• Быстрый переход
  • Рубрики
  • Свежие записи
  • Метки
  • Архивы
  • Реклама 1
  • Реклама 2
  • Рейтинг@Mail.ru

    Добро пожаловать! Ваш IP-адрес: ec2-23-20-166-68.compute-1.amazonaws.com

    2013 Июль

    Использование команды route в Windows

    Команду route можно использовать для просмотра, добавления и удаления маршрутов на сервере Microsoft Windows NT, где функционирует Cisco ICM. Вместе с командой route можно использовать следующие параметры:
    route [-f] [-p] [command [destination] [mask subnetmask] [gateway] [metric costmetric]]
    Параметры команды
    В этом разделе описывается каждый из параметров, который можно использовать вместе с командой route.
    -  Параметр -f приводит к удалению из таблиц маршрутизации всех записей шлюзов. Если использовать параметр -f вместе с одной из команд, таблицы будут очищены до выполнения команды
    -  По умолчанию маршруты не сохраняются при перезапуске системы. Используйте параметр с командой add для постоянного хранения маршрута. Используйте параметр с командой print для просмотра списка зарегистрированных постоянных маршрутов.
    -   Параметр command служит для указания одной из шести команд в следующей таблице:
    Использование команды route в Windows

    Использование команды route в Windows

    -  Параметр destination служит для указания сетевого назначения маршрута. Это может быть сетевым IP-адресом, IP-адресом маршрута узла или маршрутом по умолчанию.
    -  Параметр netmask - это 32-битовая маска, которую можно использовать для разделения IP-адреса на под сети и указания доступных узлов в сети. Если не указать маску под сети, будет использоваться значение по умолчанию 255.255.255.255.
    -  Параметр gateway служит для указания шлюза по умолчанию. Все символьные имена, используемые для назначения или шлюза, ищутся в сети н файлах баз данных на компьютере NETWORKS и HOSTS. Если используется команда print или delete, можно указать подстановочные знаки для назначения и шлюза или можно не указывать шлюз.
    -  Параметр metric служит для назначения целого значения в качестве стоимости или метрики (диапазон от 1 до 9999), которое можно использовать для расчета самого быстрого и надежного маршрута.
    Подробнее...

    Импорт и экспорт DB (База Данных) mysql при помощи консоли

    Импорт базы данных:

    mysql -uпользователь -p база < db.sql

    Экспорт: mysqldump -uпользователь -p база > db.sql

    Значения «пользователь» и «база» замените на имя пользователя и имя базы данных соответственно.

    Экспорт базы данных:

    Для экспорта нескольких баз данных можно воспользоваться вот такой командой:

    mysqldump -uroot -p -B база1 база2 база3 > db.sql

    Где «база1», «база2», «база3» — имена нужных для копирования баз данных, а «-B» — указание, что производится копирование нескольких баз.

    Также утилита mysqldump позволяет сделать экспорт всех баз на сервере в один файл sql. Это делает команда:

    mysqldump -uroot -p -A > alldb.sql

    QoS (Качество обслуживания) на Catalyst 3750. Общие принципы и примеры!

    3750 QOS: Общие принципы:

    Свич в целом имеет две входящие очереди и каждый порт имеет четыре исходящих. Обращаю внимание, что у  портов нет своих отдельных входящих очередей, две входящие очереди – это на весь свич. Когда пакет входит в порт, то выполняются следующие шаги:

    Classification – для каждого пакета свичу нужно сгенерить QoS Label, который будет сопровождать пакет внутри свича и определять всю его последующую QoS-обработку. Для этого свич «мапирует» CoS или DSCP входящего пакета на QoS Label.
    Policing – определяет попадает ли пакет в профайл или он out profile. Результат отражается в QoS Label и передается Маркеру.
    Marking – оценивает результат полисера и проверяет настройки: что сделать с пакетом, если он out profile. Возможные действия: пропустить без изменений; пропустить, но сделать mark down the QoS label; дропнуть.
    Queueing – поместить пакет в одну из двух ingress очередей свича. Для этого просматривается QoS Label. Сначала по DSCP\CoS пакета выбирается нужная очередь, затем механизм WTD проверяет не превышен ли в этой очереди трешолд для данного DSCP\CoS. Если трешолд превышен, то пакет дропится иначе ставится в очередь.
    Scheduling – механизм SRR (исключительно Shared Round Robin)

    На выходе выполняются следующие шаги:

    Queueing – поместить пакет в одну из четырех egress очередей порта. Для этого просматривается QoS Label. Сначала по DSCP\CoS пакета выбирается нужная очередь, затем механизм WTD проверяет не превышен ли в этой очереди трешолд для данного DSCP\CoS. Если трешолд превышен, то пакет дропится, иначе ставится в очередь
    Scheduling – механизм SRR (Shaped or Shared Round Robin).

    ЗАПОМНИ: Из ingress очередей пакеты попадают в stack ring, т.е. шедулер этих двух очередей управляет передачей пакетов на стековую магистраль. Соответственно BW, которая выделяется каждой очереди – это часть BW стековой магистрали. Из egress очередей портов пакеты попадают в линк, т.е. BW выделяемая каждой очереди – это часть BW порта.

    NOTE: Т.к. суммарная входящая BW всех портов может превысить пропускную способность stack ring'а, то входящие очереди располагаются перед stack ring'ом, т.е. они «сдерживают» траф, уходящий в stack ring. Т.к. несколько входящих портов могут одновременно отправить пакеты в один исходящий порт, то BW этого порта может быть превышена, поэтому egress очереди расположены после stack ring'а, т.е. они сдерживают траф, уходяший в линку.
    Подробнее...

    Открытие SSH доступа на Cisco ASA/PIX

    Настроим SSH доступ к Cisco ASA/PIX
    Зададим enable пароль:

    enable password ***

    Добавим пользователя с максимальным доступом:

    username admin password *** privilege 15

    Октроем доступ к локальному интерфейсу. Для начала разрешим всем все:

    access-list 100 extended permit ip any any
    access-group 100 in interface inside

    Расрешим авторизацию по ssh

    aaa authentication ssh console LOCAL

    И откроем доступ для локального адреса 192.168.1.2

    ssh 192.168.1.2 255.255.255.255 inside
    ssh timeout 30
    management-access inside

    Некоторые полезности в управлении FreeBSD

    Очередность запуска сервисов FreeBSD.

    Посмотреть очередность запуска сервисов в freebsd.

    #rcorder /etc/rc.d/* /usr/local/etc/rc.d/*

    Запустить или остановить службу можно скриптом, который лежит в папке /etc/rc.d/ .
    сетевые службы. Система FreeBSD 5.x/6.x скрипт для работы с сетевыми интерфейсами -> netif . Доступен только для рута (root):

    Стартуем FreeBSD сетевую службу:

    # /etc/rc.d/netif start

    Остановить FreeBSD сетевую службу:

    # /etc/rc.d/netif stop

    restart FreeBSD сетевую службу:

    # /etc/rc.d/netif restart

    То-же самое при помощи ifconfig (если много сетевух и нет необходимости "ложить" все сетевые интерфейсы)
    положить сетевуху (NIC) внаглую:

    # ifconfig network-interface down

    Запустить сетевой интерфейс (NIC):

    # ifconfig network-interface up

    Просмотреть список отключенных интерфейсов:

    # ifconfig -d

    Список включенных сетевух:

    # ifconfig -u

    FreeBSD обновить / перезагрузить таблицу маршрутизации (routing)
    Обязательно надо обновить "routing table" после перезагрузки сетевой службы:

    # /etc/rc.d/routing restart

    Сделать все через ssh подключение:
    Надо ввести команды как одну. Тогда все выполнится в фоновом режиме и никаких проблем с боевым серваком не возникнет:

    # /etc/rc.d/networking restart && /etc/rc.d/routing restart

    Подробнее...

    Список команд безопасности маршрутизаторов Cisco

    Конфигурационные команды, для улучшения безопасности на маршрутизаторах Cisco, сведены в таблицу для более удобного запоминания. Всегда внимательно читайте документацию по каждой команде, прежде чем применять ее.

    Используйте команду Чтобы
    enable secret Настроить пароль для привилегированного доступа к маршрутизатору.
    service password-encryption Обеспечить минимальную защиту для настроенных паролей.
    no service tcp-small-serversno service udp-small-servers Предотвратить злоумышленное использование малых служб для проведения различных сетевых атак, включая DoS-атаки.
    no service finger Предотвратить предоставление пользовательской информации потенциальным злоумышленникам.
    no cdp runningno cdp enable Предотвратить предоставление информации о маршрутизаторе устройствам, которые напрямую подключены к этому маршрутизатору.
    ntp disable Предотвратить атаки против службы NTP.
    no ip directedbroadcast Помешать нападающим использовать маршрутизатор в качестве "усилителя" smurf-атаки.
    transport input Указать, какие протоколы могут использоваться удаленными пользователями для установления интерактивного подключения к терминалу VTY или к портам TTY на маршрутизаторе.
    ip access-class Указать, какие IP-адреса могут использоваться для подключения к портам TTY или VTY. Зарезервировать один порт VTY для доступа с управляющей рабочей станции.
    exec-timeout Запретить "пустым" сеансам связи занимать VTY на неопределенно долгое время.
    service tcp-keepalives-in Выявить и закрыть нерабочие интерактивные сеансы, которые необоснованно занимают VTY.
    logging buffered buffer-size Сохранить регистрационную информацию в RAM-буфере маршрутизатора. В последних версиях программного обеспечения после размера буфера можно указать порог важности.
    ip access-group list in Отбросить сфальсифицированные IP-пакеты. Сбросить входящие перенаправления ICMP.
    ip verify unicast rpf Сбросить сфальсифицированные IP-пакеты в сетях с симметричной маршрутизацией и только при использование режима CEF.
    no ip source-route Предотвратить использование функций IP-маршрутизации от источника в целях фальсификации трафика.
    access-list number action criteria log access-list number action criteria loginput Включить регистрацию пакетов, которые совпадают с критериями, указанными в данном списке доступа. Используйте команду log-input, если таковая имеется в вашем ПО.
    scheduler-interval scheduler allocate Предотвратить отключение важных процессов при лавинном трафике.
    ip route 0.0.0.00.0.0.0 null 0 244 Включить быстрый сброс пакетов, имеющих недействительный конечный адрес.
    distribute-list list in Фильтровать данные о маршрутизации, чтобы предотвратить использование недействительных маршрутов.
    snmp-server communitysomething-inobvious ro list snmp-server community something- inobvious rw list  Включить протокол SNMP версии 1, настроить аутентификацию и ограничить доступ к определенным IP- адресам. Протокол SNMP версии 1 следует использовать только в случае, если недоступна версия 2, при этом нужно принять меры защиты от анализаторов пакетов. Включайте протокол SNMP, только если он нужен в вашей сети. Включайте доступ с правами чтение-запись, только если это действительно необходимо.
    snmp-server party...authentication md5 secret ... Настроить процедуру аутентификации для протокола SNMP версии 2, использующего алгоритм аутентификации MD5. Включайте протокол SNMP, только если это действительно необходимо в данной сети.
    ip http authentication method Проводить аутентификацию запросов на HTTP-соединения(если HTTP включен на маршрутизаторе).
    ip http access-class list Осуществлять дальнейший контроль за HTTP-доступом, ограничив его определенными адресами узлов (если http включен на маршрутизаторе).
    banner login Установить предупредительный баннер, который будет демонстрироваться пользователям, пытающимся зарегистрироваться на маршрутизаторе.