victor_sudakov: (Default)
Логическая схема настройки IPSec IKEv2 в CLI Mikrotik (на примере защиты gre-туннеля):

Mikrotik IPSec setup

Только мне кажется, что понятия Profile и Proposal использованы весьма неортодоксально (как минимум, не как в Cisco)?

В Strongswan сабжевому proposal соответствует параметр "esp=", а сабжевому profile соответствует "ike=". Это в старом синтаксисе.

А в новом синтаксисе, судя по всему, сабжевому proposal соответствует параметр connections.<conn>.children.<child>.esp_proposals, а сабжевому profile соответствует connections.<conn>.proposals.

Вот кто придумал этот разнобой?
victor_sudakov: (Default)
Мем "Pets vs Cattle" применительно к серверам существует уже несколько лет, но я только недавно услышал.

Pet - это один сервер или отказоустойчивый кластер из 2 серверов. К "домашним любимцам" индивидуальный подход, им дают собственные имена, любовно настраивают и бэкапят, при отказе аккуратно чинят, потому что отказ приводит к остановке сервиса.

"Скоту" дают цифровые имена типа backend0012, генерят их обычно автоматически в количестве >2, внутри они почти идентичны, при выходе из строя их сносят и заменяют на новые, причем выход из строя даже нескольких штук считается штатной ситуацией (designed for failure).

С распространением виртуализации, распределенных вычислений и облаков "скот" стал использоваться всё чаще, но "домашние любимцы" никуда не делись. Типична ситуация, когда гипервизор или балансировщик нагрузки - pet, а многочисленные виртуалки или блейды - cattle.

От себя добавлю, что и в мире сетевых технологий, в связи с распространением таких технологий, как например Cisco SD-Access и SD-WAN, индивидуальные маршрутизаторы и коммутаторы превращаются из pets в cattle.
victor_sudakov: (Default)
Он же "vpn-instance-capability simple" на Huawei.

Хорошие объяснения, в каких случаях оно нужно.
https://eminent-ccie.blogspot.com/2009/09/ospf-capability-vrf-lite-command-down.html
https://community.cisco.com/t5/routing/where-to-configure-the-quot-capability-vrf-lite-quot-on-ce-or-pe/td-p/2812305

The DN bit is a check that, usually, PE routers use to check whether to install certain types of LSAs into a VRF and is used as a loop prevention method. If your CE router is not running VRFs but using OSPF to connect to the PE router then you do not need that command anywhere. If however you configure VRFs on your CE router then it now uses the same checks as the PE routers because it believes it is directly connected to the MPLS network in the way the PE is, even though it isn't. And then you would need to use that command on your CE router. So, put simply, you only need to use that command if your CE router is using VRF-Lite and OSPF is in use between the CE and PE routers.
victor_sudakov: (Default)
Что-то непонятное мне написано в курсе CCNA про сабж.

Public key encryption is a variant of asymmetric encryption that uses a combination of a private key and a public key. The recipient gives a public key to any sender with whom the recipient wants to communicate. The sender uses a private key that is combined with the public key of the recipient to encrypt the message. Also, the sender must share its public key with the recipient. To decrypt a message, the recipient will use the public key of the sender with its own private key.

Например в PGP, чтобы расшифровать зашифрованное моим публичным ключом сообщение, мне сроду не нужен был публичный ключ отправителя.

Или таки нужен, и как-то присутствует внутри сообщения в неявном виде?

UPD и это звучит странно:

The sender uses a private key that is combined with the public key of the recipient to encrypt the message.

Когда я отправляю кому-то PGP сообщение (только зашифрованное, не подписанное мной), то пароль от моего приватного ключа gnupg не спрашивает, значит мой приватный ключ в процессе вроде бы не участвует.
victor_sudakov: (Default)
Ночью в пятницу свичи
Превратились в кирпичи.
Смотришь в конфиг - как же так?
В "show start" пиндосский флаг.

Тут админы у свичей
Принимая корвалол
Отложили кирпичей
На хороший firewall.

Не могу по случаю не вспомнить историю про хакера и солонку: https://xakep.ru/2006/12/16/35784/
victor_sudakov: (Default)
Изначально MPLS задумывался для уменьшения нагрузки на CPU маршрутизаторов, чтобы не заглядывать в таблицу маршрутизации при передаче каждого IP-пакета. С изобретением CEF это стало неактуально, и MPLS стали использовать для построения VPN. "Просто MPLS" на своей сети многие считают ненужным.

Тем не менее остаются как минимум два сценария применения MPLS на сети даже в том случае, если VPN не используются:

1. Передача транзитного трафика через свою AS. При использовании MPLS можно не поднимать iBGP на всех роутерах.

2. Traffic Engineering своего трафика.
victor_sudakov: (Default)
Не знает ли кто, как можно заставить PuTTY ставить ненулевой DSCP class в своих пакетах? Например у юниксовых ssh и sshd есть опция IPQoS для этого, у цисок "ip ssh dscp" и т.д.

Если есть другой ssh клиент под Windows, который в отличие от PuTTY это умеет, можете такой посоветовать.

MAB

Jan. 19th, 2017 12:25 pm
victor_sudakov: (Default)
Для включения контроля доступа по списку разрешенных MAC адресов, при этом на порту можно иметь >1 разрешенного адреса:

aaa authentication dot1x default group radius

dot1x system-auth-control

interface GigabitEthernet1/0/29
  authentication host-mode multi-auth
  authentication order mab
  authentication port-control auto
  authentication timer reauthenticate 120
  authentication timer restart 600  
  authentication violation restrict
  mab
end

В RADIUS в users:

e8de27c96a2e Auth-Type = Local, Password = "e8de27c96a2e"

Или в tac_plus.conf:

user = e8de27c96a2e {
        name = "Printer 2"
        pap = cleartext "e8de27c96a2e"
}
victor_sudakov: (Default)
Если есть необходимость разрешить доступ к "show running-config" непривилегированному пользователю (в моем примере 3-го уровня доступа), то обычных команд
privilege exec level 3 show running-config view full
privilege exec level 3 show running-config view
privilege exec level 3 show running-config
privilege exec level 1 show
может оказаться недостаточно, конфиг будет отдаваться пустой или почти пустой.

Тогда надо добавить
file privilege 3

Источник: http://commandline.ninja/2016/05/30/rancid-and-ios-15-2-blank-config-and-how-to-work-around-newer-file-privileges/
victor_sudakov: капитан Зеленый (Captain)
По-моему свинство со стороны Cisco включить в Catalyst 3560X в конфигурации по умолчанию (!) shaping на одной из четырех egress очередей (а именно на той, в которую по умолчанию попадают кадры с COS=5). Всю голову сломал, пока разобрался, где режется трафик.

Switch#sh mls qos maps cos-output-q
   Cos-outputq-threshold map:
              cos:  0   1   2   3   4   5   6   7
              ------------------------------------
  queue-threshold: 2-1 2-1 3-1 3-1 4-1 1-1 4-1 4-1

Switch#sh mls qos interface queueing

GigabitEthernet0/5
Egress Priority Queue : disabled
Shaped queue weights (absolute) :  25 0 0 0
Shared queue weights  :  25 25 25 25
The port bandwidth limit : 100  (Operational Bandwidth:100.0)
The port is mapped to qset : 1


Switch(config-if)#srr-queue bandwidth ?
  limit  Configure bandwidth-limit for this interface
  shape  Configure shaping on transmit queues
  share  Configure shared bandwidth
victor_sudakov: (Default)
Оказывается, на 3560X если на access интерфейсе есть "service-policy input XXX", то "mls qos cos override" на этом интерфейсе уже не работает. Вместо него должно быть "trust cos" в описании самой policy-map.
victor_sudakov: (Default)
Ура, сабж снова выходит. Мне пришел номер за сентябрь 2014.
victor_sudakov: (Default)
По материалам CVOICE

Для голоса (в одну сторону):
Latency <= 150ms
Jitter <= 30ms
Loss <=1%
17-106 kb/s guaranteed priority bandwidth per call
150 b/s (+ Layer 2 overhead) guaranteed bandwidth for voice-control traffic per call.

Видеотелефония:
Latency <= 150ms
Jitter <= 30ms
Loss <=1%
Minimum priority bandwidth required: video stream + 20% (e.g. 384 kb/s stream = 460 kb/s of priority bandwidth).

UPD Примерный расчет размера VoIP пакета:
Ethernet - 18 байт, IP - 20 байт, UDP - 8 байт, RTP - 12 байт
ИТОГО overhead 58 байт.

Полезная нагрузка (на примере G.711 кодек, пакетизация 20мс): 160 байт.
Всего пакет 58+160=218 байт.

Полезная нагрузка других кодеков еще меньше, например G.729 - 20 байт (при 10 мс), iLBC - 50 байт при пакетизации 30 ms.
victor_sudakov: (Default)
Если по пути между сетевой картой с PXE и TFTP сервером есть IPSec туннель, то большое количество сетевых карточек (Intel, Realtek, софтовый GPXE) не смогут скачать образ для загрузки по TFTP. А например Broadcom BCM5709C NetXtreme II GigE сможет. Происходит это потому, что при проходе через IPSec UDP пакеты фрагментируются, а TCP/IP стек в массовых сетевых карточках и в GPXE видимо слишком примитивен, чтобы собрать фрагменты обратно.

В рассылке в качестве решения предложили использовать TFTP сервер, в котором есть возможность ограничивать максимальный размер пакета, даже если клиент явно запрашивает большой размер. Я пока такого не нашел под FreeBSD.
victor_sudakov: (Default)
На курсе CVOICE ощущение примерно такое, как у Страшилы, когда Гудвин вложил ему ум, в результате чего голова его раздулась раза в полтора и из нее полезли булавки и иголки. А впереди еще CIPT1 и CIPT2.

Альбом: Cisco


Когда уже похоронят E.164 (и другие замшелые телефонные ужасы вместе с ним) и все будут звонить друг другу как нормальные пользователи Интернет - по адресам вида sip:user@domain.

Profile

victor_sudakov: (Default)
Виктор Судаков

December 2024

S M T W T F S
1234567
891011121314
15161718192021
22232425262728
293031    

Syndicate

RSS Atom

Most Popular Tags

Style Credit

Expand Cut Tags

No cut tags
Page generated Sep. 20th, 2025 11:52 am
Powered by Dreamwidth Studios