antiCisco blogs


блоги по технологиям и оборудованию cisco от инструкторов

Публикации помечены ‘маршрутизатор’

Опубликовано 8 Апрель , 2013

          Опишем схемы тестирования и методику определения производительности различного оборудования при использовании IXIA и ПО IxNetwork. Данная статья является логическим продолжением статьи:
«А в попугаях-то я гораздо длиннее» или как мы Циску Иксией мерили
          Статья носит формальный характер, но её прочтение рекомендуется для правильного восприятия результатов различных тестов, которые будут представлены в последующих статьях.
Читать продолжение записи »

 

Метки: ,
Опубликовано: Маршрутизаторы и коммутаторы | 2 комментария »

Опубликовано 5 Апрель , 2013

          Мы продолжаем серию статей, посвященную тестированию оборудованию с помощью IXIA и ПО IxNetwork. Эта статья — вводная, в последующих будут опубликованы методики, схемы и детальные результаты нагрузочных тестов. Есть весьма интересные результаты, но о них чуть позже…

          Наши цели

          В большинстве случаев информация в datasheet по оборудованию различных производителей, в том числе Cisco, содержит цифры с максимальной производительностью, как правило, без приведения деталей тестирования: конфигураций оборудования, с которыми производилось тестирование, детальных результатов и т.п. Читать продолжение записи »

 

Метки: , , ,
Опубликовано: Маршрутизаторы и коммутаторы | 5 комментариев »

Опубликовано 9 Май , 2011

Доброго дня всем!

Давно я собирался сесть и разобраться в сабжевой технологии, поскольку она меня манила как магнит 🙂 . И эта статья — попытка структурировать на бумаге беспорядок, который в голове 🙂

Начну с краткой терминологии и простенького работающего сценария, а потом уже поговорим о дебрях (в отдельных статьях, я думаю).

Поначалу немного адаптированного перевода, дальше пойдем моими словами.

Читать продолжение записи »

 

Метки: , , ,
Опубликовано: Маршрутизаторы и коммутаторы | 7 комментариев »

Опубликовано 2 Апрель , 2011

У начинающих цискарей много вопросов вызывают различные варианты линеек IOS их отличия и функционал. Дополнительную сумятицу внесло появление новых маршрутизаторов ISR G2 и новой линейки IOS версии 15. Попробуем разобраться на пальцах.

Будем обсуждать IOS для самых распространенных маршрутизаторов – ISR. Я не буду вдаваться совсем уж в историю и начну с IOS 12 версии. Более ранние конечно бывают, но встречаются крайне редко. Мало того, даже для самого древнего железа уже как правило хотя бы 12.0 версия есть.
Начиная с этой линейки у циски появилось понятие «стабильный» образ (или main deployment), «ранние версии» (early deployment), всякие экспериментальные версии (обычно содержат несколько новых фич) и целая «продвинутая» технологическая линейка (обозначается буквой Т в названии IOS). Общая идеология такая: все, что обкатали в экспериментальных и технологических линейках предыдущих версий, появляется как основная фича в следующей версии основной линейки. Например, то, что было в 12.3Т и прошло успешные испытания, зафиксировано в 12.4 MD. Понятно, что возможностей у Т-линейки больше, функционал менее оттестирован и статистически менее надежен.
Отдельная тема: функционал IOS. Чтобы вас не запутать, давайте разделим: IOS для ISR G1 (самых обычных маршрутизаторов 85х, 87х, 18хх, 28хх, 38хх а также их предшественников 26хх, 36хх, 37хх) и IOS для ISR G2 (89х, 19хх, 29хх, 39хх). Для последних есть ТОЛЬКО IOS версии 15.0(1)М и новее. Для старых есть и 12 и 15 версия.

Примечание: версий 12.5, 13 и 14 никогда не было. По легенде, 13 – несчастливое число в США, а 14 – в Японии.
Читать продолжение записи »

 

Метки: , , ,
Опубликовано: Маршрутизаторы и коммутаторы | 8 комментариев »

Опубликовано 21 Сентябрь , 2010

Вообще линейка продуктов по системе предотвращения вторжений у компании cisco довольно широкая. Туда входят отдельно стоящие сенсоры IPS серии 42ХХ, модуль в 6500 — IDSM2, модуль в ASA — AIP-SSM, модуль в маршрутизатор (ISR) — NME-IPS, «карточка» в ISR — AIM-IPS. Ту же идеологию циска старается привнести и в софтовые решения на базе ISR, добавляя в IOS соответствующий функционал.
Вся идеология обнаружения и предотвращения вторжений основана на понятии сигнатуры. Сигнатура по сути шаблон «неправильности» в одном пакете или потоке пакетов. «Неправильности» бывают разные, начиная от типичных методов разведки и заканчивая сетевыми червями. Эти шаблоны старательно пишутся программистами циски и доходят до пользователя в виде обновлений. Т.е. система реактивна по своей сути и основана на постоянных обновлениях, что стоит денег. Лицензии на обновления привязываются к каждой железке непосредственно. Без лицензии можно менять ОС, но нельзя накатить обновления сигнатур.
Для начала немного истории систем обнаружения и предотвращения вторжений на базе маршрутизаторов.
Читать продолжение записи »

 

Метки: , , ,
Опубликовано: Маршрутизаторы и коммутаторы | Нет комментариев »

Опубликовано 21 Сентябрь , 2010

(данная часть использует знания по ACL.)
Итак, порезали ненужный трафик. Пришло время заняться межсетевым экранированием. Надо обеспечить внутренних пользователей Интернетом, но при этом не пропустить снаружи внутрь несанкционированные подключения. Маршрутизаторы cisco умеют быть межсетевыми экранами с сохранением сессий (stateful firewall).
Если у вас задачи простые, нет выделенных зон безопасности, нет анонса сервисов наружу, то проще всего воспользоваться базовым межсетевым экраном.
Читать продолжение записи »

 

Метки: , ,
Опубликовано: Маршрутизаторы и коммутаторы | 1 комментарий »

Опубликовано 5 Март , 2010

Настроим для начала интерфейсы с адресами, статический маршрутик по умолчанию и РАТ в адрес интерфейса, дабы завязать нашу внутреннюю сеть с внешним миром и «увидеть интернет». Все настройки начинаются с ключевого слова

set

Интерфейсы.
Будем настраивать самые простые – ethernet интерфейсы. Их настройка тривиальна
[edit]
edit interfaces
[edit interfaces]
set ethernet eth0 address 192.168.4.1/24
[edit interfaces]
set ethernet eth1 address 10.4.4.1/24
[edit interfaces]
commit
[edit interfaces]

Причем команда commit подтвердит только изменения, сделанные в указанном подрежиме. Это позволяет настраивать совместно железку несколькими администраторами, не боясь нарушить общую целостность конфигурации

Важно: Если вы ошибетесь при вводе команды, vyatta сразу ругнется, указав значком ^ место, откуда она перестает понимать команду.
Если же команда имеет правильный синтаксис, однако не может быть подтверждена самостоятельно, а только в составе каких-то других команд, то vyatta ругнется на этапе подтверждения, явно рассказав, что же ещё требуется, чтобы этот кусочек конфига был законченным. Тоже удобно.
Читать продолжение записи »

 

Метки: , ,
Опубликовано: Vyatta | 5 комментариев »

Опубликовано 5 Март , 2010

Сейчас на нашем рынке сетевых устройств для сетей, чуть более сложных, чем домашние, сложилась патовая ситуация: в связи с введением новых таможенных правил на ввоз криптографии практически заморожен приток любого нового оборудования. Однако, бизнес ждать не любит и требует заменителей.

Поэтому активизировалось желание найти более-менее адекватную замену cisco ISR и научиться при помощи нее строить сети небольших контор.
На данный момент выбор пал на open-source решение vyatta (www.vyatta.com). По сути это специальная сборка линукса GNU и модулей, придуманных различными разработчиками для решения различных сетевых задач:
1. Маршрутизация статическая и динамическая (RIP, OSPF, BGP)
2. Межсетевое экранирование (статическое –списки доступа, и динамическое, с сохранением сессий)
3. Трансляция сетевых адресов (NAT, PAT, внутренний и внешний)
4. Анализ и поддержка сложных для МСЭ протоколов (FTP, PPTP, IPSec и т .д.)
5. Система предотвращения вторжений
6. URL-фильтрация
7. Прокси-сервер
8. Контентный фильтр
9. Вспомогательные сервисы (ssh, ntp, dns и др)

Весьма неплохой набор, надо признать!

Ядро поддерживает большое количество разных интерфейсов, от банальных ethernet и serial, до беспроводных, агрегированных линков и вланов.
Интерфейсы определяются сами, не требуя глубокого ковыряния в системе, что тоже приятно.

Это позволяет задействовать ещё один скрытый резерв: часто у компаний лежат без дела несколько устаревшие или маломощные сервера, часто рэковые и брендовые, которые выбросить жалко, а использовать не получается. Тогда можно пристрелить сразу несколько зайцев и существенно сэкономить.
Читать продолжение записи »

 

Метки: , ,
Опубликовано: Vyatta | 4 комментария »

Опубликовано 27 Февраль , 2010

Не претендуя на полноту изложения, попробую описать технологии, которыми можно воспользоваться для защиты периметра, а также опишу вкратце, как защитить сам маршрутизатор от нападок извне и изнутри.
Рассматривать будем IOS с firewall feature set. Этот набор возможностей, как правило, есть во всех IOSах (в которых есть шифрование), кроме самого базового.
Итак, пусть на границе нашей сети стоит машрутизатор cisco, который и призван обеспечивать безопасность наших внутренних ресурсов. Понятно, что он и сам подвержен нападкам, поэтому кроме защиты пользовательского трафика надо защитить и саму железяку.

Защищаем трафик. Списки доступа.
Первым делом имеет смысл порезать ненужный трафик самым простым и грубым способом — списками доступа.
Читать продолжение записи »

 

Метки: , , ,
Опубликовано: Маршрутизаторы и коммутаторы | 2 комментария »

Опубликовано 26 Февраль , 2010

Будем считать, что вы уже активно осваиваете хитрости настройки через консоль. Пришло время рассказать ещё несколько тонкостей. О чём имеет смысл подумать при настройке маршрутизаторов и коммутаторов cisco.

Тонкость 1. Аккуратность.

Часто возникает задача что-нибудь добавить в текущую конфигурацию. Наверняка вы знаете, что многие элементы отдельно пишутся, и отдельно применяются (на интерфейс, ко всей железке и т.д.). Будьте крайне осторожны, изменяя настройки таких технологий, как PBR (route-map), QoS (policy-map), IPSec (crypto map), NAT. Наиболее корректно будет сначала снять правила с использования, потом изменить, потом повесить снова. Связано это с тем, что все изменения вы вносите сразу же в состояние железки. Иногда то, что уже работает (например, подгружено в оперативку) конфликтует с новым конфигом. Не редки ситуации, когда железка уходит в перезагрузку после попытки изменения конфига.
Пример: пусть у нас есть route-map, примененный на интерфейс. Пусть нам надо его изменить. Наиболее «чистый» способ такой:

1. Копируем из конфига существующий route-map
2. Вставляем его в блокнот.
3. Меняем ему имя в блокноте
4. Меняем сам route-map
* Обязательно проверьте его на логику: будет ли он делать то, что нужно
5. Копируем его из блокнота в буфер обмена
6. Вставляем в конфиг.
* Он ещё никуда не применен, т.к. с другим именем, поэтому процедура безопасна
7. Применяем новый route-map на интерфейс
Читать продолжение записи »

 

Метки: , ,
Опубликовано: Маршрутизаторы и коммутаторы | 3 комментария »