Cisco ASA трафик между интерфейсами

По умолчанию на Cisco ASA трафик между интерфейсами с одинаковыми  security-level  — запрещен, это политика безопасности по умолчанию

К примеру у нас есть:

interface Port-channel2.1007
 description ### 
 vlan 1007
 nameif inside_1c
 security-level 100
 ip address 172.16.34.254 255.255.255.0 standby 172.16.34.253
!
interface Port-channel2.1008
 description ### 
 vlan 1008
 nameif inside_sap
 security-level 100
 ip address 172.16.35.254 255.255.255.0 standby 172.16.35.253
!

Читать далее

Опубликовано в рубрике Cisco

Готовим Ubuntu server

И так есть необходимость сделать предварительную настройку Ubuntu сервера

Так или иначе есть ряд дефолтных настроек которые выполняются на каждом сервере , так вот ниже будет шаблон настроек , установленных программ и тд которые должны быть на каждом сервере :

Создаем пользователя :

#adduser XXX

#passwd XXX

Читать далее

Опубликовано в рубрике Unix

Настройка коммутаторов cерии HP1910 и HP1920

В данной статье поделюсь своим небольшим опытом работы с коммутаторами HP серии HP1910 и HP1920

После того как вы попали через CLI на коммутатор вам необходимо перейти в режим конфигурации , сделать это можно так :
############################################################
_cmdline-mode on
Y
Jinhua1920unauthorized
system-view
############################################################

Читать далее

Автоматическое переключение между провайдерами

И так мы имеем 2 ISP и хотим при выходе из строя одного автоматический переключиться на второй ISP (то есть  не балансировка трафика между 2мя каналами — одновременно будет активным только один канал  ) . Эта всегда актуально — если нет 2х BGP сессий

Читать далее

Опубликовано в рубрике Juniper

OpenVPN via login

И там если вам необходим VPN , каждый пользователь которого должен иметь личный сертификат,  а трафик в VPN должен шифроваться,  в том числе как дополнительный метод аутентификация при подключении к VPN пользователь должен вводить логин/пароль (на тот случай если к примеру ноутбук с сертификатом был утерян/утрачен что б злоумышленник не смог им воспользоваться )

Хорошая и нужная вещь, опишу сразу настройку и так , cоздание сертификатов :

#cd /usr/share/doc/openvpn/examples/easy-rsa/2.0/

#sh
. ./vars
 ./clean-all
./build-ca

Читать далее

Опубликовано в рубрике Unix

Понимание dot1x

Стандарт IEEE 802.1X определяет протокол контроля доступа и аутентификации, который ограничивает права неавторизованных юзеров подключенных к коммутатору , если доступ запрещен то трафик любой кроме dot1x на порту блокируется

Сервер аутентификации — это как правило Радиус (или его реализации) и как правило этот сервер стучится в AD/LDAP для того что б понять в какой лан надо прибить пользователя

Рассмотрим конфигурация для Juniper :

Читать далее

Install Nexus5k and initial confioguration

В данной статье будет рассмотрена инсталяция Nexus 5k и первичная его конфигурация . И так приступим к работе , далаем сетевой доступ до железки

 

interface mgmt0
  description switch Gig1/0/8 
  ip address 10.100.X.X/X
!
vrf context management
  ip route 0.0.0.0/0 10.100.X.X

Читать далее

Опубликовано в рубрике Cisco

Rancid for Cisco and Juniper

 

#cat /home/rancid/.cloginrc

add user * rancidd
add password jsw* YYYYYYY
add noenable jsw* 1
add autoenable XX2 1
add autoenable XX2 YYYYYYY
add autoenable * 0 
add password XX2 YYYYYYY {XXXXXXX}
add password 10.xx.xx.xx YYYYYYY {XXXXXXX}
add password * YYYYYYY {XXXXXXX}
add method * telnet ssh


Читать далее

Update NX-OS on Cisco Nexus 7k

Рано или поздно (я думаю что  рано , в силу большого количества багов на Nexus вам прийдется его обновлять) , ниже будет описан процесс как это делать  , постараюсь как можно подробней описать данный процесс :

И так в нашем случае обновление было и версии NX-OS 6.13 на NX-OS 6.14 , для этого вам потребуется :

n7000-s1-dk9-npe.6.1.4.bin

n7000-s1-epld.6.1.4.img

n7000-s1-kickstart-npe.6.1.4.bin

Читать далее

Опубликовано в рубрике Cisco

Juniper stacke

Стек  коммутаторов — это достаточно мощная , в меру надежная  структура(так как есть некоторые особенности) .При создании стека коммутаторов состоящая их 2х и  коммутаторов , необходимо использовать опцию  no-split-detection — которая позволит вам при отказе одного из участников стека , сохранить в работе второго участника стека .

Так вот сама эта эта функция split-detect — она отвечает за топологию в VC (эта функция отслеживает достаточно много параметров  ,  начиная от расположения подключения и выборе ролей)

Если эта split-detect отключена , то роли в VC меняться не будут — так как не будет отслеживаться состояния шины ,  не будут меняться роли ,

Читать далее

Опубликовано в рубрике Juniper