Июл 28 2009

Скрипт бекапа конфигурации для ExtremeNetworks Summit

Настройки введенного в эксплуатацию оборудования нужно бекапить, думаю это никому объяснять не нужно. Для экстримов пришлось скрипт писать с нуля. rsh скрипт не умеет, умеет ssh2, telnet и tftp. После ряда экспериментов написал скрипт который отдает свитчу команду на залив конфигурации на tftp сервер. Тут кстати тоже нюанс, бекап пошел только на ту сеть в которую включен менеджмент интерфейс. Собственно tftp сервер поставить штука не сложная, я писал об этом в Настройка tftpd сервера. Затем для работы скрипта понадобится перловая компонента Net::Telnet::Cisco. Установим ее:
Read more »

Июл 25 2009

Установка Asterisk во FreeBSD

Asterisk — програмная телефонная станция ориентированная как на VoIP(IP телефонию), так и на маршрутизацию традиционной телефонии с помощью специальных карт подключаемой к серверу. Собственно Digium изначально начинал с разработки самих карт под телефонные потоки и обычную аналоговую телефонию, а вслед за картами начал разрабатывать Asterisk, что бы было с чем эти карты обслуживать. В портах FreeBSD присутствуют все версии Asterisk. 1.2 — первая версия которую можно было начинать использовать для работы. 1.4 — эта версия только недавно перестала активно развиваться и является на сегодняшний день стабильно версией, ну насколько слово стабильная может относится к астериск. 1.6 — эта версия сейчас активно развивается. Итак, на сегодняшний день, я работаю с Asterisk 1.4.XX, его и будем устанавливать.

cd /usr/ports/net/asterisk/
make install clean

Read more »

Июл 22 2009

ExtremeNetworks Summit x350, авторизация через радиус.

В статье Авторизация на Cisco Catalyst через GNU Radius. я описывал, как у меня замечательно Catalystы авторизуют админов через Radius сервер. Summit По своим возможностям не отстает от Catalistов, а в некоторых вопросах мне кажется перекрывает возможности Ciscoвских свитчей. По мере того, как я буду разбиратся с возможностями этой новой для меня железяки, я буду описывать того, чего мне удалось достичь. Так вот, авторизоваться на Radius Summit умеет, а настройки нужны такие:

configure radius mgmt-access primary server 192.168.5.5 1812 client-ip 192.168.5.6 vr VR-Default
configure radius mgmt-access primary shared-secret cisco-123
enable radius mgmt-access

Read more »

Июл 18 2009

Полезная утилита Nmap

Есть в портах утилита Nmap, несмотря на то, что у этой утилиты репутация «хакерской», на саморм деле она очень полезная и не раз облегчала мою жизнь, не зря она находится в разделе security.
Установить ее просто:

cd /usr/ports/security/nmap/
make install clean

Лишних вопросов система при сборке nmap не задает, устанавливается быстро и просто.
Первая, как говорится полезность, это понятно при разработке файервола, потом можно отсканить свою систему и посмотреть добились ли мы нужного эффекта. Сканировать рекомендую с внутренней сети и снаружи, ну для того, что бы убедится что файервол работает как для исходящего трафика так и для входящего. Сканировать можно несколькими методами.
Простой скан портов:

nmap 192.168.1.1

Это простой скан по самым употребимым портам.

Скан TCP портов:

nmap -sT 192.168.1.1

Read more »

Июл 17 2009

Добавляем пользователя, меняем пароль пользователю на свитчах ExtremeNetworks

Свитчи Extreme предоставляют два вида аккаунтов user и admin. Пользователи группы user имеют доступ только к командам show, администратору соответственно, доступны все команды. Добавить нового администратора можно коммандой:

create account admin hilik

hilik здесь является логином администратора.
При создании аккаунта — тут же свитч попросит ввести пароль.

Для того что бы сменить пароль достаточно воспользоваться командой:

configure account "hilik"

Ну и для того, что бы удалить ненужный более аккаунт достаточно выполнить команду:

delete account hilik

Кроме системных аккаунтов, свитчи Extreme позволяют авторизоваться на radius серверах и на tacacs+.

Июл 15 2009

Настройка vman (QinQ) в свитчах ExtremeNetworks Summit x350

Свичи ExtremeNetworks даже в самых младших моделей умеют QinQ, или как они называют эту технологию Vman. Настройка не намного сложнее, чем в Cisco Catalystах. Возможно все таки сказывается то, что я работаю в основном с коммутаторами Cisco и другой формат настройки мне просто не привычен. Тем не менее.
Cхема построения QinQ(Vman):

qinq1
Будет реализовываться так:
Read more »

Июл 13 2009

Экономная схема построения QinQ

В статье Q-in-Q настройка в Cisco Catalyst 3750 я описывал схему построения туннеля 802.1q с использованием целых 4-х коммутаторов класом никак не ниже Cisco Catalyst 35XX серии. Не всегда приходится строить такие схемы для подключения сразу 10-ти и более бизнес клиентов. Иногда приходится строить тунель для 2-х, максимум 3-х клиентов с неясными перспективами на подключение новых клиентов. Поэтому приходится экономить, и тут можно съэкономить кардинально, убрав из этой классической схемы 2 свитча. Схема упростится за счет того, что мы с тегируемого порта свича, поставим кабель идущий в порт, находящийся в режиме dot1q-tunnel. Таким образом мы соорудим так называемый QinQ Loop. Схема коммутации будет выглядеть так:
qinq1
Read more »

Июл 12 2009

BGP community. Настройка в Quagga.

По мере роста числа клиентов, количества BGP сессий вы убедитесь, что управлять становится все сложнее. То один попросит анонсировать в тот канал, но не анонсировать в другой и тому подобное. Потихоньку замечаешь что управление такой системой занимает черезчур много времени. Решение простое, нужно использовать community. Внедрение bgp сommunity снимает сразу ряд проблем. Первое — это мы можем передовать принадлежность комьюнити между своими маршрутизаторам, тем самым избавившись от проверок на каждом хосте access листами и второе, более важное, наши клиенты теперь смогут сами устанавливать принадлежность своих анонсов к той или иной community, тем самым сами смогут управлять поведением проходящих через вашу автономную систему анонсов. Главное все правильно и красиво спроектировать. А теперь вернемся к вопросу как же все таки работать c community.
Read more »