Статьи, заметки, решение проблем связанных с компьютером, сетями о ПО. Советы по настройке и установке программ. Советы по администрированию серверов и сетей. http://bloggik.net/index.php/articles/networks/18-cisco 2013-05-25T07:34:50Z Joomla! 1.5 - Open Source Content Management 2010-05-27T11:23:57Z 2010-05-27T11:23:57Z http://bloggik.net/index.php/articles/networks/18-cisco/48-tacacs Administrator bordac@bloggik.net

<p>Когда сеть админят больше одного человека и в сети больше 5 шелезок и на каждой установлен разный пароль - админить такую сеть становится не в радость. А если ещё и что-то случилось, то узнать кто "уронил" железку будет не просто. Поэтому в средних и крупных сетях успользуют протоколы авторизации TACACS+ и RADIUS. Здесь раскажу про первый.</p> <p>TACACS — это простой протокол управления доступом. TACACS+ является протоколом последнего поколения из серии протоколов TACACS. Протокол реализует три основные функции: Аутентификация, Авторизация, Аудит.</p> <p>Другими словами, при доступе к сетевому устройству с включённым протоколом TACACS+ у Вас спросят логин и пароль, которые отправятся на сервер авторизации, там они проверятся на правильность, далее, в соответствии с вашей учётной записью, вам предоставятся те или иные права доступа к устройству и затем, все ваши действия на устройстве будут логироваться на сервере авторизации, как выполненые от имени вашей учётной записи.</p> <p>Для включения TACACS+ на маршрутизаторах Cisco используйте следующие команды:</p>

<p>Когда сеть админят больше одного человека и в сети больше 5 шелезок и на каждой установлен разный пароль - админить такую сеть становится не в радость. А если ещё и что-то случилось, то узнать кто "уронил" железку будет не просто. Поэтому в средних и крупных сетях успользуют протоколы авторизации TACACS+ и RADIUS. Здесь раскажу про первый.</p> <p>TACACS — это простой протокол управления доступом. TACACS+ является протоколом последнего поколения из серии протоколов TACACS. Протокол реализует три основные функции: Аутентификация, Авторизация, Аудит.</p> <p>Другими словами, при доступе к сетевому устройству с включённым протоколом TACACS+ у Вас спросят логин и пароль, которые отправятся на сервер авторизации, там они проверятся на правильность, далее, в соответствии с вашей учётной записью, вам предоставятся те или иные права доступа к устройству и затем, все ваши действия на устройстве будут логироваться на сервере авторизации, как выполненые от имени вашей учётной записи.</p> <p>Для включения TACACS+ на маршрутизаторах Cisco используйте следующие команды:</p> 2010-05-27T10:54:53Z 2010-05-27T10:54:53Z http://bloggik.net/index.php/articles/networks/18-cisco/47-ntp-cisco Administrator bordac@bloggik.net

<p>Очень часто при решении проблем с работой сети приходится обращаться к команде <em>show log, </em>но если время на маршрутизаторе установлено не правильно, то разобраться что к чему будет не так просто. Поэтому очень важно иметь правильно настроенное время. Для автоматической установки часов сетевого устройства лучше всего использовать протокол NTP. Настройка протокола NTP на устройствах cisco осуществляется следующими командами:</p> <pre>conf t<br />ntp source Loopback0<br />ntp server 10.1.1.7<br /><br />service timestamps debug datetime localtime show-timezone<br />service timestamps log datetime localtime show-timezone<br />clock timezone MSK 3<br />clock summer-time MSK recurring last Sun Mar 2:00 last Sun Oct 3:00<br /></pre>

<p>Очень часто при решении проблем с работой сети приходится обращаться к команде <em>show log, </em>но если время на маршрутизаторе установлено не правильно, то разобраться что к чему будет не так просто. Поэтому очень важно иметь правильно настроенное время. Для автоматической установки часов сетевого устройства лучше всего использовать протокол NTP. Настройка протокола NTP на устройствах cisco осуществляется следующими командами:</p> <pre>conf t<br />ntp source Loopback0<br />ntp server 10.1.1.7<br /><br />service timestamps debug datetime localtime show-timezone<br />service timestamps log datetime localtime show-timezone<br />clock timezone MSK 3<br />clock summer-time MSK recurring last Sun Mar 2:00 last Sun Oct 3:00<br /></pre> 2010-05-27T08:52:53Z 2010-05-27T08:52:53Z http://bloggik.net/index.php/articles/networks/18-cisco/45-acl-anti-spoofing Administrator bordac@bloggik.net

Такой список доступа применяется на внешнем интерфейсе пограничного маршрутизатора для фильтрации пакетов с ip-адресом источника не соответствующим адресам публичной сети.<br /> <pre>ip access-list extended ANTISPOOFING<br />deny ip 10.0.0.0 0.255.255.255 any<br />deny ip 172.16.0.0 0.15.255.255 any<br />deny ip 192.168.0.0 0.0.255.255 any<br />deny ip host 255.255.255.255 any<br />deny ip 224.0.0.0 15.255.255.255 any<br />permit ip any any<br /></pre> <p>Важно: с таким ACL надо быть очень осторожным в случае, если вы работаете с шифрованными туннелями IPSec. Дело в том, что ACL, висящий на вход интерфейса, проверяет сначала заголовок зашифрованного пакета, а потом - заголовок расшифрованного. Поэтому запрет трафика от частных сетей (10, 172, 192) может нарушить работу туннеля.</p> <p>Курс молодого бойца.</p>

Такой список доступа применяется на внешнем интерфейсе пограничного маршрутизатора для фильтрации пакетов с ip-адресом источника не соответствующим адресам публичной сети.<br /> <pre>ip access-list extended ANTISPOOFING<br />deny ip 10.0.0.0 0.255.255.255 any<br />deny ip 172.16.0.0 0.15.255.255 any<br />deny ip 192.168.0.0 0.0.255.255 any<br />deny ip host 255.255.255.255 any<br />deny ip 224.0.0.0 15.255.255.255 any<br />permit ip any any<br /></pre> <p>Важно: с таким ACL надо быть очень осторожным в случае, если вы работаете с шифрованными туннелями IPSec. Дело в том, что ACL, висящий на вход интерфейса, проверяет сначала заголовок зашифрованного пакета, а потом - заголовок расшифрованного. Поэтому запрет трафика от частных сетей (10, 172, 192) может нарушить работу туннеля.</p> <p>Курс молодого бойца.</p> 2010-05-27T08:41:35Z 2010-05-27T08:41:35Z http://bloggik.net/index.php/articles/networks/18-cisco/43-netflow Administrator bordac@bloggik.net

<p><strong>NetFlow</strong> — это протокол, разработанный компанией Cisco и предназначенный для сбора информации об IP-трафике внутри сети. Маршрутизаторы Cisco анализируют проходящий через интерфейс траффик, суммируют данные и отправляют статистику в формате NetFlow на специальный узел, называемый <strong>NetFlow</strong> <strong>Сollector</strong>. <strong>NetFlow </strong>часто используется для ведения биллинга или для анализа траффика сети. Протокол существует в нескольких версиях, последняя версия 9 предназначена для учёта траффика между АС (Автономная Система) и в импортируемых данных имеет несколько дополнительных полей таких как АС источника, АС назначения и пр., но обычно, для биллинга в не сложной сети внутри одной АС достаточно информации, содержащейся в данных NetFlow версии ‎5.</p> <p>В общем случае, для того, чтобы настроить протокол <strong>NetFlow </strong>на устройствах Сisco, необходимо выполнить следующие команды:</p>

<p><strong>NetFlow</strong> — это протокол, разработанный компанией Cisco и предназначенный для сбора информации об IP-трафике внутри сети. Маршрутизаторы Cisco анализируют проходящий через интерфейс траффик, суммируют данные и отправляют статистику в формате NetFlow на специальный узел, называемый <strong>NetFlow</strong> <strong>Сollector</strong>. <strong>NetFlow </strong>часто используется для ведения биллинга или для анализа траффика сети. Протокол существует в нескольких версиях, последняя версия 9 предназначена для учёта траффика между АС (Автономная Система) и в импортируемых данных имеет несколько дополнительных полей таких как АС источника, АС назначения и пр., но обычно, для биллинга в не сложной сети внутри одной АС достаточно информации, содержащейся в данных NetFlow версии ‎5.</p> <p>В общем случае, для того, чтобы настроить протокол <strong>NetFlow </strong>на устройствах Сisco, необходимо выполнить следующие команды:</p> 2010-05-27T07:43:48Z 2010-05-27T07:43:48Z http://bloggik.net/index.php/articles/networks/18-cisco/42-console-aux Administrator bordac@bloggik.net

<p>Иногда возникает задача удалённо попасть на консоль какого нибудь устройства Cisco. Например, когда вы работаете на важном удалённом оборудовании и связь с ним может пропасть из-за его неправильной конфигурации. Чтобы уберечь себя от возможных проблем можно использовать так называемый обратный телнет. Для этого сделайте патчкорд для консоли (обжатый типом Rollover) и заранее подключите один его конец к AUX порту устройства, связь с которым надёжна, а другим концом в консольный порт устройства, связь с которым может потеряться. Теперь, если наже устройство стало недоступным по сети, зайти на него можно через консоль. Для этого, на нашем устройстве с AUX портом выполните:</p>

<p>Иногда возникает задача удалённо попасть на консоль какого нибудь устройства Cisco. Например, когда вы работаете на важном удалённом оборудовании и связь с ним может пропасть из-за его неправильной конфигурации. Чтобы уберечь себя от возможных проблем можно использовать так называемый обратный телнет. Для этого сделайте патчкорд для консоли (обжатый типом Rollover) и заранее подключите один его конец к AUX порту устройства, связь с которым надёжна, а другим концом в консольный порт устройства, связь с которым может потеряться. Теперь, если наже устройство стало недоступным по сети, зайти на него можно через консоль. Для этого, на нашем устройстве с AUX портом выполните:</p> 2010-05-26T11:16:12Z 2010-05-26T11:16:12Z http://bloggik.net/index.php/articles/networks/18-cisco/38-squid-tproxy-wccp Bordac bordac@bloggik.net

<div> <div style="text-align: left;">Однажды перед нами стала задача просматривать, при необходимости, на каких сайтах околачиваются наши пользователи. Логика подсказывала, что нужен прокси сервер, но здравый смысл намекал, что настроить каждому пользователю браузер, антивирус и прочие программы на работу с прокси, при количестве пользователей более 1000 — ни-за-что! Да ещё была проблема — выпускать такое количество пользователей под одним внешним IP-адресом в интернет — дело не благородное. А ещё хотелось, чтобы всё это было бесплатно. И решение всё-таки нашлось — прозрачный прокси.<br /> Здесь я расскажу вам как настроить связку SQUID+WCCP+TPROXY, какие у неё плюсы и минусы.</div> <div></div> <div>Итак, немного теории:</div> <ul> <li> <strong>Web Cache Communication Protocol (WCCP)</strong> — разработанный компанией Cisco протокол перенаправления контента. Предоставляет механизм перенаправления потоков траффика в реальном времени. WCCP позволяет использовать Cisco Cache Engines (или другие устройства хранения кэша с работающим WCCP) для локализации источника web-траффика в сети. Локализация траффика снижает стоимость передачи и время скачивания.</li> <li> <strong>Squid</strong> — программный пакет, реализующий функцию кэширующего прокси-сервера для протоколов HTTP, FTP, Gopher и HTTPS. Используется в UNIX-like системах и в ОС семейства Windows NT. Имеет возможность взаимодействия с Active Directory Windows Server путём аутентификации через LDAP, что позволяет использовать разграничения доступа к интернет ресурсам пользователей, которые имеют учётные записи на Windows Server, также позволяет организовать «нарезку» интернет трафика для различных пользователей.</li> <li> <strong>TProxy</strong> — механизм ядра Linux, позволяющий ОС отправлять ip пакеты с чужим адресом источника. </li> </ul> <br /> <h5>Задачи:</h5> <ul> <li> Логировать посещённые пользователями сайты в интернете</li> <li> Подсчитывать потребляемый траффик</li> <li> Сделать это незаметно для пользователей</li> </ul> </div>

<div> <div style="text-align: left;">Однажды перед нами стала задача просматривать, при необходимости, на каких сайтах околачиваются наши пользователи. Логика подсказывала, что нужен прокси сервер, но здравый смысл намекал, что настроить каждому пользователю браузер, антивирус и прочие программы на работу с прокси, при количестве пользователей более 1000 — ни-за-что! Да ещё была проблема — выпускать такое количество пользователей под одним внешним IP-адресом в интернет — дело не благородное. А ещё хотелось, чтобы всё это было бесплатно. И решение всё-таки нашлось — прозрачный прокси.<br /> Здесь я расскажу вам как настроить связку SQUID+WCCP+TPROXY, какие у неё плюсы и минусы.</div> <div></div> <div>Итак, немного теории:</div> <ul> <li> <strong>Web Cache Communication Protocol (WCCP)</strong> — разработанный компанией Cisco протокол перенаправления контента. Предоставляет механизм перенаправления потоков траффика в реальном времени. WCCP позволяет использовать Cisco Cache Engines (или другие устройства хранения кэша с работающим WCCP) для локализации источника web-траффика в сети. Локализация траффика снижает стоимость передачи и время скачивания.</li> <li> <strong>Squid</strong> — программный пакет, реализующий функцию кэширующего прокси-сервера для протоколов HTTP, FTP, Gopher и HTTPS. Используется в UNIX-like системах и в ОС семейства Windows NT. Имеет возможность взаимодействия с Active Directory Windows Server путём аутентификации через LDAP, что позволяет использовать разграничения доступа к интернет ресурсам пользователей, которые имеют учётные записи на Windows Server, также позволяет организовать «нарезку» интернет трафика для различных пользователей.</li> <li> <strong>TProxy</strong> — механизм ядра Linux, позволяющий ОС отправлять ip пакеты с чужим адресом источника. </li> </ul> <br /> <h5>Задачи:</h5> <ul> <li> Логировать посещённые пользователями сайты в интернете</li> <li> Подсчитывать потребляемый траффик</li> <li> Сделать это незаметно для пользователей</li> </ul> </div>