[Cisco] Multicast RPF Failure

In cazul traficului unicast decizia de transmitere a unui pachet este in mod normal luata de fiecare router in parte tinand cont de adresa destinatie a fiecarui pachet. Tabela de rutare unicast este organizata in functie de clasele de adrese destinatie si astfel, cu ajutorul acesteia, pachetele sunt trimise de la sursa catre destinatie. In cazul traficului multicast decizia de transmitere a unui pachet este luata in functie de adresa sursa si nu in functie de adresa destinatie ca in cazul traficului unicast. Daca un nod ar trimite implicit traficul multicast pe toate interfetele in afara de cea pe care traficul a venit, atunci arRead More →

By:
On:
In: > quiz _, > tutoriale _
With: 1 Comment

IP helper-address

Intreaba un CCNA fara experienta daca un router forward-eaza broadcast-urile si iti va raspunde hotarat ca NU. Intreaba mai departe un CCIE si s-ar putea sa primesti raspunsul corect: “– depinde“. Desi la prima vedere pare un lucru de care nu vom avea niciodata nevoie (si daca ne gandim doar la ARP-uri chiar avem dreptate), exista trafic de broadcast pe care un router ne dorim sa-l trimita mai departe (nu neaparat tot ca trafic de broadcast). Bill Gates ne-a convins la un moment dat sa instalam cate un server DHCP in fiecare subnet/LAN, insa multa lume a inteles ca acest lucru reprezinta o pierdere deRead More →

By:
On:
In: > quiz _, > tutoriale _
With: 2 Comments

Despre STP (Spanning Tree Protocol)

De la inceput trebuie sa va spun ca nu sunt un mare fan al redundantei L2. Pentru mine e doar mai buna decat deloc si atat. Spanning tree-ul a evoluat cand a fost nevoie de instante diferite pe VLAN-uri diferite (vezi PVST+), si-a imbunatatit convergenta cand a definit noi BPDU-uri care standardizau “features” gen PortFast, UplinkFast, BackboneFast (vezi RSTP), a combinat PVST+ cu RSTP pentru a obtine ceva mai bun din amandoua (vezi RPVST+) si a avut grija sa fie interoperabil intre vendori diferiti ca sa multumeasca pe toata lumea (vezi MST). Cu toate astea, o varianta e prea lenta, una e cateodata prea riscanta,Read More →

By:
On:
In: > mini _, > quiz _
With: 1 Comment

Jeremy Cioara alungat de pe CiscoBlog.com - UPDATE

Dupa cum va anuntam intr-un post anterior Jeremy Cioara este alungat de pe ciscoblog.com. Se pare ca si-a ales noul domeniu si acesta va fi Ciskoblog.com. Dupa cum el insusi spune pe blog: One letter makes all the difference in the trademark realm. Domeniul curent va fi redirectat pana in Iulie dupa care va fi preluat de Cisco.Read More →

By:
On:
In: > altele _
With: 2 Comments

VLAN Hopping

O metoda de segmentare logica la “layer 2” este aceea de a imparti o retea in mai multe VLAN-uri. In acest fel se pot izola si proteja anumite resurse din retea, pentru ca, intre doua VLAN-uri diferite, comunicarea se poate face in mod normal doar printr-un punct L3 (folosindu-ne de un router de exemplu). Fara a-mi propune pe acest blog sa promovez metode prin care se pot specula vulnerabilitati ale retelelor ci dimpotriva, o sa abordez un subiect despre care se stiu destul de putine lucruri. “VLAN hopping” este o metoda prin care poti trimite frame-uri intre doua vlanuri, evitand trecerea lor printr-un punct L3Read More →

By:
On:
In: > mini _
With: 3 Comments

EoMPLS folosind MPLS TE

Cred ca orice ISP care are retea MPLS se foloseste de circuite virtuale L2 (EoMPLS – Ethernet over MPLS). In urmatoarele randuri nu voi detalia ce anume inseamna un tunel EoMPLS (poate intr-un articol viitor) dar as vrea sa va supun atentiei o alta problema un pic mai delicata. EoMPLS presupune cel putin 2 label-uri MPLS (label stack) si in aceste conditii aproape orice metoda de balansare a traficului pe mai multe link-uri, fie ca este vorba de port-channel fie ca discutam de ECMP, “sufera” cand vine vorba sa imparta pe mai multe link-uri traficul dintr-un singur tunel EoMPLS. Si pentru ca in acest momentRead More →

By:
On:
In: > tutoriale _
With: 2 Comments

Jeremy Cioara alungat de pe CiscoBlog.com

Probabil toti care au invatat pentru examenul de CCNA sau CCNP au auzit de cursurile de la CBTNuggets si de simpaticul Jeremy Cioara. In ultimii 5 ani acesta a scris foarte mult pe blogul ciscoblog.com. Din pacate, tocmai ce a primit somatie de la Cisco pentru incetarea folosirii domeniului respectiv, in conditiile in care a promovat prin cursurile si articolele sale produsele Cisco in toti acesti ani, si chiar a ajuns la 600.000 hit-uri lunar! Ultimul post (pana acum cel putin): Well, after 5 fun years of running CiscoBlog.com, Cisco “agents” have come. I was contacted by Cisco a couple weeks ago stating that CiscoBlog.comRead More →

By:
On:
In: > altele _
With: 0 Comments

Autentificare IEEE 802.1x

O metoda de securitate L2 este ca pe fiecare port dintr-un switch in care avem conectat un client sa facem autentificare 802.1x. Pe scurt, PC-ul trimite mesaje EAP la switch incapsulate in frame-uri ethernet (EAP over LAN – Extensible Authentication Protocol) iar switchul le “translateaza” in mesaje RADIUS si le trimite catre serverul de autentificare (RADIUS). Odata ce PC-ul este autentificat, switchul face “enable” la port pentru a permite toate frame-urile de la PC. (config)# aaa new-model # activeaza global AAA (config)# aaa authentication dot1x default group radius # defineste metoda de autentificare RADIUS pentru dot1x (config)# dot1x system auth-control # activeaza global dot1x (config)#Read More →

By:
On:
In: > mini _
With: 0 Comments

DHCP Snooping

Deseori intr-o retea in care folosim alocare dinamica de ip-uri avem parte de atacuri de tip “man-in-the-middle” care se folosesc de “slabiciunile” protocolului DHCP. Practic unul din hosturile din acelasi domeniu de broadcast cu tine, poate face in asa fel incat tot traficul tau legitim (upload) sa treaca mai intai pe la el (vezi poza de mai jos) Pentru a preveni acest tip de atacuri (si nu numai) putem activa pe un switch “DHCP Spooping”. Poate fi activat independent de orice alt “feature” DHCP insa in momentul in care se activeaza toate comenzile legate de “ip dhcp relay information” vor fi dezactivate. Pentru a functionaRead More →

By:
On:
In: > tutoriale _
With: 4 Comments

Dynamic ARP Inspection

Desi ARP gratuit se foloseste cu un scop nobil de cele mai multe ori, (vezi articolul ARP gratuit (Gratuitous ARP)) exista cazuri in care un ARP reply gratuit “fabricat” inlesneste atacuri de tip “man-in-the-middle” (vezi poza de mai jos). Pentru a preveni acest tip de atacuri putem activa pe un switch “D.A.I. / Dynamic ARP Inspection”: Daca IP-ul sursa dintr-un ARP reply venit pe portul X nu se afla in lista de IP-uri asignate de catre DHCP pe acel port, ARP-ul e filtrat (trebuie sa avem activat si DHCP snooping). Daca IP-ul sursa dintr-un ARP reply venit pe portul X nu se afla in listaRead More →

By:
On:
In: > tutoriale _
With: 0 Comments