Маленькая заметка об решении проблемы, может кому пригодиться.
Ставим CheckPoint-ы на некоторые оконечные точки. Задача: построить IPSec туннель между точкой и удаленным кластером CheckPoint.
А проблема в следующем. Часть точек подключена через НС-ки и работает по PPP. Так вот, в ряде случаев Edge не может вытянуть настройки VPN со своего SmartCenter-а, при этом в логи ничего не сообщается. Даже если прописать настройки туннеля вручную, то он все равно не поднимается. Со стороны SmartCenter видно, что приходят какие-то пакеты, но их почему-то мало. Грешили на качество линий, однако даже на идеально вылизанных НС-ках туннель все равно не поднимался.
Как побороть? Случайно заметил, что при активном обмене через serial-порт CheckPoint начинает жутко тормозить. Попробовал тупо снизить скорость на линии и чудо, настройки вытянулись, туннель поднялся. Правда скорость пришлось снижать хорошо — до 9600. Из-за этого удаленное администрирование девайса превращается в адовы муки, но зато все работает
Многие, прочитав название поста, решат что автор, мягко говоря, некомпетентен. Однако, не спешите судить поспешно, вначале дочитайте данную заметку до конца . В последнее время мне очень понравилось собирать информацию о недокументированных возможностях (в ряде случаев — глюках) маршрутизаторов cisco. Иногда найденный материал настолько мне интересен, что я решаюсь запостить его сюда.
Наверняка, большинство людей, знакомых хоть немного с данными маршрутизаторами, знают что они могут выполнять балансировку нагрузки ( load-balancing), если к точке назначения пакетов (destination) ведут несколько маршрутов. При этом, как правило, осуществляется равнозначная балансировка нагрузки, которая бывает двух типов: per packets или per destination. Тип балансировки зависит от типа switching на маршрутизаторе:
For process-switching—load balancing is on a per-packet basis and the asterisk (*) points to the interface over which the next packet is sent.
For fast-switching—load balancing is on a per-destination basis and the asterisk (*) points to the interface over which the next destination-based flow is sent.
Более подробно о балансировке можно прочитать в документе .
К примеру, если у Вас два канала на отделение и они разной пропускной способности, ну например один шире другого в 3 раза, то в случае попыток задействовать равнозначную балансировку (прописав 2 равнозначных маршрута на два удаленных адреса) Вас постигнут глюки :), т.к. при достаточно большой нагрузке один из каналов станет перегруженным и на нем начнут терятся пакеты. Единственным официальным выходом из этой ситуации является использование протокола динамической маршрутизации EIGRP, который позволяет определить отношение пропускной способности каналов друг к другу и полноценно использовать их одновременно на всю катушку.
Желающие почитать об этом могут обратится к документации на , например .
На самом деле, как оказалось, в маршрутизаторах cisco есть одна тонкость, позволяющая сделать неравнозначную балансировку нагрузки в случае статической маршрутизации…
Волею судеб иногда вынужден делать hard reset цисковским IP телефонам.
Вот решил собрать немного информации об этом процессе применительно к конкретным моделям телефонов. Думаю, что со временем этот пост будет обновляться.
Общая последовательность для всех телефонов. После включения питания жмем кнопку # и ждем-с…
Cisco 7940 Ждем когда на экране появится запрос «Reset key sequence detected» Набираем 123456789*0#. Дальше у нас спрашивает, хотим ли мы сохранить текущие сетевые настройки, соглашаемся (1) или нет(0) и прошивка сбрасывается.
Cisco 7970 Ждем когда начнут загоратся в цикле оранжевым цветом кнопки, расположенные в правой верхней части. После этого жмем заветную комбинацию 123456789*0# и телефон перезагружается.
На курсах по цискам инструктор подкинул одну интересную задачку. Попросил, чтобы по OSPF анонсировался маршрут на сеть, которая прописана на loopback-е.
interface Loopback 0
ip address 172.16.9.1 255.255.255.0
И оказалось, что при настройках по умолчанию, соседние роутеры будут видеть маршрут не на 172.16.9.0/24, а на 172.16.9.1/32
Погуглив, выяснил причину этого. Согласно , секция 9.1:
A loopback interface is literally “looped back” on itself. We’ve discussed before the many reasons that these interfaces are good to have around and why we would use them. But here is where the OSPFv2 RFC specifically states the interface will be advertised as a “single host route.”
Для того, чтобы обмануть OSPF и заставить анонсировать подсеть, которая сконфигурирована на loopback, нужно сменить для него тип сети. Вернее, даже не сменить, а просто указать любой тип сети:
interface Loopback 0
ip address 172.16.9.1 255.255.255.0
ip ospf network point-to-point
После этого сеть будет анонсироватся как и ожидалось.
Кстати, полезный линк: .
P.S. Ума не приложу, зачем анонсировать целую подсеть для loopback
В устройствах cisco есть интересная особенность, которая позволяет упростить настройку IPSec для защиты GRE-туннелей. Называется она IPSec profile. Используется она следующим образом.
Часть настроек остается без изменений. Определение политики isakmp для фазы 1:
crypto isakmp policy 10
encr 3des
authentication rsa-sig
group 2
Далее, нам нужет transform-set:
crypto ipsec transform-set SET1 esp-3des esp-sha-hmac
mode transport
Ну и, если используется аутентификация по ключам (PSK), то нужно определить для удаленного хоста ключик:
Сейчас нахожусь на цисковских курсах в учебном центре. И десктопы тут на Windows. Немного достает отсутствие привычной рабочей среды, особенно — отсутствие yakuake.
И вот погуглив немного, нашел аналог для Windows, называется.
Выдержка из help:
Программа FastCon предназначена для запуска программ и приема от них ответа с последующим отображением. Может запускать программы с графическим интерфейсом (GUI), но в большей мере рассчитана на консольные программы (например программы cmd, ping, tracert, ipconfig и сотни других). Также возможна передача команд запущенной программе, если в ней это предусмотрено. Дополнительные функции:
поддержка алиасов (сокращенные псевдонимы для команд)
подсветка синтаксиса (выделение сообщений определенного типа цветом)
IntelliSense (автозавершение команд)
горячая клавиша для быстрого вызова/скрытия консоли ~
открывание/закрывание лотка CD/DVD приводов
перезагрузка, выключение, спящий режим, отключение пользователя
отправка сообщений через NET SEND
принудительное завершение (убийство) процессов
освобождение занимаемой программами памяти
назначение горячей клавиши для любой команды
выполнение команд при обнаружении заданного текста
Roman Shramko