Академия Cisco при ТУСУР - Расширение георгафии за 3 года

   Решил тут составить перечень городов, люди из которых уже поучаствовали в обучении в нашей Академии Cisco при ТУСУР со мною в качестве инструктора. Получился внушительный список. Судите сами!

CCNA SECURITY - Стенд для изучения ASDM. Вариант 2 - Актуальный и предпочтительный

   Во время работы над предыдущим вариантом с радостью для себя узнал, что ASAv теперь может быть запущена под VMware Workstation! Ранее версии ASAv работали только под ESXi.  В сети, как всегда, полно статей о том, как работать с ASAv. Поэтому попробую сделать небольшую компиляцию, при этом по возможности добавив что-либо новое.

CCNA SECURITY - Стенд для изучения ASDM. Вариант 1 - Неудачный

   ВАЖНОЕ ПРЕДИСЛОВИЕ! Если вы торопитесь, и вам срочно нужно поднять стенд - не тратьте свое время и не читайте эту эту информацию. Сразу переходите к следующей статье с удачным решением. Ссылка на нее либо уже есть в конце указанной статьи, либо скоро-скоро появится.
   Ниже описан вариант установки ASA 8.4.2 на GNS3. Таким вариантом я пользовался сам до недавнего времени на разных версиях Qemu и GNS3 (начиная с версий 0.7.х). И все было хорошо, но время идет, версии софта меняются, и какие-то решения уходят, становясь абсолютно нерабочими.
   Поскольку в интернете можно найти множество статей в блогах и на форумах о том, как поднять ASA 8.4.2 на GNS3, я решил, что писать еще одну такую же смысла нет, поэтому отличительной особенностью данной статьи должно было стать то, что я беру актуальные на текущий момент версии ПО и иду по шагам всевозможных рекомендаций, найденных мною на просторах, делаю все, что указано в этих рекомендациях и получаю рабочую систему. Забегу вперед и скажу, что у меня даже получилось поднять ASA 8.4.2, но толку от этого мало, т.к. основная проблема в том, что эту ASA невозможно подключить ни к одному устройству, чтобы составить рабочую топологию.
   Мне стало жалко времени, потраченного на написание, поэтому оставляю данный вариант. Возможно, кто-нибудь подскажет мне решение, которое заставит работать старую ASA, но большого смысла в этом нет, т.к. уже появились гораздо более интересные решения.

   В новых экзаменах Cisco Security, да и во многих других, сделан большой упор на работу с программой Cisco Adaptive Security Device Manager (ASDM) как с графической оболочкой для Cisco ASA. Про сам ASDM могу сказать, что да, какие-то вещи в нем делать удобнее (например, настраивать CA, если такая необходимость есть). В остальном же можно по-разному относиться к ASDM, но факт остается фактом - сдавать экзамен надо, а в нем есть вопросы, которые касаются именно ASDM и знания интерфейса этой программы. Поэтому придется с ASDM работать.

Режимы командной строки Cisco

   Не секрет, что помимо того, что компания Cisco делает хорошее оборудование для различных целей, одной из жемчужин данной компании является отличный, хорошо продуманный интерфейс командной строки, он же CLI (command-line interface). Выполнен он достаточно хорошо и логично. Настолько, что у других вендоров за преимущество считается сделать свое сетевое оборудование с "cisco-like", то есть буквально "похожим на cisco", интерфейсом командной строки.
   Одной из особенностей CLI является наличие иерархии выполнения команд. Это позволяет выполнить как разделение по уровням правового доступа к оборудованию, так и обезопасить себя в некоторой степени от случайного выполнения команд, способных все порушить. Название этих уровней периодически встречаются в статьях, руководствах по настройке и в речи коллег-собеседников. Ниже постараюсь описать уровни и структуру командной строки так, чтобы знать, какой уровень за что отвечает, и на каком уровне можно\нужно выполнять те или иные команды.

Баннеры MOTD - назначение и настройка в различных системах

   При изучении курса CCNA многие студенты и просто занимающиеся самостоятельно и читающие книги по теме задают вопрос - "ЗАЧЕМ ОН НУЖЕН?! ЗАЧЕМ ЭТОТ БАННЕР?!" Особенно обидно студентам, выполняющим лабораторные работы с автоматической проверкой задания. Взрывы гнева вызывают недоборы баллов, связанные именно с неправильно заданным баннером или с тем, что про бедный баннер MOTD забыли совсем.

   Большинство просто не понимают назначения этого вида средства обеспечения безопасности(!) системы, поэтому и не понимают, почему такой ерунде уделяется много внимания. Многие вообще уверены, что это всего лишь обеспечение некоторой красивости на устройстве, которая совсем не нужна серьезному оборудованию. Попробуем разобраться, зачем же нужны баннеры MOTD и другие виды баннеров и logon сообщений.

Установка .NET Framework 3.5 в Windows Server 2012

    При попытке установить на сервер c Windows Server 2012 (R2) компонент .NET выскакивает ошибка. Проверка доступных компонентов через PowerShell с помощью команды Get-WindowsFeature показывает, что необходимый компонент отсутствует:

   Для установки этого компонента (или иных других со статусом Removed) необходимо иметь установочный диск с Windows Server 2012 (или иной). Убедимся, что на диске присутствует папка \sources\sxs. Если все в порядке, то устанавливаем через PowerShell с помощью команды:

Залить файл на / скачать файл с хранилища, присоединенного к VMware-хосту, через vSphere Client

   Для выполнения заливки и скачивания файлов, расположенных на хранилище, присоединенном к VMware хостам, необходимо выполнить несколько простых шагов:

О технологии AirPrint и примере настройки рабочей схемы с использованием Catalyst 3850

   Технология AirPrint - возможность печати документов с устройств фирмы Apple по беспроводной сети, что и следует из названия. Технология появилась довольно давно (погуглив, можно найти упоминания этой темы, датируемые 2010 годом. Сам я не слежу за продукцией Apple, поэтому не могу сказать, насколько верна эта дата), но почему-то не встречается на каждом шагу. Возможно, многие пользователи продукции Apple просто не знают о ней, а возможно и потому, что для полноценной работы печати по воздуху нужны как минимум два устройства - например,телефон и принтер, который бы поддерживал AirPrint.

   Если же звезды сложились так, что в одном офисе собрались принтеры с поддержкой AirPrint, устройства компании Apple, а так же беспроводная сеть на Cisco  с использованием Catalyst 3850 в качестве контроллера беспроводной сети, то доброго пожаловать под кат для настройки вашей сети.

Cisco ASA Failover Active\Stanby - EEM скрипт для автоматической смены активной ноды / Cisco ASA Failover Active\Stanby - EEM script for automatic active unit change

   Ранее тут и тут я уже рассказывал про файловеры и их настройку. Теперь перейдем к различным тонкостям, нюансам и проблемам.
    Возникла необходимость создать такую систему на базе Active\Standby файловерной пары, в которой активной всегда должен быть первичный юнит (primary failover unit), а вторичный (secondary failover unit) всегда должен быть резервным, кроме случаев, когда первичный юнит имеет какие-либо проблемы. Для решения поставленной задачи было перерыто множество форумов и сайтов, прочитано куча документации. Собранную информацию можно резюмировать следующим образом:
- Cisco не имеет встроенного функционала типа приоритета или аналогов preempt (к сожалению не могу найти аналогию данного термина с чем-нибудь из русского языка, а перевод не приводит ни к чему хорошему) для системы Active\Stanby (далее A\S);
- IP SLA тоже работать не будет из-за особенности топологии; 
- Было высказано мнение использовать какие-либо скрипты. TCL не поддерживается ASA, только EEM;
- При этом EEM, имеющий очень хороший функционал на IOS вплоть до написания полноценного скрипта с условиями и прочими интересными вещами из области элементарного программирования, на ASA представлен очень урезанной версией, имеющий в качестве условия срабатывания либо ID сислог-сообщения и количество их повторений, либо некую временную характеристику, которая больше похожа на планировщик задачи.

Cisco ASA Firewall - Failover configuration / Межсетевой экран Cisco ASA - Настраиваем файловер - Часть 2: Многоконтекстный режим. Настройка Active\Active

   Ранее в вот этой вот статье были рассмотрены основы файловера и настройка Active\Standby на паре ASA. Продолжаем разбираться с вариантами настройки отказоустойчивой системы, но теперь рассмотрим необходимость варианта Active\Active и его настройку. 

Cisco ASA Firewall - Failover configuration / Межсетевой экран Cisco ASA - Настраиваем файловер - Часть 1: Теория. Настройка Active\Standby

   Межсетевые экраны Cisco ASA поддерживают такую удобную штуку как FAILOVER, что можно перевести "отказоустойчивый [кластер]". Не следует путать с кластеризацией ASA- это немного другое.

   Смысл файловера в том, чтобы сделать систему отказоустойчивой, то есть сделать так, чтобы в случае отказа одной ASA вторая бы продолжила работу без внесения изменений в общую конфигурацию, при этом пользователи этого не заметили бы.

   Ниже расскажу подробнее про теоретическую часть файловера и приведу пример настройки (которая, кстати, весьма тривиальна).

NETACAD. Что делать, если у студента появляется табличка "Это задание является частью неопубликованного модуля"?

   Для инструкторов, пользующихся NETACAD.COM. Если вдруг когда-нибудь ваш студент сообщит вам, что при попытке сдать какой-нибудь экзамен, у него вместо кнопки "Take Exam" появляется сообщение вроде "Это задание является частью неопубликованного модуля (This exam is a part of unpublished module)" (см. скрин ошибки), хотя курс был вами отредактирован и опубликован, нужно сделать нижеописанную проверку, и с вероятностью 100% проблема будет разрешена.

Так выглядит ошибка

Windows 2008 R2 - Восстановление системы с помощью утилиты wbadmin

   Думаю, что написанное здесь будет актуально и для 2012\2012R2, а так же для 7,8 и 10, но проверялось на 2008 R2. Проблема возникла с восстановлением системы, для которой ранее была сделана резервная копия full-image. В целом, как и всегда во всех подобных статьях, следует указать, что процедура восстановления хорошо описана на Microsoft Technet, но есть нюансы, которые наверняка гуглятся, но я решил их собрать в одном месте для помощи гуглящим, тем более, что сам я даже не смог толком сформулировать запрос о возникшей проблеме, уж настолько она была не очевидна.

Сказы о PKI (Public Key Infrastructure) - Пролог

   После активной работы с данным видом средства криптографической защиты (думаю, что не ошибусь, отнесу это именно к совокупности средств для обеспечения криптографической защиты) созрел план написания небольшого цикла заметок об основных кейсах, возникающих про работе с инфраструктурой открытых ключей (оно же Public Key Infrastructure или PKI).

   При работе возникло множество проблем, но самой главной я бы назвал такую: отсутствие конкретики при обилии общей информации в широком доступе. Сложно было найти все возможные инструменты по работе с ключами, по работе с сертификатами, по изменению каких-либо параметров. Аналогично сложно было найти описание какой-нибудь простейшей вещи, которая была крайне необходима, но нигде конкретно не описывалась и ловко "опевалась" вокруг.

   Собственно, в цикле вряд ли будет что-то крайне новое, чего нельзя было бы найти в общем доступе. Целью данного цикла ставлю а) собрать как теорию, так и практику в одном месте для удобства использования и б) перевести на русский инфу, найденную в книжках\курсах\на форумах (знаю, что смешно, но для многих это важно, т.к. далеко не все с английским\немецким дружат, а уж хотят дружить и вовсе единицы). В статьях обязательно возможны ошибки и некорректные толкования, которые я по мере осознания и понимания буду стараться исправлять. Так же тут будут присутствовать полезные ссылки на более грамотных авторов и литературу.

   По мере выкладывания основных полезных статей буду добавлять в данную статью ссылки для более удобного поиска. 

   Комментарии и правки приветствуются.

   Погнали.

Cisco Security Manager - Установка продукта

   Мануал-напоминалка "для себя" по работе с этим продуктом. Различные очевидные и всем известные и не очень вещи.

   Немного о продукте: Cisco Security Manager - софт для управления сетевым оборудованием и оборудованием безопасности компании Cisco (очевидно). Отличается от того же ASDM тем, что позволяет выполнять одинаковые настройки для нескольких устройств одновременно, а так же управлять различными устройствами "из одного окна". Версия 4.8 включает в себя FireSight - софт для управления продуктами FirePower, Prime Security Manager - еще один софт для управления и мониторинга. Ну и много различных интересных вещей, таких как анализ конфигурации IPS, общий мониторинг устройств и прочее.

   Более подробно можно почитать тут: Cisco Security Manager

   Все эксперименты будут проводиться на версии 4.8. Дальше возможны эксперименты с апгрейдами, поэтому версия изменится.

Удаление HP iLo Advanced License с помощью скрипта и утилиты HPQLOCFG

   Возникла необходимость удаления лицензии с iLo сервера HP (version 4). Лицензия эта позволяет использовать расширенные функции iLo, например, неограниченное по времени использование java-консоли (против 30 секунд при отсутствии такой лицензии) и т.д. Через веб-интерфейс удалить лицензию нельзя. Поиски в сети полноценного результата не принесли. Нашел лишь статью, где лицензия удалялась через консоль после подключения по ssh к iLo сервера. При этом удаление происходило моментально с помощью команды delete /map1 license. Возможно, этот способ работает на более ранних версиях iLo, в моем случае это не помогло. Поэтому пришлось искать альтернативные варианты.

Настройка ISDN Cisco с использованием HWIC-1CE1T1 и PVDM-xDM

   На дворе стоял 2016 год. Нанотехнологии, оптоволокно, 40Гбитные линки, запредельные скорости, беспроводные сети... Но нам вдруг потребовалось настроить ISDN. Да. В 2016 году. Именно так.

   Каким-то чудом dial-up и ISDN обошли меня стороной вообще. У меня никогда не было опыта работа с этим. Все, что я знал о dial-up и ISDN ограничивалось знаниями из курса CCNA Exploration, да и то чисто теоретическими, потому что в классах мы никогда ничего такого не настраивали. В сети материалов с одной стороны много, но с другой... стыдно признаться, но ничего не понятно. Помощь коллег, работавших с этой технологией сводились к фразам типа "Ооооо, дааааа, настраивал как-то раз десять лет назад... Уже не помню." 

   Поэтому ниже пошаговое описание настройки на конкретном железе с конкретным модулем. Нужно не забыть, чтобы в следующий раз лет через 10 снова можно было бы повторить этот подвиг=)

Cisco Security Manager - Восстановление базы и настроек из бэкапа

   Ничего нового, просто выдержка из мануала. CSM умеет делать бэкап своей базы и настроек. Причем бэкап может быть выполнен с ротацией или же без нее.

   Бэкапится практически все необходимое: все настройки всех модулей, текущие заведенные в CSM устройства, установленные лицензии. В общем все, что необходимо для полноценного восстановления в случае, например, переноса на новый ПК со свежеустановленным софтом.

   Чтобы выполнить восстановление, необходимо проследовать по следующим несложным шагам.

Cisco Security Manager - Отключить попытку входа с пустым логином и паролем

   Не знаю, можно ли это назвать багом, скорее фича. Суть такая: CSM для работы с железками должен сперва выполнить вход на эти железки. При этом первый вход на устройство осуществляется с пустым логином\паролем. В целом ничего страшного, но в логах остается тонна сообщений о самой попытке входа и о том, что попытка неуспешна.

А если работа с CSM ведется активная, т.е. используются модули отчетов, модули мониторинга состояния устройств и т.д., то логов оооочень много. Поэтому желательно избавится от лишнего мусора в логах.

   Как выяснилось позднее в CSM предусмотрен вход с пустым логином\паролем, но выключить это через графический интерфейс не получается.

Как включить доступ в shell в Arbor

Чтобы включить возможность работы в shell в ArbOS необходимо:

а) Ввести в CLI команду / system attribute set shell.enabled = 1

б) Ввести команду shell.

Любые исправления в shell делать на свой страх и риск! 

Пример использования telnet для тестирования доступности почтового сервера

   В работе столкнулся с проблемой: не работает отсылка почтовых оповещений от одного из программных продуктов, установленных поверх Windows Server 2012 R2. Для выявления и локализации использовал telnet, чтобы убедиться, что сам почтовый сервер, поднятый на RHEL, работает, а так же что все 150 межсетевых экранов на пути от сервера к почтовику ничего не блокируют.

  Не претендую на полное описание всех функцию, исключительно как пример-напоминалка.

   Пример использования для такого рода тестов telnet'a описан ниже по шагам:

DHCP-сервер на Mikrotik при наличии DHCP-relay в сети

   Данная заметка возникла с подачи пользователя F.Mamadziyoev, за что ему большое спасибо. Он обратился ко мне по вопросу DHCP-Relay. Не вдаваясь особо в подробности, сразу к сути. В сети есть коммутаторы Cisco, один из которых является L3-коммутатором. Есть несколько VLAN'ов. Клиенты в этих VLAN'ах получают адреса по DHCP, который находится в своем VLAN и представляет собой маршрутизатор Mikrotik. На L3-коммутаторе настроен DHCP-relay, перенаправляющий трафик из vlan'ов на Mikrotik. Но DHCP не отрабатывал.

   Поиск проблемы показал, что сообщения DHCP до Mikrotik доходят, но ответа нет. Была найдена небольшая статейка, ссылкой на которую делюсь.

Howto configure a mikrotik as central dhcp server with switches as dhcp relays

   Переводить не буду, чтобы не плодить сущности. Попробую передать суть. Если  на Cisco настроить несколько пулов адресов для разных сетей (а точно так же можно сделать и на Windows Server), и она будет выдавать нужный адрес из нужного пула, беря информацию из приходящего сообщения, будь оно обычным или relay-сообщением, то Mikrotik так работать не будет. И для того, чтобы он понимал, из какого пула брать адрес, нужно ему явно указать, какой пул какому адресу релея соответствует.

   Не знаю, необходимо ли это только при наличии нескольких пулов, или обязательное условие для понимания сообщений от релея в принципе. К сожалению, нет под рукой микротика для тестов.