cisco

Juniper - Cisco: vpls, l2 point-multipoint

Опубликовано admin в Пт, 05/09/2014 - 10:10

Задача: есть 2 маршрутизатора Cisco и один маршрутизатор Juniper MX-80, собрать на втором уровне трафик на джунипере, третий уровень клиент себе настроит так как захочет.

Cisco маршрутизаторы rc0 и rc1. Juniper маршрутизатор rj0.

Конфигурация rc0 (xx.xx.171.185), Gi0/1.2222:
rc0#sh run int Gi0/1.2222
interface GigabitEthernet0/1.2222
description junos vpls test
encapsulation dot1Q 2222
xconnect xx.xx.120.69 2222 encapsulation mpls
end
Конфигурация rc1 (xx.xx.171.187), Gi0/1.2222:
rc1#sh run int Gi0/1.2222
interface GigabitEthernet0/1.2222
description junos vpls testЧитать далее

( categories: )

Показ конфигурации секции при настройке роутера Cisco

Опубликовано admin в Пнд, 29/08/2011 - 13:58
Для использования примера нужно сохранить на флешку маршрутизатора Cisco 2 скрипта и создать соответствующие алиасы. Скрипты позволяют просматривать конфигурацию одной настраиваемой в данный момент секции, что очень удобно. Например:
router(config)#interface fa 0/1
router(config-if)#config

Building configuration...
Current configuration : 94 bytes
!
interface FastEthernet0/1
 ip address 192.168.0.1 255.255.255.0
 duplex auto
 speed auto
end

router(config-if)#router bgp 65000
router(config-router)#config
router bgp 65000
 no synchronization
 bgp log-neighbor-changes
 network 192.168.0.1 mask 255.255.255.255
 no auto-summary

Читать далее
( categories: )

Cisco: ограничение скорости транзитного вилана

Опубликовано admin в Чт, 24/03/2011 - 17:25
Часто есть задача: ограничить скорость вилана, проходящего транзитом через свич из одного интерфейса в другой.
Каталисты легко поддерживают ingress policing на физическом интерфейсе, но если нужно ограничить не весь трафик из интерфейса, а отдельные виланы из транкового порта, всё становится сложнее. Особенно, если скорость должна быть ограничена не по сумме всех направлений вилана, а в каждую сторону независимо (а обычно оно именно так). Тем не менее, задача решается как на 3560 (3550, 3750, 3560-E и т.п.), так и на 6500.
Читать далее
( categories: )

Cisco ISG

Опубликовано admin в Ср, 23/03/2011 - 23:54
Постановка задачи

В небольшом интернет-провайдере отказаться от использования VPN (pptp) для контроля сессий.
Траффик контролировать непосредсвенно на уровне IP. Контроль валидность src-IP осуществляется на уровне сети доступа (DHCP-snooping + ACL), любой клиент который попадает на роутер с ISG имеет верефицированный src-IP.

Требуется поддреживать следующие тарифы:

  1. Volume-Based Prepaid (помегабайтный тариф)
  2. Безлимитные тарифы (ограничение по скорости)
  3. (опционально) Тарифы с ограничением по скорости и времени. (Lagacy-тарифы, которые были предназначены для создания альтернативы диал-ап, пока не реализовано.)

Restrictions for ISG Prepaid Billing Support

Внимание: Volume-monitor работает только с суммарным траффиком. Возможно, это ограничение можно обойти созданием 2-х сервисов на входящий и исходящий траффик, однако я не вижу в этом смысла для себя на данный момент.

Вот цитата с cisco.com

  • ISG volume-based prepaid billing is not supported on the Cisco 10000-PRE2. не важно для меня
  • ISG prepaid billing support can only be applied to traffic flows that have been defined by an ISG traffic class.
  • Quotas are measured in seconds for time and in bytes for volume. There is no way to change the unit of measure. не важно для меня, непонятно кому может быть нужно что то другое
  • The volume quota is for combined upstream and downstream traffic.

Общяя схема работы

Общяя схема работы такова: Биллинг (оригинальная разработка) управляет RADIUS-сервером (FreeRadius), который в свою очередь хранит информацию о пользователях и сервисах в "понятном" для ISG виде. При необходимости что-либо изменить непосредсвенно на маршрутизаторе с ISG (например, изменить текущий тариф, если пользователь поменял себе тариф и хочет наблюдать изменение скорости) биллинг посылает CoA-пакет который вызывает деавторизацию пользователя и потом - повторную авторизацию с новыми параметрами.

Пользователи Volume-Based тарифов перенаправляются на "портал" при исчерпании лимита траффика.Читать далее

( categories: )

Настройка Cisco ip flow на IOS 12.3 и выше

Опубликовано admin в Втр, 02/11/2010 - 14:42

Описание задачи

Снимать статистику с интерфейсов посредством netflow и отправлять на биллинговый сервер.

Решение

На IOS 12.3 и выше ( в моем случае это был 12.4Т) по рекомендации cisco, ip flow настраивается следующим образом:

1. Включаем cef (Cisco Express Forwarding)

configure terminal
ip cef

2. описываем кол-во записей

ip flow-cache entries 40960

3. выставляем тайм ауты

ip flow-cache timeout inactive 130
ip flow-cache timeout active 20

4. указываем интерфейс

ip flow-export source INTERFACE

где INTERFACE это интерфейс с которого будет отправляться flow

5. версия

ip flow-export version 5

6. куда отправляем

ip flow-export destination IP-адрес Порт
Читать далее

( categories: )

АнтиDoS: защита от DoS-атаки средствами маршрутизатора

Опубликовано admin в Вс, 10/10/2010 - 18:28

СРЕДИ МНОЖЕСТВА АТАК МОЖНО ВЫДЕЛИТЬ ТРИ ОСНОВНЫХ ВИДА: DOS-АТАКИ, АТАКИ, ЦЕЛЬЮ КОТОРЫХ ЯВЛЯЕТСЯ ПОЛУЧЕНИЕ ДОСТУПА К СЕТИ, И РАЗВЕДЫВАТЕЛЬНЫЕ АТАКИ, ЦЕЛЬЮ КОТОРЫХ ЯВЛЯЕТСЯ ПОЛУЧЕНИЕ ИНФОРМАЦИИ О СЕТИ. МЫ ПОГОВОРИМ О DOS-АТАКАХ, ИХ РАЗНОВИДНОСТЯХ, ОБНАРУЖЕНИИ И ЗАЩИТЕ СЕТИ ОТ НИХ СРЕДСТВАМИ МАРШРУТИЗАТОРА.

О DoS-атаках (атаках на отказ в обслуживании — Denial of Service) всерьез заговорили только в 1999 году, когда были «завалены» web-сайты известных корпораций: Amazon, Yahoo, CNN, eBay, E-Trade и других. Хотя сама техника DoS-атак известна с 1996 года. Позже появились распределенные DoS-атаки (Distributed Denial of Service или DDoS). В этом случае атака производится несколькими узлами, что усложняет ее пресечение и обнаружение источника.

Что же такое DoS-атака? Цель – захватить все ресурсы компьютера-жертвы, чтобы другие пользователи не имели к ним доступа. К ресурсам относятся: память, процессорное время, дисковое пространство, сетевые ресурсы и т.д. Читать далее

( categories: )

Отлов вирусной активности в сети с помощью Netflow

Опубликовано admin в Втр, 21/09/2010 - 22:21
В этом топике расскажу как можно в пару скриптов наладить простой сбор статистики по аномальной активности в сети.

Аномальным для нас будет на момент снятия статистики:

1. Более 20 исходящих коннектов по 25 порту с 1 IP.
2. Более 100 исходящих коннектов по 80 порту с 1 IP.
3. Более 100 исходящих коннектов по 53 порту с 1 IP.
4. Придумывайте сами, всё гибко.

Статистику будем вынимать из кэша netflow маршрутизаторов. Будет ли это Cisco или FreeBSD — не важно. О настройке netflow на FreeBSD я рассказывал в предыдущих своих статьях.
Читать далее
( categories: )

Policy Based Routing (PBR) в примерах

Опубликовано admin в Сб, 19/06/2010 - 16:25


Что такое PBR?

PBR или Policy Based Routing предоставляет механизм реализации пересылки (forwarding)/ маршрутизации(routing) пакетов данных, основанный на политике, представляющей собой набор правил, определенной администраторами сети. Это предоставляет более гибкий механизм для обработки пакетов на маршрутизаторах, дополняя существующий механизм, предоставленный протоколами маршрутизации. Маршрутизаторы выбирают дальнейший путь следования пакетов данных по полю "адрес назначения", основываясь на информации из таблицы статических маршрутов или полученной от динамических протоколов маршрутизации, как, например Routing Information Protocol (RIP), Open Shortest Path First (OSPF), или Enhanced Interior Gateway Routing Protocol (Enhanced IGRP). Вместо выбора дальнейшего маршрута, основанного на адресе назначения, PBR позволяет администраторам сети определить свои правила, по которым будет осуществляться маршрутизация пакетов.Читать далее

( categories: )

Cisco

Опубликовано admin в Чт, 09/07/2009 - 23:29

Статьи по CISCO

( categories: )

Redistribute static route into OSPF / Редистрибуция статических маршрутов в OSPF

Опубликовано admin в Чт, 09/07/2009 - 22:47

Статья взята с subnets.ru (_http://subnets.ru/blog/?p=595).

В продолжении статьи “Конфигурация OSPF на оборудовании Cisco Systems (_http://subnets.ru/blog/?p=184)” посмотрим как в данной схеме можно выполнить редистрибуцию статических маршрутов, ну скажем на маршрутизаторе Б, в протокол OSPF (_http://subnets.ru/blog/?tag=ospf).Читать далее

( categories: )
RSS-материал