cisco – Page 7 – Twistedminds

Site-to-Site IPSec VPN между Cisco и Mikrotik

02/08/2012 by Stanislav

Не смотря на то, что статей в этих ваших интернетах море я все равно внесу немного энтропии и напишу еще одну.

Я всегда с осторожностью отношусь к хвалебным отзывам и хайпу на форумах, особенно когда дело касается железки стоимостью 60$. Как оказалось, делаю я это совсем не зря. Mikrotik не подвел и порадовал таким набором фееричных багов, что пару раз белому мерзавцу грозила неминуемая смерть.

Стабильной работы удалось добиться с следующими параметрами:

Phase1&2: шифрование: aes 128, аутентификация, md5, DH group 2 на прошивке 5.19

Cisco ISAKMP профили: S2S и Remote Access VPN на одном маршрутизаторе

01/08/2012 by Stanislav

Настало время поговорить о материях, наиболее близких к реальной жизни, а именно о моменте когда нам надо обеспечить работу одновременно S2S и Remote Access VPN’ов на одной маршрутизаторе. В этой статье речь пойдет о ISAKMP профилях.

Представим: у вас есть удаленная площадка за NAT и мобильные пользователи, которым надо предоставить доступ в ЛВС. Из-за того, что маршрутизатор в центральном офисе понятия не имеет какой адрес получит сосед, находящийся за NAT, нам придется использовать wild carded pre-shared key (0.0.0.0 0.0.0.0 no-xauth). Но как только мы подадим эту команду, так сразу наши remote access клиенты и превратятся в тыкву. Одним из вариантов решения проблемы могло бы стать использование цифровых сертификатов, однако согласитесь, разворачивать PKI ради двух-трех площадок есть существенный overkill.

Cisco Remote Access IPsec VPN (EzVPN)

17/09/201231/07/2012 by Stanislav

Меня всегда интересовало, что же такого легкого в EzVPN, что позволяет Cisco называть его так :) Настройка сервера может быть весьма и весьма развесистой, однако кардинальных отличий от Site-to-Site не так уж и много и заключаются они в так называемой ISAKMP/IKE Phase 1.5, а конкретно в механизме XAUTH.

Cisco Easy VPN оперирует двумя понятиями – Cisco Easy VPN сервер и Cisco Easy VPN Remote (удаленный агент). В качестве агента могут выступать некоторые маршрутизаторы, ASA МСЭ, компьютеры с установленным Cisco VPN Client. OS X и iPhone/iPad имеют встроенные IPSec клиенты поддерживающие XAUTH (racoon).

Я не буду останавливаться на настройке Cisco Systems Easy VPN Client, однако покажу, как можно настроить маршрутизатор в качестве этого самого клиента (что само по себе не очень актуально из-за разнообразия других технологий, обеспечивающих связность удаленных площадок, но может быть полезно для понимания механизмов взаимодействия).

Cisco Site-to-Site IPsec VPNs

24/06/201323/07/2012 by Stanislav

Наконец-то долгожданная практика ,)

В этой статье мы рассмотрим два простых случая построения site-to-site VPN на оборудовании Cisco. В первом случае оба устройства имеют белые адреса (static crypto map), а во втором один из маршрутизаторов оказывается за NAT (dynamic crypto map). Ну и в качестве бонуса рассмотрим ситуацию совместного сожительства и static и dynamic crypto map на одном маршрутизаторе.

Те, кому лень читать 1000+ слов могут перейти сразу к конфигурациям, располагающимся в самом конце статьи.

Настройка NetApp FAS – Часть 2

28/06/201221/06/2012 by Stanislav

Часть вторая настройки NetApp FAS (Multimode VIF и его виды, балансировка нагрузки, интерфейсы-партнер в кластере, псевдонимы aka IP Aliasing, flowcontrol и MTU, настройка Static и Dynamic VIF с коммутатором Cisco Catalyst).

Часть первая >>>
Часть третья >>>
Часть четвертая >>>
Часть пятая >>>

Оттолкнемся от того, что все 4 порта каждой из голов файлера подключены к управляемому коммутатору Cisco и перед нами стоит задача объединить все это дело в виртуальный линк таким образом, чтобы IP Source-Destionation load-balancing работал эффективно. Стоит так же отметить, что для построения и понимания работы высокопроизводительных ethernet фабрик опыт работы с IP сетями оказался совершенно не лишним.