Ethernet-Over-IP на Mikrotik

Возникла задача выступить "маленьким провайдером" и пробросить два vlan-а для двух организаций из одного города в другой через нашу сеть. Была выбрана следующая схема: на обеих площадках ставятся Mikrotik-и, Mikrotik соединяется двумя портами к двум коммутаторам Cisco L3, на коммутаторах поднимается VRRP (т.к. коммутаторы могут периодически, в целях профилактики, по-очереди выводиться из работы, а сервис для клиента желательно оставить рабочим). Клиенты подключены к портам Mikrotik-а 2 и 3.
Далее настройка одного из Mikrotik-в, второй настраивается зеркально.

SNMP

Протокол SNMP Simple Network Management Protocol (простой протокол сетевого управления) был изначально разработан для мониторинга сетевых устройств, однако в последствии добавилась возможность получать данные с серверов, принтеров и других устройств имеющих сетевой интерфейс. Современные версии протокола допускает возможность внесения изменений в функционирование устройств.

Просмотр настроек BGP. Cisco

Публикую чтобы не забыть

Просмотр настроек BGP

R3#sh run | sec bgp

Просмотр соседей по BGP

R3#sh ip bgp summary

Коммутация и маршрутизация на коммутаторах CISCO

Скомпилировано себе на память из нескольких источников. Основные источники:
http://twistedminds.ru/
http://xgu.ru/

Раньше перед тем как отправить сообщение в сеть устройство должно было убедиться что в данный момент никто не вещает. Для этого существовал протокол CSMA/CD – Carrier Sense Multiple Access with Collision Detect. Устройства работали только в half duplex, то есть в один момент времени устройство могло только передавать или только принимать данные. Все устройства работали в одном Collision Domain и если одно из устройств создавало фрейм с ошибкой, то такой фрейм принимали все устройства в Collisions Domain.
В настоящий момент Collisions Domain выродился до двух участников - порта коммутатора и устройства, сетевые устройства могут работать в режиме full duplex, а ошибки в фреймах теперь фильтруются непосредственно на ASIC, к которому подключен порт(ы) и не распространяются на всю сеть. ASIC application-specific integrated circuit, «интегральная схема специального назначения») — интегральная схема, специализированная для решения конкретной задачи. Специализированные интегральные схемы применяются в конкретном устройстве и выполняют строго ограниченные функции, характерные только для данного устройства; вследствие этого выполнение функций происходит быстрее и, в конечном счёте, дешевле. Ты хороший пакет, у тебя годный CRC? Значит мы повторим тебя на исходящем порту (store-and-forward метод – пакеты приходят на входящий порт, поступают на хранения для инспекции и только затем перенаправляются на исходящий).

Шаблоны на Cisco Switch. Cisco SDM templates.

На коммутаторах Cisco существуют так называемые шаблоны распределения ресурсов, Switching Database Manager templates (SDM templates). С помощью этих шаблонов можно управлять выделением ресурсов коммутатора или лучше сказать приоритезировать ресурсы коммутатора в зависимости от выполняемых этим коммутатором задач. Согласно этим шаблонам основными задачами коммутатора являются коммутация или маршрутизация и соответственно существуют следующие основные виды шаблонов:

• Коммутация пакетов. Это работа коммутатора на 2-ом уровне (Layre2), больше ресурсов выделяется для работы с MAC-адресами, VLAN-ами
• Маршрутизация. Соответственно Layer3, ресурсы выделяются больше под работу с таблицы маршрутизации и с протоколами маршрутизации. В конфиге доступно больше команд связанных с маршрутизацией пакетов.
• Default-template, как видно из названия этот шаблон который установлен по-умолчанию он представляет некий баланс между свойствами первого и второго шаблона. Если применен этот шаблон, то могут отсутствовать или не работать наиболее "продвинутые" команды из "полноценных" режимов, например Policy-Based Routing.
• На более высоких версиях коммутаторов есть еще другие виды шаблонов, например для работы с ipv6.

Ограничение скорости на MikroTik

Иногда требуется ограничить скорость соединения "нестандартным значением", например в 150Мбит/с. Например, вы выступаете "провайдером" и хотите выдать такую скорость "клиенту". На MikroTik это можно сделать достаточно простым, но не совсем логичным способом.
Схема следующая: у "клиента" стоит MikroTik и "клиентcкий" vlan мы прокидываем через него и далее через свое оборудование. На обратном конце стоит также MikroTik. Мы хотим выдать "клиенту" максимум 150Мбит/с. Идея состоит в следующем, пометить весь входящий трафик и потом с помощью очередей зашейпить его до нужной скорости.

Как протестировать скорость сети? Измеряем скорость канала утилитой iperf.

Очень часто необходимо оценить пропускную способность канала связи. Небольшая кроссплатформенная утилита Iperf очень хорошо справляется с этим. Она включает в себя генератор TCP и UDP трафика и используется для определения скорости прохождения трафика между двумя узлами в сети. Утилита не требует установки её достаточно скопировать на два компьютера и потом запустить. Сначала на одном компьютере запускается серверная честь, потом на втором запускается клиентская. Клиент начинает "лить" трафик на сервер. Утилита работает работает из командной строки и для эстетов имеет графический интерфейс написанный на Java - Jperf.

Cisco MikroTik. Etherchannel (Bonding)

Встала необходимость связать Cisco Switch и MikroTik через агрегированный Ethernet канал. Etherchannel - называется эта технология у Cisco, Bonding - у MikroTik (и не только у него).
Настройка на стороне  MikroTik:

/interface bonding
add link-monitoring=none mode=802.3ad name=bonding1 slaves=ether1,ether2

GLBP протокол резервирования шлюза Cisco

Работа протокола GLBP (Gateway Load Balancing Protocol) аналогична работе других протоколов отказоустойчивого шлюза, но не идентична. Это проприетарный протокол Cisco, он не только повышает доступность шлюза, но и распределяет нагрузку между маршрутизаторами на которых он поднят. В протоколах HSRP и VRRP основную работу выполняет основной, активный маршрутизатор. Остальные маршрутизаторы в группе ждут падения активного и только после этого вступают в активную работу. GLBP обеспечивает распределение нагрузки на несколько маршрутизаторов (шлюзов) используя один виртуальный IP-адрес и несколько виртуальных MAC-адресов. Каждый маршрутизатор сконфигурирован с одинаковым виртуальным IP-адресом и все маршрутизаторы в виртуальной группе участвуют в передаче пакетов.

Diffie-hellman-group1-sha1 и старый Cisco IOS

Обновил Ubuntu на своей машине. Теперь при попытке подключиться к некоторым Cisco со старым IOS стала появляться ошибка:

Unable to negotiate with 10.10.10.1 port 22: no matching key exchange method found. Their offer: diffie-hellman-group1-sha1

Оказалось, что алгоритм diffie-hellman-group1-sha1 теперь в ssh-клиенте по-умолчанию
выключен. Есть вариант его включения руками.
Собственно чем я  сначала и воспользовался.

Стекирование коммутаторов Cisco 3750

Стекирование коммутаторов Cisco хорошо описано в следующих статьях на "Хабре". Кратко, но по делу.
 - Часть 1
 - Часть 2
Конкретно про Cisco 3750 статья на cisco.com.

У меня устройства Cisco 3750X

Эти устройства поддерживают также StackPower, о котором я писал здесь.

StackWise

Сканирование IP сети

Мне понадобилось найти свободный IP-адрес в небольшой сети. Как это можно сделать с коммутатора (маршрутизатора).
Заходим на коммутатор у которого есть ip-адрес в этой сети, в моем случае это был шлюз по-умолчанию:

SWG#sh run int vl 9
Building configuration...
Current configuration : 103 bytes

StackPower Cisco 3750E

У Cisco существует технология StackPower. С помощью неё можно объединить отдельные блоки электропитания, до 4 коммутаторов, и создать пул питания, который можно использовать либо в режиме разделения электропитания (power-sharing) либо в режиме резервирования (redundant):

• В режиме power-sharing, питание всех блоков питания в стеке агрегировано и распределено между всеми коммутаторами в стеке. Это default-режим.
• В режиме redundant, самый мощный источник питания выведен из пула питания чтобы

Восстановление пароля ASA

Записываю чтобы быстро найти:

1) CTRL-BREAK - послать сигнал при загрузке

2) rommon #> confreg 0x41

Команды TACACS+ на Cisco

Здесь собраны команды которые применяются у меня на устройствах, с кратким пояснением.

aaa authentication login default group TAC_PLUS local - эта команда говорит, что аутентификацию производится на сервере (серверах) группы TAC_PLUS, если серверы аутентификации не доступны, искать пользователя в локальной базе

aaa authorization exec default group TAC_PLUS local - без этой команды необходимо будет набирать локальный пароль для входа в enable.

Тест IP-канала на основе Cisco IP SLA и триггер доступности канала в Zabbix.

(Текст не мой, источник его возникновения установить уже трудно)
Тест используется для оценки пригодности IP-канала, построенного на базе оборудования компании Cisco Systems, к передаче голосового трафика с кодеком G.711u (либо другим используемым на предприятии кодеком )
Пороговые значения основаны на рекомендациях EIA/TIA.
Тест основан на технологии Cisco IP SLA компании Cisco Systems.

Измеряемые характеристики и пороговые значения:

MTU Cisco Switch. Проверка MTU командой ping

Постоянно забываю про настройку MTU на коммутаторах Cisco. Чтобы больше не забывать, таблица с сайта cisco.com. А также, так как очень не часто приходится проверять MTU, забывается очень простой способ его поверки командой ping.

MIB Brouser. UBUNTU

Я пользуюсь под Ubuntu MIB браузером ManageEngine MibBrouser Free Tool. https://www.manageengine.com/products/mibbrowser-free-tool/ . Это кроссплатформенная утилита. Есть версии этой утилиты под Windows, Linux и Mac.

Отказоустойчивые интерфейсы на ASA

Существует два вида отказоустойчивых интерфейсов Etherchannel и Redundant Interface.

Etherchannel

Его настройка не отличается от настройки на коммутаторах (Etherchannel). Единственное замечание - поддерживается только LAСP и static режимы. Etherchannel удобно настраивать при присоединении например, к стековому коммутатору. При этом каждый из двух интерфейсов ASA (возьмем пример с двумя портами объединенными в  Etherchannel) должен смотреть на разные физические коммутаторы стека.

DHCP-Relay Cisco

DHCP-Relay Cisco

Существует DHCP-сервер на Windows, например. Сервер находится в одном сегменте сети, клиентские компьютеры в другой. Между клиентами и сервером несколько маршрутизаторов и коммутаторов 3-го уровня. Сети связаны по маршрутизации.

По-умолчанию, DHCP-Relay настраивается на Cisco одной командой:

ip helper-address IP-адрес_DHCP-сервера

Cisco. Агрегирование каналов.

Материал на http://xgu.ru/ написан, на мой взгляд, самым лучшим образом. Лучше чем там, я пожалуй не напишу. Поэтому попросту скопирую.

Общая информация об агрегировании каналов

Агрегирование каналов позволяет решить две задачи:

• повысить пропускную способность канала
• обеспечить резерв на случай выхода из строя одного из каналов

ASA. Правила NAT. Порядок обработки пакетов.

NAT ASA

network objeckt содержит один объект (сеть, хост)
objeckt group содержит многочисленные объекты
Существует три типа NAT на Cisco ASA v8.3 и выше. Они классифицируются по точности указания параметров NAT и исполняются от 1 до 3. От наиболее точно указанных параметров к наменее. Какой тип NAT выбрать, решает администратор.

Cisco ASA. Начальная настройка.

Дальнейшие действия можно выполнять уже по сети.

ASA Version 9.1(2)
!
hostname ASA2
domain-name DTK
enable password 2KFQnbNIdI.2KYOU encrypted