antiCisco blogs » Holywar

antiCisco blogs


блоги по технологиям и оборудованию cisco от инструкторов

Архив за ‘Holywar’ Category

Опубликовано 24 Январь , 2012

C выходом китайского вендара Huawei на рынок энтерпрайз становиться актуальной задача по интеграции их устройств с существующей сетевой инфраструктурой, построенной на решениях Cisco.
В статье будет показана настройка протокола OSPF на маршрутизаторах Huawei с ОС VRP3/VRP5 и их добавление к домену маршрутизации OSPF, реализованном на роутерах Cisco.
Читать продолжение записи »

 

Метки: ,
Опубликовано: Holywar | Нет комментариев »

Опубликовано 30 Ноябрь , 2011

На обед не ходил, халявный кофе с пивом не пил, пакет с бумажками и майку не брал, на доклад ходил только на свой собственный — поэтому впечатление полным назвать нельзя. Но приступ графомании сдерживать сил нет.

Важно: Нет чувства юмора —не читай.

Читать продолжение записи »

 

Опубликовано: Holywar | 5 комментариев »

Опубликовано 10 Октябрь , 2011

Самим OpenVPN пользуюсь уже несколько лет, но вот посмотреть на продукт той же компании OpenVPN Access Server решил таки посмотреть только недавно. Напомню, что сам OpenVPN это решение с открытым исходным кодом для виртуальных частных сетей, использующее SSL/TLS и инкапсуляцию в TCP или UDP, которое поддерживает туннели и канального, и сетевого уровня.

OpenVPN-AS это он же, но с некоторыми проприетарными дополнениями, включающими веб-интерфейс для управления и автонастройку клиентов.

Читать продолжение записи »

 

Опубликовано: Holywar | 1 комментарий »

Опубликовано 9 Август , 2011

RSA+ACS5.2

Как известно, настроить по отдельности каждую систему — полбеды. Самый цинус в настройке сопряжения по-умному interoperability. И стройная поначалу картинка начинает разваливаться по частям, погребая под себя план сдачи проекта…

Поэтому, сжав волю в кулак под знаменами благородной миссии облегчения труда тем, кто пойдет за мной, продолжаю серию публикаций об одном очень … медленном и трудном для меня проекте. Напомню, речь идет о создании красивой системы с удаленных подключений с аутентификацией пользователей с одноразовыми ключами RSA, с фильтрацией контента, с унифицированным управлением пользователями из единой точки (AD) и прочая и прочая…

В рамках проекта сначала настраивался ACS версии 4.2 – простой и понятный, но не достаточно гибкий сервер. Но обо всем по порядку.

Сама настройка ACS 4.2 для работы с SecurID сложности не представляет. Если вы настраиваете софтовую версию, установленную на Win 2000 Server или Win 2003 Server, то необходимо соответствующий клиент RSA (для W2K Server или Win2K3 Server соответственно) сначала установить, указав ему, где локально лежит волшебный файл sdconf.rec . И после этого автоматически в настройках внешних баз появится RSA SecurID.

Если же вы настраиваете железяку (appliance 1113), то в соответствующей закладке настройки внешних баз пользователей создаете конфигурацию для RSA SecurID и подсовываете созданный ранее файл с настройками (sdconf.rec).

Читать продолжение записи »

 

Метки: , ,
Опубликовано: Holywar , Безопасность cisco | 2 комментария »

Опубликовано 14 Апрель , 2011

Коллеги, друзья, клиенты регулярно задают вопросы про TANDBERG.
Вопросы в 70% типовые.
Будем забарывать инновационным методом.
Итак…
Cisco Telepresence (в девичестве TANDBERG) Video Communication Server (VCS) из коробки умеет:
  • 2500 регистраций
  • 10 локальных вызовов
  • 100 Traversal вызовов

Путем добавления лицензий количество локальных вызовов можно довести до 500. Лицензии можно добавлять по 10, 20, 50 и 100 штук.

Читать продолжение записи »

 

Опубликовано: Holywar | 1 комментарий »

Опубликовано 22 Март , 2011

На сайте производителя бесплатно качается сей софт. Есть множество версий, для разных ОС (для Windows Server, 32 и 64 бит, не Windows систем). Полный список легко находится на сайте. Интересно, что для закачки требуется заполнить форму с именем/фамилией, телефоном, организацией и прочей ерундой. Однако, в гугле легко находится страница со ссылками на агенты напрямую, без всяких анкет. Так что, все, что вы заполняете, вообще говоря, не обязательно. ИМХО.

Скачав нужную для данной системы софтину с агентом, не торопитесь сразу устанавливать ее. Сначала скопируйте созданный ранее файл sdconf.rec на машину. Вот теперь можно ставить. В принципе, поставить можно агента и с фейковым sdconf.rec (я создавал такой файл в блокноте). Но можно ли заставить работать агента без переустановки, просто подменив фейковый файл на настоящий, я не знаю.
Читать продолжение записи »

 

Метки: ,
Опубликовано: Holywar | 1 комментарий »

Опубликовано 21 Март , 2011

Настройка Security Console.

Теперь мы можем смело заходить в эту закладку. Здесь производятся все настройки сервера от инициализации и управления пользователями, до сброса пин-кода и генерирования отчетов. К слову говоря, если сервер в домене, то зайти на него удаленно по административной ссылке с клиентской машины, если она не в домене. Это происходит в силу перенаправления на одноразовую ссылку с применением SSO КЭШа. Которого нет.

1. Заходим, используя того же суперадмина. По умолчанию есть лишь одна «сущность» (realm), который можно настраивать – System Domain. Там по умолчанию привязаны локальные пользователи. Но мы собираемся управлять пользователями из AD, поэтому проделаем следующие шаги.
2. Создадим еще один realm: Administration->Realms->Add new
3. Создаем realm и самое главное – связываем его с уже настроенным Identity source (именно его мы создали на предыдущем этапе при помощи Security Operations Console): Administration->Security domains->Add new
4. А вот теперь финт ушами: администратор может настраивать только один realm в одной административной сессии. Поэтому
5. Выходим и заходим снова
6. Вводим логин/пароль суперадмина
7. Но теперь нам дают из выпадающего меню выбрать нужную базу пользователей (она связан с realm, а тот в свою очередь с Identity Source)
Читать продолжение записи »

 

Метки: ,
Опубликовано: Holywar | Нет комментариев »

Опубликовано 20 Март , 2011

Предисловие: участвую в богатом на разнообразные железки проекте. В нем присутствуют:
1. Циски как ядро (ASA, 6500, 3750, ISR, 2960)
2. Циски для WIFI (WLC, CAPWAP AP)
3. ACS 4.2
4. BlueCoat ProxySG в сравнении с Cisco Ironport WSA
5. BlueCoat ProxyAV в сравнении с конкурентом
6. Balabit SCB
7. SecurID – система одноразовых ключей (токены серии 800)
8. СА с сертифкатами

Задач много разных. В частности подключение ко всему этому великолепию разнообразных клиентов типа Android, Blackberry, iOS…

Чтобы мой скромный опыт не утерялся (мной же в частности :)) опишу процесс настройки этих систем на пальцах и в связке с циской.
И начну с наиболее трудоемкой, кмк, системы

RSA SecurID (сайт производителя )
Сразу оговорюсь, что в инете довольно мало документации по настройке этой системы, особенно на русском. И есть несколько довольно не очевидных моментов, которые хотелось бы охватить в одном цикле статей.
Читать продолжение записи »

 

Метки: ,
Опубликовано: Holywar | Нет комментариев »

Опубликовано 16 Январь , 2011

В очередном приступе графомании я решил описать полезные инструменты для диагностики неисправностей и тестирования настроек.

Читать продолжение записи »

 

Опубликовано: Holywar | Нет комментариев »

Опубликовано 11 Ноябрь , 2010

Как и обещал, начинаю цикл статей про IPv6. Поскольку его активное использование — дело ближайшего будущего, нужно быть к этому готовым уже сейчас.

Кратко о том, чего там есть нового/хорошего:

  • Существенно больший размер адресного пространства.
  • Новый и более функциональный протокол поиска соседей по канальному уровню вместо ARP (NDP — Neighbor Discovery Protocol).
  • Автоматическая настройка адресов и маршрута по умолчанию без состояния.
  • Обязательный к реализации и более естественный multicast.
  • Обязательный к реализации IPsec.
  • Активное использование link-local адресов.
  • Метки потоков для реализации качества обслуживания.
  • Пакеты размером до 64 килобайт (для лучшего использования протоколов канального уровня с поддержкой больших фреймов, вроде GigabitEthernet).

Как видно, IPv6 это не просто протокол с большим адресным пространством, изменений довольно много.

Читать продолжение записи »

 

Опубликовано: Holywar | 3 комментария »