Sunday, October 6, 2013

HSRP-протокол. Несколько наблюдений




Попробуем присмотреться к поведению протокола на практике. Это не руководство по настройке, а скорее дополнение, читать которое есть смысл, понимаю основные теоретические особенности HSRP. Все примеры, приведенные тут, проверялись на такой конфигурации:
Cisco IOS Software, 3600 Software (C3660-JK9S2-M), Version 12.4(15)T14, RELEASE SOFTWARE (fc2)

Sunday, September 29, 2013

IPSec туннель Linux-Cisco и туннели в облака.



«Я думаю, нам с тобой пора перейти на следующий этап», - сказала она мне за 5 минут до того, как мы расстались. Словом, туннель между линуксами построен, можно двигаться дальше и настраивать туннель между Linux и Cisco. Сначала построим обычный Site-to-site туннель. Дальше представим, что у нас Linux-сервер находится в облаке, сейчас это очень модно, и построим к нему туннель из нашей маленькой сети с использованием оборудования Cisco. Итак, соединение между двумя разными платформами всегда интересно, ибо каждый реализует протокол, так как считает нужным и у каждого свое «по-умолчанию». Со стороны Linux будем использовать уже знакомый strongswan, а со стороны Cisco это будет роутер на IOS.

Saturday, September 28, 2013

IPSec в Linux с использованием Strongswan



Где-то тут уже настраивался IPSec на оборудовании Cisco, но не только оно используется для построения VPN-ов. Хочется разобраться еще и с настройкой его на Linux. Как всегда, у нас для Linux не один вариант, можно использовать Openswan, Strongswan, еще какой-то swan и может еще чего написали, о чем я не в курсе. Использовать я буду Strongswan. Потому что несмотря на то, что Openswan хорош, стабилен и даже работает, у меня с его помощью удалось завести только host-to-host. Когда я начал  настраивать site-to-site, то туннель у меня поднялся, а маршрута в удаленную сеть система упорно не хотела видеть. Потратил часа три на разбирательства, после чего плюнул и настроил это все на Strongswan за 20 минут. К тому же, вывод статуса соединений у него намного адекватнее.
Что такое Strongswan, это набор программ и библиотек (вроде бы), которые реализуют поддержку набора протоколов IPSec в Linux. Два слова про установку и начнем знакомство и поднятие первых туннелей в Linux. Использовать будем RedHat-совместимый дистрибутив Scientific Linux. Он как CentOS, но его разрабатывают парни из CERN и его логотип мне больше нравится.
План такой:
  1. Установка и первоначальная настройка системы
  2. Настройка простого туннеля Linux-Linux
  3. Настройка туннеля Site-to-site между двумя Linux-маршрутизаторами

Wednesday, September 18, 2013

Аутентификация в EIGRP и немного про связки ключей Key-chain в Cisco


Есть такой прекрасный протокол маршрутизации EIGRP, где заботливые разработчики заложили возможность аутентификации пришедшего обновления маршрутов. Аутентифицируется все при помощи пароля. На отправляемом обновление роутере берется пакет с обновлением с одной стороны и пароль с другой стороны. Потом из этих двух составляющих с помощью алгоритма MD5 вычисляется хеш и прикрепляется к пакету. Целевой роутер получает обновление маршрутов, берет этот пакет  и свой пароль. Дальше по аналогии вычисляет хеш. Если пароли на обоих роутерах совпадают, то хеш тоже будет совпадать. Таким образом если злоумышленник захочет обмануть нас с маршрутом, то у него ничего не выйдет пока он не узнает пароль. Пакеты с обновлениями без правильного хеша будут игнорироваться.


Wednesday, September 4, 2013

Прошивка коммутатора HP ProCurve E-series

Перепрошивка сетевого оборудования дело обычное, но не настолько частое, чтобы все действия запоминались и можно было сходу вспомнить, что куда вводить и откуда брать. Данная запись призвана напомнить, в случае чего, порядок действий при перепрошивке коммутаторов  HP ProCurve (E-series). В качестве подопытного использовался простенький дешевенький образец модели 2510. На остальных ProCurve процедура не должна отличаться.

Tuesday, August 20, 2013

Брандмауэр на Cisco IOS используя zone-based firewall



Cisco IOS это довольно многофункциональна платформа, а не только ОС для роутера, на ней можно развернуть и IP-телефонию и полноценный Firewall. Первое я уже где-то описывал, а со вторым не сталкивался, но этот момент не заставил себя ждать. Итак, есть такая интересная незатронутая тема, как Zone-based firewall (ZBF).
В основе всей этой концепции лежит разбиение сети на отдельные участки или зоны. Самый яркий пример, это когда у нас в сети есть обычные пользователи, есть общедоступные сервера и, разумеется, выход в интернет. Само собою понятно, что извне не должно быть доступа к хостам пользователей, но должен быть доступ к серверам ну и имеется еще ряд нюансов. Это все можно сделать с помощью списков доступа (ACL), но как-то это все будет слишком уж коряво выглядеть и так же работать.

Таким образом, чтобы реализовать ZBF, надо первым делом разделить сеть на зоны, в нашем случае это:
- внутренняя, где расположены пользователи (inside)
- внешняя, непосредственно Интернет (outside)
- демилитаризованная зона, где расположены наши сервера (dmz)
Это общие стандартные названия, называть зоны можно как угодно и создавать их сколько угодно.

Monday, July 29, 2013

Настройка SSH на маршрутизаторе НР A-series (3com, H3C)



Если на каждый чих при настройке роутера  вам не хочется бегать в серверную, искать консольный кабель, подключаться, слушать жужжание кулеров на высоких частотах, то вам определенно нужно настроить SSH доступа.  Хотя кому я рассказываю, и так все понятно. Это одна из причин, по которой я при знакомстве с новой железкой первым делом изучаю настройку SSH. И не только изучаю, а и документирую. Итак, в данном тексте рассказывается, как настроить удаленный доступ на на маршрутизатор HP A-серии через  SSH. Думаю, эту же инструкцию можно использовать и для других железок НР A-series.
Что нужно сделать:
1.Генерируем ключ шифрования DSA или RSA.
2.Включаем функцию SSH-сервера.
3.Настраиваем виртуальный интерфейс для входящих SSH сессий.
4.Создаем пользователя, задаем пароль, указываем протокол для логина.
5.Позволяем пользователю логиниться через SSH.

Saturday, July 27, 2013

GRE туннель Linux-Cisco. Когда нужна альтернативная адресация



Тут будет реализована немного извращенная, но таки достаточно интересная топология. Все изначально просто: есть сервер, выставленный в Интернет, и есть клиент, который по какой-то причине не может получить доступ до этого сервера. Забанил провайдер его по IP. Переживает бедный. А сервер то наш, нехорошо, когда клиенты доступ к нему получить не могут. Но мы серьезные люди, нас таким не напугаешь, мы и ход конем можем сделать. Например, арендовать сервер в облаке с двумя адресами, такие сейчас копейки стоят, по три рубля килограмм, и построить маршрутизацию через него. Точнее, построить GRE-туннель, а потом маршрутизацию через туннель. В DNS-записях, в свою очередь, будет фигурировать адрес вот этого самого арендованного сервера, а к нему то клиент доступ получить может. Топология этого извращения изображена на рисунке.
 

Saturday, July 13, 2013

Разграничение доступа с помощью Private VLAN

 В сети всех надо ограничивать. Иначе кто-то слишком умный устроит какую-то атаку типа «пинг смерти», а кто-то слишком неумный случайно запустит скрипт, который мак-спуфингом убьет коммутатор. Словом, разные случаи бывают. Чтобы разграничить права доступа по достаточно гибким правилам  инженеры компании Cisco была разработали технологию Private VLAN. Суть технологии заключается в следующем. В одном VLAN, который мы назовем primary, есть другие VLAN-ы, которые называются secondary (что, в общем-то, логично). Получаются такие вот VLAN-ы в VLAN-e (не путать технологию с QinQ). В свою очередь, порты из secondary VLAN могут быть:
 - изолированными (isolated). Имеют доступ только к портам primary VLAN, к другим портам из secondary VLAN никакого доступа.
 - общими (community). Имеют доступ к портам primary VLAN и доступ к другим портам из этого же community.

Tuesday, July 9, 2013

Порядок настройки VLAN ACL на коммутаторах Catalyst



Чтобы ограничить доступ согласно определенным параметрам были придуманы списки ACL, но у них есть, как минимум, один недостаток – они могут фильтровать трафик, который проходит между интерфейсами третьего уровня (будь то физические интерфейсы или SVI). Что делать с трафиком внутри одного VLAN, как его контролировать? Для этого были придуманы славными инженерами VLAN ACL. Они конфигурируется через VLAN access-map схожим образом с конфигурированием route map.

Конечно же для настройки изначально должен быть настроен ACL или несколько таких.

Monday, July 8, 2013

Не Putty единым. Использование minicom в Linux


Есть утилита, которая, пожалуй, побила рекорды по популярности у всякого рода системных и, особенно, сетевых администраторов. Это Putty, настоящий мастхев. Вот только в Linux эта привычная утилита отсутствует. С другой стороны, если разобраться, то она тут и не нужна. Тут есть реализации всякого рода протоколов удаленного доступа. Но вот, что делать с неудаленным доступом, через COM-порт. На этот случай есть замечательная консольная утилита minicom.Ее то мы и рассмотрим.
1. Установка. Ничего особенного
root@darkstar:~# apt-get install minicom
или
[root@localhost andrey]# yum install minicom
или еще как. Тут уж как угодно вашим дистрибутивостроителям

Sunday, July 7, 2013

Авторизация в сети через 802.1x на Cisco Catalyst из ОС Windows



Рассмотрим настройку еще одного интересного протокола аутентификации. Это 802.1х используя его можно предотвращать нежелательный доступ в сеть анонимных пользователей. Подключиться можно только зная логин и пароль. Если использовать, RADIUS-сервер, то пароли будут храниться централизовано, что сильно упрощает управление ими. Более того, Windows для авторизации может использовать доменное имя и пароль. И если их синхронизировать с данными на сервере RADIUS, то пользователь даже подозревать не будет, столь серьезной защите периметра сети. Так что дело серьезное, пора разобраться.

Saturday, July 6, 2013

Аутентификация на Cisco используя RADIUS сервер на Linux



  Есть у меня небольшая проблема, постоянно забываю свои логины-пароли. Всего так много, почта, логин на нескольких форумах, на рабочем ПК, на домашнем ноутбуке, на всяких железках, ПИН сим-карты, и т.д. Дабы как-то облегчить жизнь бедолагам вроде меня, добрые люди придумали сервер где могут хранится логины-пароли. Смысл такой: вы вводите логин-пароль на железке, железка авторизируется на севере, проверяет ваши данные, если они совпадают, то все чудесно. Таким образом, заведя одну запись на одном сервере, можно ее использовать на целом ряде устройств. Наибольшее распространение получили сервера RADUIS и TACACS+. Предлагаю установить это счастье на Debian Linux, настроить и связать с Cisco. Использовать будем RADIUS.

Wednesday, June 26, 2013

Траблшутинг IPSec туннеля на Cisco IOS



Хорошо, когда туннели поднимаются и VPN работает. Но так случается не всегда, мир жесток.
Давайте рассмотрим, какие средства у нас есть для диагностики состояния IPSec VPNa. Траблшутить будем на роутере Cisco 3745 с установленным IOS 12-й ветки.
Итак, для начала давайте просмотрим команды, которые помогут нам найти несоответствия в конфигурации. Это можно посмотреть и в running-config, но если заданный параметр совпадает с параметром по-умолчанию, то там он отображаться не будет.

Monday, June 24, 2013

IPSec VPN-туннель между Cisco ASA роутером на IOS



На Cisco IOS мы уже настраивали IPSec туннель, пришла пора настроить его на ASA. Построим туннель между нашим сконфигурированным роутером и данным файрволом.
Тут ситуация во многом похожа, настройка происходит в несколько этапов.
1. Включение ISAKMP
2. Создание ISAKMP политики
3. Настройка туннеля
4. Установка политик IPSec
5. Создание карты шифрования и привязка к интерфейсу (crypto map)
6. Дополнительные настройки
Есть еще ряд опциональных действий, таких как настройка фильтрации трафика, настройка NAT и т.д. Все действия будут производиться в командной строке, никаких графических утилит вроде ASDM! Ну и для большей наглядности существующая топология изображена на рисунке.

Sunday, June 23, 2013

Настройка SSH на Cisco ASA



Для этой чудесной железки под названием Cisco ASA есть замечательный GUI под названием Adaptive Security Device Manager (ASDM) и рулить настройками можно не вникая в тонкости командной строки. Все бы ничего, но что делать, если необходимо настроить файрвол удаленно, а очень часто так и бывает. Тут как всегда не обойтись без старого доброго SSH. По умолчанию, конечно, он не активирован, и его надо настроить. Настройка во многом схожа с другими железками от Cisco, но, тем не менее, нюансы свои имеются. 

Saturday, June 22, 2013

IPSec Site-to-site VPN на Cisco IOS. От теории к практике.



 
В наше время передавать через интернет личные или корпоративные данные в открытом виде может только псих. Если данные покидают просторы родной сети, то их неплохо бы зашифровать. Этим и займемся. У нас в распоряжении два роутера Cisco, за каждым из которых наши приватные сети. Что ж, объединим их используя технологию IPSec .
Конфигаруция VPN-a проходит в несколько этапов

  1. Настройка ISAKMP
  2. Настройка ipsec transformorm set
  3. Настройка ACL для фильтрации целевого траффика
  4. Настройка crypto map
  5. Применение crypto map к интерфейсу
  6. Настройка ACL для прохождения шифрованного трафика


Sunday, June 16, 2013

Передайте пакетик. Начальная настройка коммутатора Cisco Catalyst

На столе стоит эта прекрасная железка модели 2950, кабель питания воткнут в розетку, а консольный кабель нежно подключен в соответствующий разъем. Начнем. Запускаем Putty, указываем там вид подключения Serial, жмем ОК и Enter в появившемся черном окошечке. Вуаля, вот оно, приглашение командной строки.
Первым делом даем коммутатору имя. как корабль назовешь, так он и поплывет. Фантазией я, правда, не богат так что...
Switch>enable
Switch#conf ter
Enter configuration commands, one per line.  End with CNTL/Z.
Switch(config)#host
Switch(config)#hostname Catalyst
Catalyst(config)#

Friday, May 31, 2013

CSS и Partitions. Немного теории.


  В CUCM есть довольно интересные понятия в вопросе маршрутизации звонков. Не то, чтоб совсем уж интересные, но ключевые в понимании того, как эта самая маршрутизация звонков происходит. Это Partitions и Calling Search Space. Не одно пояснение этих понятий я видел в сети, так что оригинальным не буду и добавлю свое.
Начнем с Partition. Это ни что иное, как группа объектов. этими объектами могут быть:
- DN или линия или номер, кому как нравится
- шаблон номера
- линия для голосовой почты
- конференция meet-me

Monday, May 27, 2013

Диспетчер задач от Cisco. Знакомимся с Real-time monitoring tool.


  С того момента, как я завел сервер CUCM на VMWare, мне было очень интересно, как же можно мониторить нагрузку системы. Казалось бы, Linux, значит и линуксовые утилиты должны быть, но нет, все обрезали и прикрутили свою оболочку, урезанную по самое не могу. Искал в веб-интерфейсе, но и там нет, только отчеты какие-то, да и то, с ними еще разобраться надо. И вот момент просветления настал когда я открыл для себя Real-time monitoring tool. Да будет счастье людям, создавшим ее.


Saturday, May 25, 2013

Настройка CUCM. Часть 2. Регистрируем SCCP телефоны.


Она говорила немного по-французски и много по телефону.

  В настройку регистрации телефонов входит целый ряд действий. Тут не все так просто обстоит, как с СМЕ, и, уж тем более, тут нет кнопки «Сделать хорошо». Настраивать подключение телефонов к CUCM можно несколькими способами:
- ручная настройка
- автоматическая конфигурация
- Bulk Administration Tool (BAT) - можно экспортировать настройки телефонов из csv-файла
- Auto Register Phone Tool (TAPS) - включает в себя функциональность авто-регистрации и BAT. Если нужно подключить сотню телефонов, то это ваш выбор.
DHCP-сервер у нас уже настроен, так что можно регистрировать телефоны.

Настройка CUCM. Часть 1. DHCP-сервер


  CUCM сам по себе громадная махина с кучей разнообразных настроек. Но как ни крути, основой является настройка регистрации телефонов. Если настраивать все с нуля, то в рамках одной статьи/гайда/туториала уместиться явно не получится. Поэтому на каждый этап настройки будет отдельная запись. Я пропущу этап установки, ничего стоящего заметки я в нем не вижу. Итак, начнем.

Loading... Загрузка телефона Cisco с SCCP и SIP прошивками


  Небольшая заметка на память про порядок загрузки и регистрации телефонов Cisco с использованием разных протоколов. Ну не то, чтоб разных, корректнее будет - обоих. Принципиальных различий нет. А те, которые есть вызваны скорее отличиями в архитектуре протоколов.
  Первые шаги в обоих процедурах аналогичны, поэтому я сначала опишу их, а потом по отдельности как это происходит дальше в разных версиях прошивок.

Sunday, May 19, 2013

Оставьте сообщение после сигнала. Связываем Unity и CME по протоколу SCCP.


   Настраивать в связке эти два продукта в корпоративной среде, скорее всего, не придется. СМЕ расчитан на малые предприятия. В зависимости от платформы, могут поддерживаться до 450 телефонов. Unity же (Unity connection, конечно) наоборот, продукт для большого бизнеса. Но у нас интерес не коммерческий, а исключительно академический, так что нам можно. К тому же, связку Unity c Cisco UCM или другой PBX  можно настроить по аналогии.
   Итак, наши два «аппликейшена» можно связать как по протоколу SCCP так и по протоколу SIP. Сегодня у нас день разработок Cisco, так что и протокол будем использовать соответственный.

Saturday, May 18, 2013

You have new message. Знакомство с Cisco Unity


    Cisco Unity – система обработки сообщений. Изначально это была система голосовой почты,
как по мне, то на сегодняшний день это и остается ее основной функцией. Хотя, добавилось много сервисов и разного рода фич. Система прекрасно интегрируется с Microsoft Exchange, что ж за система обработки сообщений и без интеграции с почтой. Голосовые сообщения могут приходить как вложение в письме, откуда его можно прослушать. Аналогичным образом можно принять факс и просмотреть его из вложения. Еще Unity умеет говорить человеческим голосом и, что еще интереснее, слушать и понимать команды. На базе Unity можно реализовать довольно функциональный IVR.

Thursday, May 16, 2013

Не умеешь – научим. Asterisk и телефоны без CallForward.


   Переадресация звонка дело хорошее. Ждешь важный звонок и захотелось покурить - включаем переадресацию на мобильный. Не хочешь, чтоб отвлекали – включаешь переадресацию на коллегу. Планируешь завтра поработать из дома – включил переадресацию на домашний телефон. Словом, функция много в чем незаменимая. Правда, не во всех телефонах она есть и это сильно огорчает.
Мой коллега предложил простое, но изящное решение этой проблемы для Asterisk. Начнем.

Wednesday, May 15, 2013

Плечом к плечу. Связываем Cisco СМЕ и Asterisk через SIP



 В этой статье мы наладим связь между двумя конкурирующими продуктами IP-телефонии: Cisco CME и Asterisk. Обмениваться данными между собой они будут по протоколу SIP, который одинаково хорошо поддерживается в обоих АТС
Разделим статью на две части: настройка Asterisk и, соответственно, настройка CME.

Sunday, May 12, 2013

Прошивка телефона Cisco 7905 SIP to SCCP


 Стоит у меня на столе телефон Cisco 7905. Довольно старенький, но для voice labs самое оно.
Очень хорошо телефон себя зарекомендовал в предыдущей лабе. Стоит на нем прошивка SIP. Захотелось мне вернуть его к истокам и прошить с SCCP прошивкой.
Нашел официальную инструкцию по этому процессу. Далее оказалось, что прошивку скачать с сайта Cisco без контракта на поддержку невозможно. Ладно, торрент-трекеры спасут отца русской демократии. Загрузил эту SCCP-firmware.
Для этого телефона ее представляют из себя два файла:
CP7905080003SCCP070409A.sbin
CP7905080003SCCP070409A.zup
Для телефонов поновее файлы другие.
Итак, делаем все по официальной инструкции и... ничего не работает. Прошивка не обновляется, телефон загружается, как ни в чем не бывало.