Hi,

 Most csak röviden szeretnék írni egy kissebb "problémáról".

Egy nagyobb hálózatban ha több rendszeradminisztrátornak van config joga a hálózati eszközökön, az néha problémákhoz vezet. A CheckPoint tűzfalakon alapbeállításként szerepel, h egyszerre csak egy admin léphet be configurációs módba. Szerencsére ezt Cisco eszközökön is beállíthatjuk ezt.

(config)#configuration terminal mode exclusive auto

ezt kiadva az első személy aki belép config módba ,csak az tud configurálni amíg ki nem lép.

(config)#configuration terminal mode exclusive manual

ezzel manuálisan adhatjuk meg hogy, mi akarunk -e lenni az egyettlenek , amikor belépünk config módba.

#config terminal lock

Természetesen a show configuration lock  parancsal ellenőrizhetjük a a beállításait.

Itt a link a cisco oldalon található leíráshoz: http://www.cisco.com/en/US/docs/ios/12_3t/12_3t14/feature/guide/gt_exclu.html#wp1046050

Remélem hasznos információval szolgáltam.

Popularity: 18% [?]

Dave-nek köszönhetően van menünk a Cisco 805 routeren, melyen keresztül be tudunk lépni a munkahelyi laborba. Én még soha nem csináltam ilyet, de jó tudni hogy létezik, és egyszerű megcsinálni. A konfig menüre vonatkozó része:

!menu fejlec
menu LABOR title #

                          Evopro :: Cisco Labor
=======================================================
Labor Admin:Dave && Xcke
megjegyzes :Kilepeshez nyomd le a CTRL+SHIFT+6 majd az x Billentyut
=======================================================
(more…)

Popularity: 34% [?]

Az internet most attól hangos, hogy a Cisco linuxos megoldást kínál az ISR router-eihez. Természetesen az NM modul, melyen egy spéci, IOS-el integrált, virtualizált , hardened linux OS fut, iszonyatosan drága jelenleg. Most akkor mi is ez ?

It would have been big news if Cisco has just opened up the routers, but by doing it with a Linux base, Cisco may well dramatically change the Linux server landscape. Instead of needing to rely on Red Hat or Novell to supply Linux running on servers from HP, IBM, Dell, etc., a user that already has an ISR (and there are 4 million of them out there) can just buy an AXP from Cisco, put that module on their ISR and — badda boom badda bing — they’ve got a Linux application server."

Természetesen ez nem azt jelenti hogy egy ISR router-en valaha is Linux fog futni, és ennek bizonyára nem is lenne értelme. Szép a linux, és az open-source is, de azt hiszem azzal, amit Ivan Pepelnjak ír az Ios hints-en, egyet tudok érteni. Egy kis történelem:

• 15 years ago, someone had a great idea to install WAN cards and routing software into PC servers. The journalists greeted that idea as the downfall of dedicated routers. Guess what … it flopped and the router market continued to grow.
• Cheap Layer-3 switches have been greeted as the next router killer. We still have routers and switches in our networks.
• People have been using Linux as their home firewalls for years … and it hasn’t really impacted the low-end router market; SOHO users are still preferring to buy Linksys (or whatever other cheap low-end brand) over configuring firewall on Linux.
• Public-domain BGP implementations have been around for as long as I can remember and they are not bad. Some people with very low budget use them for route servers … but Cisco and Juniper are still selling high-end boxes.

És ezzel is:

In the real world of networks that have more than a few routers, if you have enough budget to buy yourself a good night’s sleep, you usually install dedicated routing hardware … but I guess this is not the sort of story that would sell the industry journals.

Egyébként nekem tetszik hogy Cisco nyit a linux felé (habár eddig is használta platform-nak, pl CCM) , és jó 5letnek tűnik az AXP megoldás, néhány összefoglaló ábra a slide-okból:

• Security:

Popularity: 32% [?]

Végül elkészült a Cisco VPN Klienssel használható Remote Access VPN . Összefoglalva a lényeg:

A VPN működésének előfeltétele:

• MS Certificate szerver MSCEP támogatással
• MS Radius szerver, olvasás joggal egy MS Active Directory rendszerhez
• Megfelelően konfigurált Cisco IOS router

A kliens kapcsolódásához szükséges:

• rootCA + érvényes certificate az MS Certificate szervertől
• dial-in jog az Active Directory felhasználónak

A kommunikációhoz szükséges:

• UDP 500 : ISAKMP
• UDP4500 NAT-T támogatás
• Protokoll 50, ESP

A rendszer működése:

Amikor a felhasználó csatlakozik a VPN routerhez, először IKE fázisban azonosítja magát a certificattel (rsa-sig). Amennyiben ez sikeres, IKE Mode Config segítségével a kliens megkapja az IP címét, dns, egyéb paramétereket. A VPN Kapcsolat felépüléséhez a felhasználót is azonosítani kell, IPSEC XAUTH-al. Radius protokoll segítségével tehát a felhasználót azonosítjuk az Active Directory-s felhasználó nevével és jelszavával.

(more…)

Popularity: 59% [?]

A VPN router konfigurálása közben sikerült kizárni magamat, mert beállítottam egy permit any any -t a dynamic crypto map ACL-jébe. Ez jó nagy szívás volt, főleg mert a router olyan helyen van ahova nem is tudok bejutni:) tehát, hasznos parancs:

reload in 1:00

Ez olyan mint a shutdown -r time linuxon, a router automatikusan újra indul egy bizonyos idő után.

Popularity: 37% [?]