Entries tagged with cisco

Crossposts: https://victor-sudakov.livejournal.com/457069.html

Entry tags:

Настройка IPSec в Mikrotik

Логическая схема настройки IPSec IKEv2 в CLI Mikrotik (на примере защиты gre-туннеля):

Mikrotik IPSec setup

Только мне кажется, что понятия Profile и Proposal использованы весьма неортодоксально (как минимум, не как в Cisco)?

В Strongswan сабжевому proposal соответствует параметр "esp=", а сабжевому profile соответствует "ike=". Это в старом синтаксисе.

А в новом синтаксисе, судя по всему, сабжевому proposal соответствует параметр connections.<conn>.children.<child>.esp_proposals, а сабжевому profile соответствует connections.<conn>.proposals.

Вот кто придумал этот разнобой?

Crossposts: https://victor-sudakov.livejournal.com/441885.html

Entry tags:

Домашние любимцы и скот

Мем "Pets vs Cattle" применительно к серверам существует уже несколько лет, но я только недавно услышал.

Pet - это один сервер или отказоустойчивый кластер из 2 серверов. К "домашним любимцам" индивидуальный подход, им дают собственные имена, любовно настраивают и бэкапят, при отказе аккуратно чинят, потому что отказ приводит к остановке сервиса.

"Скоту" дают цифровые имена типа backend0012, генерят их обычно автоматически в количестве >2, внутри они почти идентичны, при выходе из строя их сносят и заменяют на новые, причем выход из строя даже нескольких штук считается штатной ситуацией (designed for failure).

С распространением виртуализации, распределенных вычислений и облаков "скот" стал использоваться всё чаще, но "домашние любимцы" никуда не делись. Типична ситуация, когда гипервизор или балансировщик нагрузки - pet, а многочисленные виртуалки или блейды - cattle.

От себя добавлю, что и в мире сетевых технологий, в связи с распространением таких технологий, как например Cisco SD-Access и SD-WAN, индивидуальные маршрутизаторы и коммутаторы превращаются из pets в cattle.

Crossposts: https://victor-sudakov.livejournal.com/420898.html

Entry tags:

capability vrf-lite

Он же "vpn-instance-capability simple" на Huawei.

Хорошие объяснения, в каких случаях оно нужно.
https://eminent-ccie.blogspot.com/2009/09/ospf-capability-vrf-lite-command-down.html
https://community.cisco.com/t5/routing/where-to-configure-the-quot-capability-vrf-lite-quot-on-ce-or-pe/td-p/2812305

The DN bit is a check that, usually, PE routers use to check whether to install certain types of LSAs into a VRF and is used as a loop prevention method. If your CE router is not running VRFs but using OSPF to connect to the PE router then you do not need that command anywhere. If however you configure VRFs on your CE router then it now uses the same checks as the PE routers because it believes it is directly connected to the MPLS network in the way the PE is, even though it isn't. And then you would need to use that command on your CE router. So, put simply, you only need to use that command if your CE router is using VRF-Lite and OSPF is in use between the CE and PE routers.

Crossposts: https://victor-sudakov.livejournal.com/417788.html

Entry tags:

Asymmetric encryption

Что-то непонятное мне написано в курсе CCNA про сабж.

Public key encryption is a variant of asymmetric encryption that uses a combination of a private key and a public key. The recipient gives a public key to any sender with whom the recipient wants to communicate. The sender uses a private key that is combined with the public key of the recipient to encrypt the message. Also, the sender must share its public key with the recipient. To decrypt a message, the recipient will use the public key of the sender with its own private key.

Например в PGP, чтобы расшифровать зашифрованное моим публичным ключом сообщение, мне сроду не нужен был публичный ключ отправителя.

Или таки нужен, и как-то присутствует внутри сообщения в неявном виде?

UPD и это звучит странно:

The sender uses a private key that is combined with the public key of the recipient to encrypt the message.

Когда я отправляю кому-то PGP сообщение (только зашифрованное, не подписанное мной), то пароль от моего приватного ключа gnupg не спрашивает, значит мой приватный ключ в процессе вроде бы не участвует.

Crossposts: https://victor-sudakov.livejournal.com/409916.html

Entry tags:

CVE-2018-017

Ночью в пятницу свичи
Превратились в кирпичи.
Смотришь в конфиг - как же так?
В "show start" пиндосский флаг.

Тут админы у свичей
Принимая корвалол
Отложили кирпичей
На хороший firewall.

Не могу по случаю не вспомнить историю про хакера и солонку: https://xakep.ru/2006/12/16/35784/

Crossposts: https://victor-sudakov.livejournal.com/406907.html

Entry tags:

Зачем нужен MPLS без VPN

Изначально MPLS задумывался для уменьшения нагрузки на CPU маршрутизаторов, чтобы не заглядывать в таблицу маршрутизации при передаче каждого IP-пакета. С изобретением CEF это стало неактуально, и MPLS стали использовать для построения VPN. "Просто MPLS" на своей сети многие считают ненужным.

Тем не менее остаются как минимум два сценария применения MPLS на сети даже в том случае, если VPN не используются:

1. Передача транзитного трафика через свою AS. При использовании MPLS можно не поднимать iBGP на всех роутерах.

2. Traffic Engineering своего трафика.

Crossposts: http://victor-sudakov.livejournal.com/381759.html

Entry tags:

ssh and QoS

Не знает ли кто, как можно заставить PuTTY ставить ненулевой DSCP class в своих пакетах? Например у юниксовых ssh и sshd есть опция IPQoS для этого, у цисок "ip ssh dscp" и т.д.

Если есть другой ssh клиент под Windows, который в отличие от PuTTY это умеет, можете такой посоветовать.

Crossposts: http://victor-sudakov.livejournal.com/374555.html

Entry tags:

MAB

Для включения контроля доступа по списку разрешенных MAC адресов, при этом на порту можно иметь >1 разрешенного адреса:

aaa authentication dot1x default group radius

dot1x system-auth-control

interface GigabitEthernet1/0/29
  authentication host-mode multi-auth
  authentication order mab
  authentication port-control auto
  authentication timer reauthenticate 120
  authentication timer restart 600  
  authentication violation restrict
  mab
end

В RADIUS в users:

e8de27c96a2e Auth-Type = Local, Password = "e8de27c96a2e"

Или в tac_plus.conf:

user = e8de27c96a2e {
        name = "Printer 2"
        pap = cleartext "e8de27c96a2e"
}

Crossposts: http://victor-sudakov.livejournal.com/354607.html

Entry tags:

"show running-config" для непривилигерованного пользователя

Если есть необходимость разрешить доступ к "show running-config" непривилегированному пользователю (в моем примере 3-го уровня доступа), то обычных команд

privilege exec level 3 show running-config view full
privilege exec level 3 show running-config view
privilege exec level 3 show running-config
privilege exec level 1 show

может оказаться недостаточно, конфиг будет отдаваться пустой или почти пустой.

Тогда надо добавить

file privilege 3

Источник: http://commandline.ninja/2016/05/30/rancid-and-ios-15-2-blank-config-and-how-to-work-around-newer-file-privileges/

Crossposts: http://victor-sudakov.livejournal.com/350856.html

Entry tags:

Multicast Does Not Work in the Same VLAN in Catalyst Switches

Когда мультикаст не работает в пределах локальной сети из-за IGMP snooping, и как это исправить.

http://www.cisco.com/c/en/us/support/docs/switches/catalyst-6500-series-switches/68131-cat-multicast-prob.html

Crossposts: http://victor-sudakov.livejournal.com/322976.html

Entry tags:

"Total Output Drops" Troubleshooting

Для 3560 актуально http://www.cisco.com/c/en/us/support/docs/switches/catalyst-3750-series-switches/116089-technote-switches-output-drops-qos-00.html

mls qos queue-set output 1 threshold 2 3100 3100 100 3200

т.к. дропы были во 2-й очереди.

Crossposts: http://victor-sudakov.livejournal.com/314258.html

Entry tags:

Грабли в mls qos

По-моему свинство со стороны Cisco включить в Catalyst 3560X в конфигурации по умолчанию (!) shaping на одной из четырех egress очередей (а именно на той, в которую по умолчанию попадают кадры с COS=5). Всю голову сломал, пока разобрался, где режется трафик.

Switch#sh mls qos maps cos-output-q
   Cos-outputq-threshold map:
              cos:  0   1   2   3   4   5   6   7
              ------------------------------------
  queue-threshold: 2-1 2-1 3-1 3-1 4-1 1-1 4-1 4-1

Switch#sh mls qos interface queueing

GigabitEthernet0/5
Egress Priority Queue : disabled
Shaped queue weights (absolute) :  25 0 0 0
Shared queue weights  :  25 25 25 25
The port bandwidth limit : 100  (Operational Bandwidth:100.0)
The port is mapped to qset : 1


Switch(config-if)#srr-queue bandwidth ?
  limit  Configure bandwidth-limit for this interface
  shape  Configure shaping on transmit queues
  share  Configure shared bandwidth

Crossposts: http://victor-sudakov.livejournal.com/311672.html

Entry tags:

"mls qos cos override" и service-policy

Оказывается, на 3560X если на access интерфейсе есть "service-policy input XXX", то "mls qos cos override" на этом интерфейсе уже не работает. Вместо него должно быть "trust cos" в описании самой policy-map.

Crossposts: http://victor-sudakov.livejournal.com/268952.html

Entry tags:

cisco

The Internet Protocol Journal

Ура, сабж снова выходит. Мне пришел номер за сентябрь 2014.

Crossposts: http://victor-sudakov.livejournal.com/124921.html

Entry tags:

cisco

RSS Feed for End-of-Sale and End-of-Life Products

Наткнулся на cisco.com на RSS feed по сабжу. Пригодится.
http://www.cisco.com/web/feeds/products/end_of_life_rss.xml

Crossposts: http://victor-sudakov.livejournal.com/85869.html

Entry tags:

Qos Requirements

По материалам CVOICE

Для голоса (в одну сторону):
Latency <= 150ms
Jitter <= 30ms
Loss <=1%
17-106 kb/s guaranteed priority bandwidth per call
150 b/s (+ Layer 2 overhead) guaranteed bandwidth for voice-control traffic per call.

Видеотелефония:
Latency <= 150ms
Jitter <= 30ms
Loss <=1%
Minimum priority bandwidth required: video stream + 20% (e.g. 384 kb/s stream = 460 kb/s of priority bandwidth).

UPD Примерный расчет размера VoIP пакета:
Ethernet - 18 байт, IP - 20 байт, UDP - 8 байт, RTP - 12 байт
ИТОГО overhead 58 байт.

Полезная нагрузка (на примере G.711 кодек, пакетизация 20мс): 160 байт.
Всего пакет 58+160=218 байт.

Полезная нагрузка других кодеков еще меньше, например G.729 - 20 байт (при 10 мс), iLBC - 50 байт при пакетизации 30 ms.

Crossposts: http://victor-sudakov.livejournal.com/84615.html

Entry tags:

IPSec + PXE + TFTP

Если по пути между сетевой картой с PXE и TFTP сервером есть IPSec туннель, то большое количество сетевых карточек (Intel, Realtek, софтовый GPXE) не смогут скачать образ для загрузки по TFTP. А например Broadcom BCM5709C NetXtreme II GigE сможет. Происходит это потому, что при проходе через IPSec UDP пакеты фрагментируются, а TCP/IP стек в массовых сетевых карточках и в GPXE видимо слишком примитивен, чтобы собрать фрагменты обратно.

В рассылке в качестве решения предложили использовать TFTP сервер, в котором есть возможность ограничивать максимальный размер пакета, даже если клиент явно запрашивает большой размер. Я пока такого не нашел под FreeBSD.

Crossposts: http://victor-sudakov.livejournal.com/81242.html

Entry tags:

IP телефония

На курсе CVOICE ощущение примерно такое, как у Страшилы, когда Гудвин вложил ему ум, в результате чего голова его раздулась раза в полтора и из нее полезли булавки и иголки. А впереди еще CIPT1 и CIPT2.

Альбом: Cisco

Когда уже похоронят E.164 (и другие замшелые телефонные ужасы вместе с ним) и все будут звонить друг другу как нормальные пользователи Интернет - по адресам вида sip:user@domain.

Crossposts: http://victor-sudakov.livejournal.com/77098.html

Entry tags:

"ip inspect" (CBAC) и проблемы с фрагментацией

Проблема: http://ru-root.livejournal.com/2350651.html , https://puck.nether.net/pipermail/cisco-nsp/2012-February/083749.html

Баги: CSCdu30492 и CSCdx17419.