Настройка SSH на маршрутизаторе НР A-series (3com, H3C)

Если на каждый чих при настройке роутера  вам не хочется бегать в серверную, искать консольный кабель, подключаться, слушать жужжание кулеров на высоких частотах, то вам определенно нужно настроить SSH доступа.  Хотя кому я рассказываю, и так все понятно. Это одна из причин, по которой я при знакомстве с новой железкой первым делом изучаю настройку SSH. И не только изучаю, а и документирую. Итак, в данном тексте рассказывается, как настроить удаленный доступ на на маршрутизатор HP A-серии через  SSH. Думаю, эту же инструкцию можно использовать и для других железок НР A-series.

Что нужно сделать:

1.Генерируем ключ шифрования DSA или RSA.
2.Включаем функцию SSH-сервера.
3.Настраиваем виртуальный интерфейс для входящих SSH сессий.
4.Создаем пользователя, задаем пароль, указываем протокол для логина.
5.Позволяем пользователю логиниться через SSH.

GRE туннель Linux-Cisco. Когда нужна альтернативная адресация

Тут будет реализована немного извращенная, но таки достаточно интересная топология. Все изначально просто: есть сервер, выставленный в Интернет, и есть клиент, который по какой-то причине не может получить доступ до этого сервера. Забанил провайдер его по IP. Переживает бедный. А сервер то наш, нехорошо, когда клиенты доступ к нему получить не могут. Но мы серьезные люди, нас таким не напугаешь, мы и ход конем можем сделать. Например, арендовать сервер в облаке с двумя адресами, такие сейчас копейки стоят, по три рубля килограмм, и построить маршрутизацию через него. Точнее, построить GRE-туннель, а потом маршрутизацию через туннель. В DNS-записях, в свою очередь, будет фигурировать адрес вот этого самого арендованного сервера, а к нему то клиент доступ получить может. Топология этого извращения изображена на рисунке.

 

Разграничение доступа с помощью Private VLAN

 В сети всех надо ограничивать. Иначе кто-то слишком умный устроит какую-то атаку типа «пинг смерти», а кто-то слишком неумный случайно запустит скрипт, который мак-спуфингом убьет коммутатор. Словом, разные случаи бывают. Чтобы разграничить права доступа по достаточно гибким правилам  инженеры компании Cisco была разработали технологию Private VLAN. Суть технологии заключается в следующем. В одном VLAN, который мы назовем primary, есть другие VLAN-ы, которые называются secondary (что, в общем-то, логично). Получаются такие вот VLAN-ы в VLAN-e (не путать технологию с QinQ). В свою очередь, порты из secondary VLAN могут быть:

 - изолированными (isolated). Имеют доступ только к портам primary VLAN, к другим портам из secondary VLAN никакого доступа.

 - общими (community). Имеют доступ к портам primary VLAN и доступ к другим портам из этого же community.

Порядок настройки VLAN ACL на коммутаторах Catalyst

Чтобы ограничить доступ согласно определенным параметрам были придуманы списки ACL, но у них есть, как минимум, один недостаток – они могут фильтровать трафик, который проходит между интерфейсами третьего уровня (будь то физические интерфейсы или SVI). Что делать с трафиком внутри одного VLAN, как его контролировать? Для этого были придуманы славными инженерами VLAN ACL. Они конфигурируется через VLAN access-map схожим образом с конфигурированием route map.

Конечно же для настройки изначально должен быть настроен ACL или несколько таких.

Не Putty единым. Использование minicom в Linux

Есть утилита, которая, пожалуй, побила рекорды по популярности у всякого рода системных и, особенно, сетевых администраторов. Это Putty, настоящий мастхев. Вот только в Linux эта привычная утилита отсутствует. С другой стороны, если разобраться, то она тут и не нужна. Тут есть реализации всякого рода протоколов удаленного доступа. Но вот, что делать с неудаленным доступом, через COM-порт. На этот случай есть замечательная консольная утилита minicom.Ее то мы и рассмотрим.

1. Установка. Ничего особенного

root@darkstar:~# apt-get install minicom

или

[root@localhost andrey]# yum install minicom

или еще как. Тут уж как угодно вашим дистрибутивостроителям

Авторизация в сети через 802.1x на Cisco Catalyst из ОС Windows

Рассмотрим настройку еще одного интересного протокола аутентификации. Это 802.1х используя его можно предотвращать нежелательный доступ в сеть анонимных пользователей. Подключиться можно только зная логин и пароль. Если использовать, RADIUS-сервер, то пароли будут храниться централизовано, что сильно упрощает управление ими. Более того, Windows для авторизации может использовать доменное имя и пароль. И если их синхронизировать с данными на сервере RADIUS, то пользователь даже подозревать не будет, столь серьезной защите периметра сети. Так что дело серьезное, пора разобраться.

Аутентификация на Cisco используя RADIUS сервер на Linux

  Есть у меня небольшая проблема, постоянно забываю свои логины-пароли. Всего так много, почта, логин на нескольких форумах, на рабочем ПК, на домашнем ноутбуке, на всяких железках, ПИН сим-карты, и т.д. Дабы как-то облегчить жизнь бедолагам вроде меня, добрые люди придумали сервер где могут хранится логины-пароли. Смысл такой: вы вводите логин-пароль на железке, железка авторизируется на севере, проверяет ваши данные, если они совпадают, то все чудесно. Таким образом, заведя одну запись на одном сервере, можно ее использовать на целом ряде устройств. Наибольшее распространение получили сервера RADUIS и TACACS+. Предлагаю установить это счастье на Debian Linux, настроить и связать с Cisco. Использовать будем RADIUS.