|
И снова добрый день, коллеги! Продолжаю серию статей про NAT на Cisco, т.к. предыдущая статья все нашла некоторое количество положительных отзывов. В этой статье мы рассмотрим, как и было обещано, inside destination NAT. Кому интересно — велкам под кат. 
Опубликовано: Маршрутизаторы и коммутаторы | 2 комментария » Добрый день, коллеги! судя по многочисленным вопросам на форуме, от слушателей и коллег, работа NAT на маршрутизаторах Cisco (firewall’ы я опущу, Fedia достаточно подробно его работу расписал в своей серии статей про Cisco ASA) плохо описана, поэтому я попробую описать свой опыт и свое понимание данной технологии в большинстве ее ипостасей. Не претендую на всеобъемлющее описание и 100% точность, но кому интересно — велкам под кат.
Опубликовано: Маршрутизаторы и коммутаторы | 4 комментария » Дорогие друзья, позвольте поделиться коротенько, Наш сайт создавался с целью привлечь разрозненных русских специалистов по cisco разного уровня, сколотить команду, и конце концов стать информационно-помогающей площадкой на русской части мира 🙂 Правда, пока лучше удается «информационная» часть 🙂 Но мы готовы возмездно помогать! Силы, умы, люди и знания в наличии 🙂 Все, что мы здесь делаем — чистой воды энтузиазм 🙂 Инструкторов, во всяком случае некоторых, хлебом не корми, а дай порисоваться, поучить жизни кого-нить и просто поболтать 🙂 Надеюсь, наши активисты читателей и вопрошающих еще не утомили 🙂
Метки: итоги 2 лет Как и обещал, начинаю цикл статей про IPv6. Поскольку его активное использование — дело ближайшего будущего, нужно быть к этому готовым уже сейчас. Кратко о том, чего там есть нового/хорошего:
Как видно, IPv6 это не просто протокол с большим адресным пространством, изменений довольно много.
Опубликовано: Holywar | 3 комментария » Протоколы, которые мы используем в повседневной жизни, не всегда используют одну сессию для своей работы (когда весь обмен данными происходит по одной сессии TCP или UDP). Примерами таких «сложных» для МСЭ протоколов являются FTP, SIP, SCCP, H.323, и многие другие. Все приведенные протоколы используют для служебной информации одно соединение, а для передачи данных – другое. Например, популярный протокол SIP устанавливает служебную сессию на ТСР/5060 с SIP-сервером. Но голосовой поток идет от одного телефона до другого напрямую. Но этого мало: поток идет по паре случайных портов UDP с заголовком RTP (cisco использует для портов источника и назначения пару из диапазона [16384–32767], другие производители могут использовать другие диапазоны, например 2000-65535 или вовсе любые порты UDP из верхнего диапазона портов: 1024-65535). Вот в таких нечеловеческих условиях МСЭ, который стоит на пути прохождения служебного и голосового трафика, должен обеспечить работу не только служебного протокола, но и пропустить голосовой поток. И сделать это безопасно. А значит, МСЭ должен узнать, что за порты будут использовать телефоны для прямого соединения, и какой ip-адрес у локального и удаленного телефонов. Благо, эта информация передается по служебному каналу TCP/5060 при помощи специальных сообщений. Вот эти сообщения и может подслушивать МСЭ. А подслушав МСЭ, может поместить такую сессию в кэш сессий заранее! Вы, конечно, помните, что когда приходит пакет, ASA его сначала проверяет в кэше сессий и только потом по входящему списку доступа. Для каждого сложного протокола надо знать структуру его сообщений и уметь использовать их для корректной и безопасной работы МСЭ. Глубокое инспектирование подразумевает собой разбор протокола до 7 уровня модели OSI. Понятно, что такой разбор требует затрат CPU и не малых. Поэтому включать инспектирование всех доступных протоколов «на всякий случай» не рекомендую.
Метки: advanced, ASA, inspect Неумолимо приближается час, когда адреса IPv4 закончатся и вот уж тогда… Так, о чем это я? В общем, я собирался рассказать про настройку IPv6 BGP во Vyatta 6.1. В принципе, отличий от IPv4 не так много, надо их просто учитывать. Глобальные настройки указываются в «set protocols bgp address-family ipv6-unicast». Например,
Опубликовано: Vyatta | 2 комментария » |