Cisco 881 & IPv6 via PPPoE

In seara asta a venit un prieten cu un Cisco 881 la mine si m-a implorat (ma rog, m-a convins cu o bere) sa-l fac sa mearga cu IPv6. Avea deja pe el IOS c880data-universalk9-mz.124-22.YB5.bin insa nu se descurca la partea de config. Practic, ceea ce nu intelegea el era ideea de DHCPv6 cu PD (prefix delegation). Intrebarea lui era simpla: “Stiu ca un router SOHO (linksys, d-link, etc.) primeste un pachet care contine PD-ul (::/64) via DHCPv6 pe interfata PPP (WAN) si-l seteaza pe interfata lui catre LAN pentru ca are o singura interfata. De unde stie Cisco 881, care are mai multe interfeteRead More →

By:
On:
In: > tutoriale _
With: 48 Comments

Cisco IPSec Shared Gateway

Am inceput aici, “Cisco OSPF External”, cu noua sectiune @ scribble_. Desi inca nu s-a incumentat nimeni sa raspunda, as vrea sa va propun o noua provocare. Pentru reteaua din imagine ar trebui sa configuram un Gateway IPSec (R1-IPSEC) al carui scop va fi sa termine conexiuni VPN catre clientii C1, C2 si C3, care folosesc echipamentele R5-C1, R6-C2, respectiv R7-C3. R3-H1 si R4-H2 sunt echipamentele configurate ca si surse peste conexiunile IPSec. R0-GW este doar o interfata intre reteaua noastra si furnizorul Internet, poate fi un simplu switch L3 pentru simplitate. R2-INT il putem privi ca tinand locul unei retele ISP, cea care faceRead More →

By:
On:
In: > quiz _, > schite _, > tutoriale _
With: 2 Comments

ACL Expanded Range vs. ACL Expanded Range

Pe urmatoarea platforma hardware/IOS: Cisco IOS Software, 3700 Software (C3745-ADVIPSERVICESK9-M), Version 12.4(15)T13, RELEASE SOFTWARE (fc3) am intalnit o mica incoerenta: R1#debug ip packet ? <1-199> Access list <1300-2699> Access list (expanded range) detail Print more debugging detail R1#configure terminal Enter configuration commands, one per line. End with CNTL/Z. R1(config)#ip access-list extended 1300 % % Invalid access list name. R1(config)#ip access-list extended 1301 % % Invalid access list name. R1(config)#ip access-list extended ? <100-199> Extended IP access-list number <2000-2699> Extended IP access-list number (expanded range) WORD Access-list name pe care am numit-o “ACL Expanded Range vs. ACL Expanded Range”.Read More →

By:
On:
In: > altele _
With: 2 Comments

ACL Port List

ACL Continuous (range) /Discontinuous (list) Port Range Poate inca un motiv pentru care ACL Named este castigator. Test-Router(config)#ip access-list extended test-port-list Test-Router(config-ext-nacl)#10 permit tcp any host 172.17.1.1 eq 12 13 14 15 16 17 18 19 20 Test-Router(config-ext-nacl)#exit Test-Router(config)#ip access-list extended 2000 Test-Router(config-ext-nacl)#10 permit tcp any host 172.17.1.1 eq 12 13 14 15 16 17 18 19 20 % Multiple values are allowed on named ACLs only Test-Router#show ip access-lists test-port-list Extended IP access list test-port-list 10 permit tcp any host 172.17.1.1 eq 12 13 14 15 16 17 18 19 20 Test-Router(config)#ip access-list extended 2000 Test-Router(config-ext-nacl)#10 permit tcp any host 172.17.1.1 range 12 20Read More →

By:
On:
In: > mini _
With: 0 Comments

HSRP Track BGP

HSRP (Hot Standby Router Protocol), proprietar Cisco, sau VRRP, standard IETF si GLBP, proprietar Cisco, sunt protocoale cu ajutorul carora asiguram redundanta, chiar si load-sharing in cazul GLBP, pentru echipamentul folosit ca si “default gateway”. Ele sunt numite generic First Hop Redundancy Protocols (FHRP).

Nu intru in detaliile de functionare ale fiecarui protocol, in schimb voi prezenta o solutie practica cu care m-am intalnit recent: HSRP folosit impreuna cu protocolul de rutare BGP / influentarea protocolului HSRP de catre starea unei sesiuni BGP.Read More →

By:
On:
In: > quiz _, > tehnologii _, > tutoriale _
With: 5 Comments

ACL Resequence

“Best practice” spune ca primele linii dintr-un ACL sa fie acelea care sunt cel mai des validate de catre traficul  care tranziteaza interfata pe care acel ACL este aplicat. Atunci cand “best practice-ul” intern unui service provider impune filtrarea accesului per destinatie pentru fiecare client, devine destul de dificil de aproximat care intrare ACL va fi cel mai des validata. Poate totusi in aceste conditii devine interesant de tinut intrarile ACL ordonate dupa adresa IP destinatie pentru a facilita citirea acestora in cazul unui troubleshoot-ing. #show ip access-list 180 Extended IP access list 180 10 permit icmp any any 20 permit tcp any any establishedRead More →

By:
On:
In: > mini _, > tutoriale _
With: 1 Comment

CISCO ASA NAT

Serviciul NAT nu poate fi evitat in unele situatii cum ar fi in retelele enterprise sau in retelele care deservesc clienti ai pietelor financiare. Cisco suporta pe echipamentele ASA, Adaptive Security Appliances, urmatoarele configuratii NAT: Static, tanslatarea IP se face one-to-one; Dinamic, translatarea IP se face many-to-many; PAT sau Overload, translatarea IP se face many-to-one (in terminologie ASA Dynamic Portmap). In exemplul urmator va fi exemplificat fiecare caz in parte, folosind Destination NAT (sursa traficului este translatata pentru a accesa o anumita destinatie), pe urmatoarea topologie de test: Echipamentul ASA va translata adresele IP din clasa 172.16.0.0/23 pentru a avea acces la clasa 192.168.0.0/24, indiferentRead More →

By:
On:
In: > tutoriale _
With: 0 Comments

Dynamic ACL

Dupa cum probabil stiti deja, exista mai multe tipuri de ACL-uri Cisco: Standard, Extendend, Dynamic, Reflexive, IP Named, Time Based, etc. Mai putin folosite, ACL-urile dinamice sau  “Lock and Key ACL” permit unui anumit tip de trafic sa tranziteze un router, numai dupa ce utilizatorul se logheaza pe routerul respectiv. Si pentru ca un exemplu lamureste deseori cel mai bine lucrurile, sa consideram diagrama de mai jos: Vrem sa permitem accesul PC-ului la reteaua noastra Network numai dupa ce acesta se logheaza pe Router-ul nostru de border. In felul acesta suntem siguri ca resursele din retea nu vor fi accesate decat de utilizatorii care auRead More →

By:
On:
In: > quiz _, > tutoriale _
With: 3 Comments

Comanda "busy-message"

Consideram topologia de mai jos cu routerele R1, R2 si R3. Fiecare dintre cele trei routere are in RIB / FIB Loopback-ul celorlalte doua, iar pe R1 avem configurat host pentru R3: R1(config)# ip host R3 3.3.3.3 Daca fac telnet de pe R1 (sursa Loopback 0) pe R3 folosindu-ma de host-ul lui R3 (R1# telnet R3) si NU ma pot conecta din cauza ca: 1. toate “VTY lines” sunt ocupate 2. am configurat pentru VTY “(config-line)# access-class ACL in”, iar ACL-ul nu permite Loopback 0 al lui R1 3. am configurat un ACL direct pe interfata lui R3 (inbound) catre R2 care de asemenea nuRead More →

By:
On:
In: > mini _, > quiz _
With: 9 Comments