команды — вообще хорошо будет :)

ЗЫ Картинки пока как то не хотят вставляться. Учусь :)


Дерзайте!

UPD Естесственно, что никакой динамической маршрутизации тоже нет. Впрочем, это легко понять: в конфиге конечных роутеров ничего нет, кроме указанных строк. Ну пусть для строгости, разрешено на них ходить по telnet/ssh/http
Всего голосов 15: ↑8 и ↓7+1
Комментарии66

Вклад авторов