Подключение к портам внутреннего сервера. Два провайдера.

Предоставление сервисов из внутренней сети. Доступ от двух провайдеров.
Топология сети:

Предоставление сервисов из внутренней сети. Доступ от двух провайдеров. Топология сети

R2 — Cisco 2651xm (IOS c2600-ipbasek9-mz.124-17.bin)
R1 — H3C SecPath U200-S UTM
R3 — Cisco 3750x (IOS /c3750e-universalk9-mz.122-55.SE3.bin)
R4 — ISA server 2006 (LAN)

На сервере 1.1.1.2 предоставляется доступ к порту RDP из внешних и внутренних сетей.
Читать далее «Подключение к портам внутреннего сервера. Два провайдера.»

Включение статической маршрутизации на Cisco 2960s

Включение статической маршрутизации на Cisco 2960s

У Cisco были и есть замечательные коммутаторы 2/3 уровня — Cisco Catalist WS-C2960, которые можно использовать в качестве ядра небольшой «бюджетной» сети.

Для этого требуется статическая маршрутизация, которой в настройках по умолчанию нет.

 Как включить или разрешить статическую маршрутизацию в Cisco 2960S Lan Base?

На примере  WS-C2960S-24TS-L.


Читать далее «Включение статической маршрутизации на Cisco 2960s»

Cisco IOS. Версии, лицензии

Безопасность маршрутизаторов Cisco
У начинающих cisco-водов много вопросов вызывают различные варианты линеек IOS их отличия и функционал. Дополнительную сумятицу внесло появление новых маршрутизаторов ISR G2 и новой линейки IOS версии 15. Попробуем разобраться на пальцах.

Будем обсуждать IOS для самых распространенных маршрутизаторов – Integrated Services Router (ISR) первой и второй «волны» (G1 и G2). Я не буду вдаваться совсем уж в историю и начну с IOS 12 версии. Более ранние, конечно, бывают, но встречаются сейчас крайне редко. Мало того, даже для самого древнего железа уже как правило хотя бы 12.0 версия есть.

Начиная с этой линейки у cisco появилось понятие «стабильный» или «основной» образ (main deployment, MD), «ранние версии» (early deployment, ED), всякие экспериментальные версии (обычно содержат несколько новых фич) и целая «продвинутая» технологическая линейка (обозначается буквой Т в названии IOS). Общая идеология такая: все, что обкатали в экспериментальных и технологических линейках предыдущих версий, появляется как основная фича в следующей версии основной линейки. Например, то, что было в 12.3Т и прошло успешные испытания, зафиксировано в 12.4 MD. Понятно, что возможностей у Т-линейки больше, функционал менее оттестирован и статистически менее надежен.

Читать далее «Cisco IOS. Версии, лицензии»

Настройка NAT на устройствах PIX/ASA

Безопасность маршрутизаторов Cisco

Настройка NAT на устройствах Cisco PIX/ASA

Терминология
global_IP — адрес в который будет осуществляться трансляция
real_ip — оригинальный адрес, подлежащий переписыванию
real_ifc — интерфейс на который приходят оригинальные пакеты подлежащие трансляции
global_ifc — интерфейс который будет использован для дальшейшей маршрутизации транслированного пакета

Static
Неудивительно и вполне ожидаемо, что для конфигурирования статических трансляций используется команда static имеющая следующий синтаксис:

PIX(config)# static (real_ifc,global_ifc) {global_ip |interface} {real_ip [netmask mask]}

Static NAT
Классический НАТ один к одному используется в тех случаях когда необходима реальная трансляция, маппинг, адреса.

PIX(config)# static (inside,outside) global_IP real_IP netmask 255.255.255.255

Т.е. если у нас реальный адрес на интерфейсе хоста во внутренней сети 10.10.10.10, а провайдер нам выделил пул из адресов 192.168.100.0/24 мы можем обеспечить доступность хоста снаружи введя команду

PIX(config)# static (inside,outside) 192.168.100.10 10.10.10.10 netmask 255.255.255.255

Всё что приходит на адрес 192.168.100.10 будет передаваться на хост с адресом 10.10.10.10.

Читать далее «Настройка NAT на устройствах PIX/ASA»

Мониторинг состояния канала по jitter/packet loss

Мониторинг состояния канала по jitter/packet loss с помощью Cisco EEM (Embedded Event Manager).

Мониторинг состояния канала по jitter / packet loss Cisco

Постановка задачи:

Есть два канала между точками А и Б, чаще всего от разных провайдеров. Необходимо обеспечить учет качества обслуживания на данных каналах, а именно:
1. При потерях >0.5% на канале, канал не должен использоваться.
2. При jitter > 10мс, канал не должен использоваться.

Такая задача возникла у меня на работе, поскольку два города соединены двумя каналами, по которым бегает в большом количестве голос, который, как известно, весьма капризен в отношении вышеописанных показателей. Кому интересно — милости прошу под кат.

Первоначальное решение.

Изначально было даже два корявых варианта. Первый заключался в поднятии на циске пинговалки, проверяющей живучесть канала и переключение по его смерти. Решение справлялось до тех пор, пока у нас не появились проблемы с джиттером при отсутствии потерь.

Второе решение заключалось в создании монитора на основе udp пакетов, имитирующих G729 кодек. Монитор показывал потери и джиттер, в случае проблем со связью, админ лез на кошку, наблюдал на ней текущие значения джиттера и потерь, и по обстоятельствам принимал решение об отключении канала. Работало, конечно. Но это какая-то полуавтоматическая система получилась. Поэтому я взял себя в руки и довел-таки данную ситуацию до некоторого конечного решения.

Читать далее «Мониторинг состояния канала по jitter/packet loss»

Cisco и 2 провайдера

Проблема стара как мир и сегодня мы ее решим :)
Дано: 2 провайдера (ISP1 и ISP2), внутренняя сеть и между ними маршрутизатор.
Задача: настроить один основной (ISP1) и один резервный канал (ISP2), при падении первого переключится на второй, при поднятии первого переключится обратно.
Cisco и 2 провайдера

Будем исходить из того что коммутаторы у нас тоже фирмы Cisco :) и для начала настроим 3 Vlan’а:
Vlan 10 — внутренняя сеть
Vlan 12 — ISP1
Vlan 14 — ISP2

Читать далее «Cisco и 2 провайдера»

Пример конфигурации QinQ на Cisco Catalist 3560

Пример конфигурации QinQ на Cisco Catalist 3560

ASCII Network diagram:

             +-------------------+
             | Customer Site     |
             |  switch (3560)    |
             +-------------------+
                Fa0/24 |
                       |  <------ dot1q trunk allowing only Vlan 310
                  Carrier WAN
                       |
                Fa0/1  |
             +-------------------+
             | Central PoP       |
             | Aggregation Switch|
             +-------------------+
          Fa0/24 |            | Fa0/2
                 |            |
                 |         +-------------------+
                 |         | Central PoP       |
                 |         | Network 2 Router  |
                 |         +-------------------+
                 |
             +-------------------+
             | Central PoP       |
             | Network 1 Router  |
             +-------------------+

------------------------------------------------------------
 Читать далее «Пример конфигурации QinQ на Cisco Catalist 3560»

Восстановление паролей Cisco

Безопасность маршрутизаторов Cisco

Cisco Password Recovery Procedures — прямая ссылка на страницу с инструкциями для восстановления забытого или потерянного административного пароля маршрутизаторов и коммутаторов Cisco.

http://www.cisco.com/en/US/products/sw/iosswrel/ps1831/products_tech_note09186a00801746e6.shtml

Шаблоны безопасности для маршрутизаторов Cisco

Безопасность маршрутизаторов Cisco

Автор cisco
24.04.2009 г.

Базовая конфигурация маршрутизаторов Cisco далека от идеально безопасной. В данной статье мы рассмотрим несколько шаблонов конфигураций, которые нацелены на большую безопасность вашей сети.

Не забудьте сделать резервную копию конфигураций своих маршрутизаторов на сетевой ресурс. Данная статья нацелена на изучение нового материала и полезных команд. Обратите внимание на использованные команды.

Читать далее «Шаблоны безопасности для маршрутизаторов Cisco»

Настройка Cisco Wireless LAN Controller и Cisco Lightweight Access Point

Автор cisco
13.01.2010 г.

Вступление

В данной статье мы рассмотрим базовую настройку беспроводной точки доступа Cisco lightweight access point (AP), которая подключена к контроллеру Cisco Wireless LAN (WLC) через свитч Cisco Catalyst.

Требования

Убедитесь в том, что ваша конфигурация соответствует следующим требованиям:

  • Базовые знания в области настройки беспроводных точек доступа Cisco lightweight AP и контроллеров Cisco WLC
  • Базовые знания в области облегчённого протокола беспроводного доступа LWAPP
  • Базовые знания в области настройки внешнего DHCP сервера и/или сервера доменных имён (DNS)
  • Базовые знания в области настройки свитчей Cisco Catalyst

Читать далее «Настройка Cisco Wireless LAN Controller и Cisco Lightweight Access Point»