Идея написать статью о примере реализации связки cisco + tac_plus возникла спонтанно, когда глядя на конфиг tac_plus'а понял, что уже не помню что, а главное зачем, я там писал несколько лет назад. Объединить накопленный опыт, набитые шишки, бессонные ночи и шаманские пляски в эдаком мини-howto, который можно будет доработать до рабочей инструкции обязательной для прочтения новому сотруднику и может оказаться полезен кому-нибудь ещё (по моему мнению наступать на описанные грабли можно либо из практического интереса, либо находясь в глубокой депрессии/приступе мазохизма). Ну и с целью разнообразить число статей в русскоязычной части интернета. Но самое главное – это понять, что выбранное направление ведет/не ведет в тупик, либо уважаемое сообщество может подсказать другие решения и подкрепить их собственными примерами.
Пользователь
Перехват PPPoE сессии
1 мин
60KТуториал
На видео показан практический способ угона сессии PPPoE с помощью врезки в кабель. При этом не происходит перехвата логина или пароля и не имеет значения используемый тип авторизации (CHAP/PAP).
Большинство ethernet-провайдеров, к сожалению не используют шифрование всей сессии, ограничиваясь только шифрованием этапа авторизации. Это позволяет представиться легитимным клиентом, перехватив реквизиты существующего подключения.
+83
Разворачивание образов ОС при помощи FOG
10 мин
28K![](https://habrastorage.org/storage1/3598f342/5a4263f6/14db9211/ede97b65.png)
В этой статье я постараюсь вас познакомить с бесплатным продуктом FOG, который служит созданию и развертыванию образов ОС. К своему удивлению я не увидел статей на русскоязычных ресурсах, посвященных, безусловно, этому интересному продукту.
Отмечу, что я не ставлю перед собой задачу описать абсолютно все нюансы и расписать всё. Ничего не заменит ваш личный опыт. Я хочу лишь приоткрыть занавес и помочь многим системным администраторам двигаться в нужном направлении, остальное в ваших руках.
+41
Про опасность и безопасность в сетях Cisco
6 мин
19K![image](https://habrastorage.org/getpro/habr/post_images/67b/940/109/67b9401094849aeb775c47d71e4e26c3.jpg)
В современном мире безграничной власти технологий все больше и больше внимания уделяется конфиденциальности, целостности и доступности хранимых или передаваемых данных. И это понятно, ибо кто захочет, чтобы информация, которая считается личной или секретной досталась третьим лицам или (не дай Бог) конкурентам или даже врагам.
Так что же такое защищенная информация в области сетей передачи данных? Абсолютно защищенной сети не бывает и быть не может и полностью защищенной она может считаться, вероятно, только если отключить каждое устройство от сети (или даже, пожалуй, лучше вообше выключить, для надежности). Но кому нужна такая сеть, данные в которой не передаются? Верно, никому. Таким образом, встает вопрос о том как же сделать её максимально защищенной, учтя вместе с тем все те возможные уязвимости, снова и снова подкидываемые нам производителями (софт/хард)вара.
В этой статье я расскажу/покажу некоторые нюансы настройки устройств Cisco таким образом, чтобы иметь возможность контролировать кто имеет доступ к этим устройствам, как к одним из основных узлов сети, и какого, собственно говоря, этот доступ будет рода.
+27
Хочется взять и расстрелять, или ликбез о том, почему не стоит использовать make install
5 мин
172KК написанию сей заметки меня сподвигло то, что я устал делать развёрнутые замечания на эту тему в комментариях к статьям, где в качестве части инструкции по сборке и настройке чего-либо для конкретного дистра предлагают выполнить make install. |
![](https://habrastorage.org/storage1/edcaa898/70b48a52/3072387b/da577538.png)
Но ведь авторы программ в руководствах по установке пишут, что нужно использовать эту команду, возможно, скажете вы. Да, пишут. Но это лишь означает, что они не знают, какой у вас дистрибутив, и дистрибутив ли это вообще, может, вы вступили в секту и об
+293
О сетях: всего понемногу
7 мин
40KНедавно у нас были небольшие обучающие курсы для повышения нашей компетенции в сетевой части нашей инфраструктуры. Основную идею этих курсов, покрывающую OSPF/BGP/MPLS я тут повторять не буду ибо:
Так что тут я опишу интересные около-сетевые моменты которые были затронуты в процессе обучения. Часть из этого может показаться вам банальным, однако постараюсь компенсировать возможную скуку при прочтении обилием ссылок на дополнительные материалы
Ссылки на вики зачастую более примечательны секциями «External links» и «References» нежели самим содержанием
- Пока ещё явно недостаточно компетентен.
- Есть много более объективные ресурсы рассказывающие об этих темах.
Так что тут я опишу интересные около-сетевые моменты которые были затронуты в процессе обучения. Часть из этого может показаться вам банальным, однако постараюсь компенсировать возможную скуку при прочтении обилием ссылок на дополнительные материалы
Ссылки на вики зачастую более примечательны секциями «External links» и «References» нежели самим содержанием
+62
ACL: списки контроля доступа в Cisco IOS
9 мин
570KСегодня я расскажу вам о том, как отфильтровать трафик в сети с помощью списков контроля доступа. Рассмотрим как они работают соответственно, что собой представляют, для чего предназначены. Позже я покажу как они настраиваются в Cisco IOS и выложу архив с лабораторными работами для закрепления ваших знаний.
ACL (Access Control List) — это набор текстовых выражений, которые что-то разрешают, либо что-то запрещают. Обычно ACL разрешает или запрещает IP-пакеты, но помимо всего прочего он может заглядывать внутрь IP-пакета, просматривать тип пакета, TCP и UDP порты. Также ACL существует для различных сетевых протоколов (IP, IPX, AppleTalk и так далее). В основном применение списков доступа рассматривают с точки зрения пакетной фильтрации, то есть пакетная фильтрация необходима в тех ситуациях, когда у вас стоит оборудование на границе Интернет и вашей частной сети и нужно отфильтровать ненужный трафик.
Введение
ACL (Access Control List) — это набор текстовых выражений, которые что-то разрешают, либо что-то запрещают. Обычно ACL разрешает или запрещает IP-пакеты, но помимо всего прочего он может заглядывать внутрь IP-пакета, просматривать тип пакета, TCP и UDP порты. Также ACL существует для различных сетевых протоколов (IP, IPX, AppleTalk и так далее). В основном применение списков доступа рассматривают с точки зрения пакетной фильтрации, то есть пакетная фильтрация необходима в тех ситуациях, когда у вас стоит оборудование на границе Интернет и вашей частной сети и нужно отфильтровать ненужный трафик.
+41
Классификация пакетов на уровне доступа
4 мин
62KПопробую продолжить начатую мной тему методологии и алгоритма функционирования QoS в Cisco. В этой статье будет описано по каким принципам можно разделить и маркировать трафик на 2-3 уровнях модели OSI на пошаговых примерах. Кому интересен данный вопрос прошу под кат.
+16
DNSSec: Что такое и зачем
6 мин
102KПредисловие
Как оказалось, не так много людей знают что такое DNSSec, для чего он нужен, для чего нет и стоит ли его внедрять у себя. Так как на русском языке информации на этот счет мало, я постараюсь пролить свет на эти вопросы.
+46
Двусторонний NAT (PAT) на Cisco IOS или NAT NVI
4 мин
66KПо просьбе коллеги (Fedia) я собрался с мыслями и решился написать статью про NAT NVI. Надо сказать, что вообще сама по себе трансляция адресов на роутере многократно рассматривалась, в т.ч. в статье «По просьбам трудящихся: Dual ISP на маршрутизаторах cisco без BGP». Тем не менее, описанный в ней механизм inside source и outside source NAT имеет некоторые ограничения.
+20
NAT на Cisco. Часть 2
4 мин
44KИ снова добрый день, коллеги!
Продолжаю серию статей про NAT на Cisco, т.к. предыдущая статья все нашла некоторое количество положительных отзывов.
В этой статье мы рассмотрим, как и было обещано, inside destination NAT. Кому интересно — велкам под кат.
Продолжаю серию статей про NAT на Cisco, т.к. предыдущая статья все нашла некоторое количество положительных отзывов.
В этой статье мы рассмотрим, как и было обещано, inside destination NAT. Кому интересно — велкам под кат.
+19
NAT на Cisco. Часть 1
8 мин
293KДобрый день, коллеги!
судя по многочисленным вопросам на форуме (ссылка в конце поста), от слушателей и коллег, работа NAT на маршрутизаторах Cisco (firewall'ы я опущу, Fedia достаточно подробно его работу расписал в своей серии статей про Cisco ASA) плохо описана, поэтому я попробую описать свой опыт и свое понимание данной технологии в большинстве ее ипостасей. Не претендую на всеобъемлющее описание и 100% точность, но кому интересно — велкам под кат.
судя по многочисленным вопросам на форуме (ссылка в конце поста), от слушателей и коллег, работа NAT на маршрутизаторах Cisco (firewall'ы я опущу, Fedia достаточно подробно его работу расписал в своей серии статей про Cisco ASA) плохо описана, поэтому я попробую описать свой опыт и свое понимание данной технологии в большинстве ее ипостасей. Не претендую на всеобъемлющее описание и 100% точность, но кому интересно — велкам под кат.
+36
SQUID для ленивых. Облегчаем себе жизнь
6 мин
158KДобрый день, уважаемые Хабрапользователи, в связи со сложившейся тенденцией к изучению всем известного прокси сервера SQUID, я бы хотел предложить вариант некой типовой настройки небольшой связки, которая будет полезная для начинающих системных администраторов небольших контор, ну или просто для тех, кому лень разбираться. Данная статья ни в коем случае не претендует на глобальный мануал на все случаи жизни — как я уже и сказал это всего лишь обобщенный частный случай.
+25
Asterisk, или домашняя телефония для (про)двинутых пользователей
14 мин
121KЭта история началась два долгих года назад, когда во время командировки в США я ВДРУГ остался без мобильной связи: с дуру перед поездкой поменял телефон, а он оказался «двух-диапазонником»… Да и роуминг не дешёвый…
Итогом стало открытие для себя SIP-телефонии.
И вот несколько месяцев назад, из статей на Хабре, выясняю, что чужим дядям можно и не платить за межгород, если надо позвонить откуда-то в родной город через Интернет! Достаточно поставить VoIP сервер и настроить его так, как надо именно тебе!
И вот, взяв в руки Asterisk, я приступил к операции по борьбе с излишней жадностью ОпСоСов…
Итогом стало открытие для себя SIP-телефонии.
И вот несколько месяцев назад, из статей на Хабре, выясняю, что чужим дядям можно и не платить за межгород, если надо позвонить откуда-то в родной город через Интернет! Достаточно поставить VoIP сервер и настроить его так, как надо именно тебе!
И вот, взяв в руки Asterisk, я приступил к операции по борьбе с излишней жадностью ОпСоСов…
+171
Asterisk от простого — к сложному
4 мин
169KВступление
Добрый день. На написание статьи меня сподвигла необходимость передать мои знания подчиненным, которым уже пора бы вникать в работу Asterisk.
Когда я заметил интерес к платформе с их стороны — я чрезвычайно обрадовался, но пришел в недоумение, когда все рвение остановилось на клацанье по триксбоксу и его подобным.
Я ничего не имею против надстроек к Астериску, которые облегчают жизнь, но я боюсь, что скоро появился поколение администраторов Астериска, которые консоли в живую не видели ниразу.
Целью моих статей является желание показать, что астериск красив сам по себе, без дополнительных надстроек, что можно, используя минимальные, ускоряющие работу скриптовые языки — творить чудеса. Хочется показать, ищущим и желающим познать новое, людям нюансы и тонкости работы системы.
+42
Asterisk – система компьютерной телефонии уровня предприятия
9 мин
263K![](https://habrastorage.org/getpro/habr/post_images/25e/571/acf/25e571acf909965a8d23d1bf07b38c89.png)
+105
Азы IP-телефонии от Cisco или знакомство с Cisco CallManager Express
5 мин
148KТуториал
Совсем недавно на нашу организацию вышел клиент, который попросил настроить IP-AТС на основе платформы Cisco 2921 и софта Cisco CallManager Express (CME). Клиентами разбрасываться не прилично в наше время, посему решили данную услугу оказать.
Взялся я за это дело не столько с целью срубить бабла для компании, сколько с целью ознакомиться как у этой самой Cisco устроена Ip-телефония, с целью саморазвития то бишь.
Ознакомился. Тема приятная; для меня как для цискаря работать гораздо удобнее нежели чем с Asterisk.
Писать про возможности CME можно много. Сегодня расскажу про самые его основы.
Попробуем решить простую задачу: есть пара телефонов — один работает по SIP, другой по SCCP, надо заставить их звонить друг на друга. Как это сделать — под катом.
Взялся я за это дело не столько с целью срубить бабла для компании, сколько с целью ознакомиться как у этой самой Cisco устроена Ip-телефония, с целью саморазвития то бишь.
Ознакомился. Тема приятная; для меня как для цискаря работать гораздо удобнее нежели чем с Asterisk.
Писать про возможности CME можно много. Сегодня расскажу про самые его основы.
Попробуем решить простую задачу: есть пара телефонов — один работает по SIP, другой по SCCP, надо заставить их звонить друг на друга. Как это сделать — под катом.
+30
Трёхуровневая модель сети и технологии VLAN, DHCP, OSPF, STP, SNMP, ACL, NTP на Cisco и D-link
10 мин
97KСтатья поможет новичкам понять как настраивать оборудование Cisco и D-Link в трёхуровневой модели сети. Конфигурация, представленная тут, не является эталонной или базовой — она для примера и понимания сути вещей, т.к. для каждого сетевого решения применяются свои параметры и технологии.
+58
Волшебное превращение: беспроводная точка доступа или маршрутизатор становится узлом гипертекстового Фидонета
1 мин
8.7KЭта новость напрямую касается владельцев устройств Asus RT-N16, Asus RT-N12, Asus RT-N10, Asus WL-500gP, Asus WL-500W, D-Link DIR-320. Давным-давно не секрет, что все они (после той или иной перепрошивки) могут использоваться в качестве сервера Linux MIPS. На эту тему существует форум wl500g.info, да и на Хабрахабре мы видали отчёты и рецепты полудюжины блоггеров, которые настраивали на этом железе принт-сервер, файловый сервер с доступом по HTTP и BitTorrent, WiMAX-маршрутизатор, наращивали оперативную память и даже впаяли жёсткий диск.
Очередной шаг в этом направлении совершил фидошник по имени Александр Рыжов(2:5019/40.5), который собрал для этой же архитектуры все те свободные программы, которые входят в пакет fidoip (тот самый пакет, который я здесь упоминал в январе прошлого года в связи с появлением в нём поддержки гипертекстового Фидонета).
Получился узел Фидонета, который способен круглосуточно работать, не издавая лишнего шума, не потребляя лишнего электричества, вообще никак не мешая домочадцам фидошника. После чего при необходимости можно заходить на него по SSH — и читать да сочинять фидопочту.
Весь необходимый софт и инструкции по его установке вы без труда найдёте в вики fidoip на SourceForge.
Очередной шаг в этом направлении совершил фидошник по имени Александр Рыжов
Получился узел Фидонета, который способен круглосуточно работать, не издавая лишнего шума, не потребляя лишнего электричества, вообще никак не мешая домочадцам фидошника. После чего при необходимости можно заходить на него по SSH — и читать да сочинять фидопочту.
Весь необходимый софт и инструкции по его установке вы без труда найдёте в вики fidoip на SourceForge.
+13
Готовим Asus RT-N16 к жаркому лету
7 мин
86KПривет %username%,
Скоро лето. К сожалению, я понял это не по пробуждению природы, а по поведению моего Asus RT-N16.
Как только столбик термометра начал достигать отметки в 27 градусов, железяка начала подтормаживать, FTP стал плохо реагировать на подключения, а иногда и просто уходить в даун. Я понял — приплыли, и начал доставать из закромов родины радиаторы, паяльник и отвертку.
При подготовке топика ни одного роутера не пострадало, так же топик не содержит сцены насилия и жесткости. (Осторожно фото.)
Скоро лето. К сожалению, я понял это не по пробуждению природы, а по поведению моего Asus RT-N16.
Как только столбик термометра начал достигать отметки в 27 градусов, железяка начала подтормаживать, FTP стал плохо реагировать на подключения, а иногда и просто уходить в даун. Я понял — приплыли, и начал доставать из закромов родины радиаторы, паяльник и отвертку.
При подготовке топика ни одного роутера не пострадало, так же топик не содержит сцены насилия и жесткости. (Осторожно фото.)
+37
Информация
- В рейтинге
- 3 200-й
- Откуда
- Москва и Московская обл., Россия
- Зарегистрирован
- Активность