Опубликовано solo 28 Сентябрь , 2010
“Этим стулом мастер Гамбс начинает…”
Преамбула
Давно обещал Сержу статью.
Давно хотел собрать в кучу свои записки.
Давно хотел лабу для тестирования голосовых фич.
Решено: Зайцев калечить пачками. Быть серии публикаций.
Особенности: Статьи будут писаться в стиле “акын”. Темы и последовательность статей будут выбираться методом тоталитарного произвола.
Амбула
Задача стратегическая:
Построить лабу, на которой можно было бы отлаживать всякие голосовые фичи и читать курсы CVOICE, CIPT. Читать продолжение записи »
Опубликовано: Маршрутизаторы и коммутаторы | 18 комментариев »
Опубликовано siv 24 Сентябрь , 2010
Классификация пакетов представляет собой средство, позволяющее отнести пакет к тому или иному классу
трафика в зависимости от определённого критерия классификации. Фактически, каждое устройство
реализующее механизмы качества обслуживания должно обладать возможностью классификации трафика.
Мы же должны, к примеру, сначала понять какие из приходящих пакетов являются голосовыми, чтобы
обеспечить их приоритетное обслуживание, или применить ограничение по скорости для трафика
«мусорных» приложений. Классификация является основой любой системы качества обслуживания, и от
того, насколько гибко и эффективно реализованы средства классификации, зависит дальнейшая обработка
пакетов в устройстве. Более того, каждое устройство в сети должно уметь классифицировать трафик – в противном случае на этом устройстве будут отсутствовать возможности
обеспечения какого-либо качества обслуживания.
Читать продолжение записи »
Метки: QoS
Опубликовано: Маршрутизаторы и коммутаторы | 4 комментария »
Опубликовано Fedia 21 Сентябрь , 2010
Вообще линейка продуктов по системе предотвращения вторжений у компании cisco довольно широкая. Туда входят отдельно стоящие сенсоры IPS серии 42ХХ, модуль в 6500 — IDSM2, модуль в ASA — AIP-SSM, модуль в маршрутизатор (ISR) — NME-IPS, «карточка» в ISR — AIM-IPS. Ту же идеологию циска старается привнести и в софтовые решения на базе ISR, добавляя в IOS соответствующий функционал.
Вся идеология обнаружения и предотвращения вторжений основана на понятии сигнатуры. Сигнатура по сути шаблон «неправильности» в одном пакете или потоке пакетов. «Неправильности» бывают разные, начиная от типичных методов разведки и заканчивая сетевыми червями. Эти шаблоны старательно пишутся программистами циски и доходят до пользователя в виде обновлений. Т.е. система реактивна по своей сути и основана на постоянных обновлениях, что стоит денег. Лицензии на обновления привязываются к каждой железке непосредственно. Без лицензии можно менять ОС, но нельзя накатить обновления сигнатур.
Для начала немного истории систем обнаружения и предотвращения вторжений на базе маршрутизаторов.
Читать продолжение записи »
Метки: cisco, IPS, outer, маршрутизатор
Опубликовано: Маршрутизаторы и коммутаторы | Нет комментариев »
Опубликовано Fedia 21 Сентябрь , 2010
(данная часть использует знания по ACL.)
Итак, порезали ненужный трафик. Пришло время заняться межсетевым экранированием. Надо обеспечить внутренних пользователей Интернетом, но при этом не пропустить снаружи внутрь несанкционированные подключения. Маршрутизаторы cisco умеют быть межсетевыми экранами с сохранением сессий (stateful firewall).
Если у вас задачи простые, нет выделенных зон безопасности, нет анонса сервисов наружу, то проще всего воспользоваться базовым межсетевым экраном.
Читать продолжение записи »
Метки: inspect, маршрутизатор, МСЭ
Опубликовано: Маршрутизаторы и коммутаторы | 1 комментарий »
Опубликовано Fedia 19 Сентябрь , 2010
С 7 версии ОС у ASA наконец появилась хоть какая-то возможность управлять потоками пакетов. Т.е. появились зачатки QoS. В версии 8.0 эти возможности весьма расширили.
На ASA эту технологию, видимо, чтобы запутать админов, называют не так, как на маршрутизаторах. Там она называется MQC (Modular QoS CLI), а на asa — MPF. Однако, идея похожая: надо определить классы трафика при помощи команды class-map, затем создать политику (policy-map), где для различным классам сопоставить различные действия для качества обслуживания (например, ограничить полосу до явно указанной), или другие сложные действия (например, поменять параметры в ТСР заголовке или отправить на модуль AIP-SSM). И последним шагом надо применить созданную политику при помощи команды service-policy к интерфейсу либо глобально. Вот давайте с этими тремя шагами поподробнее познакомимся.
Читать продолжение записи »
Метки: ASA, MPF, QoS
Опубликовано: Безопасность cisco | Нет комментариев »
Опубликовано Fedia 8 Сентябрь , 2010
Жизнь — интересная штука!
Как только я заговорил про потолок он поднялся для меня выше стратосферы: на данный момент я решаю несколько задач, вельми интересных!
1. Создание лаборатории, которой еще нет в России, ни много не мало! Будем изучать и дербанить нещадно сетевое железо. Пока же изучаю возможности Ixia и Spirant — кто победит?
2. Сертификация линеек cisco. Для самой циски в России это приоритетное направление. Взяли одну 2911 на «распотрошить» — с трудом сняли мамку 🙂 Убедились в чумовом количестве программируемых интегральных схем, задумались, что можно на них накрутить! Отдирать кулер процессора побоялись — дюже крепко сидит. Порадовались модульной схеме: питалово — отдельный вставляемый модуль, фан-трей — тоже, куча всяких разъемов. Новый шаг! Похоже на 65хх по идеологии. Попутно выяснили, какой процессор применяется для линейки х9хх — почему это такая тайна у циски?
3. Создание отечественных коммутаторов мирового уровня. Пока пишу требования
4. Создание продвинутого маршрутизатора для военных, изготовленного по всей строгости 1.3 у нас. Толстое железо, все дела 🙂 Сейчас верчу в руках одно изделие по методике 1.1 — внушает! Завтра раскрутим, поглядим, чего у него внутри 🙂
Сфоткаю — поиграем в угадайку, кто был донором.
Метки: работа, ЦНИИЭИСУ
Опубликовано: личный блог Сергея Федорова | 5 комментариев »
Опубликовано siv 7 Сентябрь , 2010
В этой статье я бы хотел кратко описать основную задачу механизмов качества
обслуживания и немного поговорить о сетевых характеристиках.
Сетевые устройства без применённых механизмов качества обслуживания обрабатывают
все пакеты одинаково (в порядке их поступления). Но в этих условиях получится, что
трафик пиринговых сетей, DoS атак, атак сетевых червей с точки зрения предоставляемой
полосы будет обрабатываться также как и голосовой трафик, видео трафик и трафик
важных для компании данных… Чтобы этого не происходило, механизмы качества
обслуживания обеспечивают способность сети предоставлять «специальное»
обслуживание пакетов определённых групп пользователей и/или приложений в ущерб
остальному трафику.
Строго говоря, мы должны определить трафик важных нам пользователей и приложений и
сформулировать политику качества обслуживания, обеспечивающую предсказуемые и
контролируемые для этого трафика.
Основными сетевыми характеристиками при этом будут: доступная полоса пропускания,
задержка сети, джиттер, процент потерянных пакетов и распределение потерянных
пакетов.
Читать продолжение записи »
Метки: QoS
Опубликовано: Маршрутизаторы и коммутаторы | 6 комментариев »
|
|