|
Украинская Баннерная Сеть |
800-я серия маршрутизаторов Cisco предназначена для небольших офисов. Недавно пришлось с ней разбираться. Задача была пробросить 80-й порт внутрь сети, на адрес 192.168.0.5. При этом у клиента на внешний интерфейс была заведена целая сеть, а маршрутизировать белую сетку внутрь своей сети он отказывался. Аргументировал это тем, что так небезопасно.
Read more »
В статье Q-in-Q настройка в Cisco Catalyst 3750 я описывал схему построения туннеля 802.1q с использованием целых 4-х коммутаторов класом никак не ниже Cisco Catalyst 35XX серии. Не всегда приходится строить такие схемы для подключения сразу 10-ти и более бизнес клиентов. Иногда приходится строить тунель для 2-х, максимум 3-х клиентов с неясными перспективами на подключение новых клиентов. Поэтому приходится экономить, и тут можно съэкономить кардинально, убрав из этой классической схемы 2 свитча. Схема упростится за счет того, что мы с тегируемого порта свича, поставим кабель идущий в порт, находящийся в режиме dot1q-tunnel. Таким образом мы соорудим так называемый QinQ Loop. Схема коммутации будет выглядеть так:
Read more »
Q-in-Q, так же это называют dot1q tunneling, это система двойного тегирования вланов. То есть, допустим у нас есть канал на некую техплощадку, на которой подключены клиенты, клиенты должны быть изолированы друг от друга с помощью vlan, но транспорт не позволяет обеспечить нужное количество вланов на каждого клиента, а владельцы транспорта дают один влан и как говорится крутись как хочешь. Вот для таких случаев замечательно подходит dot1q тунелирование, когда внутрь одного влана на входе упаковываются вланы, а на выходе транспорта распаковываются. Остается добавить, что не все виды коммутаторов поддерживают Q-in-Q, среди коммутаторов Cisco поддерживают Q-in-Q 35хх, 37xx, 45xx. Среди продуктов D-Link поддерживает Des-3825, тут Q-in-Q называется Double Vlan. И все коммутаторы производства ExtremeNetworks, они называют эту технологию vMan.
Read more »
Иногда выпадают такие нетривиальные задачи. Если вы обеспечиваете клиентам транспорт по второму уровню, объеденение оффисов и тому подобное, то мониторить работоспособность можно только с помощью подсчета маков во влане. Метод достаточно неточный, поскольку авария может уже случится, а мак еще может хранится в таблице. Но тем не менее, бывают такие клиенты, которых нужно хоть как то мониторить.
Я использую такую команду:
/usr/local/bin/snmpwalk -Os -c netstat@501 -v 1 192.168.5.5 .1.3.6.1.2.1.17.4.3.1.1
Здесь 192.168.5.5 – адрес свитча,
501 – номер влана который мониторится, а .1.3.6.1.2.1.17.4.3.1.1 – MiB котрый выводит маки которые присутствуют в этом влане.
Результат будет такой:
mib-2.17.4.3.1.1.0.20.169.37.168.40 = Hex-STRING: 00 A4 C9 25 D8 38 mib-2.17.4.3.1.1.0.30.122.229.194.156 = Hex-STRING: 00 1F 7C E5 C5 9C
Как есть два мака, по одному с каждой стороны транспорта.
На свитчах отличных от catalyst 3750 этот MiB я не проверял, гарантировать что будет работать не могу.
Централизованная авторизация через radius server имеет ряд неоспоримых достоинств. Если у вас обслуживанием оборудования занимается несколько человек и штат сотрудников время от времени меняется, а не меняться он не может, то правильней всего завести один источник авторизации на котором можно завести пользователя или заблокировать одним движением, а не обходя оборудование по кругу и блокируя аккаунты. Во вторых источником авторизации может служить все что угодно, радиус сервера могут обращаться к SQL базам, к хранилищу в виде простого файла, и наконец к PAM, как мы сегодня и настроим.
Почему я выбрал авторизацию через PAM? Да просто потому что так исторически сложилось. И система мониторинга авторизуется через апачевский mod_auth_pam.
Read more »
Возвращаясь к краеугольной теме любого сисадмина к бекапам, вынужден заметить что бекап требуется не только для серверов но и для коммутаторов(switch) и аппаратных маршрутизаторов. Вылетают флешки с записанным конфигом свитча редко, но во первых это все таки случается, во вторых, имеет место еще и ошибка сисадмина, а если она подкреплена излишней самоуверенностью в виде мгновенного write memory, то бекап становится единственным спасением.
Для бекапа с помощью моего скрипта потребуется в первую очередь настроить Catalyst на выполнение удаленных команд с помощью rsh, для этого надо выполнить такие настройки:
Read more »
Реализуем такую схему подключения офиса к интернет:
Read more »
CDP – Cisco Discovery Protocol, предназначен этот протокол для упрощения поиска устройств в сети, автоматической отрисовки топологии сети, этот протокол в обязательном порядке поддерживается устройствами Cisco, получить информацию на устройстве можно так:
show cdp neighbors
