antiCisco blogs


блоги по технологиям и оборудованию cisco от инструкторов

Архив за ‘Vyatta’ Category

Опубликовано 6 Январь , 2014

Что-то я давно на антициске не появлялся, так что даже не уверен, с чего начать.
Видимо, с того, что в Vyatta/Brocade я больше не работаю. А потом с того, что и самой вьятты в привычном виде больше нет. А уже потом с того, что мы решились на форк.

Тенденция, которая была начата еще руководством оригинальной Vyatta inc., а потом продолжена Brocade, как-то не радует:

  • Нового релиза VC не было и не планируется.
  • К VC6.6 так и не выложили документацию. Позже с сайта исчезла и документация к предыдущим версиям (если кому нужна, ее сохранили для истории ).
  • Патчи от сообщества перестали приниматься уже давно.
  • Перестали публиковать изменения в публичном git.
  • Форум закрыт для новых постов.
  • В 6.6 включена половина DMVPN, с IPsec profiles, но без NHRP.
  • Доступный на данный момент исходный код непригоден для сборки работающего образа.

При этом все вышеуказанное и многое другое происходило не только без объяснений, но даже без уведомлений.

В итоге мы решились на форк. Живет он вот тут: vyos.net (название VyOS было выбрано от балды, и так и осталось). В 1.0.0 исправлены сломанные в 6.6 peer-group для IPv4-соседей и давно поломанный DHCPv6 relay, а также добавлены планировщик (cron), аутентификация юзеров прокси в LDAP, и выполнение конфигурационных команд из скриптов. На следующий релиз запланированы установка по сети, хотя бы минимальный API для управления удаленными маршрутизаторами, и еще разное (точный план еще в процессе).

Если есть желающие, присоединяйтесь к происходящему безобразию.

 

Опубликовано: Vyatta | 8 комментариев »

Опубликовано 24 Август , 2011

Вчера было объявлено о выпуске Vyatta 6.3 (napa). Скачать можно где обычно. Впервые представлен экспериментальный образ для архитектуры x86_64, шаблоны для виртуальных машин будут позже.

Читать продолжение записи »

 

Опубликовано: Vyatta | 2 комментария »

Опубликовано 15 Май , 2011

Как известно, существует множество подсетей, которые либо вовсе не должны маршрутизироваться в Интернете (сети для частного использования, сети для примеров и документации и так далее), либо еще не выделены RIR’ами никакому оператору.

Логично было бы запретить их использование маршрутизаторами, поскольку они часто применяются для IP-спуфинга, адресов источника в трафике DoS-атак и прочих злонамеренных целях, да и в принципе как-то нехорошо.

Но поддерживать их полный список руками — весьма утомительное занятие. Недавно я обнаружил прекрасный сервис, который поддерживает и распространяет такой список.

Читать продолжение записи »

 

Опубликовано: Vyatta | 1 комментарий »

Опубликовано 12 Апрель , 2011

В Интернете много злоумышленников: хакеры, крекеры, спамы, куки, закладки.
Некий преподаватель

Как известно, МСЭ может отфильтровать нежелательный трафик только по небольшому числу жестко заданных критериев. Поэтому для повышения безопасности применяют системы обнаружения/предотвращения вторжений (англ. IPS/IDS — Intrusion Prevention/Detection System) — программы, которые анализируют трафик в поисках аномалий и известных угроз и принимают решение о его блокировке. К типичным угрозам, от которых может помочь IPS относятся, например, попытки сканирования портов и определения ОС, атаки сетевых червей, известные эксплойты и другие виды атак, обнаружение которых требует глубокого анализа проходящего трафика.

Vyatta включает в себя Snort — систему предотвращения вторжений компании Sourcefire, одну из самых распространенных в мире (более 300 000 зарегистрированных пользователей) и признанную фактическим стандартом в UNIX. Snort использует анализ на основе сигнатур (последовательностей данных, встречающихся в трафике, характерном для известных угроз) в сочетании с поиском аномалий.

Читать продолжение записи »

 

Опубликовано: Vyatta | Нет комментариев »

Опубликовано 1 Апрель , 2011

Конфиг штука важная, поскольку хранит результаты непосильного труда админов. Сегодня мы посмотрим, что с ним можно сделать и как по максимуму обеспечить удобство работы с ним и его целостность.

Немного теории

Для начала посмотрим, как именно вьятта работает со своими настройками. Каждый конфиг проходит в своей жизни три стадии:

  1. Рабочая копия (working);
  2. Действующий конфиг (active);
  3. Сохраненный конфиг.

Читать продолжение записи »

 

Опубликовано: Vyatta | Нет комментариев »

Опубликовано 31 Март , 2011

Сегодня мы рассмотрим механизм, родственный объектным группам в ASA, о которых ранее писал Сергей. Группы позволяют сделать правила МСЭ более читаемыми и масштабируемыми за счет использования ссылки на группу вместо явного перечисления объектов.

Группы настраиваются в set firewall group ...

Какие они бывают? Сейчас доступно три вида групп:

  • network-group — группа подсетей;
  • address-group — группа хостов;
  • port-group — группа портов.

Читать продолжение записи »

 

Метки:
Опубликовано: Vyatta | 4 комментария »

Опубликовано 27 Март , 2011

Если я умру, меня заменят.
Р. Аянами

Ничто не может быть абсолютно надежным, особенно железо. Поэтому в критичных задачах приходится применять резервирование. И Vyatta, как любой уважающий себя маршрутизатор, его умеет.

Сеть с резервированием маршрутизатора
Читать продолжение записи »

 

Опубликовано: Vyatta | Нет комментариев »

Опубликовано 30 Январь , 2011

Сегодня мы поговорим о хорошо широко применяемой UNIXоидами, но сравнительно малоизвестной цисководам технологии построения виртуальных частных сетей: OpenVPN.

Читать продолжение записи »

 

Метки: ,
Опубликовано: Vyatta | 3 комментария »

Опубликовано 11 Январь , 2011

В процессе общения на форуме, в IRC, здесь и в прочих местах накопился некий список часто задаваемых вопросов о вьятте. Вот я и решил их систематизировать и собрать здесь. Список наверняка будет расширяться и дополняться, так что запросы и обсуждения приветствуются.

Читать продолжение записи »

 

Опубликовано: Vyatta | 4 комментария »

Опубликовано 10 Январь , 2011

В связи с тем, что в последнее время несколько раз приходилось настраивать, решил описать свой опыт. У вьятты есть механизм, родственный «ip sla monitor» и «track» в IOS. Настраивается в «set load-balancing wan».

Что можно делать:

  • Отслеживать состояние каналов.
  • Переключаться на резервный канал при падении связи.
  • Осуществлять балансировку между каналами.

Читать продолжение записи »

 

Опубликовано: Vyatta | 7 комментариев »