ИТ-симуляторы: СХД, серверы, сетевое оборудование

Приведены ресурсы некоторых симуляторов аппаратных платформ. Полезно для подготовки к экзаменам и проверки проектных решений.

Системы хранения данных

EMC® VNX™ for File Simulator

https://community.emc.com/docs/DOC-4092
http://techhead.co/emc-vnx-simulator-vsahow-to-download-the-latest-version/

http://www.massarach.com/?p=218 - как установить

Симулятор EMC VNXe 3200
As this is a Adobe Flash base simulator you are unable to create and present out storage to other machines/VMs.
http://www.emc.com/collateral/demos/microsites/vnxe/vnxe-demo.exe
Default EMC Unisphere Logon Credentials:
Username: admin
Password: Password123#

Сайт для подбора типа сервисного контракта Cisco SmartNet

Коллеги посоветовали очень удобный ресурс, где можно подобрать тип сервисного контракта Cisco SmartNet.

http://www.cisco-servicefinder.com/

Значения конфигурационных регистров вида 0xXXXX оборудования Cisco

Конфигурационный регистр управляет следующим поведение устройств Cisco:

• как загружается устройство (в ROMmon, NetBoot),
• варианты загрузки (игнорирование конфигурации, отключение сообщений при загрузке),
• скорость консоли (скорость в бодах для эмуляции терминальной сессии).

Для просмотра текущего состояния конфигурационного регистра следует использовать команду show version:

Router#show version
Cisco Internetwork Operating System Software
IOS (tm) 2500 Software (C2500-JS-L), Version 12.1(5), RELEASE SOFTWARE (fc1)
Copyright (c) 1986-2000 by cisco Systems, Inc.
Compiled Wed 25-Oct-00 05:18 by cmong
Image text-base: 0x03071DB0, data-base: 0x00001000
ROM: System Bootstrap, Version 5.2(8a), RELEASE SOFTWARE
BOOTFLASH: 3000 Bootstrap Software (IGS-RXBOOT), Version 10.2(8a), RELEASE SOFTWARE (fc1)
Router uptime is 7 minutes
System returned to ROM by reload
System image file is "flash:c2500-js-l_121-5.bin"
cisco 2500 (68030) processor (revision D) with 16384K/2048K bytes of memory.
Processor board ID 03867477, with hardware revision 00000000
Bridging software.
X.25 software, Version 3.0.0.
SuperLAT software (copyright 1990 by Meridian Technology Corp).
TN3270 Emulation software.
1 Token Ring/IEEE 802.5 interface(s)
2 Serial network interface(s)
32K bytes of non-volatile configuration memory.
16384K bytes of processor board System flash (Read ONLY)
Configuration register is 0x2102

Для установки нового значения конфигурационного регистра следует использовать команду config-register:

#conf t
(config)#config-register 0x2102
#exit
#wr mem

Конфигурационные регистры имеют следующие значения:

0x102
• Ignores break
• 9600 console baud
0x1202
• 1200 baud rate
0x2101
• Boots into bootstrap
• Ignores break
• Boots into ROM if initial boot fails
• 9600 console baud rate
0x2102
• Ignores break
• Boots into ROM if initial boot fails
• 9600 console baud rate default value for most platforms
0x2120
• Boots into ROMmon
• 19200 console speed
0x2122
• Ignores break
• Boots into ROM if initial boot fails
• 19200 console baud rate
0x2124
• NetBoot
• Ignores break
• Boots into ROM if initial boot fails
• 19200 console speed
0x2142
• Ignores break
• Boots into ROM if initial boot fails
• 9600 console baud rate
• Ignores the contents of Non-Volatile RAM (NVRAM) (ignores configuration)
0x2902
• Ignores break
• Boots into ROM if initial boot fails
• 4800 console baud rate
0x2922
• Ignores break
• Boots into ROM if initial boot fails
• 38400 console baud rate
0x3122
• Ignores break
• Boots into ROM if initial boot fails
• 57600 console baud rate
0x3902
• Ignores break
• Boots into ROM if initial boot fails
• 2400 console baud rate
0x3922
• Ignores break
• Boots into ROM if initial boot fails
• 115200 console baud rate

Значения отдельных битов конфигурационного регистра:

00-03
0x0000-0x000F
• Boots Field Parameters 0x0000
• Stays at the system bootstrap prompt 0x0001
• Boots system image on EPROM 0x0002-0x000F
• Specifies a default netboot filename
06
0x0040
• Ignore NVRAM contents
07
0x0080
• Disable boot messages
08
0x0100
• Break disabled
10
0x0400
• IP broadcast with all zeros
5,11,12
0x0020, 0x0800, 0x1000
• Console line speed
13
0x2000
• Boots default ROM software if network boot fails
14
0x4000
• IP broadcasts do not have net numbers
15
0x8000
• Enables diagnostic messages
• Ignores NVRAM contents

Источник: http://www.cisco.com/en/US/products/hw/routers/ps133/products_tech_note09186a008022493f.shtml

Асиметричная маршрутизация с межсетевыми экранами Cisco (ASA, FWSM)

Устройства ASA и FWSM поддерживают асимметричную маршрутизацию. При асимметричной маршрутизации возвращающийся трафик проходит через иной интерфейс, чем через который он был отправлен во внешнюю сеть.

В основном асимметричная маршрутизация происходит когда 2 интерфейса одного устройства FWSM, или два устройства FWSM, объединенные в кластер высокой готовности, подключены к разным внешним провайдерам и исходящее соединение не использует NAT.

Если не существует информации о сессии для трафика, получаемого через интерфейс, отличный от интерфейса из которого он был порожден, то, по-умолчанию (без активированной асимметричной маршрутизации), устройство FWSM его отбрасывает.

Асимметричная маршрутизация возвращающегося трафика активируется команды asr-group group_id, выполненной в режиме конфигурации интерфейса.

Context ctx1 configuration:
hostname/ctx1(config)# interface Vlan101
hostname/ctx1(config-if)# nameif outside
hostname/ctx1(config-if)# ip address 192.168.1.11 255.255.255.0 standby 192.168.1.21
hostname/ctx1(config-if)# asr-group 1

Context ctx2 configuration:
hostname/ctx2(config)# interface Vlan102
hostname/ctx2(config-if)# nameif outside
hostname/ctx2(config-if)# ip address 192.168.1.31 255.255.255.0 standby 192.168.1.41
hostname/ctx2(config-if)# asr-group 1

Модуль FWSM поддерживает до 32 групп асимметричной маршрутизации (групп ASR). Каждая группа ASR поддреживает до 8 интерфейсов. Режим асимметричной маршрутизации поддерживается с использованием групп ASR в режиме отказоустойчивого кластера "активный/активный" и в обычном режиме без отказоустойчивости, либо в одиночном режиме, либо внутри виртуального межсетевого экрана. Асимметричная маршрутизация поддерживается как в прозрачном, так и в маршрутизирующем режимах работы межсетевых экранов.

Асимметричная маршрутизация с группой ASR с одним устройством FWSM.


Интерфейсы внутри обычной группы ASR позволяют пакетам, принадлежащим определенной сессии, входить и выходить из любых интерфейсов группы ASR.

Когда интерфейс, сконфигурированный с использованием команды asr-group, получает пакет, для которого нет сессионной информации, он проверяет информацию о сессиях для других интерфейсов из его группы. Если совпадение не найдено, пакет отбрасывается. Если совпадение находится и входящий трафик исходил из другого интерфейса той же группы, часть заголовка 2 уровня пакета переписывается и пакет передается целевому хосту.

После того, как пакет синхронизации (SYN) отправлен из группы ASR, устройство FWSM будет принимать возвращающийся пракет подтверждения синхронизации (SYN ACK) на любом интерфейсе из группы ASR.

Асимметричная маршрутизация в топологии отказоустойчивого кластера "активный/активный".

Интерфейсы внутри обычной группы ASR в топологии кластера "активный/активный" также поддерживают асимметричную маршрутизацию.

В топологии "активный/активный", когда интерфейс, сконфигурированный командой asr-group, получает пакет, для которого нет сессионной информации, он проверяет сессионную информацию для других интерфейсов, находящихся в той же группе. Если совпадение не найдено, пакет отбрасывается. Если совпадение находится и входящий трафик исходил из соседнего устройства, которое было активным для контекста, часть или целый заголовок 2 уровня пакета переписывается и пакет перенаправляется активному устройству.


На рисунке показано, что трафик передается через исходящий интерфейс на контексте А устройства, где контекст А находится в неактивном состоянии и возвращается через внешний интерфейс контекста А на устройстве, где контекст А находится в активном состоянии. Это перенаправление продолжается, пока сессия остается активной.

Источник - Authorized Self-Study Guide: Designing Cisco Network Service Architectures (ARCH)

Cisco Certified Design Professional

Завершил давно задуманное - сдал последний экзамен из линейки дизайна. Прислали значки, ожадаю полиграфию. Экзамен оказался ожидаемым с незначительным количеством новых вопросов про сервисы MPLS и Metro Ethernet.

Настройка IVR на Cisco MDS

Технология маршрутизации сетей хранения данных Inter-VSAN Routing используется, как правило, для подключения удаленных сетей хранения данных в катастрофоустойчивых решениях и виртуальной изоляции фабрик внутри одного устройства. При внедрении катастрофоустойчиового решения рекомендуется создавать транзитную сеть VSAN, объединяющую порты ISL. Это позволит избежать переходных процессов в рабочих сетях хранения при временном или постоянном отключении канала между сетями хранения данных.


Команды, используемые при конфигурировании IVR.

• show running- Displays the current running-configuration.
• copy run start - Copies the current running-configuration to the startup-configuration.
• show fcns database [ vsan vsan-id ] -Displays a list of all the ports that are logged in to the FCNS.
• Show interface fc slot/port - Displays the status of and statistics for interface fc slot/port.


• show interface gigabitethernet slot/port - Displays the status of and statistics for interface gigabitethernet slot or port.
• fcip enable -Enables FCIP on that switch.
• fcip profile [value] - Creates a profile for the FCIP connection; the valid range is from 1 to 255.
• interface fcip [value] - Creates an FCIP interface.
• no shutdown - Enables an interface.
• show interface fcip interface-number - Displays the status of and statistics for FCIP interface interface-number.
• show fcip profile -Displays the FCIP profile configuration.
• clear ivr session -Frees the IVR session lock.
• ivr abort -Discards the pending configuration changes and frees up the session lock.
• ivr commit -Commits a pending configuration change.
• show fcns database - Displays the name server entries for all VSANs.
  
• show fcns datab vsan vsan-id - Displays the name server entries for the specified VSAN.
• show fcip profile -Displays the configured fcip profiles.
• show ivr - Displays IVR configuration information.
• show ivr session status - Displays the status of the IVR session.
• show ivr zoneset active - Displays all active IVR zonesets.
• show ivr vsan-topology -Displays the current IVR topology.
• show ivr internal vsan-rewrite-list - Displays IVR fcid rewrite entries.
• show port-channel database - Displays PortChannel database information.
• vsan database - Enters VSAN database configuration mode.
• switchport trunk mode [on | off] - Enables / disables trunking on an ISL interface.
• show interface trunk vsan - Displays the trunking status of all VSANs.
• enable ivr - Enables IVR on the switch.
• ivr distribute - Enables CFS distribution of IVR configurations.
• ivr commit - Commits the IVR changes.
• ivr nat -Enables IVR NAT on the switch.
• ivr vsan-topology auto - Configures IVR topology automatic mode.
• ivr zone name name - Creates an IVR zone.
• ivr zoneset name name -Creates an IVR zone set.
• ivr zoneset activate name name force - Forcefully activates the specified IVR zone set.
• show ivr internal fcid-rewrite-list - Displays IVR NAT translation rewrite table entries.

Пример конфигурации одного из коммутаторов. На втором делается похожая настройка с его адресным пространством.

vsan database
vsan 10
vsan 20
vsan 100 name "Transit-100"
vsan 200 name "Transit-200"
fcdomain domain 11 static vsan 10
fcdomain domain 21 static vsan 20
fcdomain domain 101 static vsan 100
fcdomain domain 201 static vsan 200
vsan database
vsan 10 interface fc1/5
vsan 20 interface fc1/6
vsan 100 interface fc1/7
vsan 200 interface fc1/8
vsan 10 interface fc1/10
ip default-gateway 10.0.29.254
switchname P29-MDS-1
ivr enable
ivr distribute
ivr nat
ivr vsan-topology database
autonomous-fabric-id 1 switch-wwn 20:00:00:0b:fd:d0:68:80 vsan-ranges 30,40
,100
autonomous-fabric-id 1 switch-wwn 20:00:00:0d:65:6a:17:c0 vsan-ranges 10,20
,100
ivr vsan-topology auto
ivr service-group name IVR_SG_1
autonomous-fabric-id 1 vsan-ranges 10,40,100
ivr service-group name IVR_SG_2
autonomous-fabric-id 1 vsan-ranges 20,30,200
ivr service-group activate
zoneset activate name nozoneset vsan 10
zoneset activate name nozoneset vsan 20
58 Implementing Advanced Cisco Storage Networking Solutions (IASNS) v3.0 © 2007 Cisco Systems, Inc.
ivr zone name host_1
member pwwn 21:00:00:e0:8b:07:2f:5b vsan 10
member pwwn 21:00:00:04:cf:8c:53:26 vsan 40
ivr zone name host_2
member pwwn 21:00:00:e0:8b:05:d0:a7 vsan 30
member pwwn 22:00:00:04:cf:8c:5b:2a vsan 20
ivr zoneset name IVZS1
member host_1
member host_2
ivr zoneset activate name IVZS1 force
ivr commit
interface fc1/5
no shutdown
interface fc1/6
no shutdown
interface fc1/7
no shutdown
interface fc1/8
no shutdown
interface fc1/10
no shutdown
interface mgmt0
switchport speed 100
ip address 10.0.29.5 255.255.255.0


Опробовать настройку IVR можно в лаботарорных работах на сайте Cisco в разделе Partner Education Connection - http://www.cisco.com/go/pec. Ключевые слова для поиска - SAN-OS 3.0.2 LAB 19 - Implementing IVR. Сейчас там доступно 27 лабораторных работ, посвященных конфигурированию коммутаторов Cisco MDS. Интерфейс очень удобный, правда, иногда эмулируемые устройства работают некорректно.

Isolated VSAN

В коммутаторах FibreChannel Cisco MDS используется понятие изолированного VSAN (isolated VSAN). Это виртуальная сеть хранения данных, куда попадают бывшие нетранковые участники других VSAN после удаления этих VSAN из коммутатора. По умолчанию номер isolated VSAN 4094 и попавшие в него участники оказываются изолированы от других участников и других VSAN.
В коммутаторе может быть сконфигурировано до 256 VSAN, из которых 2 являются зарезервированными -

• VSAN 1 - назначаемамя по умолчанию виртуальная сеть хранения данных,
• VSAN 4094 - изолированная виртуальная сеть хранения данных.

Пользовательским VSAN могут быть присвоены номера от 2 до 4093.

Просмотреть порты, находящиеся в isolated VSAN можно командой show vsan 4094 membership.

Конференция ЕМС и Cisco "Центр обработки данных - ядро корпоративных информационных систем"

Статья содержит заметки, сделанные на конференции по решениям ЕМС и Cisco: "Центр обработки данных - ядро корпоративных информационных систем."
Программа мероприятия была довольно интересной. Мероприятие прошло в гостинице Holiday Inn Sokolniki.

Cisco

В коммутаторах Cisco Catalyst 6500 сейчас применяется технология объединения 2 шасси в одно виртуальное устройство VSS 1440. Позволяет реализовать ряд новых технологий, среди которых MEC (MultiChassis EtherChannel).

Коммутаторы для датацентров серии Nexus 7000, 5000, 2000, 1000V.
Nexus 7000 обладает потенциальной пропускной способностью в 15 Тб/с (потенциальная скорость шасси Catalyst 6500 - 2 Тб/с). Коммутационные матрицы, вставляемые в задней части устройства, позволяют реализовать от 92 до 230 Гб/с коммутационную пропускную способность на слот. Есть линейные карты в 32 порта по 10 Гб/с и 48 портов по 1 Гб/с.
Появилась модель Nexus 7000 с 18 слотами. Модель с 10 слотами обладает 8 разъемами для линейных карт и 2 разъемами для супервизоров.
Коммутатор позволяет реализовать технологию VDC (Virtual Device Context) - полностью виртуализовать устройства, получить несколько независимых виртуальных коммутаторов внутри одного аппаратного Nexus.
Коммутатор Catalyst 4948 рекомендуют ставить парой в стойку (тип размещения - top of rack), на уровень доступа в ЦОДах.
Catalyst 6500 рекомендуют савить для разнородного парка серверов в отдельный шкаф (тип размещения - end of raw).

Коммутатор Catalyst 4948 основан на Supervisor V и V-10G от коммутатора Catalyst 4500. Обладает 2 сменными блоками питания. Коммутатор неблокируемый, позволяет использовать jumbo-frame (до 9 КБ в кадре). Есть модель 4900M c восемью встроенными интерфейсами 10-GE и расширением до 8 10-GE c неблокируемой шиной или 16 10-GE c блокируемой шиной.

VBS Virtual Blade Switch - технология, позволяющая объединять до 8 blade switch в один virtual Switch.

Коммутатор Nexus 5000 - консолидирует порты ввода/вывода. Поддерживает FCoE, DCE, Priority-based Flow Control (аналог Buffer to buffer credit у Fibre Channel - отсылает паузу при заполнении буфера кадров), ETS (гарантия пропускной полосы). Позволяет реализовать MultiPath на втором уровне. Кадр FCoE размером 2197 байт, позволяет упаковывать кадр FC без фрагментации. В этом коммутаторе цена за порт нтерфейс 10-GE является одной из самых низких - около 900 $).

SFP+ (трансиверы с кабелем)- в кабель поставляется уже с запаенными трансиверами, поэтому получается сократить цену, самый короткий стоит 150 долларов.

Устройство Nexus 2000 - Fabric Extender. Используется только для расширения количества портов коммутатора Nexus 5000. Локально в Nexus 2000 коммутация не происходит, все идет через 5000. Размер Nexus 2148 - 1 RU. Все порты - 1 GE.

Nexus 1000V - программный коммутатор, устанавливается в ESX VMWare вместо штатного программного коммутатора. Ставится Virtual Ethernet Switch и Virtual Supervisor, управляется полноценная ОС NX-OS.

WAAS 4.1 позволяет оптимизировать WAN трафик путем создания кэша DRE, компрессии LZ, снижения количества транзакций у CIFS, NFS, MAPI, VIDEO, HTTP, SSL, Windows print.

2 устройства WAAS обнаруживают друг друга самостоятельно, специальной настройку друг под друга не требуют.

Кэш данных, сохраняемый на встроенном диске устройства, шифруется.
Есть решение WAAS mobile, позволяющее установить на ноутбуке пользователя клиентское приложение.

Линейка устройств - NME 302, 502, 522; WAE 512, 612, 7341, 7371.

EMC

NAS система Celerra с массивами CLARiiON CX4 нового поколения. Можно ставить EFD. Поддерживает WORM. Поддерживает диски SATA II с низким энергопотреблением. Модельный ряд - NS 120, 480, 960 и NS-G8.

Blade в презентации называют по-русски "файловым сервером", Virtual provisioning - "виртуальное выделение ресурсов".

В Celerra дедупликация идет как бесплатная функция. Но дедуплицирует на уровне файлов, а не блоков. Файл, не имеющий дубликатов, сжимается.
Текущие реализации технологии NDMP позволяют восстанавливать отдельные файлы, а не файловую систему.

Решение для резервного копирования Avamar. Позволяет сократить передаваемый трафик и занимаемое пространтство на дисках благодаря дедупликации данных на стороне клиентов. Быстро устанавливается. Используется для филиалов и подключений по WAN. Дедупликация осуществляется на основе анализа блоков переменной длины. Решение поставляется в следующих комплектациях: на сервере Dell или HP; в виде настроенной и готовой виртуальной машины; в виде ПО.
Ноды могут объединяться в RAIN. Скорость резервного копирования, которую удалось реализовать - 50-70 МБ/с. Лицензируется по объему хранения, а не по количеству клиентов.

InVista - виртуализует несколько массивов. Установлена в SAN коммутаторе или на отдельном сервере. Out-of-band. Позволяет использовать оборудование разных изготовителей (Cisco, Brocade). Хорошо масштабируется.

Материалы конференции - http://info.emc.com/mk/get/AMA00011681_AGENDA

Конференция CiscoExpo 2008

C 14 по 16 октября в гостинице Рэдиссон Славянская прошла конференция Cisco Expo 2008. Это традиционное мероприятие проводится уже в 9 раз. Я посетил разные доклады конференции в течение всех трех дней, общее впечатление от мероприятия осталось положительным. Материалы докладов доступны на сайте вендора -
http://ciscoexpo.ru/moscow/2008/rus/download.html
Традиционно высокого уровня и наполненности содержанием были доклады Дмитрия Бугрименко и Михаила Кадера. В докладах содержалось много новой и полезной информации. Привожу краткие заметки наиболее запомнившихся фактов.

Iron Port.

Выступал региональный менеджер Мико Шнайдер, приятно порадовал уровень владения русским языком этого специалиста.

Заявляется, что системами IronPort, конкретно SenderBase, осуществляется мониторинг за 25% всего мирового почтового трафика.
Появляются все новые виды спама, в том числе MP3 спам. 83% текущего спама составляет URL-спам.

Развивается новый тип атак – порожденных червем «Storm», атака отказа в обслуживании от ботнетов. Для ее реализации существует даже ПО на основе php – MPack. Его можно купить и получить техническую поддержку.

Как действует Storm -
Зараженные червем Storm машины производят серию атак на другие компьютеры, поэтапно рассылая ряд исполняемых файлов. Примерный порядок их действий приведен ниже.

1. game0.exe — открывает лазейку и производит загрузку
2. game1.exe — ретранслирует SMTP
3. game2.exe — считывает адреса электронной почты
4. game3.exe — рассылает вирус по электронной почте
5. game4.exe — производит распределенную атаку типа “отказ в обслуживании” (DDOS)
6. game5.exe — обновляет копию червя Storm

На каждом из этапов зараженная система связывается с бот-сетью, но обнаружить такое подключение в огромном потоке запросов DNS невероятно трудно.
Источник: Wikipedia.

Аппарат IronPort можно взять на тестирование на месяц и после этого заплатить за него. Или вернуть и ничего не платить.

Outbreak filter - функция, позволяющая предотвращать угрозы "нулевого дня". Системой Sender Base производится анализ почтового потока в реальном времени. Если выявляется аномальное количество вложений определённого содержания, активируется анализ вероятности вирусной эпидемии. Если наблюдается тенденция увеличения количества вложений определённой группы, система объявляет вероятность вирусной эпидемии и обновляет конфигурации исполнительных устройств серии E-mail security. При получении писем с подозрительными вложениями они помещаются в карантин. При уточнении характера угрозы и выяснении деталей опасных вложений, из карантина освобождаются полезные письма.

Явление поляризации CEF.

При распределении нагрузки по нескольким каналам в случае использования CEF, возможно возникновение явления «поляризации» CEF. При работе по параллельным подключениям следует добавлять некоторое число, уникальное для данного адресного пространства. Это нужно для избежания ситуации, когда при подключении к двум cef-маршрутизаторам трафик из-за хеширования всегда идёт по одному каналу, тем самым не позволяя сделать Load balancing.

Общие заметки

Для межсетевых экранов существует прозрачный режим - при этом все интерфейсы находятся в одном VLAN, в передаче трафика не участвует маршрутизация.

Контексты в FWSM - это виртуальные межсетевые экраны.

IOS firewall использует режим зон безопасности.

IDS обычно является сенсором без IP адреса на интерфейсе, анализирует копию трафика с определенного порта (метод дублирования трафика, например, SPAN).

IPS обычно является поточным монитором, пропускающим трафик через себя.

Текущая версия IPS - 6. Появилась возможность взаимодействовать с CSA. Система может определить вид и версию ОС клиента по структуре TCP-потока.

У модуля IDSM-2 производительность всего 500 Мб/с. Поэтому сейчас не рекомендуется использовать эти модули в больших сетях. Рекомендуют использовать внешние устройства - например Cisco IPS 4270 Sensor с пропускной способностью 2 Гб/с.

IPS, встроенная в IOS, поддерживает около 2000 сигнатур. Надо проверять, активирована ли проверка на все сигнатуры, либо только на их часть, т.к. по умолчанию часть из них не активна. Их надо активировать, про это надо помнить.

VLAN parring, каскадная поточная схема. На один интерфейс размещается 2 VLAN. Используется общий транк. Технология используется в ips 4260 и 4270. Позволяет реализовывать отказоустойчивость при подключении внешних устройств парой.

Рекомендуется использовать web-интерфейс ADSM при настройке IPS и IDS из-за высокой сложности настройки устройств из командной строки.

Следующая ступень в развитии DSM - Configuration Professional.

Приложение IPS Manager Express позволяет наблюдать за IPS, поддерживает до 5 устройств, бесплатное.

URL-filter поддерживает IronPort WebSense, TrendMicro.

На сайте Cisco присутствует портал безопасности с отслеживанием уязвимостей в реальном времени - IntelliShield Alert Manager - Cisco BugTrack.

Существуют атаки на DHCP - подмера сервера DHCP и выбор всего пула адресов DHCP.

Рекомендуют отключать для BGP рандомизацию TCP пакетов.

Возможности по наблюдению за ресурсами устройств -

1. SNMP, есть нескольких версий.
2. RMON, RFC 1757, мониторит ключевые события.
3. ERM, встроенный диспетчер ресурсов. Позволяет реализовывать политики контроля ресурсов.
4. ESM, embedded syslog manager.

WAAS - Wide Area Application Service - крайне интересная технология оптимизации передачи данных по WAN-каналам. Позволяет ускорить передачу, уменьшить время отклика. Конкурирующая система RiverBed.

MDS, SAN

Модели MDS 9124, 9134, 9140, 9216, 9222i. Порты FC 2-4-8 Гб. Используют сейчас SAN-OS и NX-OS.

MDS 9134 имеет 32 порта 4 Гб/с и 2 порта 10 Гб/с.

Позволяют лицензировать порты инкрементально, по 8 портов.

9222i имеет VSAN и IVR функционал. Модели 91ХХ - IVR не поддерживают.

MDS 9513 до 528 портов. У MDS 9000 появилось 3 поколение модулей - 8 Гб/с, Gen 3.

Все коммутаторы 92ХХ готовы к 8 Гб/с.

На транзитное соединение рекомендуют выделять отдельный VSAN.

Flex Attach - технология WWN NAT - F-порт имеет виртуальный адрес WWN.

Появилась поддержка PortChannel для F-портов.

Storage Services Module. Появился модуль Cisco SME, позволяющий шифрвать данные, отправляемые на ленту. Внедряется бесшовно. Шифрует открытым ключом. Один модуль работает со скоростью 10 ГБ в час, позволяет записать 4 - 5 лент LTO-4.

Переподписка происходит везде по фабрике. PCI-express дает 4 Гб\с, LTO-4 дает 1 Гб\с, диски дают 1 Гб\с. Все дизайны имеют переподписку.

FSCP security protocol защищает switch-to-switch и device-to-switch соединения.

Для небольших и средних сетей рекомендуют применять Collapsed Core с объединенным ядром и доступом. Для больших сетей (более 1000 портов) рекомендуют модель Core - Edge.

Рекомендуют переподписку 10-12 hosts \ 1-2 storage.

Store - Core - Access, Edge - Hosts.

642-901 - Building Scalable Cisco Internetworks

Еще один шаг к статусу CCNP сделан. После относительно короткой подготовки сдал экзамен Cisco BSCI. Один из классической четверки, увенчанной лаврами Cisco Certified Network Professional. Следующий после Cisco BCMSN.
Материлы для подготовки -

1. CCNP Self-Study BSCI Official Exam Certification Guide 642-901, 4th Edition, - Brent Stewart.
2. CCNP BSCI Quick Reference Sheets, - Brent Stewart, Denise Donohue.
3. Популярный образец вопросов экзамена.

Экзамен сдавал в САМАН МАТИ. На экзамен ушло все 2 часа и вот почему. В самом начале как обычно меня посадил на место тестирования администратор, бурча что вот сейчас при регистрации теста все, скорее всего, поломается и придется прохдить вводный опросник заново. Так и случилось! В конце стандартного опроса, посвященного общей информации, типа сколько мне лет и как я готовлися к экзамену, тестовое приложение выдало код ошибки и с радостью вылетело. Администратор ругаясь открыл приложение заново, и со второго раза удось успешно зарегистрироваться и начать тестирование. Но самый "веселый" сюрприз ожидал меня в конце теста, когда времени оставалось мало и открылась последняя лабораторная работа с конфигурированием stub-зоны OSPF. В самом конце я попытался выполнить ping внешнего маршрутизатора и тестовое приложение со знакомой радостью мигнуло сообщение об ошибке и вылетело. После запуска теста по новой я оказался в начале этой лабораторной работы с другими IP-адресами и чистой конфигурацией. В итоге я успел ответить на последний вопрос ровно под занавес экзамена, только успев отметить правильные ответы. Адреналин в небольшом количестве экзамен мне прибавил.

Осталось еще два экзамена -

• 642-825 ISCW Implementing Secure Converged Wide Area Networks
• 642-845 ONT Optimizing Converged Cisco Networks

Взгляд и ожидания остановились на ONT, т.к. в текущем проекте очень могут пригодиться освеженные знания по QoS. Передача данных в NAS-систему через магистральные каналы ЛВС требует особого отношения к полосе пропускания и целостности потока.

О паролях в конфигурационных файлах оборудования Cisco.

Мы часто обмениваемся конфигурационными файлами сетевого оборудования Cisco Systems для решения проблем конфигурирования или просто для обмена опытом. При этом даже иногда публикуем свои конфиги на общедоступных ресурсах - форумах, порталах. И тут вот совсем не надо забывать о наших учетных данных.

Для скрытого отображения пароля в конфигурационном файле надо использовать команду service password-encryption с односторонним шифрованием.
Тогда в конфигурационном файле отобразится зашифрованные пароли -

enable secret 5 $1$uHSM$ZmGh9.mwpKQkbJ.rqDBxR1

www.cisco.com помогает нам в атаке -
To determine which scheme has been used to encrypt a specific password, check the digit preceding the encrypted string in the configuration file. If that digit is a 7, the password has been encrypted using the weak algorithm. If the digit is a 5, the password has been hashed using the stronger MD5 algorithm.

Конкретно по поводу enable secret циска пишет что
Enable secrets are hashed using the MD5 algorithm. As far as anyone at Cisco knows, it is impossible to recover an enable secret based on the contents of a configuration file (other than by obvious dictionary attacks).

Но все равно, я бы поостерегся выкладвать конфигурацию с открытым зашифрованным паролем. В теории он вскрывается прямым перебором, который, при несложном пароле, может быть и не таким долгим.

На одном из весьма посещаемых форумов наткнулся на выложенный конфиг с

enable secret 5 $1$uHSM$ZmGh9.mwpKQkbJ.rqDBxR1
password 7 02575D035F54567118
password 7 0000160855025352
username denis privilege 15 password 7 0000160855025352

Уважаемая и бесплатная утилита "Каин и Авель" на лету открывает слова с обратимым шифрованием.

19842904 и den1984 - вот это интересно
т.е. пароль den1984, а первый пасс - это дата дня рождения горя-Дениса

Получается что человек не открыл нам enable, но открыл себя с привилегией 15 - что есть то что надо.
правда это конфиг точки доступа без адреса даже, но, утечка конкретная и серьезная! Коллеги, будьте бдительны в обмене конфигурационным файлами и уж тем более при их публикации.

Источник -http://www.cisco.com/en/US/tech/tk59/technologies_tech_note09186a00801d7efa.shtml

Организация механизма NAT в сетевых устройствах Cisco.

Зачем нужна трансляция сетевых адресов? Причин много, основная - нехватка адресного пространства IPv4. При текущих темпах развития сети свободные IPv4 адреса кончатся уже через 2-4 года. В качестве временной меры, предлагается начать распределение адресов из резервной подсети класса Е (сеть 240.0.0.0/4 в которую входят 268 миллионов IP начинающихся на номера с 240 по 255), это поможет продлить жизнь IPv4 приблизительно еще на год. Все с нетерпением осваиваем IPv6 и протоколы динмической маршрутизации, с ним связанные.

Поэтому трансляция сетевых адресов является неотъемлемой частью любой корпоративной сети, имеющей выход в глобальную сеть.

Does NAT occur before or after routing?

The order in which the transactions are processed using NAT is based on whether a packet
is going from the inside network to the outside network, or from the outside network to the
inside network. Inside to outside translation occurs after routing, and outside to inside
translation occurs before routing.

How does PAT work?

PAT works with either one IP address or multiple addresses.

PAT with one IP address:

1. NAT/PAT inspects traffic and matches it to a translation rule.
2. Rule matches to a PAT configuration. If PAT knows about the traffic type, and that traffic type has "a set of specific ports or ports it negotiates" that it will use, PAT sets them aside and does not allocate them as unique identifiers.
3. If a session with no special port requirements attempts to connect out, PAT translates the IP source address and checks availability of the originated source port (433, for example).
   Note: For Transmission Control Protocol (TCP) and User Datagram Protocol (UDP), the ranges are: 1−511, 512−1023, 1024−65535. For Internet Control Message Protocol (ICMP), the first group starts at 0.
   
4. If the requested source port is available, PAT assigns the source port, and the session continues.
5. If the requested source port is not available, NAT starts searching from the beginning of the relevant group (starting at 1 for TCP or UDP applications, and from 0 for ICMP).
6. If a port is available it is assigned, and the session continues.
7. If no ports are available, the packet is dropped.
   

PAT with multiple IP addresses:

Note: The first seven conditions are the same as with a single IP address.
If no ports are available in the relevant group on the first IP address, NAT
flips to the next IP address in the pool and tries to allocate the original source
port requested.

1. If the requested source port is available, NAT assigns the source port and the session continues.
2. If the requested source port is not available, NAT starts searching from the beginning of the relevant group (starting at 1 for TCP or UDP applications, and from 0 for ICMP).
3. If a port is available, it is assigned and the session continues
4. If no ports are available, the packet is dropped, unless another IP address is available in the pool.