antiCisco blogs


блоги по технологиям и оборудованию cisco от инструкторов

Archive author

Опубликовано 6 Январь , 2014

Что-то я давно на антициске не появлялся, так что даже не уверен, с чего начать.
Видимо, с того, что в Vyatta/Brocade я больше не работаю. А потом с того, что и самой вьятты в привычном виде больше нет. А уже потом с того, что мы решились на форк.

Тенденция, которая была начата еще руководством оригинальной Vyatta inc., а потом продолжена Brocade, как-то не радует:

  • Нового релиза VC не было и не планируется.
  • К VC6.6 так и не выложили документацию. Позже с сайта исчезла и документация к предыдущим версиям (если кому нужна, ее сохранили для истории ).
  • Патчи от сообщества перестали приниматься уже давно.
  • Перестали публиковать изменения в публичном git.
  • Форум закрыт для новых постов.
  • В 6.6 включена половина DMVPN, с IPsec profiles, но без NHRP.
  • Доступный на данный момент исходный код непригоден для сборки работающего образа.

При этом все вышеуказанное и многое другое происходило не только без объяснений, но даже без уведомлений.

В итоге мы решились на форк. Живет он вот тут: vyos.net (название VyOS было выбрано от балды, и так и осталось). В 1.0.0 исправлены сломанные в 6.6 peer-group для IPv4-соседей и давно поломанный DHCPv6 relay, а также добавлены планировщик (cron), аутентификация юзеров прокси в LDAP, и выполнение конфигурационных команд из скриптов. На следующий релиз запланированы установка по сети, хотя бы минимальный API для управления удаленными маршрутизаторами, и еще разное (точный план еще в процессе).

Если есть желающие, присоединяйтесь к происходящему безобразию.

 

Опубликовано: Vyatta | 8 комментариев »

Опубликовано 2 Март , 2012

К сожалению, большая часть сетевого оборудования не имеет никакого API для удаленного управления, а если имеет, то зачастую написание клиента ради отправки нескольких команд совершенно не оправдывает затраченных усилий.

К счастью, уже давно существует инструмент для автоматизации таких задач под названием expect. А еще существует более удобная обертка к нему под названием expect-lite, которую мы сегодня и рассмотрим. Для примера мы напишем скрипт, который будет будет заводить порты коммутатора в нужный нам VLAN.

Читать продолжение записи »

 

Метки:
Опубликовано: Без рубрики | 1 комментарий »

Опубликовано 10 Октябрь , 2011

Самим OpenVPN пользуюсь уже несколько лет, но вот посмотреть на продукт той же компании OpenVPN Access Server решил таки посмотреть только недавно. Напомню, что сам OpenVPN это решение с открытым исходным кодом для виртуальных частных сетей, использующее SSL/TLS и инкапсуляцию в TCP или UDP, которое поддерживает туннели и канального, и сетевого уровня.

OpenVPN-AS это он же, но с некоторыми проприетарными дополнениями, включающими веб-интерфейс для управления и автонастройку клиентов.

Читать продолжение записи »

 

Опубликовано: Holywar | 1 комментарий »

Опубликовано 24 Август , 2011

Вчера было объявлено о выпуске Vyatta 6.3 (napa). Скачать можно где обычно. Впервые представлен экспериментальный образ для архитектуры x86_64, шаблоны для виртуальных машин будут позже.

Читать продолжение записи »

 

Опубликовано: Vyatta | 2 комментария »

Опубликовано 15 Май , 2011

Как известно, существует множество подсетей, которые либо вовсе не должны маршрутизироваться в Интернете (сети для частного использования, сети для примеров и документации и так далее), либо еще не выделены RIR’ами никакому оператору.

Логично было бы запретить их использование маршрутизаторами, поскольку они часто применяются для IP-спуфинга, адресов источника в трафике DoS-атак и прочих злонамеренных целях, да и в принципе как-то нехорошо.

Но поддерживать их полный список руками — весьма утомительное занятие. Недавно я обнаружил прекрасный сервис, который поддерживает и распространяет такой список.

Читать продолжение записи »

 

Опубликовано: Vyatta | 1 комментарий »

Опубликовано 12 Апрель , 2011

В Интернете много злоумышленников: хакеры, крекеры, спамы, куки, закладки.
Некий преподаватель

Как известно, МСЭ может отфильтровать нежелательный трафик только по небольшому числу жестко заданных критериев. Поэтому для повышения безопасности применяют системы обнаружения/предотвращения вторжений (англ. IPS/IDS — Intrusion Prevention/Detection System) — программы, которые анализируют трафик в поисках аномалий и известных угроз и принимают решение о его блокировке. К типичным угрозам, от которых может помочь IPS относятся, например, попытки сканирования портов и определения ОС, атаки сетевых червей, известные эксплойты и другие виды атак, обнаружение которых требует глубокого анализа проходящего трафика.

Vyatta включает в себя Snort — систему предотвращения вторжений компании Sourcefire, одну из самых распространенных в мире (более 300 000 зарегистрированных пользователей) и признанную фактическим стандартом в UNIX. Snort использует анализ на основе сигнатур (последовательностей данных, встречающихся в трафике, характерном для известных угроз) в сочетании с поиском аномалий.

Читать продолжение записи »

 

Опубликовано: Vyatta | Нет комментариев »

Опубликовано 1 Апрель , 2011

Конфиг штука важная, поскольку хранит результаты непосильного труда админов. Сегодня мы посмотрим, что с ним можно сделать и как по максимуму обеспечить удобство работы с ним и его целостность.

Немного теории

Для начала посмотрим, как именно вьятта работает со своими настройками. Каждый конфиг проходит в своей жизни три стадии:

  1. Рабочая копия (working);
  2. Действующий конфиг (active);
  3. Сохраненный конфиг.

Читать продолжение записи »

 

Опубликовано: Vyatta | Нет комментариев »

Опубликовано 31 Март , 2011

Сегодня мы рассмотрим механизм, родственный объектным группам в ASA, о которых ранее писал Сергей. Группы позволяют сделать правила МСЭ более читаемыми и масштабируемыми за счет использования ссылки на группу вместо явного перечисления объектов.

Группы настраиваются в set firewall group ...

Какие они бывают? Сейчас доступно три вида групп:

  • network-group — группа подсетей;
  • address-group — группа хостов;
  • port-group — группа портов.

Читать продолжение записи »

 

Метки:
Опубликовано: Vyatta | 4 комментария »

Опубликовано 27 Март , 2011

Если я умру, меня заменят.
Р. Аянами

Ничто не может быть абсолютно надежным, особенно железо. Поэтому в критичных задачах приходится применять резервирование. И Vyatta, как любой уважающий себя маршрутизатор, его умеет.

Сеть с резервированием маршрутизатора
Читать продолжение записи »

 

Опубликовано: Vyatta | Нет комментариев »

Опубликовано 1 Февраль , 2011

Получил сегодня в списке рассылки RIPE NCC весьма интересное письмо, привожу его целиком. Краткое содержание: после недавнего выделения APNIC двух /8 осталось всего пять блоков, которые будут в ближайшее время отданы RIR и на этом пул адресов IPv4 у IANA закончится.

Dear colleagues,

On 1 February 2011, the IANA allocated two /8s of IPv4 address space to APNIC, the Regional Internet Registry (RIR) for the Asia Pacific region.

This means that only five /8s of IPv4 address space are left in the IANA free pool and the «Global Policy for the Allocation of the Remaining IPv4 Address Space» will be triggered.

This policy can be found online at:
http://www.icann.org/en/general/allocation-remaining-ipv4-space.htm

When this policy comes into effect, the five RIRs will each receive one of the five remaining /8s and the global IPv4 pool will be exhausted.

We expect IANA to allocate these final /8s within the next few days.

For further information please see:
http://www.ripe.net/v4exhaustion/

Regards,
Axel Pawlik

Managing Director
RIPE NCC

Хороший повод начать думать о внедрении IPv6 в своих сетях.

Искренне ваш, оператор 2a02:2210::/32 :3

 

Опубликовано: Без рубрики | Нет комментариев »