Настройка маршрутизаторов Cisco

  • Cisco
Я уже выкладывал в этом блоге несколько постов про команды cisco ios, но они служат в том числе и справочником мне, потому что я иногда возвращаюсь к ним, чтобы вспомнить команды. Теперь я решил написать статьи про начальную настройку маршрутизаторов cisco, потому что вопросы по ним возникают часто, а ссылку дать и некуда :)
Читать дальше →

Команда Checkpoint в Cisco ACE

  • Cisco
Обычно при настройке cisco, чтобы вернуть последний удачный конфиг нужно перегружать устройство. Но оказывается в ACE есть команда checkpoint, с помощью которой можно сохранить текущий конфиг и в любой момент откатить на него.
Читать дальше →

Cisco: Защита от DoS атак с помощью TCP Intercept

  • Cisco
Многие сисадмины сталкиваются с сетевыми атаками. Редко атаки нацелены на сетевые устройства, обычно на серверы, которые предоставляют услуги (например, WWW, СУБД и т.д.). В Интернете можно найти мануалы, для мониторинга порта 80 для примера, который, легко ломается для перехвата трафика. Во всяком случае, обычно ломают сервер, а пограничное сетевое устройство не является целью атаки, хотя и может упасть не выдержав нагрузки. Поэтому нужно настроить пограничный маршрутизатор, чтобы помочь серверам отбиться от атаки.

Для тех из вас, кто не знаком с DoS-атакой
DoS-атака это отказ в обслуживании. Отказ в обслуживании (DoS) или распределенный отказ в обслуживании атаки (DDoS) является попыткой сделать компьютерный ресурс недоступным для предполагаемых пользователей. DoS-атакам подвергаются обычно сайты крупных организаций, таких как банки, кредитные шлюзы платежных карт, веб-хостинг и так далее. Один из распространенных методов атаки предполагает отсылка на целевой компьютер большого количества запросов, таким образом, что он не сможет ответить на легитимный трафик, или будет реагировать слишком медленно.


Методом предотвращения DoS-атак является ограничение соединений на сетевое устройство (маршрутизатор). Функция TCP intercept помогает предотвратить SYN-флудинг атаки путем перехвата и проверки запросов TCP соединений. В режиме TCP intercept программное обеспечение перехватывает TCP синхронизации (SYN) пакетов от клиента к серверу, которые соответствуют списку доступа. Программа устанавливает соединение с клиентом от имени конечного сервера, и в случае успеха, устанавливает соединение с сервером от имени клиента и соединяет две половины соединения вместе прозрачно. Таким образом, попытки соединения из недоступных хостов никогда не достигнут сервера. Программа продолжает перехватывать и передавать пакеты на протяжении всего соединения.
Читать дальше →

Конвертация конфигурации Cisco PIX в ASA утилитой PIX to ASA Migration Tool

  • Cisco
Важно понимать, что конфиг от PIX не подходит к ASA потому-что они разные. Чтобы сделать одну вещь на PIX требуется другая команда на ASA. ASA использует более «аля IOS» конфигурации в отличии от PIX.
Вот лишь некоторые из различий между ними:
— у ASA другое железо и другие названия интерфейсов
— ASA использует суб интерфейсы, как Cisco IOS
— PIX использует Fixup команды для контроля приложений, а ASA policy maps.
— в ASA больше используются access-list.
Есть два способа перейти на новую платформу — вручную или с помощью утилиты преобразующей конфигурацию в новый формат. Вы можете выполнить преобразование вручную, если Вы хотите более детальный контроль, но Cisco предлагает утилиту PIX to ASA Migration Tool, которая может выполнить это автоматически. Пример работы программы:
cisco-pix-to-asa-migration-

Читать дальше →

Настройка reflexive access-list в cisco, что это и зачем нужно?

  • Cisco
Рефлексивные списки доступа являются одним из методов, который добавит функции брандмауэра в маршрутизатор. Они обычно используются для пропуска исходящего трафика и проверку входящего трафика в ответ для сессий, которые созданы внутри маршрутизатора. Например Вы хотите, чтобы TCP соединение пропускалось извне только начальный пакет был направлен с внутреннего интерфейса. Например FTP сеанса по порту TCP 20. Если вы обращаетесь к FTP изнутри LAN по порту 20, то будет пропускаться и исходящий и входящий трафик. Но если кто-то из-за пределов попытается инициировать сессию на порт 20, сессия будет прекращена.

Пример как добавить Reflexive access-list и «повесить» их на интерфейс.
ip access-list extended OUTBOUND
permit tcp any any reflect TO_REFLECT
permit udp any any reflect TO_REFLECT

ip access-list extended INBOUND
evaluate TO_REFLECT

interface  GigabitEthernet0/1
ip access-group OUTBOUND out
ip access-group INBOUND in


UPD
Протестировал из дома соединение с cisco настроенной по такому методу, nmap выдает по всем скриптам
Note: Host seems down. If it is really up, but blocking our ping probes, try -PN
Хотя до этого даже с закрытыми портам получалось получить некоторую информацию

Настройка сбора логов с cisco через syslog

  • Cisco
Чем смотреть логи с cisco на компьютере? Через telnet не очень удобно, поэтому бывает полезно запустить небольшую утилиту tftpd32, включить в ней syslog сервер и получать логи на своем компьютере.
Дополнительно конечно нужно настроить сам cisco-девайс примерно так:
Читать дальше →

Обновление прошивки в Cisco

  • Cisco
Обновить прошивку в Cisco не сложно:
1. Сохраняем старую прошивку (на всякий случай)
2. Копируем на флешку новую прошивку.
3. Удаляем старую прошивку.
4. Перегружаем девайс.
Можно использовать в последовательностях 3,2,4 или 2,3,4, но я бы рекомендовал 1,2,3,4 :)
Метод подойдет как для ios так и для pix/asa.

Теперь подробней:
Читать дальше →

Полезные команды в Cisco IOS [4]

  • Cisco
1. Удобный просмотр состояния интерфейсов:
#show ip int brief | excl unassigned
Interface                  IP-Address      OK? Method Status                Protocol
GigabitEthernet0/0         123.12.198.55   YES NVRAM  up                    up
GigabitEthernet0/1         172.18.48.10    YES NVRAM  up                    up
Vlan30                     172.18.88.90    YES NVRAM  up                    up
NVI0                       192.168.1.21    YES unset  up                    up
Loopback0                  192.168.1.21    YES NVRAM  up                    up
можно добавить алиас на эту команду, чтобы в дальнейшем вызывать ее как ipconfig
alias exec ipconfig show ip interface brief | exclude unassigned

2. Уменьшить время ожидания при открытии ssh/telnet сессии:
Бывает пытаешься открыть удаленный хост по ssh/telnet, а он не доступен. Тогда приходится ждать 30 секунд и никакие ctrl+shift+6 не спасают. Спастись можно если добавить в конфиг предварительно:
ip tcp synwait-time 5
Тогда время ожидания уменьшится до 5.

Похожие статьи:
Полезные команды в Cisco IOS [1]
Полезные команды в Cisco IOS [2]
Полезные команды в Cisco IOS [3]
Полезные команды в Cisco IOS [5]
Полезные команды в Cisco IOS [6]

Ускорение sh run в Cisco IOS

  • Cisco
Наткнулся в буржуйском блоге на интересную команду в cisco ios. Если в конфиг добавить
parser config cache interface
то команды
copy system:running-configuration
show running-configuration
write terminal
работают в 2-3 раза быстрее. Особенно актуально на разросшихся конфигурациях, которые бывает формируются больше 5-10 секунд.
Команда появилась начиная с IOS версии 12.2(25).


Читать дальше →

Настройка DHCP сервера на Cisco (IOS)

  • Cisco
DHCP (Dynamic Host Configuration Protocol — протокол динамической конфигурации узла) позволяет компьютерам автоматически получать IP-адрес и другие сетевые настройки, необходимые для работы в сети TCP/IP. Протокол работает по архитектуре «клиент-сервер». Для получения настроек компьютер обращается к серверу DHCP и получает от него сетевые настройки. Сисадмин настраивает на сервере диапазон адресов, распределяемых среди компьютеров. При этом отпадает необходимость ручной настройки компьютеров сети и уменьшается вероятность ошибки.

Настройка DHCP на Cisco как видите довольно проста:

1. Добавляем пул адресов:
ip dhcp excluded-address 192.168.0.1
ip dhcp pool test1
   network 192.168.0.0 255.255.255.0
   domain-name mylan.ru
   dns-server 192.168.1.1
   default-router 192.168.0.1

2. И делаем привязку MAC адреса к IP:
ip dhcp pool user1
   host 192.168.0.2 255.255.255.0
   hardware-address 0000.0000.0001
   client-name user1

ip dhcp pool user2
   host 192.168.0.3 255.255.255.0
   hardware-address 0000.0000.0002
   client-name user2


UPD 07.02.2011
1. При добавлении ipad`а и некоторых android девайсов в привязку обнаружилось, что hardware-address 0000.0000.0001 не понимается циской и нужно писать client-identifier 0100.0000.0000.01.
В официальных доках нашли, что 01 добавляется к windows устройствам, 00 к unix, но андроид это linux. Тем не менее у Android 2.1 прявязка заработала только с client-identifier 01, а у Android 2.2 c hardware-address.
2. Советую в ip dhcp excluded-address добавить все адреса сети которые вы не планируете присваивать устройствам, исключительно ради секурности.
Таким образом наш примерный конфиг будет начинаться так:
ip dhcp excluded-address 192.168.0.1
ip dhcp excluded-address 192.168.0.4 192.168.0.254

Адрес .1 будет зарезервирован за шлюзом, .2 и .3 за dhcp девайсами, а остальным в dhcp адреса не будет.
Враг не пройдет! :)

Backup конфигурации cisco на сервер Linux (Ubuntu 10.04)

  • Linux
Нашей задачей будет настроить резервное копирование устройств cisco. Backup настроим через tftp сервис на сервере с ОС Linux (в моем примере это Ubuntu 10.04).

1. Сначала поставим сервис atftpd:

sudo apt-get install atftpd

правим настройки запуска сервиса
sudo vi /etc/default/atftpd

USE_INETD=false
OPTIONS="--daemon --port 69 --tftpd-timeout 300 --retry-timeout 5 --mcast-port 1758 --mcast-addr 239.239.239.0-255 --mcast-ttl 1 --maxthread 100 --verbose=5 /var/tftp"

дальше можно пачкой запустить команды
sudo invoke-rc.d atftpd start
cd /var
sudo mkdir tftp
sudo chmod -R 777 tftp/
sudo chown -R nobody tftp/
sudo /etc/init.d/atftpd restart


2. Доустанавливаем к perl необходимые модули (можно пропустить если ужО):
sudo apt-get install libnet-telnet-perl
sudo apt-get install libnet-telnet-cisco-perl
sudo apt-get install libmail-sendmail-perl


3. Создаем скрипт бекапа:
Читать дальше →

Муки творчества. Управление ИТ-инфраструктурой и ее мониторинг.

С развитием ИТ-инфраструктуры обслуживаемой компании, все больше хочется упорядочить возможности настройки серверного и сетевого оборудования. Долгое время хватало одной putty, но когда количество устройств перевалило далеко за сотню, держать в памяти все настройки стало сложнее. Поэтому решил написать свою программу для управление всеми девайсами: серверами, рутерами, свичами, модемами, голосовыми шлюзами… да чем угодно до чего есть ip достижимость, rdp, telnet, ssh, web интерфейс. Через пару месяцев появилось это:
Читать дальше →

Настройка проброса портов / Port Forwarding в Cisco [2]

  • Cisco
Первая часть темы про проброс портов была о решении задачи в Microsoft Windows 2003 Server. Теперь рассмотрим как сделать тоже самое на оборудовании Cisco.

Задачей будет настроить трансляцию с внешних адресов 200.100.50.56, 200.100.50.57 на адреса 192.168.1.1 — ftp сервис, 192.168.1.2 — веб сервис, 172.18.9.202 — все порты с адреса 200.100.50.57.

Схема подключения наших серверов:
Проброс портов  Port Forwarding в Cisco pix asa
Читать дальше →

Cisco обновила UCS

Cisco Systems анонсировала, обновление выпускаемых ей серверов. Модернизация коснулась процессоров Intel и собственных сетевых чипов Cisco, собственной разработки. В результате изменений производительность улучшилась на 30-50% относительно серверов первого поколения при снижении энергопотребления.

Компания уже имеет более 400 заказчиков, выбравших продукты семейства Unified Computing System (UCS), а проведенная модернизация поможет завоевать еще большее число сторонников заявил Девид Лоулер (David Lawler), вице-президент Cisco, ответственный за маркетинг серверов доступа и группы технологий виртуализации. <Мы стартовали всего лишь 9 месяцев назад, и интерес [к USC]: был огромен. Второе поколение призвано еще более усилить его. Испытывая необходимость в экономии: заказчики становятся намного более открытыми в рассмотрении более инновационных технологий, которые позволили бы им снизить расходы> - сказал он.

Для своих blade серверов Cisco анонсировала расширение Nexus 2232 с 32 портами 10G-bps Ethernet поддерживающих технологию FCoE (Fibre Channel over Ethernet). Так же анонсирован коммутатор MDS 9148 SAN с 48 оптическими портами 8G-bps.

Источник новости eweek.com

Cisco маршрутизатор и 2 провайдера

  • Cisco
Нашей задачей будет заставить работать 2 внешних интерфейса одновременно с автоматическим переключением на рабочий. Плюс немного усложним задачу, часть трафика нужно будет принудительно направить в резервный канал независимо от работоспособности.

Схема подключения



Читать дальше →