Cisco *

Типичная задача, которая тем не менее, продолжает вызывать массу вопросов.

Попробую вкратце описать суть технологии и подводные камни.

Итак, пусть у нас есть один пограничный маршрутизатор cisco с одним внутренним портом (g0/0) и двумя внешними (f0/0, f0/1). Есть подключение к двум провайдерам, каждый из которых выдал свой пул адресов Pool(ISP1) и Pool(ISP2) (это некоторые сети, принадлежащие конкретному провайдеру). Пусть для простоты адреса интерфейсов f0/0 и f0/1 из этих же пулов. И адреса шлюзов из этих же пулов (Gate(ISP1) и Gate(ISP2) соответственно).
Так как у нас нет возможности поднять BGP, значит мы должны на каждого из провайдеров прописать маршрут по умолчанию. И вот тут возникает первый вопрос: какую задачу мы хотим решить? Резервирование или одновременная работа с двумя провайдерами?

Начнем, пожалуй, с базовых настроек интерфейсов и маршрутизации, а также настройки подключений для удаленного администрирования

Настройка интерфейсов

Cisco ASA является аппаратным межсетевым экраном с инспектированием сессий с сохранением состояния (stateful inspection). ASA умеет работать в двух режимах: routed (режим маршрутизатора, по умолчанию) и transparent (прозрачный межсетевой экран, когда ASAработает как бридж с фильтрацией). Мы познакомимся с работой в первом режиме и далее везде будем его подразумевать, если явно не указан иной режим.

Предисловие: читая курсы о безопасности cisco (вот уже 7 лет, много как то :)) сталкиваюсь с одними и теми же вопросами. Давно уже хочу излить ответы на бумаге ибо повторять одно и то же уже нет сил :) Поэтому попробую тезисно, емко рассказать об основных особенностях работы cisco ASA, настройке основных технологий с использованием CLI (настройка через web интерфейс при понимании технологии не сложна) а также некоторых дизайнерских моментах. Если не указано явно, то речь идёт об версии ОС 8 и лучше.

Доброе время суток.
Работаю в небольшой провайдерской компании. Несомтря на то, что компания небольшая, в ней в полный рост исползуется технология MPLS, в том числе и AToM, и кроссоператорские VPN подключения. О EoMPLS статья уже была, поэтому хочу рассказать о возможностях создания клиентских MPLS VPN через сети нескольких првайдеров.
Первый возможный вариант — Inter-AS MPLS Option A.

У вас есть маршрутизатор. На нем 2 интерфейса fastethernet. Администраторы, настраивавшие его до вас, в целях экономии интерфейсов и физической пропускной способности настроили его довольно странно:
— На каждом интерфейсе есть 2 подинтерфейса (vlan 10,100 на f0/0 и vlan 20,200 на f0/1)
— Vlan 10 и 20 смотрят на провайдеров (сети 192.168.10.1/24, 192.168.20.1/24)
— Vlan 100 и 200 смотрят в локальные сети (10.100.100.1/24 и 10.200.200.1/24)

Представьте задачу — есть офис, подключенный к 2м различным интернет-провайдерам посредством маршрутизатора от Cisco и вам необходимо обеспечить резервирование сервиса.

Вариантов решения может быть несколько (2 статических маршрута по умолчанию, динамическая маршрутизация, etc.), но всегда есть ограничения для их использования. Например, 2 статических маршрута по умолчанию будут выполнять поставленную задачу только в случае падения line protocol на интерфейсе в сторону провайдера.

Самостоятельно её не решил никто из соревновавшихся. Попробуйте и вы ваши силы :)

Итак, у вас есть довольно простая топология

Так как приходится работать с разным оборудованием, и большими сетями, иногда возникают спорные вопросы, которых в книгах\интернете найти очень проблематично, намного лучше задать свой вопрос в списках рассылки, да и с единомышленниками пообщаться за одно. Поэтому предлагаю вашему вниманию пару рассылок на сетевую тематику:
1) puck.nether.net Лично я подписан на cisco-nsp. По поводу народа который там общается, был замечен автор книг, которые выходили на Сisco Press, и достаточно большое кол-во людей с сертификатами ССIE.
2) groupstudy расслыки предназначены для помощи друг другу с лабами для подготовки к CCIE.
UPD
Ещё рассылки посвящённые подготовке к лабам по CCIE сертификации onlinestudylist

Часто бывает так, что на одной площадке размещено однотипное оборудование. И чтобы быстрее обновлять IOS'ы я пользуюсь следующим приемом.

Рано или поздно все мы сталкиваемся с тем, что нам нужно обновить IOS. Если Вы никогда этого не делали, но сделать надо, то этот пост для вас!

Следуя аксиомам безопасности, будем считать, что любой узел в сети является потенциальной целью. Поэтому хорошо бы знать, какие потенциально уязвимые места есть у этих самых узлов. Рассмотрим маршрутизатор cisco. Сразу же возникнет возражения: их много, сервисы поддерживаемые – разные и вообще, трудно свалить в одну кучу CRS-1 и древний 1600. Однако, я не ставлю своей целью охватить всё, но кое какие общие вещи опишу.

Нечеловеческим усилием воли :) таки дописал обещанный кусочек по защите маршрутизатором — cut-through proxy. Я описал здесь далеко не все тонкости, а скорее как всегда «на пальцах», чтобы проще было понять. Умный боец да разберется дальше без меня :)

Задача этой технологии – проверять имя и пароль пользователя перед тем, как выпустить его наружу или пустить внутрь периметра. Это часть общей идеологии IBNS (Identity Based Network System), где определяющим является имя пользователя и именно по имени можно сопоставлять настройки конкретного клиента, например, список доступа, в котором описано, что можно данному клиенту.
Для проверки пользователей можно использовать внешние базы данных, доступных по протоколу TACACS (цискина технология, ТСР/49), RADIUS (стандартная технология, UDP/1645 или UDP/1812 для аутентификации, UDP/1646 или UDP/1813 для сбора статистики) или Kerberos 5 (технология Microsoft).

Не так давно мне посчастливилось сдать на CCIE Security. Я покупал в Internetworkexpert.com «рабочие книги» (workbook). С апреля этого года лабы поменялись, но некоторые обновлённые лабы Internetworkexpert мне любезно предоставили :)
Я решил, что лабы могут пригодиться тем, кто думает готовиться к CCIE или интересно, что ещё можно накрутить на цисках по безопасности. В каждой лабе содержится описание, диаграмма, начальные конфиги и самое интересное — решение поставленных задачек.

Надеюсь, это будет небезынитересно :)

ЗЫ Сами лабы выложены на антициско.ру в закладке «Софт». Не буду давать прямую ссылку — хабр этого почему то не любит :/

Задача:

Настроить SSH в Cisco. Сделать SSH средой по умолчанию для терминальных линий.

Решение:

1. cisco> enable
2. cisco# clock set 17:10:00 28 Aug 2009
3. cisco# configure terminal

Не так давно пришлось тестировать модуль Cisco NME-RVPN с ПО KAV, в изготовлении которого поучаствовали 3 вендора:
— Cisco — которая предоставила аппаратную платформу;
— S-Terra — российская компания разработчик, которая разработала ПО реализующее ГОСТ'овую криптографию
— Лаборатория Касперского — предоставила решение по проверке http, ftp и smtp -трафика на вредоносный код, а также решение по проверке почтовых сообщений на спам (для тех, кто знаком с продуктами Kaspersky Lab, на модуле были установлены KAV 4 Proxy и SMTP Mail Gateway).

Многие из тех, кто постоянно работает с сетями Internet, наверняка слышали о такой замечательной технологии как MPLS.
MPLS открывает нам такие новые возможности как AToM (Any Transport over Mpls),Traffic Engineering и пр.
AToM позволяет передавать поверх сети IP/MPLS трафик таких протоколов второго уровня как ATM, Frame Relay, Ethernet, PPP, и HDLC.
В данной статье я бы хотел остановиться на технологии EoMPLS.

По материалам 5ой Российской Олимпиады cisco, где мне довелось проучаствовать в придумывании и тестировании задачек для финалистов, родилась такая непростая задачка:

Рассмотрим простейшую схему:



есть маршрутизатор cisco, за одним интерфейсом расположен компьютер с программой, принимающей потоковую передачу (например, VLC Player), за другим — передающая станция, вещающая поток (например, видео) на некоторый мультикастовый адрес.

Вы можете менять мультикастовый адрес потока, на который вещает сервер.

Задача1: можно ли заставить компьютер принять поток, не прибегая к мультикастовой машрутизации?
Задача2: можно ли заставить принять поток с условием, что вы вообще не знаете, что такое мультикаст, как работает и как настраивается?

ЗЫ Эту нетипичную задачку (второй вариант) из 30 человек решили 1.5 человека. Интересно, решите ли вы, ведь ваш уровень существенно выше CCNA, к коим относятся все участники Олимпиады.

ЗЫ Если вы желаете высказаться, но являетесь лишь читателем habra, заходите на форум на сайте www.anticisco.ru, где в разделе «Задачки на сообразительность» она продублирована. Регистрация на сайте простая.

QoS — тема большая. Прежде чем рассказывать про тонкости настроек и различные подходы в применении правил обработки трафика, имеет смысл напомнить, что такое вообще QoS.

Quality of Service (QoS) — технология предоставления различным классам трафика различных приоритетов в обслуживании.

Во-первых, легко понять, что любая приоритезация имеет смысл только в том случае, когда возникает очередь на обслуживание. Именно там, в очереди, можно «проскользнуть» первым, используя своё право.
Очередь же образуется там, где узко (обычно такие места называются «бутылочным горлышком», bottle-neck). Типичное «горлышко» — выход в Интернет офиса, где компьютеры, подключенные к сети как минимум на скорости 100 Мбит/сек, все используют канал к провайдеру, который редко превышает 100 МБит/сек, а часто составляет мизерные 1-2-10МБит/сек. На всех.

Во-вторых, QoS не панацея: если «горлышко» уж слишком узкое, то часто переполняется физический буфер интерфейса, куда помещаются все пакеты, собирающиеся выйти через этот интерфейс. И тогда новопришедшие пакеты будут уничтожены, даже если они сверхнужные. Поэтому, если очередь на интерфейсе в среднем превышает 20% от максимального своего размера (на маршрутизаторах cisco максимальный размер очереди составляет как правило 128-256 пакетов), есть повод крепко задуматься над дизайном своей сети, проложить дополнительные маршруты или расширить полосу до провайдера.

Разберемся с составными элементами технологии

(дальше под катом, много)

Начинаю надеюсь серию публикаций по Вашим просьбам :)
Начну вкратце с новой фичи ASA 8.2 (пусть опять обвинят в рекламе :))

В крупных компаниях часто возникает ситуация, когда точек подключения шифрованных туннелей — несколько. Пользователь подключается к той железке, которая ему ближе (настроена по умолчанию, динамически выбирается). Раньше приходилось на каждую железяку покупать довольно много лицензий. Это была бы небольшая проблема, если бы лицензии стоили недорого. Но удобная технология SSLVPN у циски стоит дорого.
К тому же циска официально объявила тендецию к переводу всех на SSLVPN, вместо IPSec VPN.

В версии ОС 8.2 эта проблема была решена.

Появилась такая фича, как разделяемые лицензии (shared licenses). Их суть в том, что покупается одна пачка лицензий, о ней знает сервер лицензий (АСАшка). Остальные точки подключения (пока только АСАшки, но впоследствии и рутеры) по необходимости лезут на сервер лицензий и просят себе расширить квоту.

Подробнее читаем под катом

Наверно тот у кого доступ в интернет осуществляется по ADSL заглядывал в настройки модема и натыкался на параметры vpi/vci. Впервые с ними столкнувшись возникает резонный вопрос «что это и для чего?» В этой статье я решила рассказать немного подробнее о том как осуществляется доступ по технологии ADSL, про PPPoE и конечно же про параметры vpi/vci.