В учебных материалах к CCNP Route утверждается, что если существует несколько внешних маршрутов OSPF одного типа, будет выбран маршрут с лучшей метрикой, в случае же совпадения метрик, выбирается маршрут, объявленный ближайшим ASBR. При этом складывается впечатление, что трафик во внешние сети всегда должен проходить через ASBR. На практике данное описание является неполным и опускается один аспект, который может привести к субоптимальному роутингу.
Читать полностью »
Рубрика «Cisco» - 40
OSPF LSA5: Forward Address или оптимальный роутинг в обход ASBR
2013-09-28 в 18:55, admin, рубрики: ccnp, Cisco, lab, ospf, route, routing, метки: ccnp, Cisco, lab, ospf, route, routingТестируем и мониторим MSTP в неоднородной сети
2013-09-28 в 9:55, admin, рубрики: Cisco, dlink, STP, Сетевое оборудование, Сетевые технологии, сети, метки: Cisco, dlink, STP, сетиВведение
С ростом любой сети перед администратором рано или поздно встают, среди прочего, три проблемы — риск случайных падений из-за обрывов линий связи, появление колец в дереве коммутаторов и нехватка производительности отдельных линий.
Для борьбы с этими видами зла человечество, как известно (в частности, из нескольких статей на хабре, Википедии и много еще откуда) придумало и использует различные версии Spanning-Tree протокола. Общая идея которого сводится к тому, что коммутаторы в сети с более-менее произвольной связностью по некоторым правилам коллегиально принимают решение о том, какие линки между ними для пересылки каких пакетов использовать.
Читать полностью »
Уникальное решение IaaS от компании «Микротест»
2013-09-25 в 7:06, admin, рубрики: Cisco, flexpod, iaas, Блог компании «Медиа Грус», ит-инфраструктура, хостинг, метки: Cisco, flexpod, IaaSМиграция отдельных бизнес-приложений, да и всей ИТ-инфраструктуры в облачную среду становится все более востребованной моделью развития корпоративных ИТ. Все больше российских компаний активно внедряет в свои процессы облачные решения и виртуализируют свою ИТ-инфраструктуру, чтобы добиться большей гибкости и отказоустойчивости, а также достичь значительного сокращения операционных и капитальных затрат на приобретение, обслуживание и поддержку корпоративных ИТ.
Сегодня рассмотрим одну из наиболее актуальных для крупного и среднего бизнеса услуг. Аренда виртуальной вычислительной инфраструктуры (IaaS) — это первая ступень к многообразию облачных сервисов: она позволяет с минимальными издержками получить в свое распоряжение необходимую вычислительную, дисковую и сетевую мощности и все необходимые возможности для оптимального управления арендованной инфраструктурой.
Читать полностью »
Другой tacacs+
2013-09-23 в 13:13, admin, рубрики: Cisco, juniper, linux, tacacs+, метки: Cisco, juniper, linux, tacacs+Я думаю, про tacacs+ его настройку, политики, ACL и прочее сказано, а уж тем более написано более чем достаточно. Но, что меня всегда напрягало в tacas+ — постоянно чего-то не хватает. Некая недоработанность что ли...Читать полностью »
Еще одна статья о кэшировании веб-трафика
2013-09-17 в 8:49, admin, рубрики: asa, Cisco, firewall, squid, wccp, Сетевые технологии, системное администрирование, метки: asa, Cisco, firewall, squid, wccpВведение, или зачем нужна еще одна статья о WCCP?
Про организацию прозрачного кэширования веб-трафика с использованием протокола WCCP написано много, в том числе есть хорошая статья на хабре. Обычно в этих статьях рассматривается схема, подобная изображенной на рисунке слева.
На первый взгляд, решение обладает сплошными достоинствами: реализация несложна, кэширование выполняется абсолютно прозрачно для пользователей, при отказе прокси-сервера запросы автоматически будут перенаправлены напрямую.
Но всегда ли внедрение WCCP проходит гладко? И если нет, как бороться с возникающими проблемами?
Например, практически во всех статьях упоминается, что сервер кэширования должен находиться в том же сегменте, что и пользователи, но причины этого не уточняются. А как быть, если политика безопасности требует, чтобы все серверы находились в демилитаризованной зоне и были защищены межсетевым экраном (МЭ)?
Недавно пришлось столкнуться с подобным требованием при установке сервера кэширования в сети оператора связи, упрощенная схема которой изображена на заглавном рисунке справа.
Если читателям интересно, какие проблемы встречаются при реализации подобных схем, и как можно обойти ограничения — добро пожаловать.
Читать полностью »
Аутентификация в Cisco IOS
2013-09-05 в 11:38, admin, рубрики: aaa, Cisco, cisco ios, авторизация, Блог компании Positive Technologies, информационная безопасность, метки: aaa, Cisco, cisco ios, авторизацияAAA (Authentication Authorization and Accounting) — система аутентификации авторизации и учета событий, встроенная в операционную систему Cisco IOS, служит для предоставления пользователям безопасного удаленного доступа к сетевому оборудованию Cisco. Она предлагает различные методы идентификации пользователя, авторизации, а также сбора и отправки информации на сервер.
Однако мало того, что ааа по умолчанию выключена; конфигурация этой системы — дело довольно запутанное. Недочеты в конфигурации могут привести либо к нестабильному, небезопасному подключению, либо к отсутствию какого-либо соединения в принципе. В данной статье мы подробно разберем схему настройки аутентификации при помощи aaa.Читать полностью »
Неожиданный финт Cisco ASA
2013-09-05 в 6:51, admin, рубрики: asa, Cisco, nat, PAT, информационная безопасность, настройка, Сетевые технологии, метки: asa, Cisco, nat, PAT, настройка Сегодня с утра неожиданно открыл для себя что-то новое, но сильно приятное.
Для кого-то это может быть очевидно, но я, почему-то, раньше не сталкивался. Так что, возможно, кого-то это предостережет от подобных проблем в будущем.
Есть такая топология (ну, конечно, она совсем не такая, но суть отражает):
Построение провайдерской сети на коммутаторах Cisco с использованием Option 82 и Dynamic ARP Inspection
2013-09-02 в 21:14, admin, рубрики: Cisco, dhcp, dhcp-relay, ит-инфраструктура, Сетевые технологии, метки: arp-spoofing, Cisco, dhcp, dhcp-relayПролог
На хабре было довольно много топиков, описывающих те или иные варианты построения провайдерских сетей, в том числе и с использованием указанных в заголовке технологий. Отчасти они помогли мне в решении своей задачи, но многое пришлось копать самому. Хочу поделиться тем, что получилось и попытаться сэкономить время последователям.
Итак, постоновка задачи:
Необходимо организовать сеть, максимально удобную для конечного пользователя, при этом также удобную (с точки зрения минимальной нагрузки на техподдержку) и безопасную (с точки зрения мошенничества) для оператора. К тому же сеть должна быть недорогой. Кто-то возразит, что Cisco и «недорого» — несовместимые понятия, однако для решения нашей задачи годятся и End of Life старички, которые можно приобрести по очень демократичным ценам.
Для обеспечения удобства пользователя были отброшены следующие варианты:
- статическое назначение ip-адресов — неудобно для пользователя, адрес нужно где-то записывать, потерявшие адрес пользователи названивают в техподдержку
- dhcp с привязкой по mac-адресу — неудобно для пользователя, при смене устройства нужно перерегистрировать его у провайдера или менять на нем mac.
- всевозможные виды туннелей, в основном pptp — требует настройки у клиента, забытые логины и пароли
Из всех рассмотренных вариантов для пользователя наиболее удобен вариант с DHCP, но для провайдера есть ряд сложностей:
Привязка по mac неудобна, так как придется перерегистрировать новые mac-адреса. Аутентификация пользователя в биллинге только по ip-адресу тоже на первый взгляд кажется ненадежной, хитрый пользователь может поставить себе вручную ip-адрес соседа и внести смуту. Однако решение есть и строится оно на технологиях из заголовка статьи — option 82 и dynamic arp inspection
Кому интересно решение — прошу под кат
Читать полностью »
Raspisco — удалённый доступ к Cisco через Raspberry Pi
2013-09-01 в 19:22, admin, рубрики: Cisco, linux, Raspberry Pi, raspbian, Гаджеты. Устройства для гиков, метки: Cisco, Raspberry Pi, raspbian
В работе ( инженера | системного администратора | просто хорошего парня) иногда начинает казаться что время тратится неэффективно, задачи которые решаются, решаются неоптимальным образом, вот тогда может понадобиться Расписко
Читать полностью »
Атака канального уровня ARP-spoofing и как защитить коммутатор Cisco
2013-08-30 в 10:07, admin, рубрики: arp-poisoning, arp-spoofing, Cisco, информационная безопасность, Сетевые технологии, метки: arp-poisoning, arp-spoofing, Cisco Данная статья не является руководством для кулхацкеров. Все ниже написанное является частью изучения курса Cisco SECURE.
В данном материале я покажу как на практике провести атаку канального уровня на коммутатор Cisco, а также покажу как защитить свою сеть от этого. Для лабораторного стенда я использовал Cisco 881 и Catalyst 3750G.
Наверное все, кто сталкивался хоть немного с сетями знают, что такое протокол ARP.
Вкратце напомню. Протокол ARP используется для преобразования IP-адреса в MAC-адрес. Рассмотрим такую топологию: