Ionut – techtorials

Cisco IPSec Shared Gateway

Am inceput aici, “Cisco OSPF External”, cu noua sectiune @ scribble_. Desi inca nu s-a incumentat nimeni sa raspunda, as vrea sa va propun o noua provocare. Pentru reteaua din imagine ar trebui sa configuram un Gateway IPSec (R1-IPSEC) al carui scop va fi sa termine conexiuni VPN catre clientii C1, C2 si C3, care folosesc echipamentele R5-C1, R6-C2, respectiv R7-C3. R3-H1 si R4-H2 sunt echipamentele configurate ca si surse peste conexiunile IPSec. R0-GW este doar o interfata intre reteaua noastra si furnizorul Internet, poate fi un simplu switch L3 pentru simplitate. R2-INT il putem privi ca tinand locul unei retele ISP, cea care faceRead More →

By: Ionut +

On: September 27, 2010

In: > quiz _, > schite _, > tutoriale _

With: 2 Comments

ACL Expanded Range vs. ACL Expanded Range

Pe urmatoarea platforma hardware/IOS: Cisco IOS Software, 3700 Software (C3745-ADVIPSERVICESK9-M), Version 12.4(15)T13, RELEASE SOFTWARE (fc3) am intalnit o mica incoerenta: R1#debug ip packet ? <1-199> Access list <1300-2699> Access list (expanded range) detail Print more debugging detail R1#configure terminal Enter configuration commands, one per line. End with CNTL/Z. R1(config)#ip access-list extended 1300 % % Invalid access list name. R1(config)#ip access-list extended 1301 % % Invalid access list name. R1(config)#ip access-list extended ? <100-199> Extended IP access-list number <2000-2699> Extended IP access-list number (expanded range) WORD Access-list name pe care am numit-o “ACL Expanded Range vs. ACL Expanded Range”.Read More →

By: Ionut +

On: September 24, 2010

In: > altele _

With: 2 Comments

OSPF Default External

Cu acest post vreau sa incerc ceva nou, ceea ce as vrea sa se numeasca “Scribble”. Numele nu ar trebui sa va trimita cu gandul la ceva indescifrabil, ci la un text succint scris de mana. Sper sa va placa!Read More →

By: Ionut +

On: September 21, 2010

In: > mini _, > schite _

With: 7 Comments

ACL Port List

ACL Continuous (range) /Discontinuous (list) Port Range Poate inca un motiv pentru care ACL Named este castigator. Test-Router(config)#ip access-list extended test-port-list Test-Router(config-ext-nacl)#10 permit tcp any host 172.17.1.1 eq 12 13 14 15 16 17 18 19 20 Test-Router(config-ext-nacl)#exit Test-Router(config)#ip access-list extended 2000 Test-Router(config-ext-nacl)#10 permit tcp any host 172.17.1.1 eq 12 13 14 15 16 17 18 19 20 % Multiple values are allowed on named ACLs only Test-Router#show ip access-lists test-port-list Extended IP access list test-port-list 10 permit tcp any host 172.17.1.1 eq 12 13 14 15 16 17 18 19 20 Test-Router(config)#ip access-list extended 2000 Test-Router(config-ext-nacl)#10 permit tcp any host 172.17.1.1 range 12 20Read More →

By: Ionut +

On: September 18, 2010

In: > mini _

With: 0 Comments

HSRP Track BGP

HSRP (Hot Standby Router Protocol), proprietar Cisco, sau VRRP, standard IETF si GLBP, proprietar Cisco, sunt protocoale cu ajutorul carora asiguram redundanta, chiar si load-sharing in cazul GLBP, pentru echipamentul folosit ca si “default gateway”. Ele sunt numite generic First Hop Redundancy Protocols (FHRP).

Nu intru in detaliile de functionare ale fiecarui protocol, in schimb voi prezenta o solutie practica cu care m-am intalnit recent: HSRP folosit impreuna cu protocolul de rutare BGP / influentarea protocolului HSRP de catre starea unei sesiuni BGP.Read More →

By: Ionut +

On: September 18, 2010

In: > quiz _, > tehnologii _, > tutoriale _

With: 5 Comments

ACL Resequence

“Best practice” spune ca primele linii dintr-un ACL sa fie acelea care sunt cel mai des validate de catre traficul care tranziteaza interfata pe care acel ACL este aplicat. Atunci cand “best practice-ul” intern unui service provider impune filtrarea accesului per destinatie pentru fiecare client, devine destul de dificil de aproximat care intrare ACL va fi cel mai des validata. Poate totusi in aceste conditii devine interesant de tinut intrarile ACL ordonate dupa adresa IP destinatie pentru a facilita citirea acestora in cazul unui troubleshoot-ing. #show ip access-list 180 Extended IP access list 180 10 permit icmp any any 20 permit tcp any any establishedRead More →

By: Ionut +

On: September 12, 2010

In: > mini _, > tutoriale _

With: 1 Comment

CISCO ASA NAT

Serviciul NAT nu poate fi evitat in unele situatii cum ar fi in retelele enterprise sau in retelele care deservesc clienti ai pietelor financiare. Cisco suporta pe echipamentele ASA, Adaptive Security Appliances, urmatoarele configuratii NAT: Static, tanslatarea IP se face one-to-one; Dinamic, translatarea IP se face many-to-many; PAT sau Overload, translatarea IP se face many-to-one (in terminologie ASA Dynamic Portmap). In exemplul urmator va fi exemplificat fiecare caz in parte, folosind Destination NAT (sursa traficului este translatata pentru a accesa o anumita destinatie), pe urmatoarea topologie de test: Echipamentul ASA va translata adresele IP din clasa 172.16.0.0/23 pentru a avea acces la clasa 192.168.0.0/24, indiferentRead More →

By: Ionut +

On: August 28, 2010

In: > tutoriale _

With: 0 Comments

VPN SSH

A trebuit recent sa am acces web la niste interfete aflate in spatele unui firewall care permite accesul decat de la unele clase IP. Nu am vrut sa folosesc/configurez o noua conexiune VPN explicit pentru asta, mi s-a parut complicat, iar adaugarea unei noi adrese IP in firewall parea procedural aproape imposibil. Am reusit sa obtin accesul folosind o conexiune SSH pe una din masinile din “interior”: laptop$ sudo ssh -q2CTN -D 8080 ionut@[Adresa IP] Browser-ul internet l-am configurat apoi sa foloseasca proxy SOCKS 127.0.0.1:8080.Read More →

By: Ionut +

On: August 5, 2010

In: > mini _

With: 0 Comments

TCP in serviciile de acces asimetric

Le numim conexiuni asimetrice pentru ca banda disponibila pentru download este (mult) mai mare decat banda disponibila pentru upload. Conexiunile internet terestre asimetrice, fie ca sunt DSL sau DOCSIS, au fost candva foarte populare in principal pentru ca: – dezvoltarea lor a beneficiat de o retea fizica deja existenta, vezi tehnologia DSL; – operatorii au putut impusca doi iepuri dintr-o data, oferind atat abonamente TV, cat si abonamente internet, vezi tehnologia DOCSIS. Pierderea in popularitate are in principal doi vinovati: – continutul consumat online, transferuri P2P, FTP, programe HD, cere o latime de banda din ce in ce mai mare; – serviciile real-time, voce siRead More →

By: Ionut +

On: May 29, 2010

In: > quiz _, > tehnologii _

With: 10 Comments

[Cisco] Multicast RPF Failure

In cazul traficului unicast decizia de transmitere a unui pachet este in mod normal luata de fiecare router in parte tinand cont de adresa destinatie a fiecarui pachet. Tabela de rutare unicast este organizata in functie de clasele de adrese destinatie si astfel, cu ajutorul acesteia, pachetele sunt trimise de la sursa catre destinatie. In cazul traficului multicast decizia de transmitere a unui pachet este luata in functie de adresa sursa si nu in functie de adresa destinatie ca in cazul traficului unicast. Daca un nod ar trimite implicit traficul multicast pe toate interfetele in afara de cea pe care traficul a venit, atunci arRead More →

By: Ionut +

On: May 20, 2010

In: > quiz _, > tutoriale _

With: 1 Comment