Bloggik.net - Сети передачи данных - статьи и заметки. Статьи, заметки, решение проблем связанных с компьютером, сетями о ПО. Советы по настройке и установке программ. Советы по администрированию серверов и сетей. http://bloggik.net/index.php/articles/networks/18 Sat, 25 May 2013 07:26:02 +0000 Joomla! 1.5 - Open Source Content Management ru-ru Настраиваем TACACS+ http://bloggik.net/index.php/articles/networks/18-cisco/48-tacacs http://bloggik.net/index.php/articles/networks/18-cisco/48-tacacs Когда сеть админят больше одного человека и в сети больше 5 шелезок и на каждой установлен разный пароль - админить такую сеть становится не в радость. А если ещё и что-то случилось, то узнать кто "уронил" железку будет не просто. Поэтому в средних и крупных сетях успользуют протоколы авторизации TACACS+ и RADIUS. Здесь раскажу про первый.

TACACS — это простой протокол управления доступом. TACACS+ является протоколом последнего поколения из серии протоколов TACACS. Протокол реализует три основные функции: Аутентификация, Авторизация, Аудит.

Другими словами, при доступе к сетевому устройству с включённым протоколом TACACS+ у Вас спросят логин и пароль, которые отправятся на сервер авторизации, там они проверятся на правильность, далее, в соответствии с вашей учётной записью, вам предоставятся те или иные права доступа к устройству и затем, все ваши действия на устройстве будут логироваться на сервере авторизации, как выполненые от имени вашей учётной записи.

Для включения TACACS+ на маршрутизаторах Cisco используйте следующие команды:

]]> bordac@bloggik.net (Administrator) Cisco Thu, 27 May 2010 11:23:57 +0000 Настраиваем NTP на Cisco http://bloggik.net/index.php/articles/networks/18-cisco/47-ntp-cisco http://bloggik.net/index.php/articles/networks/18-cisco/47-ntp-cisco Очень часто при решении проблем с работой сети приходится обращаться к команде show log, но если время на маршрутизаторе установлено не правильно, то разобраться что к чему будет не так просто. Поэтому очень важно иметь правильно настроенное время. Для автоматической установки часов сетевого устройства лучше всего использовать протокол NTP. Настройка протокола NTP на устройствах cisco осуществляется следующими командами:

conf t
ntp source Loopback0
ntp server 10.1.1.7

service timestamps debug datetime localtime show-timezone
service timestamps log datetime localtime show-timezone
clock timezone MSK 3
clock summer-time MSK recurring last Sun Mar 2:00 last Sun Oct 3:00
]]> bordac@bloggik.net (Administrator) Cisco Thu, 27 May 2010 10:54:53 +0000 ACL Anti Spoofing http://bloggik.net/index.php/articles/networks/18-cisco/45-acl-anti-spoofing http://bloggik.net/index.php/articles/networks/18-cisco/45-acl-anti-spoofing 
ip access-list extended ANTISPOOFING
deny ip 10.0.0.0 0.255.255.255 any
deny ip 172.16.0.0 0.15.255.255 any
deny ip 192.168.0.0 0.0.255.255 any
deny ip host 255.255.255.255 any
deny ip 224.0.0.0 15.255.255.255 any
permit ip any any

Важно: с таким ACL надо быть очень осторожным в случае, если вы работаете с шифрованными туннелями IPSec. Дело в том, что ACL, висящий на вход интерфейса, проверяет сначала заголовок зашифрованного пакета, а потом - заголовок расшифрованного. Поэтому запрет трафика от частных сетей (10, 172, 192) может нарушить работу туннеля.

Курс молодого бойца.

]]> bordac@bloggik.net (Administrator) Cisco Thu, 27 May 2010 08:52:53 +0000 Настраиваем NetFlow на Cisco http://bloggik.net/index.php/articles/networks/18-cisco/43-netflow http://bloggik.net/index.php/articles/networks/18-cisco/43-netflow NetFlow — это протокол, разработанный компанией Cisco и предназначенный для сбора информации об IP-трафике внутри сети. Маршрутизаторы Cisco анализируют проходящий через интерфейс траффик, суммируют данные и отправляют статистику в формате NetFlow на специальный узел, называемый NetFlow Сollector. NetFlow часто используется для ведения биллинга или для анализа траффика сети. Протокол существует в нескольких версиях, последняя версия 9 предназначена для учёта траффика между АС (Автономная Система) и в импортируемых данных имеет несколько дополнительных полей таких как АС источника, АС назначения и пр., но обычно, для биллинга в не сложной сети внутри одной АС достаточно информации, содержащейся в данных NetFlow версии ‎5.

В общем случае, для того, чтобы настроить протокол NetFlow на устройствах Сisco, необходимо выполнить следующие команды:

]]> bordac@bloggik.net (Administrator) Cisco Thu, 27 May 2010 08:41:35 +0000 Консоль через AUX http://bloggik.net/index.php/articles/networks/18-cisco/42-console-aux http://bloggik.net/index.php/articles/networks/18-cisco/42-console-aux Иногда возникает задача удалённо попасть на консоль какого нибудь устройства Cisco. Например, когда вы работаете на важном удалённом оборудовании и связь с ним может пропасть из-за его неправильной конфигурации. Чтобы уберечь себя от возможных проблем можно использовать так называемый обратный телнет. Для этого сделайте патчкорд для консоли (обжатый типом Rollover) и заранее подключите один его конец к AUX порту устройства, связь с которым надёжна, а другим концом в консольный порт устройства, связь с которым может потеряться. Теперь, если наже устройство стало недоступным по сети, зайти на него можно через консоль. Для этого, на нашем устройстве с AUX портом выполните:

]]> bordac@bloggik.net (Administrator) Cisco Thu, 27 May 2010 07:43:48 +0000 SQUID+WCCP+TPROXY = прозрачный прокси! http://bloggik.net/index.php/articles/networks/18-cisco/38-squid-tproxy-wccp http://bloggik.net/index.php/articles/networks/18-cisco/38-squid-tproxy-wccp
Однажды перед нами стала задача просматривать, при необходимости, на каких сайтах околачиваются наши пользователи. Логика подсказывала, что нужен прокси сервер, но здравый смысл намекал, что настроить каждому пользователю браузер, антивирус и прочие программы на работу с прокси, при количестве пользователей более 1000 — ни-за-что! Да ещё была проблема — выпускать такое количество пользователей под одним внешним IP-адресом в интернет — дело не благородное. А ещё хотелось, чтобы всё это было бесплатно. И решение всё-таки нашлось — прозрачный прокси.
Здесь я расскажу вам как настроить связку SQUID+WCCP+TPROXY, какие у неё плюсы и минусы.
Итак, немного теории:
  • Web Cache Communication Protocol (WCCP) — разработанный компанией Cisco протокол перенаправления контента. Предоставляет механизм перенаправления потоков траффика в реальном времени. WCCP позволяет использовать Cisco Cache Engines (или другие устройства хранения кэша с работающим WCCP) для локализации источника web-траффика в сети. Локализация траффика снижает стоимость передачи и время скачивания.
  • Squid — программный пакет, реализующий функцию кэширующего прокси-сервера для протоколов HTTP, FTP, Gopher и HTTPS. Используется в UNIX-like системах и в ОС семейства Windows NT. Имеет возможность взаимодействия с Active Directory Windows Server путём аутентификации через LDAP, что позволяет использовать разграничения доступа к интернет ресурсам пользователей, которые имеют учётные записи на Windows Server, также позволяет организовать «нарезку» интернет трафика для различных пользователей.
  • TProxy — механизм ядра Linux, позволяющий ОС отправлять ip пакеты с чужим адресом источника.

Задачи:
  • Логировать посещённые пользователями сайты в интернете
  • Подсчитывать потребляемый траффик
  • Сделать это незаметно для пользователей
]]> bordac@bloggik.net (Bordac) Cisco Wed, 26 May 2010 11:16:12 +0000