Virtual tunnel interfaces (VTI) являются сравнительно недавней разработкой и не требуют дополнительного инкапсулирования в GRE, в отличие от обычных туннелей с tunnel protection ipsec. В то же время, мы имеем логический интерфейс, чего мы лишены, используя crypto maps.
|
|
В прошлой части статьи мы начали настраивать безопасность маршрутизатора с ограничения доступа непосредственно к самому устройству, отключили лишние службы, настроили безопасность SNMP и включили журналирования. Остановились мы на аспекте безопасного межсетевого взаимодействия, которое, подчас, является не менее важным чем безопасность самого маршрутизатора.
|
Ведение "лог" журналов это всегда компромисс, между сбором
максимально возможного количества информации и таким её количеством
которое Вы способны "переварить". Зачастую сетевой администратор
начинает интересоваться лог файлами после возникновения серьёзных
проблем с его сетевыми устройствами, ранее предупреждение о возможных
проблемах есть первым и главным достоинством лог журналов. Многие
сетевые администраторы оставляют стандартными настройки касающиеся
сбора логов на своих маршрутизаторах, тем самым лишая себя возможности
получать большое количество дополнительной полезной информации. В этом
документе коснемся вопросов сбора "логов" с маршрутизаторов Cisco.
|
Хотелось бы сразу сказать, что данная статья не претендует на какую-либо уникальность и новизну. Я лишь еще раз повторю то, что говорили уже много раз, однако постараюсь привнести в это сказанное некую изюминку. Проще говоря статья повествует о том, как защищает свои маршрутизаторы автор. Статья рассчитана на человека, который знаком с операционной системой IOS маршрутизаторов Cisco и имеет базовые представления о принципах коммутации, маршрутизации и сетевых протоколах. В основном я буду рассматривать IOS версии 12.4 с функционалом advansed IP services, однако с большой долей вероятности все нижесказанное может быть применено к более старым операционным системам.
|
|
Часто в крупных компаниях, где системное администрирование ... находится "не на должном уровне", происходит так, что случайно обнаруживается коммутатор Cisco Catalyst, настроенный неизвестно как и пароль на доступ к нему утрачен в веках. Сброс пароля на коммутаторе Cisco Catalyst некоторых моделей (1200, 1400, 2901, 2902, 2926T/F, 2926GS/L, 2948G, 2950, 2955, 2980g, 4000, 5000, 500, 6000) осуществляется следующим образом:
|
|
Несмотря на то, что эта модель коммутатора далеко не нова и, в отличие от своего собрата 2955 не имеет возможности подключения через гигабитные порты, не говоря уже о более продвинутых устройствах типа Cisco Catalyst 3750 с их поддержкой PoE, все равно Cisco Catalyst 2950 продолжает пользоваться популярностью из-за своих достаточно широких возможностей и простоты настройки. В этой статье мы рассмотрим конфигурацию и как настроить Cisco Catalyst 2950? Как настроить Cisco Catalyst 2960?
|
|
В этом примере рассматривается типовая конфигурация стека из трех коммутаторов Cisco Catalyst 3750. Эта модель коммутатора может комплектоваться функцией PoE (Power-over-Ethernet), она же 802.3af. При наличии такой функции, питание к некоторым устройствам, например, IP-телефонам или точкам беспроводного доступа, может подаваться прямо через порт коммутатора, избегая необбходимости по внешнем блоке питания. Коммутатор может обеспечивать до 15 Вт потребляемой мощности на порт (для сравнения - IP-телефон Cisco 7941 потребляет 7 Вт).
|
|
Технология VLAN позволяет сегментировать локальную сеть логически, создавая индивидуальные подсети, независимо от физического расположения клиентов. Также создание VLAN уменьшает размеры широковещательных доменов (broadcast domains), что повышает производительность сети. Связь между VLAN возможно только с помощью устройств, работающих на 3 уровне сетевой модели OSI – маршрутизаторов и гибридных коммутаторов.
|
Как настроить туннель GRE между маршрутизаторами Cisco.
У туннелей IPSec, настройка которых рассматривалась ранее есть недостаток – они не умеют шифровать и передавать multicast-трафик, например, пакеты некоторых протоколов маршрутизации. Также не передается трафик с протоколами, отличными от IP. Эти недостатки устраняются использованием GRE-туннелей, которые позволяют передавать любой трафик. Рассмотрим пример конфигурации такого туннеля, конфигурация сети такая же, как в предыдущем примере
|
Как настроить туннель IPSec между маршрутизаторами Cisco с шифрованием трафика.
В рассматриваемом примере две отдельные локальные сети с приватными адресами (192.168.1.0/24 и 192.168.2.0/24), подключенные к интерфейсам FastEthernet0/0 маршрутизаторов Cisco. Маршрутизаторы могут быть практически любой модели, но операционная система Cisco IOS на них должна поддерживать шифрование (имя файла IOS должно включать символы «k9»).
|
|
Cisco 