Cisco on Twistedminds

Cisco MDS для самых маленьких

Sun, 02 Jun 2013 13:39:06 +0000

Под конец моей работы в Службе до нас таки доехали новенькие MDS9124, которые пришли на замену протухшим MDS9120 и QLogic SANBOX2-8C. В этой статье я собираюсь освежить в памяти термины и оставить некоторые заметки, оставшиеся после апгрейда SAN. Чем черт не шутит, а вдруг пригодится.

Хочется так же добавить, что вендор-зависимых фич тут мало, и, принимая внимания различия в синтаксисе, те же шаги можно предпринять для настройки не только упомянутых Cisco MDS, но и оптических коммутаторов других производителей.

2/3 CCNP – 642-813 passed

Mon, 13 May 2013 19:08:54 +0000

К экзамену CCNP Switch я готовился не так основательно, что в принципе было заметно по количеству опубликованных статей, если сравнивать с тем же Route. Успокаивал я себя тем, что на работе и так зачастую приходится иметь дело со всеми теми технологиями, о которых речь идет в курсе. За это и жестоко поплатился, вспоминая раздел Dot1x из portable command guide’а, попутно нервно нажимая ? и tab.

Сам экзамен, к слову, пестрил ошибками, опечатками, пропущенными ключами в картинках выхлопа команд, так, как будто их не брали с живого железа, а печатали маленькие индусские ручонки. Как вам вопрос, в котором 3 варианта ответа одинаковы, явно не дописаны до конца, а оставшиеся два вызывающе неверны. А теперь будьте любезны выберите два правильных. Ну а anooping databaseс bddu guard сегодня просто обязаны придти ко мне в кошмаре.

First Hop Redundancy Protocols – часть 2

Fri, 10 May 2013 16:52:32 +0000

[][1]Virtual Router Redundancy Protocol Link to heading

Или VRRP – стандартизированный протокол, описанный в RFC 2338. VRRP очень похож на HSRP и все, что вам следуют сделать, так это запомнить не большие различия в терминологии. По это причине я не буду подробно описывать VRRP, а остановлюсь только на ключевых различиях и другом синтаксисе конфигурации.

Так же как и HSRP VRRP предоставляет один отказоустойчивый VIP адрес от всей группы маршрутизаторов. Активный маршрутизатор называется master, все остальные – backup, при чем все backup маршрутизаторы слушают multicast адрес, а не только second best как это было в случае с HSRP.

First Hop Redundancy Protocols – часть 1

Fri, 10 May 2013 11:36:53 +0000

Вы построили отказоустойчивую сеть? Куда не плюнь – попадешь в STP, стэк коммутаторов, Cross Stack EtherChannel, Layer3 redundancy, SSO или еще какой дьявольский акроним? Не желаете, вдобавок, обеспечить клиентов отказоустойчивым шлюзом, чтобы поток байтов с bash.org да redtube лился no matter what и не прерывал рабочий процесс тружеников клавиатуры? Ведь способы есть и имя им Frist Hop Redundancy Protocols (FHRP).

Семейство протоколов FHRP включат в себя различные проприетарные (HSRP, GLBP, SMLT), открытые, отягощенные патентами (VRRP) и ~~красноглазые~~ свободные реализации (CARP). В контексте коммутаторов Cisco речь пойдет о HSRP, VRRP и GLBP протоколах.

Switch operations – часть 3

Tue, 07 May 2013 14:17:19 +0000

В финальной части мы быстренько пробежимся по CEF, посмотрим какое место в этой технологии занимают Forward Information Base (FIB) и ее часть – Adjacency Table.

CEF MLS содержит в себе два функциональных блока – layer 3 engine, формирующий информацию о маршрутах, которую может использовать layer 3 forwarding engine для обработки пакетов аппаратными средствами.

Forward Information Base Link to heading

Layer 3 engine (фактически маршрутизатор) формирует таблицу маршрутизации, поддерживает ее в актуальном состоянии и, что самое главное, форматирует и компилирует ее в новый формат – Forward Information Base. FIB строится согласно следующей логике: таблица маршрутизации форматируется в упорядоченный список, где для каждой сети существует один или несколько маршрутов. Первым, понятное дело, идет наиболее длинный префикс (longest prefix match). Одновременно с этим FIB содержит next-hop адрес устройства для каждой записи. Помимо информации из таблицы маршрутизации в FIB попадают маршруты до directly conntect хостов.

Switch operations – часть 2

Mon, 06 May 2013 19:55:58 +0000

Честно скажу, не сразу решился писать вторую часть, так как она будет, в какой-то степени, дублировать мою предыдущую статью – </2012/12/tcam/>, однако здравый смысл победил лень. Ну и повторение – мать учения, ага. В этой части мы более подробно поговорим про CAM и TCAM таблицы и их структуру, выясним что такое LOU, не забыв снабдить все это дело сочным примером. So, let’s go.

Content-Addressable Memory Link to heading

Из пакета/фрейма только-только упавшего на входящий порт в CAM таблицу попадает доселе неизвестный коммутатору MAC адреса источника. Это мы знаем из предыдущей статьи. Вместе с этим MAC адресом в таблицу попадает еще и timestamp, указывающий на то, когда этот адрес был заучен. CAM таблицы довольное большие, но не бесконечные, по этому через 300 секунд (значение по умолчанию) данные из CAM таблицы будут удалены в том случае, если данное устройство не давало о себе знать.

Switch operations – часть 1

Mon, 06 May 2013 12:49:44 +0000

Давным давно, в то время пока я пускал слюни в уютной детской кроватке, устройству для того, чтобы отправить данные надо было убедиться в том, что в данный конкретный момент времени никто не вещает на общем сегменте сети. За то, может ли устройство вести передачу отвечал протокол CSMA/CD – Carrier Sense Multiple Access with Collision Detect, а сами устройства оперировали в режиме half-duplex, т.е. могли либо вещать, либо слушать несущую в каждый конкретный момент времени. Более того, если одно устройство создавало фрейм с ошибкой все остальные устройство получали этот фрейм. Весь скоп устройств в такой сети назывался Collision Domain.

Cisco QoS – классификация и маркировка

Sun, 10 Feb 2013 14:26:01 +0000

Различия между классификацией пакетов и маркировкой есть и они весьма существенны. Когда устройство смотрит на содержимое пакета, адрес отправителя, адрес получателя или на любую другую информацию содержащуюся в пакете и затем помещает этот пакет в отдельный класс на основании изученных сведений – это классификация.

Маркировка – есть своеобразное окрашивание трафика в зависимости от важности. В процессе маркировки устройство записывает определенную информацию в тело пакета или фрейма для того, чтобы помочь вышестоящим устройствам принимать решения по классификации без необходимости определять тип трафика снова.

Cisco QoS для самых маленьких

Sat, 09 Feb 2013 18:35:55 +0000

Я всегда считал Quality of Service (QoS) чем-то из разряда “не дадим войсу квакать, не дадим изображению по вкс развалиться”, однако более глубокое изучение вопроса, откровенно говоря, приятно удивило. Количество средств по манипуляции трафиком, а так же различные методы предоставления гарантированного качества канала нужным приложениям сразу дали понять – нахрапом эту крепость не взять.

С чем полезен и с чем помогает справиться QoS? Link to heading

Маленькая пропускная способность канала – не всегда у нас на руках оказывается тот канал, который позволит и youtube в HD посмотреть и корпоративным приложениям работать адекватно.
Потеря критичных пакетов в следствии заторов.
Задержки (delay) – время, которое требуется пакету чтобы попасть от источника к получателю. Так, к примеру, 400ms RTT для голоса еще туда-сюда, а вот с значениями, которые превышают этот порог вы получите эффект накладывающегося голоса.
Джиттер (jitter) или изменение задержки с течением времени. Сейчас у вас 100ms, а через минуту 200ms. Поздравляю, у вас теперь 100ms jitter, который превращается в задержку просто потому, что железкам нужно держать пакет в буфере какое-то время для обеспечения плавности того же разговора.

Методы настройки QoS Link to heading

Command Line Interface (CLI) – per interface конфигурация.
Modular QoS CLI (MQC) – аки ZBF позволяет группировать class map в policy map, policy map привязывать к service policy, а вот уже последнее можно и на интерфейс применить.
Auto QoS – генерирует некий усредненный конфиг, который, конечно не one size fit all, но в некоторых случаях оказывается вполне работоспособным.
QoS Policy Manager (QPM) – централизованная поддержка QoS в вашей сети. Встроена в CiscoWorks.

Инструменты QoS Link to heading

Классификация и группировка различных типов трафика.
Маркировка трафика за тем, чтобы другие устройства в сети могли бы распознать его.
Policing & shaping. Policing позволяет либо отбрасывать пакеты при превышении какого-либо значения, либо изменять маркировку. Shaping – метод размещения пакетов в очередях (i.e. FIFO, WFQ, CBWFQ) при достижении лимита.

Избежание заторов (congestion avoidance) Link to heading

First-in First-out – как понятно из названия – кто первый встал, того и тапки. Пакеты помещаются в очередь, пока не будет исчерпана пропускная способность канала. При ее исчерпании заполняется буфер. Ну а если и он закончился, то пакеты попросту отбрасываются – tail drop.
Random Early Detection (RED) – RED занимается занятной штукой: как только ваш буфер начинает заполняться – “БАМ!” – в нем погибает случайный пакет. И чем быстрее заполняется буфер, тем агрессивнее работает этот механизм. На сколько я знаю Cisco не поддерживает его работу.
Weighted Random Early Detection (WRED) – занимается тем же, что и RED, но вместо содомии с случайными пакетами этот механизм выбирает жертв на основании маркировки пакетов и обозначенных заранее правил. “БАМ!” – и вместо пакета с voice трафиком погибает кусок картинки с redtube’a. Если пакеты заранее не были маркированы, то WRED превращается в RED.

Управление заторами Link to heading

Управлять заторами можно помещая пакеты в очереди, позволяя наиболее приоритетному трафику покидать интерфейс в первую очередь, а наименее приоритетный трафик может и включения WRED дождаться, всякое бывает.

TCAM в коммутаторах Cisco

Tue, 04 Dec 2012 09:33:39 +0000

Дорогие читатели. В процессе подготовки к CCNP Switch я написал несколько статей, которые наиболее полно объясняют место и функции TCAM. Не смотря на то, что статьи весьма развесистые, я рекомендую вам ознакомится именно с ними: 1 2 3

Коммутаторы Cisco Catalyst используют внутреннюю архитектуру, построенную на Ternary Content Addressable Memory (тут и далее TCAM), которая применяется для коммутации, маршрутизации, фильтрации и тп:

Cisco Expo 2012

Sat, 24 Nov 2012 11:55:51 +0000

Вот и подошла к концу Cisco Expo 2012 – вторая по счету подобная конференция, на которой я принимал участие. Признаюсь, приятно было отметить несколько возросшей уровень мероприятия. Так, к примеру, в прошлом году я вбросил идею о мобильных приложениях на манер таковых для Ciso Live US, VMWorld и вот у Cisco Expo появилось свое. Фидбэки с помощью софтины отправлялись мною направо-налево, а встроенные планировщик и календарь зело доставили. Единственное, что хотелось бы улучшить – так это возможность привязывать календарь к системному времени. Скроллить каждый раз расписание с 9-и утра, чтобы посмотреть сессии после 16 было не слишком удобно.

Extended ACL и route-filtering

Mon, 01 Oct 2012 07:31:50 +0000

На прошлом экзамене я натолкнулся на занятный вопрос. Предлагалась разрешить к редистрибуции только маршрут по умолчанию и вместо привычного prefix list в вариантах ответа были исключительно расширенные списки контроля доступа (extended ACL).

Откровенно говоря я что-то где-то на эту тему читал, но никогда внимание не акцентировал. В стрессовой ситуации экзамена было сложно отойти от логики списков контроля доступа, разрешающих путь из определенного source в указанный destination. Но тут в памяти удачно всплыл недавний топик на тему применения wildcard mask для фильтрации четных и нечетных сетей и, делать нечего, я взял в руки маркер, доску и начал выписывать нолики с единичками.

Треть пути к CCNP пройдена, 642-902 passed

Fri, 28 Sep 2012 11:37:47 +0000

Посмотрите на довольную харю слева – да, это так :) Я только что успешно прошел первый экзамен в CCNP R&S трэке – Implementing Cisco IP Routing (ROUTE) с впечатляющим для меня результатом – 976 баллов из 1000 возможных. Полтора месяца без единого выходного, тысячи страниц учебников, руководств, white paper’s, постов в блогах и вот я нервно мну в руках результаты теста – подтверждение моей профессиональной компетенции. Мою состоятельность, как специалиста в этой области.

Заметки к CCNP Route: BGP часть 2

Mon, 17 Sep 2012 11:43:16 +0000

eBGP в ынтерпрайзах Link to heading

Давайте сфокусируемся на том, как формируется соседство и как происходит обмен топологической информацией которая помещается в BGP таблицу между eBGP соседями. Ну и наконец повеселим себя какой-нибудь практикой, настроив связность с двумя ISP по single multihomed сценарию. Ведь две статьи по 1300+ слов чистой теории в каждой способны превратить даже Хари Кришну в конченного падонка.

Абсолютный минимум, который должна включать в себя настройка соседей состоит из:

Заметки к CCNP Route: BGP часть 1

Sun, 16 Sep 2012 19:35:19 +0000

BGP или border gateway protocol – протокол маршутизации всея Интернетов. В CCNP трэке о BGP речь идет с точки зрения ынтерпрайза, в том числе о тех случаях, когда у вас есть свой блок PI (Provider Independent) адресов и вам нужно анонсировать его через нескольких провайдеров интернета (ISP).

Сложно найти более-менее крупный бизнес, которых обходится в своей внутренней сети без протоколов динамический маршрутизации – IGP (interior gateway protocol). BGP был разработан IBM и Cisco и продолжал свою эволюцию (на данный момент версия 4), как EGP – exterior gateway protocol. А значит цели, которые он преследует будут в какой-то степени отличаться от используемых в IGP.

Заметки к CCNP Route: Path Control

Sat, 15 Sep 2012 15:24:40 +0000

Термин path control имеет множество значений. Мы производили манипуляции над путем следования пакетов с помощью фильтрации маршрутов, тэгирования и других технологий. Однако, есть еще способы, которые стоят отдельно от манипулирования протоколами динамической маршрутизации и таблицами маршрутизации – Policy-Based Routing (PBR) и IP SLA (IP Service-Level Agreement). Первая технология оказывает влияние на data plane, изменяет логику принятия решения о маршрутизации пакетов. Вторая – IP SLA – по сути является механизмом мониторинга состояния сети и позволяет принимать решения об использовании того или иного маршрута на основании неких факторов.

ACL для четных и нечетных сетей или хостов

Wed, 12 Sep 2012 14:15:42 +0000

Занятный способ выявлять четные и нечетные сети подсказал Василий в комментариях к этой статье.

Допустим нам надо отфильтровать четные и нечетные сети в диапазоне 192.168.0.0/24 – 192.168.255.0/24. До сегодняшнего утра у меня бы руки сами потянулись к перлу или bash, чтобы сгенерировать ACL, но, как оказалось, есть способ значительно проще.

Что меняется при переходе от сети к сети? Фактически лишь – 3ий откет:

192.168.[0000000].0 192.168.[00000001].0 192.168.[0000001].0 192.168.[00000011].0 192.168.[0000010].0 192.168.[00000101].0

Заметки к CCNP Route: редистрибуция IGP часть 2

Tue, 11 Sep 2012 12:16:42 +0000

Пришло время поговорит на тему редистрибуции маршрутной информации, а именно о тех случаях, когда требуется отказоустойчивость и в схему добавляются дополнительные маршрутизаторы, чтобы исключить единую точку отказа. Проблема заключается в том, что при определенных условиях маршруты, редистрибуции которых уже произведена могут “перетекать” обратно в оригинальный протокол маршрутизации. Cisco крайне отрицательно относится и всячески не рекомендует двухстороннюю редистрибуцию. В этом случае взамен следует создавать статические маршруты или маршруты по умолчанию.

Предотвращение петель с помощью увеличения метрик Link to heading

Рассмотрим следующую схему:

Заметки к CCNP Route: редистрибуция IGP часть 1

Mon, 10 Sep 2012 18:39:30 +0000

Мы уже говорили с вами по поводу базовой редистрибуции OSPF и EIGRP друг в друга, но в обоих случаях весь рассказ заключался в подаче одной команды без объяснений. Настало время дать стране угля и поговорить про редистрибуцию подробнее, а так же о проблемах, которые могут возникать в процессе редистрибуции.

Редистрибуция в EIGRP Link to heading

В общем виде команда выглядит так:

redistribute protocol [ process-id | as-number ] [ metric bw delay reliability load mtu ] [ match ( internal | nssa-external | external 1 | external 2 ) ] [ tag value ] [ route-map name]

Заметки к CCNP Route: OSPF часть 5

Sun, 09 Sep 2012 14:09:03 +0000

Заключительная часть битвы с замечательным протоколом OSPF. Нам осталось поговорить про нюансы работы OSPF в NMBA сетях, а так же о замечательной технологии virtual links, как о одном из способов связать не backbone область с area 0 через другую не backbone область (другим способом могут стать gre-туннели, но на экзамене вас про это спрашивать вряд ли станут). Ну и конечно в этот раз будет много, очень много практики.

OSPF в NBMA сетях Link to heading

Не будем сразу бросаться в омут NBMA с головой и постараемся вспомнить типы сетей, в которых может работать OSPF:

Заметки к CCNP Route: OSPF часть 4

Sat, 08 Sep 2012 17:29:48 +0000

##### Фильтрация маршрутов (route filtering) в OSPF

OSPF поддерживает несколько способов фильтрации маршрутов, однако в отличии от EIGRP где суммирование маршрутов, так же как и фильтрация может осуществлятсья в любой точке сети, OSPF позволяет делать это на ABR и ASBR.

OSPF использует различную логику для маршрутизации внутри области и между областями. Если внутри области все маршрутизаторы имеют полное видение топологии области на основе LSA 1 и 2 типов, запускают алгоритм SPF и находят все возможные пути для известных подсетей, реализуя таким образом логику действия link-state протоколов маршрутизации, то в маршрутизации между областями используется логика distance-vector протоколов маршрутизации. Поясню: внутри области SPF подсчитывает лучший путь до каждого ABR. А для выбора пути до сети, которая лежит в другой области, просто берется метрика до ABR и добавляется к той, которую он анонсирует.

Заметки к CCNP Route: OSPF часть 3

Fri, 07 Sep 2012 12:49:55 +0000

Различные типы LSA в OSPF Link to heading

Как мы с вами выяснили каждый маршрутизатор в области должен иметь одинаковую LSDB, информация в которую собирается из отдельных LSA. Всего существует 11 типов LSA и их понимание поможет вам лучше разобраться в тонкостях работы различных типов областей, но об этом чуть позже.

LSA первого типа [Router] – каждый маршрутизатор создает этот тип LSA чтобы рассказать о себе всей области. В LSDB для каждой области содержится один LSA первого типа для каждого маршрутизатора, в котором указаны RID, IP адреса всех интерфейсов, а так же тупиковые (stub) сети. Не покидают область.
LSA второго типа [Network] – создаются DR на броадкастовом или NBMA сегменте и описывают сеседей, присоединенных к сегменту. Не покидают область.
LSA третьего тип [Summary, Network Summary] – создаются ABR для того, чтобы рассказать о маршрутах до соседей, полученных из LSA первого и второго типов в одной области и передать эту информацию в другую. Описывают подсети, стоимость маршрута исключая топологию области.
LSA чертвертого типа [Summary, ASBR Summary] – похожи на LSA третьего типа, используются чтобы передать маршрут до ASBR соседям из других областей.
LSA пятого типа [External, AS External] – создаются на ASBR для внешних маршрутов внедренных в OSPF.
LSA шестого типа [Multicast, Group Membership] – расширение OSPF протокола, которое не поддерживается в маршрутизаторах Cisco.
LSA седьмого типа [NSSA External] – создаются ASBR если он находится внутри NSSA области вместо LSA пятого типа.

Внимательный читатель тут же спросит, а куда делись еще 4 типа. Тип 8 – это внешние атрибуты, которые так же не поддерживаются маршрутизаторами Cisco, а 9-11 это расширения стандартного протокола. К примеру LSA 10 типа применяются в MPLS TE.

Заметки к CCNP Route: OSPF часть 2

Wed, 05 Sep 2012 06:00:42 +0000

Продолжим упражняться с OSPF. Посмотрим на методику подсчета стоимости, а так же на способ ее изменить. Разберемся кто такие DR, BDR и почему без них никуда на общем сегменте сети, рассмотрим процесс их выборов и научимся им манипулировать. Ну и в конце, чтобы немного испачкать руки, произведем базовую настройку, изменим Hello и Dead таймеры, настроим аутентификацию аж всех двух типов.

OSPF Cost Link to heading

После того, как каждый маршрутизатор в области получил свою копию базы LSDB он запускает процесс SPF. Смысл его состоит в том, маршрутизатор, анализируя LSDB, выбирает оптимальный маршрут до каждой сети, содержащейся в ней. Cost или метрика это суммарная дистанция, которую нужно “пройти”, чтобы оказаться в необходимой сети. К примеру, на этой картинке ниже лучшая метрика от R1 до 10.1.1.0/24 будет равна 22, а до 10.1.3.0/24 – 11, до 192.18.139.0/29 – 21 и т.д.

Заметки к CCNP Route: OSPF часть 1

Tue, 04 Sep 2012 08:05:35 +0000

Откровенно говоря я не знал, стоит ли мне браться за статьи о OSPF из-за того, что тема довольно объемная, а информации в Интернетах хватает. Но когда я набросал коротенький список тезисов, начал для себя же их пояснять, то понял, что все равно к этому приду. Размявшись с EIGRP возьмемся за OSPF. Поговорим о принципах работы link state routing protocols, важности выбора правильного дизайна сети, а так же разберемся с механизмом установления соседства и его фазами.

Заметки к CCNP Route: EIGRP часть 3

Mon, 03 Sep 2012 06:30:34 +0000

Больше, больше хардкора. В заключительной части мы посмотрим как можно оптимизировать конвергенцию протокола EIGRP с помощью фильтрации маршрутов на основе таких средств, как ACL, prefix-list, route-map. Выясним кто такие stub маршрутизаторы, а так же какое влияние оказывают суммарные маршруты на query сообщений. Ну и на сладенькое выясним что за состояние “Stuck in Active” и как испортить load sharing с помощью offset lists.

Оптимизация конвергенции EIGRP Link to heading

Рассмотрим следующую топологию:

Заметки к CCNP Route: EIGRP часть 2

Sun, 02 Sep 2012 07:01:46 +0000

EIGRP в NBMA сетях, split horizon, аутентификация Link to heading

В предыдущей статье мы рассмотрели материал, который должен знать каждый уважающий себя CCNA. Откровенно говоря я не очень понимаю зачем Cisco везде тащит устаревший Frame Relay, но раз он есть в экзамене, то и разобраться с ним не помешает.

Для реализации EIGRP в NBMA сетях есть два варианта настройки:

Заметки к CCNP Route: EIGRP часть 1

Fri, 31 Aug 2012 14:47:51 +0000

No rest for the wicked. Прошел почти месяц со сдачи экзамена NCDA и вот я уже ощущаю непонятный зуд и, похоже, это не глисты. Самый простой для меня способ что-то запомнить – это написать статью, чем я, собственно, и собираюсь заняться, раскрыв темы по EIGRP, OSPF, BGP и др.

Освежим в памяти материал по EIGRP из CCNA трэка, прежде чем залезать по колено в хардкор.

GRE over IPSeс

Thu, 16 Aug 2012 16:04:37 +0000

Настоятельно рекомендую ознакомится с предыдущей статьей, посвященной теории.

Настройка GRE туннеля Link to heading

Нет ничего проще, чем настроить GRE туннель:


Rx(config)# interface tunnel #_number
Rx(config-if)# tunnel source [ source_router_IP_addr | source_router_interface ]
Rx(config-if)# tunnel destination [ dst_router_IP_addr | dst_router_fqdn ]
Rx(config-if)# keepalive [seconds [ retries ]]
Rx(config-if)# tunnel mode mode

tunnel interface – создает туннельный интерфейс, в процессе создания туннель автоматически переходит в состояния UP, no shutdown подавать на нем не нужно; tunnel source – указывает на адрес, который должен будет использован маршрутизатором в IP заголовке GRE пакета; tunnel destination – указывает, где GRE туннель должен быть терминирован; Обратите внимание, что source и destionation адреса – это адреса loopback или физических интерфейсов непосредственно маршрутизатора, а не адреса самого туннельного интерфейса. tunnel mode – по умолчанию GRE point-to-point. О GRE multipoint мы поговори буквально в следующий раз, когда речь пойдет про DMVPN. keepalive – по умолчанию выключен, если при включение команде не будут переданы параметры, то keepalive будет отправляться каждые 10 секунд, а после 3-х безуспешных сообщений будет принято решение о недоступности пути.

Туннели – кто они такие и с какого района?

Thu, 16 Aug 2012 15:42:09 +0000

С каждым разом статьи становятся все больше, а почерк размашистей :) В этот раз я решил разделить тему настройки GRE Туннелей, а так же их защиту с помощью IPSec на две части – теоретическую и практическую. Если вы пришли сюда из поисковых систем и сразу собираетесь бросаться в омут с головой, то можете непосредственно перейти к настройке GRE over IPSec с применением IPSec профилей и crypto map.

Туннели Link to heading

В интерпретации Cisco туннель – это логический интерфейс, роль которого состоит в том, чтобы инкапсулирование пакеты одного протокола (passenger protocol), с помощью второго (carrier protocol) и передать его по третьему (transport protocol). В роли протокола, который занимается инкапсуляцией могут выступать такие протоколы как GRE, IPIP. GRE (Generic Routing Encapsulation) – протокол, который в отличии от IPIP, позволяет инкапсулировать в себя другие протоколы, такие как AppleTalk, IP, IPX и другие. Лишь бы ethertype был правильным.

Построение отказоустойчивых IPSec VPN

Tue, 14 Aug 2012 09:10:44 +0000

Вот я и подошел к концу освещения темы построение виртуальных частных сетей на чистом IPSec. Последняя вещь, о которой я хотел бы поговорить – это обеспечение отказоустойчивости, а именно HSRP с RRI (chassis failover) и IPSec Stateful failover (transparent failover).

Предполагается что вы знакомы с семейством протоколов резервирования первого перехода (FHRP) и слышали о механизмах их работы.

Хотелось бы так же отметить, что для построения отказоустойчивых VPN Cisco рекомендует смотреть на другие технологии, такие как DMVPN и GETVPN.

Site-to-Site IPSec VPN между Cisco и Mikrotik

Thu, 02 Aug 2012 18:21:42 +0000

Не смотря на то, что статей в этих ваших интернетах море я все равно внесу немного энтропии и напишу еще одну.

Я всегда с осторожностью отношусь к хвалебным отзывам и хайпу на форумах, особенно когда дело касается железки стоимостью 60$. Как оказалось, делаю я это совсем не зря. Mikrotik не подвел и порадовал таким набором фееричных багов, что пару раз белому мерзавцу грозила неминуемая смерть.

Стабильной работы удалось добиться с следующими параметрами:

Cisco ISAKMP профили: S2S и Remote Access VPN на одном маршрутизаторе

Wed, 01 Aug 2012 10:42:31 +0000

Настало время поговорить о материях, наиболее близких к реальной жизни, а именно о моменте когда нам надо обеспечить работу одновременно S2S и Remote Access VPN’ов на одной маршрутизаторе. В этой статье речь пойдет о ISAKMP профилях.

Представим: у вас есть удаленная площадка за NAT и мобильные пользователи, которым надо предоставить доступ в ЛВС. Из-за того, что маршрутизатор в центральном офисе понятия не имеет какой адрес получит сосед, находящийся за NAT, нам придется использовать wild carded pre-shared key (0.0.0.0 0.0.0.0 no-xauth). Но как только мы подадим эту команду, так сразу наши remote access клиенты и превратятся в тыкву. Одним из вариантов решения проблемы могло бы стать использование цифровых сертификатов, однако согласитесь, разворачивать PKI ради двух-трех площадок есть существенный overkill.

Cisco Remote Access IPsec VPN (EzVPN)

Tue, 31 Jul 2012 08:39:53 +0000

Меня всегда интересовало, что же такого легкого в EzVPN, что позволяет Cisco называть его так :) Настройка сервера может быть весьма и весьма развесистой, однако кардинальных отличий от Site-to-Site не так уж и много и заключаются они в так называемой ISAKMP/IKE Phase 1.5, а конкретно в механизме XAUTH.

Cisco Easy VPN оперирует двумя понятиями – Cisco Easy VPN сервер и Cisco Easy VPN Remote (удаленный агент). В качестве агента могут выступать некоторые маршрутизаторы, ASA МСЭ, компьютеры с установленным Cisco VPN Client. OS X и iPhone/iPad имеют встроенные IPSec клиенты поддерживающие XAUTH (racoon).

Cisco Site-to-Site IPsec VPNs

Mon, 23 Jul 2012 10:21:38 +0000

Наконец-то долгожданная практика ,)

[][1]

В этой статье мы рассмотрим два простых случая построения site-to-site VPN на оборудовании Cisco. В первом случае оба устройства имеют белые адреса (static crypto map), а во втором один из маршрутизаторов оказывается за NAT (dynamic crypto map). Ну и в качестве бонуса рассмотрим ситуацию совместного сожительства и static и dynamic crypto map на одном маршрутизаторе.

Те, кому лень читать 1000+ слов могут перейти сразу к конфигурациям, располагающимся в самом конце статьи.

Настройка NetApp FAS – Часть 2

Thu, 21 Jun 2012 11:24:56 +0000

Часть вторая настройки NetApp FAS (Multimode VIF и его виды, балансировка нагрузки, интерфейсы-партнер в кластере, псевдонимы aka IP Aliasing, flowcontrol и MTU, настройка Static и Dynamic VIF с коммутатором Cisco Catalyst). Link to heading

Часть первая »> Часть третья »> Часть четвертая »> Часть пятая »>

Настраиваем trunk между коммутаторами Cisco Catalyst и 3Com

Tue, 22 May 2012 13:12:57 +0000

В роли Cisco будет Catalyst 4948, в роли 3Com – Switch 4210.

Просто настроить trunk было бы слишком легко, по-этому мы усложним себе задачу и сменим management vlan для 3Com. Начнем с того, что надо найти консольчик к 3Com, так как без этого ничего не получится :)

Соединяемся (19200,8,N,1,N) с 3Com и, поехали:

VTP и MD5 Digest Mismatch

Wed, 07 Mar 2012 09:34:43 +0000

При добавлении нового коммутатора последний упрямо не хотел подсасывать VLANы с сервера. Пароли и имя домена были одинаковы. В выхлопе команды sh vtp status на коммутаторе-vtp-сервере имела место быть запись

*** MD5 digest checksum mismatch on trunk: Gi1/20 ***

ревизия базы клиента была явно меньше – 0.

Того же рода сообщения появлялись в дебаге – debug sw-vlan vtp events (не забудьте включить terminal monitor, если подключены через telnet/ssh).

Советы с форумов, сводящиеся к переводу коммутатора в режим transparent, а затем обратно в client не помогали, однако спасло добавление на vtp сервере левого vlan, подача команды no shut на нем и дальнейшее его удаление.

Cisco LACP etherchannel c несолькими виланами

Wed, 23 Mar 2011 11:49:31 +0000

После окончательного физического переноса всех серверов возникла фантазия сделать все как надо.

Первым делом было решено создать команды из сетевых интерфейсах на всех серверах и включить их в Cisco Catalyst 4948, агрегировав несколько линков в один по 802.3ad. Частный случай состоял в том, что один из серверов был гипервизором Hyper-V, а сервера, подключенные к виртуальному свичу, должны быть доступны через отдельный Vlan.

Первым делом, если еще не создан, создадим vlan:

Cisco и неподдерживаемые SFP модули

Fri, 18 Feb 2011 07:27:09 +0000

Захотелось подружить Cisco 4948 c 122-54.SG и древний Picolight SFP модуль, по злой рок в виде

C4K_CHASSIS-3-SFPINTEGRITYCHECKFAILED:SFP

не давал этим двум славным железкам слиться в экстазе. Подружить негодников удалось 3мя волшебными командами:

service unsupported-transceiver 
no errdisable detect cause gbic-invalid 
errdisable recovery cause gbic-invalid

и, аллелуя!

Cisco: Zone-Based Firewall и tcp reassembly overflow

Thu, 02 Dec 2010 07:13:29 +0000

tcp reassembly queue length queue-length 256```

Cisco, часть 2: настройка интерфейсов, NAT с overloading (PAT), проброс порта/адреса

Mon, 08 Nov 2010 08:42:45 +0000

Имеет место быть следующая топология: в кошку вставлен HWIC-4ESW, что по сути представляет из себя 4х портовый l2 свич, который одним портом смотрит в локальную сеть. Интерфейс fa0/0 смотрит в интернет. В режиме глобальной конфигурации включим ускоренную коммутацию пакетов (cef, Cisco Express Forwarding) назначим маски, ip и напишем описание к интерфейсам, а так же пропишем маршрут по умолчанию (next-hop router):

Enter configuration commands, one per line. End with CNTL/Z.
CoreRouter(config)#ip cef
CoreRouter(config)#int fa0/0
CoreRouter(config-if)#ip address 1.1.1.1 255.255.255.0
CoreRouter(config-if)#description TO BIG AND SCARY INTERNET
CoreRouter(config-if)#int vlan 1
CoreRouter(config-if)#ip address 192.168.0.254 255.255.255.0
CoreRouter(config-if)#description TO NICE AND COOL LAN
CoreRouter(config-if)#exit
CoreRouter(config)#ip route 0.0.0.0 0.0.0.0 1.1.1.2```
Теперь настроим простой NAT, обозначив интерфейсы либо как смотрящие в локальную сеть (ip nat inside), либо как смотрящие в WAN (ip nat outside).
_для извращенных случаев, когда необходимо, чтобы один и тот же интерфейс был и inside и outside см. [ip nat enable и NVI](http://www.cisco.com/en/US/docs/ios/12_3t/12_3t14/feature/guide/gtnatvi.html "http://www.cisco.com/en/US/docs/ios/12_3t/12_3t14/feature/guide/gtnatvi.html")_
Затем создадим пул NAT адресов и ACL (более подробно в части 3) для сетей, которым разрешены NAT трансляции.
```CoreRouter#conf t
Enter configuration commands, one per line. End with CNTL/Z.
CoreRouter(config)#int fa0/0
CoreRouter(config-if)#ip nat outside
CoreRouter(config-if)#int vlan 1
CoreRouter(config-if)#ip nat inside
CoreRouter(config-if)#exit
! создадим стандартный ACL, разрешающий подсеть для трансляции нат
CoreRouter(config)#access-list 10 permit 192.168.0.0 0.0.0.255
! создадим пул WAN адресов
CoreRouter(config)#ip nat pool WANPOOL 1.1.1.1 1.1.1.1 netmask 255.255.255.0
! и заставим кошку транслировать адреса из разрешенных в ACL сетей в наш пул
CoreRouter(config)# ip nat inside source list 10 pool WANPOOL overload```
Проброс порта делается следующим образом:
```CoreRouter(config)#ip nat inside source static tcp 192.168.0.2 110 1.1.1.1 110 extendable```
а всего адреса (в случае если у вас несколько внешних ip):
```CoreRouter(config)#ip nat inside source static 192.168.0.2 1.1.1.1 extendable```
вот, собственно и все.
Статистику по NAT можно посмотреть, подав в enable exec команду **sh ip nat sta**, а активные трансляции – **sh ip nat tra**.

Cisco, часть 1: time, AAA, ssh, console tricks, banners

Mon, 01 Nov 2010 15:51:52 +0000

Подключаемся COM кабелем, затираем startup-config и отправляем железку в ребут:

Erasing the nvram filesystem will remove all configuration files! Continue? [confirm]
[OK]
Erase of nvram: complete
*Nov 1 13:55:40.978: %SYS-7-NV\_BLOCK\_INIT: Initialized the geometry of nvram
CoreRouter#reload
Proceed with reload? [confirm]
*Nov 1 13:55:50.754: %SYS-5-RELOAD: Reload requested by root on console. Reload Reason: Reload Command.```
ждем, пока она загрузится, отказываемся от диалога начальной конфигурации и получаем приглашение user mode:

— System Configuration Dialog — Would you like to enter the initial configuration dialog? [yes/no]: no Press RETURN to get started! Router>

Конфигурация роутеров Cisco для самых маленьких (intro)

Mon, 01 Nov 2010 14:43:47 +0000

Сижу и настраиваю свой первый роутер, судорожно вспоминая материал курсов ICND1/2, просматривая маны и хэндбуки. Пусть мои потуги останутся тут, как шпаргалка самому себе и интернетам.

В роли роутера выступает 2811 с следующими платами расширения:

Product (FRU) Number : CISCO2811
Product (FRU) Number : HWIC-4ESW
Product (FRU) Number : HWIC-2FE