Cisco ASA - Использование CAPTURE для анализа трафика

   Полезным инструментом для захвата трафика на входе в и на выходе из определенного интерфейса является CAPTURE. Команда capture позволяет создать фильтр, который будет отлавливать необходимые пакеты в соответствии с заданными параметрами. Фильтр составляется по аналогии с ACL, синтаксис команды очень похож.

   Фактически команда capture представляет собой встроенный сниффер трафика, с помощью которого можно провести анализ потоков трафика и выявить проблемы как на самом устройстве, так и на участках рядом с ним.

   Рассмотрим простой сценарий, когда capture может оказаться полезной. На рисунке ниже представлена схема, в которой на границе зоны ответственности заказчика установлена Cisco ASA, а перед подключением к провайдеру имеется некоторое оборудование-"черный ящик", доступа к которому у заказчика нет, но зато достоверно известно, что этот "черный ящик" занимается в том числе фильтрацией трафика и межсетевым экранированием.

Изменение локали и региональных настроек для установки Cisco CSM и Cisco Prime 4.1

   При установки Cisco Prime 4.1 или CSM версии 4.14, в состав которой входит Cisco Prime, помимо проблем с наличием необходимых обновлений и проблем с установкой размеров файла подкачки (описано здесь), может возникнуть следующая ошибка: You are trying to install on an unsupported locale. supports only US English or Japanese languages. The setup program will exit when you click OK. Please reinstall your Operating System with supported locale and change the Regional Settings to either of these languages.

    Спасибо за совет переустановить систему. В целом, если позволяет время, можно сделать все именно так, как написано. Но следовать этому совету я, конечно же, не буду.

Cisco ASA Firewall - Сервисные работы с устройствами в Active\Standby Failover'е

   Рано или поздно созданный отказоустойчивый кластер (под кластером в данной статье понимается failover. Далее для краткости буду называть его просто кластер) приходится обслуживать. Например, требуется обновлять программное обеспечение, перезагружать устройства без потери связи или вовсе производить замену одного из члена кластера в следствие выхода его из строя.  Так же случаются человеческие или программные ошибки, в результате которых можно потерять конфиг, и, как следствие, - потерять все устройство.

   Для минимизации времени простоя из-за различного рода проблем ниже описаны сценарии восстановления работоспособности failover'a, а также последовательность действий для обновления софта на устройствах.
   Ниже представлено пошаговое руководство для решения простых сервисных задач.

Cisco ASA Firewall - Алгоритм перезаливки списка доступа (ACL) с использование команды clear

    Когда требуется внести какие-либо правки в список контроля доступа (ACL), можно это сделать множеством способов: используем CLI, ASDM, CSM. Все перечисленные инструменты могут выполнить одинаковые действия, выбор остается за оператором. Но если в список необходимо внести много правок, например, для того, чтобы провести ревизию, переименовать группы, что-то заменить или удалить, то редактирование списков непосредственно на устройстве может представлять из себя довольно муторное занятие. В таком случае лично я предпочитаю использовать блокнот, в который я мог бы скопировать текущий список доступа, отредактировать его целиком и полностью так, как мне нужно, а после этого залить его назад на устройство, предварительно удалив предыдущую версию ACL.

   У такого подхода есть плюсы и минусы. Плюсы очевидны:

• Можно заняться редактированием независимо от устройства, не занимая сессию;
• Редактирование и поиск элементов в блокноте явно быстрее, чем непосредственно на устройстве;
• Можно легко удалять, добавлять элементы, следя за синтаксисом.

   Минусы:

• Необходимо внимательно следить за синтаксисом, чтобы при заливке не возникли ошибки где-нибудь в середине списка доступа, после чего необходимо было бы повторять процедуру. Хотя этот пункт - не самое страшное. Страшно другое...
• Данный способ необходимо использовать с осторожностью, поскольку если конфигурация такова, что список контроля доступа в том числе разрешает доступ оператору для настройки устройства, то при перезаливке оператор просто напросто "отвалится", потеряв доступ к устройству. Поэтому этим методом рекомендуется пользоваться в случае наличия внеполосного управления (Out-of-Band, OOB), например, через отдельную сеть на интерфейсе Management.

   Поэтому прежде, чем начать, убедитесь, что не возникнет проблем с доступностью устройства. Будем считать, что я всех предупредил. Поехали.

Cisco SmartPort Configuration\ Настройка Cisco SmartPorts-шаблонов с помощью macro

   Не знаю, как вас, а меня всегда раздражают изменения в конфигах в лабе: бесконечное переподключение новых устройств, постоянная смена ролей портов, постоянная необходимость настраивать порты то на доступ, то возвращать на них настройку "черной дыры", чтобы в следующий раз было понятно, какие порты заняты, а какие свободны.

   Давно-давно существовала такая модель коммутатора как Cisco Catalyst Express 500. Вот, даже фоточку нашел в гугле:

   Помимо того, что это была ужасно тормозная и глючная железка, которую постоянно приходилось перезагружать, у нее была еще одна особенность - она настраивалась ТОЛЬКО через веб-интерфейс. Не было консольного порта в принципе, не было возможность включить SSH. Только http\https, нужная версия Java - и в путь. Настраивалось все там тоже ужасно (лично мое мнение), но была интересная возможность работы с портами - SmartPorts. Можно было с помощью тыкания в картинки, изображающие порты на коммутаторе, выбрать соответствующую роль для порта - подключен другой ПК, телефон, телефон и ПК, точка доступа, маршрутизатор, коммутатор и т.д. Т.е. к каждой роли уже были привязаны общие настройки, характерные для данного типа порта, нужно было только задать конкретные параметры. 

   Во время очередного подключения нового устройства я вспомнил про эту фичу и подумал, вот бы здорово было бы сделать что-то подобное в CLI - сохранить некоторый скрипт, который бы мог после вызова поменять все настройки на нужном мне интерфейсе сразу же. И мне не пришлось бы сохранять в блокнотик параметры стандартного порта, копировать их с соседнего порта. В целом не сложно, но хотелось как-то покрасивее это делать. Оказывается, все велосипеды давно уже изобретены! И название им -  SmartPorts macro.

Elsicom - Обзор L2 коммутаторов ELS001 и ELS010. Часть 2.3 - STP: совместимость с Cisco

   В этой части рассмотрим работу Spanning-Tree Protocol (STP). Подопытная топология представлена ниже.

   В наличии целая куча избыточных связей, поэтому в данном случае важность правильной работы Spanning-Tree неоспорима. Иначе - петли, штормы и прочие прелести.

Elsicom - Обзор L2 коммутаторов ELS001 и ELS010. Часть 2.2 - Работа с VLAN. Агрегирование портов

   Продолжаем мучить подопытные коммутаторы Elsicom, разбирая, что они умеют и что из себя представляют. В этой части хотелось бы ознакомиться со следующими функциями:

1. Агрегирование портов
2. Настройка VLAN и работа с ними. Создание транковых линков между Elsicom и Cisco, и между двумя Elsicom, проверка совместимости инкапсуляции

Elsicom - Обзор L2 коммутаторов ELS001 и ELS010. Часть 2.1 - Базовая настройка, интерфейсы управления

   Продолжаем обзор коммутаторов L2 от компании Elsicom. Первая часть была посвящена общим характеристикам оборудования, особенностям конструктивного исполнения, а так же другим, не относящимся к настройкам, вещам. Теперь же приступим к настройкам и тестированию заявленного функционала. 

   Сразу хочу обратить внимание на то, что при тестировании буду исходить из следующих предположений:

• Практически в любой инфраструктуре присутствует оборудование от компании Cisco Systems. По крайней мере я не встречал ни одной сети (кроме разве что офисных сетей на 5 компьютеров, да и то не всегда), где не использовалось бы железо Cisco совсем;
• Тестируемому оборудованию скорее всего придется работать именно в такой инфраструктуре;
• Многие функции, разработанные компанией Cisco, стали фактически стандартами.

   Исходя из сказанного выше, можно определить основное направление тестирования коммутаторов ELS001 и ELS010 - не только проверка работоспособности заявленных функций, но и совместимость с имеющимся оборудованием Cisco.
   Конечно и безусловно тяжело сравнивать данные продукты с Cisco. Уверен, что претензий к Elsicom будет множество. Но если уж на кого-то и равняться, то лучше брать в качестве цели лидера рынка.

   В данной части теста будет рассмотрен имеющийся интерфейс управления представленными коммутаторами, а так же их базовая настройка.

Elsicom - Обзор L2 коммутаторов ELS001 и ELS010. Часть 1 - Общие сведения о компании. Внешний вид устройств

   Продолжаем работать над рубрикой "Сделано в России". Этот обзор фактически будет первым настоящим обзором (предыдущий, "нулевой", по Nateks, нельзя назвать полноценным обзором, т.к. фактически я ничего толком не показал и не потестировал). 

   Теперь же будет все по-другому. Это будет полноценный обзор, тест всего, что можно, проверка от и до, максимально критический взгляд с точки зрения эксплуатации. Тем более, что производитель тестируемого оборудования сам меня попросил выдать рекомендации по тому, что бы можно было изменить, поправить и улучшить в выпускаемом ими оборудовании. Так что формат обзора - это обращение к вендору, если можно так сказать. Долгое вступление получилось, но ничего страшного.
   В данном обзоре я постараюсь дать максимально точную информацию, полученную из уст представителей компании, поэтому буду вставлять цитаты из разговоров, интервью и переписок, чтобы все было достоверно и документально зафиксировано.
   Итак, в это раз знакомимся с оборудованием компании Elsicom (г.Томск).

ЧаВо (FAQ) по образовательному процессу для обучающихся в академии Cisco и использующих платформу NetAcad

   Ниже собраны часто встречающиеся вопросы по процессу обучения, которые задают студенты при изучении курсов Cisco в Академии Cisco при ТУСУР. Вопросы не связаны непосредственно с материалами курсов, а скорее относятся к образовательному процессу и к тому, что будет с доступом к материалам после обучения, как сдавать экзамены и многому другому. Я устал отвечать каждому отдельно на одинаковые вопросы, поэтому составил здесь перечень наиболее частых. Данный список будет пополняться по мере появления новых вопросов и по мере обновления правил, связанных с обучением.

Решение проблемы msg.snapshot.error-QUIESCINGERROR при создании снапшотов VMware

    Решение описанной ниже проблемы заняло 6 месяцев. Было перепробовано множество различных решений, обновлений, изменений таймеров, перелопачено куча форумов и коммьюнити. В конечном итоге решение было найдено экспериментально с помощью техподдержки VMware. 

   Описание работы системы: организовано резервное копирование виртуальных машин с помощью Veritas NetBackup. Одним из вариантов резервного копирования виртуальных машин является создание снапшотов этих машин и запись их на ленточное хранилище. Этот вариант не самый лучший, поскольку создание снапшотов виртуальных машин в принципе нельзя рассматривать как полноценный бэкап: есть вероятность возникновения ошибок ввода-вывода с последующим созданием "inconsistent backup". Тем не менее этот вариант был выбран и реализован, поскольку позволял вместо общей LAN использовать SAN-сеть для бэкапа, что увеличивало скорость копирования в существенное количество раз и разгружало LAN. 

   Перед резервным копированием машины через создание снапшота необходимо в идеале выключить виртуальную машину, но в продакшене это сделать проблематично. Поэтому используются специальные pre_- и post_freeze_scripts, которые останавливают нужные сервисы до создания снапшота, а потом восстанавливают работоспособность сервисов после завершения создания снапшотов. Такие скрипты используются и в других продуктах по созданию резервных копий, и даже в базе знаний VMware есть KB, посвященные созданию нужных скриптов.

CCNA Routing & Switching - Рекурсивный поиск в таблице маршрутизации

   В этой заметке я хотел бы рассмотреть строение таблицы маршрутизации более пристально, а так же дать определение различным понятиям, связанным с маршрутами. В частности познакомимся с тем, что такое родительские и дочерние маршруты, что такое конечные маршруты, и что такое рекурсивный поиск по таблице маршрутизации. Итак, поехали.

Чем отличается статический маршрут в интерфейс от маршрута на next-hop-адрес?

    В курсе CCNA Routing&Switching, который успешно преподается в нашей Академии разбирается множество интересных проблем и задач, с которыми специалисты сталкиваются в работе ежедневно. Некоторые из этих задач вызывают у студентов особенно большое количество вопросов, т.к. не всегда очевиден выбор тех или иных решений, технологий и даже настроек.

   Один из популярных вопросов, связанный с темой статической маршрутизации, звучит следующим образом: в каком случае статический маршрут настраивается с указанием интерфейса, а в каком - с указанием адреса next-hop и в чем разница между этими двумя вариантами указания маршрута?

Nateks NetXpert NX-3424GW - Достаем из коробки, делаем базовую настройку. Первое впечатление.

   Давно уже хотел создать рубрику "Сделано в России", но все не было то времени, то желания, то "подопытных кроликов". А тут вдруг стали попадать в руки железки российского производства (ну или каким-либо образом причастные к РФ). В общем то, что выдается под соусом "импортозамещения".

   Тем не менее очень рад, что у меня появилась возможность посмотреть на то, что делают у нас, а так же сделать какой-никакой обзор с указанием плюсов и минусов (максимально объективно, без нахваливания и поливания грязью без причины).

   В данных обзорах я постараюсь рассказать о попадающем мне устройстве с точки зрения человека, который, по легенде, планирует проектировать что-либо с использованием обозреваемого оборудования, планирует внедрять и обслуживать будущий проект. На мой взгляд, в этом случае наименее важен внешний вид устройства, а наиболее - такие пункты, как наличие документации, наличие типовых схем включения, наличие сайта производителя, на котором можно получить максимум информации, удобство и информативность всех возможных интерфейсов, ну и конечно же функционал и технические характеристики - заявленные и реальные.

   Первым "кроликом" в данной рубрике оказался коммутатор L2  Nateks NetXpert NX-3424GW. Посмотрим, что можно сказать про это устройство по вышеуказанным пунктам.

Как включить\выключить беспроводные интерфейсы на точках доступа Cisco

   Иногда требуется включить\выключить вещание в том или ином диапазоне на точках доступа Cisco типа Lightweight, т.е. работающих без собственной ОС, полностью контролирующихся беспроводным контроллером Cisco.

  При использовании коммутатора 3850 с функцией контроллера точек беспроводного доступа в определенных версиях прошивки можно столкнуться с багом, при котором контроллер ведет себя некорректно после перезагрузки, а именно пропадает беспроводная связь. Перезагрузка при этом не помогает, по рекомендации Cisco требуется включить и выключить беспроводные интерфейсы точек доступа.

Разница между Password и Secret в конфигурации устройств Cisco

   Пароль на привилегированный режим EXEC (enable-mode) можно задать двумя способами: используя команду enable password <пароль> и enable secret <пароль>. При использовании любого из этих способов конечная цель будет достигнута - будет установлен пароль на режим enable. В чем принципиальная разница между использованием secret и password? Давайте разберемся вместе.