Category Archives: Готовые конфиги

Внедрение AAA для доступа и учёта

Сегодня поговорим о настройке «правильного» доступа на наши железки.

Задача была следующей:

Есть две группы, одни с полным доступом, вторые с очень ограниченным (доступ не на все железки и не ко всем командам) надо сделать возможность заходить по доменным учеткам. Железки роутеры Cisco 881 и свичи Catalyst 2960, сервер контроля доступа Cisco ACS 5.4, протокол TACACS+ (Radius не поддерживает в полной мере все приятные фишки, хоть и попроще).

В начале немного теории о том, что такое AAA и с чем его едят:


    Ping. Повторение – мать (м)учения.

    Если где-то что-то не работает, то мы чаще всего пробуем это что-то попинговать. Наверное, сегодня каждый умеет «пинговать». Или не умеет? Понимаете ли вы результаты команды ping? Можете ли вы ответить на, казалось бы, простые вопросы:

    1. Что значит буква M или U в ответ на ping?
    2. Почему первый ответ приходит, как правило, с большей задержкой?
    3. Видели ли вы отрицательный ping?
    4. Как пропинговать несколько адресов сразу?

      L2TP — Layer 2 Tunneling Protocol

      Статью хотелось бы начать с вопроса:

      Зачем данный протокол?

      Из названия для того чтобы строить какие то туннели – туннели в наших сетях, а именно для объединения L2 доменов. Так как протокол L2 уровня, соответственно нужен для связи узлов по второму уровню модели OSI. А если еще заглянуть глубже, то L2TP нужен для инкапсулирования и туннелирования пакетов протокола PPP (Point-to-Point Protocol)

      L2tp – туннельный протокол работающий на канальном уровне модели OSI . Одно из главных преимуществ данного протокола является возможность работать в различных сетях не только IP, но и x25, frame relay и других, соединять L2 сети поверх различных других сетей.
      Немного истории.

      Протокол был создан благодаря взаимодействию двух корпораций Cisco и Microsoft в 1999 году.

      Немного порыскав в глобальной сети, нашел информацию:


        Рисуем красивые графики с помощью MRTG

        Данной статьей я хочу поговорить в очередной раз о мониторинге. Это в первую очередь необходимая и только уже потом полезная вещь в любой сети или системе. Логи, статистика, оповещения – вот с чего начинается любой траблшут. И не только, когда уже что-то сломалось. Зачастую проблему можно увидеть заранее. И это, по моему мнению, главное.
        Систем мониторинга огромное множество. Простые и сложные, кроссплатформенные и только под UNIX, многоцелевые и только для сетей, с базами данных и без, платные и бесплатные и т.д. Рассмотреть все очень сложно. Попробовать функционал каждой и описать его здесь тоже. Поэтому будем пробовать. На практике. И рассмотрю я сегодня MRTG…


          DHCP всемогущий…

          Мы уверены, что ты не раз сталкивался с технологией DHCP. Если спросить у любого хоть немного технически грамотного человека, что это за технология, каждый ответит что-то вроде «динамическая раздача ip адресов». Ты скажешь «Не только адресов! Еще раздается маска подсети, а также шлюз по умолчанию». А что еще?..
          В данной статье мы рассмотрим настройку DHCP сервера на оборудовании Cisco (будем использовать маршрутизатор cisco 2851) и узнаем, что еще умеет DHCP.


            Технология NAT. Двойной NAT

            Немного предыстории…

            Обширное развитие сетей началось в результате появления протокола IPv4, который был разработан в 1981 году. На тот момент всем казалось, что протокол весьма хорош, и адресное пространство (4 294 967 296), которым он обладает, велико и удовлетворит все потребности развития компьютерных сетей. Сети развивались, росло и количество пользователей желающих пользоваться возможностями, которые предлагали компьютерные сети. С ростом пользователей, количество адресов стремительно уменьшалось. Чтобы эффективней использовать адресное пространство, стали изобретать множество механизмов, позволяющих экономичней использовать адреса: Бесклассовую адресацию, деление сетей на частные и публичные, механизмы CIDR, VLSM и т.д. Одной из технологий, способствующих рациональному использованию адресного пространства, был NAT (Network Address Translation — «преобразование сетевых адресов»)
            Зачем нам нужен NAT?


              Доступ сторонней организации с помощью BGP

              Последние два года, сопровождая не малую сеть одной энергоснабжающей компании, появлялись задачи  различной сложности. Зачастую данные задачи были неожиданные и  срочные, поэтому их необходимо было решать с минимальной задержкой.
              Одной из таких поставленных задач было  предоставление сторонней организации доступа к определенным  серверам, находящимся в сети 172.32.24.128/30, остальные ресурсы нашей компании (компания А), не должны быть достижимы. На первый взгляд, ничего сложного, основным условием было предоставление  высокого уровня доступности серверов.


                Про IPSec VPN между Cisco и D-link

                Конечно же, мы очень любим активное сетевое оборудование Cisco Systems. И как показывает практика, любим не только за то, что это круто, а любим за понятность настройки, предсказуемость работы сконфигурированных фишек, прекрасные возможности траблшутинга. Однако, часто и мне, и тебе приходиться иметь дело с целым зоопарком оборудования других производителей. Причем не просто иметь дело, а соединять их друг с другом, с оборудованием Cisco для выполнения различных функций. Недавно нам пришлось собирать IPSec VPN между маршрутизаторами D-link DSR-1000, DSR-500, DSR-250 и маршрутизатором Cisco ASR 1002. Не будем вдаваться в причины, почему так получилось, остановимся лишь на технической стороне вопроса. Итак, задача: обеспечить работу WAN сети компании через 3G сеть оператора связи, причем трафик должен передаваться между всеми сайтами в зашифрованном (на сколько это возможно) виде. Вот как мы решили это задачу…


                  Беспроводное (3G) подключение к сети

                  Случай №1. Иногда бывает так, что срочно необходимо где-то организовать доступ в Интернет, хотя физической инфраструктуры нет. То есть, возможность подключиться хотя бы по ADSL отсутствует, а сервис надо предоставить. Примером такого случая может служить открытие какого-то офиса или магазина, проведение мероприятия и так далее. В первом варианте фиксированное соединение может появиться позже, но у нас уже горят сроки открытия. А во втором случае организация фиксированного соединения в принципе может быть нецелесообразна. Что же мы будем делать?

                  Случай №2. У нас есть фиксированное соединение, однако оно может периодически не работать по самым разным причинам. А наш бизнес завязан на постоянную работу с Интернетом, соответственно отсутствие доступа туда может грозить нам большими убытками. В здании, где мы  находимся, есть только один провайдер, соответственно организовать фиксированное подключение через другого не возможно. Но нам нужен резерв. Снова повторяется вопрос: что же мы будем делать?

                  А делать мы будем подключение к Интернету через радиосеть оператора мобильной связи, то есть через 3G.


                    Про NAT при dualhoming с использованием EEM

                    История решения задачи, которую мы описывали в предыдущей статье, не закончилась на указанной в ней настройке. К нам обратился один клиент, у которого схема подключения была точно такой же, однако была одна особенность, которую мы не рассматривали. Это особенность называется NAT (Network Address Translation) и связана она с тем, что настройка NAT на маршрутизаторе в общем случае довольно простая, но жесткая. С одной стороны, это нас опечалило, так как решение не заработало в полной мере. С другой стороны, у нас дополнились входные данные, которые не были учтены при разработке первого решения. И мы поняли, что нам просто необходимо принять этот вызов и решить задачу с новыми входными данными. Итак, уточнение входных данных (первая часть статьи с входными данными  и решением, которое лежит в основе текущей статьи, ты можешь прочитать здесь):

                    1)      Внутреннюю подсеть пользователей 30.30.0.0/24 необходимо транслировать (PAT – Port Address Translation, он же dynamic NAT overload) в адрес интерфейса, через который пакеты идут.

                    2)      Для основного канала – это трансляция в адрес 10.10.0.6.

                    3)      Для резервного канала – это трансляция в адрес 20.20.0.2.


                      Hide me
                      Получать регулярно свежие материалы, лабораторные и вебинары
                      Email Имя
                      Show me