• Быстрый переход
  • Рубрики
  • Свежие записи
  • Метки
  • Архивы
  • Реклама 1
  • Реклама 2
  • Рейтинг@Mail.ru

    Добро пожаловать! Ваш IP-адрес: ec2-23-20-166-68.compute-1.amazonaws.com

    Cisco Systems

    QoS (Качество обслуживания) на Catalyst 3750. Общие принципы и примеры!

    3750 QOS: Общие принципы:

    Свич в целом имеет две входящие очереди и каждый порт имеет четыре исходящих. Обращаю внимание, что у  портов нет своих отдельных входящих очередей, две входящие очереди – это на весь свич. Когда пакет входит в порт, то выполняются следующие шаги:

    Classification – для каждого пакета свичу нужно сгенерить QoS Label, который будет сопровождать пакет внутри свича и определять всю его последующую QoS-обработку. Для этого свич «мапирует» CoS или DSCP входящего пакета на QoS Label.
    Policing – определяет попадает ли пакет в профайл или он out profile. Результат отражается в QoS Label и передается Маркеру.
    Marking – оценивает результат полисера и проверяет настройки: что сделать с пакетом, если он out profile. Возможные действия: пропустить без изменений; пропустить, но сделать mark down the QoS label; дропнуть.
    Queueing – поместить пакет в одну из двух ingress очередей свича. Для этого просматривается QoS Label. Сначала по DSCP\CoS пакета выбирается нужная очередь, затем механизм WTD проверяет не превышен ли в этой очереди трешолд для данного DSCP\CoS. Если трешолд превышен, то пакет дропится иначе ставится в очередь.
    Scheduling – механизм SRR (исключительно Shared Round Robin)

    На выходе выполняются следующие шаги:

    Queueing – поместить пакет в одну из четырех egress очередей порта. Для этого просматривается QoS Label. Сначала по DSCP\CoS пакета выбирается нужная очередь, затем механизм WTD проверяет не превышен ли в этой очереди трешолд для данного DSCP\CoS. Если трешолд превышен, то пакет дропится, иначе ставится в очередь
    Scheduling – механизм SRR (Shaped or Shared Round Robin).

    ЗАПОМНИ: Из ingress очередей пакеты попадают в stack ring, т.е. шедулер этих двух очередей управляет передачей пакетов на стековую магистраль. Соответственно BW, которая выделяется каждой очереди – это часть BW стековой магистрали. Из egress очередей портов пакеты попадают в линк, т.е. BW выделяемая каждой очереди – это часть BW порта.

    NOTE: Т.к. суммарная входящая BW всех портов может превысить пропускную способность stack ring'а, то входящие очереди располагаются перед stack ring'ом, т.е. они «сдерживают» траф, уходящий в stack ring. Т.к. несколько входящих портов могут одновременно отправить пакеты в один исходящий порт, то BW этого порта может быть превышена, поэтому egress очереди расположены после stack ring'а, т.е. они сдерживают траф, уходяший в линку.
    Подробнее...

    Открытие SSH доступа на Cisco ASA/PIX

    Настроим SSH доступ к Cisco ASA/PIX
    Зададим enable пароль:

    enable password ***

    Добавим пользователя с максимальным доступом:

    username admin password *** privilege 15

    Октроем доступ к локальному интерфейсу. Для начала разрешим всем все:

    access-list 100 extended permit ip any any
    access-group 100 in interface inside

    Расрешим авторизацию по ssh

    aaa authentication ssh console LOCAL

    И откроем доступ для локального адреса 192.168.1.2

    ssh 192.168.1.2 255.255.255.255 inside
    ssh timeout 30
    management-access inside

    Список команд безопасности маршрутизаторов Cisco

    Конфигурационные команды, для улучшения безопасности на маршрутизаторах Cisco, сведены в таблицу для более удобного запоминания. Всегда внимательно читайте документацию по каждой команде, прежде чем применять ее.

    Используйте команду Чтобы
    enable secret Настроить пароль для привилегированного доступа к маршрутизатору.
    service password-encryption Обеспечить минимальную защиту для настроенных паролей.
    no service tcp-small-serversno service udp-small-servers Предотвратить злоумышленное использование малых служб для проведения различных сетевых атак, включая DoS-атаки.
    no service finger Предотвратить предоставление пользовательской информации потенциальным злоумышленникам.
    no cdp runningno cdp enable Предотвратить предоставление информации о маршрутизаторе устройствам, которые напрямую подключены к этому маршрутизатору.
    ntp disable Предотвратить атаки против службы NTP.
    no ip directedbroadcast Помешать нападающим использовать маршрутизатор в качестве "усилителя" smurf-атаки.
    transport input Указать, какие протоколы могут использоваться удаленными пользователями для установления интерактивного подключения к терминалу VTY или к портам TTY на маршрутизаторе.
    ip access-class Указать, какие IP-адреса могут использоваться для подключения к портам TTY или VTY. Зарезервировать один порт VTY для доступа с управляющей рабочей станции.
    exec-timeout Запретить "пустым" сеансам связи занимать VTY на неопределенно долгое время.
    service tcp-keepalives-in Выявить и закрыть нерабочие интерактивные сеансы, которые необоснованно занимают VTY.
    logging buffered buffer-size Сохранить регистрационную информацию в RAM-буфере маршрутизатора. В последних версиях программного обеспечения после размера буфера можно указать порог важности.
    ip access-group list in Отбросить сфальсифицированные IP-пакеты. Сбросить входящие перенаправления ICMP.
    ip verify unicast rpf Сбросить сфальсифицированные IP-пакеты в сетях с симметричной маршрутизацией и только при использование режима CEF.
    no ip source-route Предотвратить использование функций IP-маршрутизации от источника в целях фальсификации трафика.
    access-list number action criteria log access-list number action criteria loginput Включить регистрацию пакетов, которые совпадают с критериями, указанными в данном списке доступа. Используйте команду log-input, если таковая имеется в вашем ПО.
    scheduler-interval scheduler allocate Предотвратить отключение важных процессов при лавинном трафике.
    ip route 0.0.0.00.0.0.0 null 0 244 Включить быстрый сброс пакетов, имеющих недействительный конечный адрес.
    distribute-list list in Фильтровать данные о маршрутизации, чтобы предотвратить использование недействительных маршрутов.
    snmp-server communitysomething-inobvious ro list snmp-server community something- inobvious rw list  Включить протокол SNMP версии 1, настроить аутентификацию и ограничить доступ к определенным IP- адресам. Протокол SNMP версии 1 следует использовать только в случае, если недоступна версия 2, при этом нужно принять меры защиты от анализаторов пакетов. Включайте протокол SNMP, только если он нужен в вашей сети. Включайте доступ с правами чтение-запись, только если это действительно необходимо.
    snmp-server party...authentication md5 secret ... Настроить процедуру аутентификации для протокола SNMP версии 2, использующего алгоритм аутентификации MD5. Включайте протокол SNMP, только если это действительно необходимо в данной сети.
    ip http authentication method Проводить аутентификацию запросов на HTTP-соединения(если HTTP включен на маршрутизаторе).
    ip http access-class list Осуществлять дальнейший контроль за HTTP-доступом, ограничив его определенными адресами узлов (если http включен на маршрутизаторе).
    banner login Установить предупредительный баннер, который будет демонстрироваться пользователям, пытающимся зарегистрироваться на маршрутизаторе.

    Восстановление IOS на Cisco Catalyst 2960

    Добрый День! Не давно возникла необходимость восстановить IOS на Cisco Catalyst 2960. По обычной методике, с помощью tftp загрузить IOS не получалось, по этому пришлось заливать по консольному кабелю.

    Порядок действий:

    • Заранее находим IOS (копируем с другого каталиста).
    • Подключаемся через консольный кабель.
    • Запускаем HyperTerminal (kitty не умеет в нужном формате передавать файлы).
    • Появляется надпись: switch:
    • Дальше надо изменить скорость порта, со стандартной 9600 на что то побольше, иначе очень при очень долго будет передаваться, для этого пишем:
      switch: set BAUD 115200
    • После смены скорости придется переподключить HyperTerminal с новой скоростью, иначе нормально работать с консолью будет невозможно.
    • Теперь на каталисте включаем копирование файла с xmodem:
      switch: copy xmodem: flash:
    • В меню HyperTerminal выбираем передачу файла (через xmodem) и указываем на файлик.
    • Ждем пока закачается IOS (мин 20ть). Затем меняем скорость консоли на обычную 9600.
    • Перезапускаем каталист.

    Защита от DoS атак с помощью TCP Intercept через оборудование Cisco

    Многие сисадмины сталкиваются с сетевыми атаками. Редко атаки нацелены на сетевые устройства, обычно на серверы, которые предоставляют услуги (например, WWW, СУБД и т.д.). В Интернете можно найти мануалы, для мониторинга порта 80 для примера, который, легко ломается для перехвата трафика. Во всяком случае, обычно ломают сервер, а пограничное сетевое устройство не является целью атаки, хотя и может упасть не выдержав нагрузки. Поэтому нужно настроить пограничный маршрутизатор, чтобы помочь серверам отбиться от атаки.

    Немного о DoS атаках:

    DoS-атака это отказ в обслуживании. Отказ в обслуживании (DoS) или распределенный отказ в обслуживании атаки (DDoS) является попыткой сделать компьютерный ресурс недоступным для предполагаемых пользователей. DoS-атакам подвергаются обычно сайты крупных организаций, таких как банки, кредитные шлюзы платежных карт, веб-хостинг и так далее. Один из распространенных методов атаки предполагает отсылка на целевой компьютер большого количества запросов, таким образом, что он не сможет ответить на легитимный трафик, или будет реагировать слишком медленно.

    Методом предотвращения DoS-атак является ограничение соединений на сетевое устройство (маршрутизатор). Функция TCP intercept помогает предотвратить SYN-флудинг атаки путем перехвата и проверки запросов TCP соединений. В режиме TCP intercept программное обеспечение перехватывает TCP синхронизации (SYN) пакетов от клиента к серверу, которые соответствуют списку доступа. Программа устанавливает соединение с клиентом от имени конечного сервера, и в случае успеха, устанавливает соединение с сервером от имени клиента и соединяет две половины соединения вместе прозрачно. Таким образом, попытки соединения из недоступных хостов никогда не достигнут сервера. Программа продолжает перехватывать и передавать пакеты на протяжении всего соединения.

    Подробнее...

    Основные команды по настройке и эксплуатации маршрутизатора cisco

    Рассмотрим наиболее часто употребляемые команды маршрутизаторов Cisco.
    Установка пароля для консоли
    · router>enable
    · router#configure terminal
    · router(config)#line console 0
    · router(config-line)#login
    · router(config-line)#password submask
    · router(config-line)#exit
    · router(config)#exit

    Удаление консольного пароля
    · router>enable
    · router#configure terminal
    · router(config)#line console 0
    · router(config-line)#no login
    · router(config-line)#no password
    · router(config-line)#exit
    · router(config)#exit

    Удаление пароля Secret
    · router>enable
    · router#configure terminal
    · router(config)#no enable secret
    · router(config)#exit

    Проверка параметра Register
    · router>enable
    · router#show version

    Подробнее...

    Настройка DHCP сервера на CISCO

    В данной статье рассматривается настройка Cisco роутера в качестве DHCP сервера. Полное описание команд DHCP сервера на Cisco Вы сможете найти на сайте производителя.

    Контрольный список конфигурации:

    1) Настройка агента DCHP базы данных или отключение "конфликтных" DHCP логов. (Обязательно)
    2) Исключение ip адресов (Обязательно).
    3) Настройка адресного пула DHCP (Обязательно).
    4) Ручное присвоение адресов (Опционально).
    5) Настройка загрузочного файла для DHCP сервера (Опционально).
    6) Настройка числа пакетов ping (Опционально).
    7) Настройка тайм аутов для пакетов ping (Опционально).
    8) Включение функциональной возможности Cisco IOS DHCP Server(Опционально).

    Подробнее...

    Настройка SSH на Cisco

    Итак, необходимо настроить SSH в Cisco. Сделать SSH средой по умолчанию для терминальных линий.

    1. Входим в привилегированный режим

    cisco> enable

    2. Устанавливаем точное время для генерации ключа

    cisco# clock set 17:10:00 28 Aug 2009

    3. Входим в режим конфигурирования

    cisco# configure terminal

    4. Указываем имя домена (необходимо для генерации ключа)

    cisco(config)# ip domain name test.dom

    5. Генерируем RSA ключ (необходимо будет выбрать размер ключа)

    cisco(config)# crypto key generate rsa

    6. Активируем шифрование паролей в конфигурационном файле

    cisco(config)# service password-encryption

    7. Заводим пользователя с именем user, паролем Pa$$w0rd и уровнем привилегий 15

    cisco(config)# username user privilege 15 password 7 Pa$$w0rd

    8. Активируем протокол ААА. (до активации ААА в системе обязательно должен быть заведен хотя бы один пользователь)

    cisco(config)# aaa new-model

    9. Входим в режим конфигурирования терминальных линий с 0 по 4

    cisco(config)# line vty 0 4

    10. Указываем средой доступа через сеть по умолчанию SSH

    cisco(config-line)# transport input ssh

    11. Активируем автоматическое поднятие строки после ответа системы на проделанные изменения

    cisco(config-line)# logging synchronous

    12. Указываем время таймаута до автоматического закрытия SSH сессии в 60 минут

    cisco(config-line)# exec-timeout 60 0

    13. Выходим из режима конфигурирования терминальных линий

    cisco(config-line)# exit

    14. Выходим из режима конфигурирования

    cisco(config)# exit

    15.  Сохраняем конфигурационный файл в энергонезависимую память

    cisco# copy running-config startup-config

    Как собирать логи на устройстве Cisco Systems

    В заметки описано как активировать сбор системных сообщений на оборудовании Cisco и как их потом прочитать.

    >en
    Password:

    config term
    (config)# logging on
    (config)# logging buffered 32000
    (config)# logging buffered informational

    или

    (config)#logging buffered debugging

    чтобы собирать все что только можно.

    В данном примере мы активируем логирование и размещаем информацию в кэш буфера самого устройства Cisco, уровень на котором должен работать лог – информационный.

    Чтобы посмотреть информацию которую собрала Cisco :

    #sh log

    Как видите там указано время когда это произошло.

    Произведем точную настройку времени если это необходимо -

    #clock set 10:38:00 July 2 2011

    или пользуемся NTP серверами типа pool.ntp.org

     

    Автор admin, 16 декабря 2011 | Cisco Systems | 0 коммент.
    Метки: ,

    Обновление прошивки (IOS) Cisco Catalyst

    Задача: обновить прошивку (операционную систему) управляемого коммутатора/маршрутизатора.
    Для этого необходимо выполнить следующие действия:
    1)Подключиться к коммутатору по консоли
    2)Настроить IP-адрес коммутатора. IP адрес коммутатору следует назначать из той же подсети, что и IP-адрес рабочей станции управления:

    Switch#configure terminal
    Switch(config)#interface vlan 1
    Switch(config-if)#ip address 192.168.0.1 255.255.255.0
    Switch(config-if)#no shutdown


    3)Подключить рабочую станцию к коммутатору через любой из портов (компьютер должен быть в той же сети, что и коммутатор, например: 192.168.0.2/24).

    4)Запустить на рабочей станции tftp-сервер, например, tftpd32, далее в корень которой необходимо положить скаченную с официального сайта прошивку.

    5)Просмотреть информацию о прошивках:

    Switch#show version или show flash:

    6)Перед обновлением прошивки, рекомендую забэкапить рабочую прошивку:

    Switch#copy flash: tftp:

    (после введения данной команды, необходимо указать прошивку, обязательно с расширением *.bin и IP адрес tftp - сервера, например 192.168.0.2)

    Подробнее...