|
Еще в нежном возрасте нагадала мне на фантиках одна красотка из соседней группы дорогу дальнюю, и похоже еще было ей что сказать, как вдруг налетела воспиталка и разделила нас ледяной стеной тихого часа. Так вот выпало стало быть. ВОРНИНГ: NON-IT Content 
Опубликовано: Без рубрики | 1 комментарий » В продолжение темы IOS Firewall мне бы хотелось поговорить с Вами об еще одной технологии, которая называется Cisco IOS Transparent Firewall. Данная функция была впервые внедрена в маршрутизаторы Cisco в IOS 12.3(7)T. Она позволяет проводить фильтрацию трафика и осуществлять динамическую инспекцию приложений, когда маршрутизатор выступает в роли L2-моста. В прозрачном (transparent) режиме маршрутизатор не осуществляет маршрутизацию, а просто изучает MAC-адреса на всех своих интерфейсах подобно коммутатору. Когда Вы конфигурируете прозрачный фаирвол на Cisco IOS, прежде всего необходимо определиться с типом бриджирования, которое будет осуществлять маршрутизаторах. Таких типов два: CRB и IRB. Читать продолжение записи »
Метки: Transparent В прошлой статье мы с вами познакомились с понятием Zone Based Firewall и узнали как можно настроить инспекцию того или иного протокола. Сейчас мы постараемся углубить полученные знания и посмотрим на инспектирование трафика не только на L3-L4, но и залезем внутрь уровня приложений. Маршрутизаторы Cisco IOS умеют проводить инспекцию протоколов не только на 3ем и 4ом уровнях модели OIS, но и на 7ом. Для чего это нужно? Например, вы захотите запретить определенные SMTP сообщения, которые открывают уязвимости на почтовом сервере. Или вы хотите быть уверенным, что HTTP соединения не используются для тунеллирования сервисов мгновенных сообщений (напр. сервис ICQ2GO). Решение задач, подобных тем, что описаны в этом абзаце выше, возможно только с помощью инспекции сообщений протоколов на уровне приложений.
Метки: ZBFW, ZFW Zone Based Firewall (здесь и далее ZFW) – новое направление на маршрутизаторах под управлением операционной системы Cisco IOS для конфигурирования правил доступа между сетями. До появления этой технологии трафик фильтровался с помощью списков доступа ACL и динамической инспекции трафика (CBAC). И ACL и правила CBAC’а применялись непосредственно на физические интерфейсы, что во многих случаях не способствует масштабируемости и гибкости решения.
Метки: ZBFW, ZFW В предыдущей части блога DMVPN (Dynamic Multipoint VPN). Часть 1. были рассмотрены основы технологии DMVPN и рассмотрен базовый вариант настройки сервиса DMVPN без элементов отказоустойчивости. Если вы с этой технологией совсем не знакомы, рекомендую ознакомиться сначала с первой частью. Одно из главных преимуществ DMVPN – возможность построения отказоустойчивых виртуальных сетей на базе классического подхода посредством использованием протоколов динамической маршрутизации. Шифрованное mGRE облако фактически представляет собой легко масштабируемый L3 транспорт, прозрачный для протоколов маршрутизации – в этом основное преимущество перед классическим IPsec.
Метки: DMVPN, IPSec, routing, security, VPN Введение:
Метки: MSDP, multicast, PIM Введение: cisco на своих «больших» коммутаторах 65 серии не так давно внедрила довольно удобную штуку VSS (14400). Такой аналог стека на 3750-х. Правда, связь между шасси осуществляется при помощи старенького etherchannel. И есть мнение, что 20Гбит/сек мало для высоконагруженного ядра. Конечно, циска внедрила механизм минимизации нагрузки на этот линк между шасси, стараясь не допустить «лишнего хопа» по VSL (Virtual Switch Link). Данная технология здорово упрощает логическую топологию сети, уменьшает количество точек настройки да и вообще – хорошо продается
Метки: troubleshooting, VSS Кому как, а мне лично не хватает отведенных 24 часов в сутки. Надо и с ребенком поиграть, и жене внимание уделить, и вендоров удовлетворить, и с дистрибьютором договориться, и продать, и настроить, и статьи, БЛИН, пописать наконец.
А тут еще и организЬм подкидывает свинью — ему видите ли спать надо.
Опубликовано: Без рубрики | 1 комментарий » К сожалению, большая часть сетевого оборудования не имеет никакого API для удаленного управления, а если имеет, то зачастую написание клиента ради отправки нескольких команд совершенно не оправдывает затраченных усилий. К счастью, уже давно существует инструмент для автоматизации таких задач под названием expect. А еще существует более удобная обертка к нему под названием expect-lite, которую мы сегодня и рассмотрим. Для примера мы напишем скрипт, который будет будет заводить порты коммутатора в нужный нам VLAN.
Метки: expect C выходом китайского вендара Huawei на рынок энтерпрайз становиться актуальной задача по интеграции их устройств с существующей сетевой инфраструктурой, построенной на решениях Cisco.
Метки: Huawei, ospf |
