GNS3 в облаке

===================================
Статья написана Дмитрием Фиголем для Linkmeup.ru
===================================


Привет!
Сегодня я вам расскажу, как настроить GNS3 сервер в облачных сервисах. А в конце будет небольшой FAQ по GNS3.
Для примера был выбран Google Compute Engine (GCE) (из-за бесплатного двухмесячного триала и более низких цен на виртуалки в Европе по сравнению с AWS).

Почему вообще стоит заморачиваться?
Один раз попробовав, я больше не запускаю GNS3 локально. Нет смысла забивать оперативку своего ноутбука лабой. Кроме того, я могу запускать свои CCIE лабы с любого компьютера (в моём случае рабочий и домашний ноутбуки) — неважно, сколько RAM/какой CPU. При этом, локальные файлы лаб я сохраняю в Dropbox, что позволяет мне продолжать работать над той же лабой с разных устройств.
Под катом вы найдёте подробную инструкцию по установке GNS3 в GCE.

Читать дальше →

IP телефония в Cisco

Видео подготовлено нашим постоянным читателем — Вадимом Семёновым.
====================

Коллеги, здравствуйте. Позвольте представить вашему вниманию видеообзор IP телефонии Cisco для начинающих инженеров. Возможно, кто-то еще не сталкивался с этим, но эта тема была бы интересна и для тех, кто прежде имел опыт работы с VoIP, но кому не доводилось встретиться с цисковским решением VoIP. Именно аналоговая телефония рассмотрена в самом начале данного обзора, так как с неё все начиналось. Не обошлось в данном случае без теоретической составляющей, так как именно научные труды Гарри Найквиста послужили решением задачи, которая была актуальной очень долгое время в конце прошлого века, а именно: как можно передать два (или даже более телефонных разговора) по одной аналоговой двухпроводке! Теоретические выкладки оставим на слайдах видеообзора и перейдем к следующей теме — цифровым потокам и множеству разговоров по одной линии. Но, научившись «уплотнять» разговоры, мы ставим перед собой вопрос в голосовой маршрутизации: один вызов мы пропускаем через город, а вот звонок в соседний офис… за 8000км. направляем в VPN.
Все это и не только вы сможете встретить в видеолекции, надеюсь, что видеообзор Вам будет интересен



И по традиции прикладываю список использованных литературных источников:

Kevin Wallace Cisco Voice over IP v.3, Cisco Press
www.aboutphone.info/lib/lectures/1.html
prosto-seti.blogspot.ru/
Cioara J., Valentine M. CCNA Voice, Cisco Press
www.ccc.ru/magazine/depot/96_07/read.html?0301.htm сигнализация в абонентской линии
Гольдштейн Б.С. — Сигнализация в сетях связи — 1997

Следующий выпуск Let's Lab

Минутка интерактива на linkmeup.

Последним выпуском про IS-IS цикл Let's Lab не заканчивается. Алексей предлагает зрителям выбрать тему следующего видео:

1) BFD
2) Архитектура железа CISCO
3) QoS
4) Свой вариант в комментариях

Let's Lab. IS-IS routing protocol. Часть 3

Вы когда-нибудь пробовали стрелять из лука? Наверное, не самое популярное занятие. А как насчёт коньков и роликов? Сотни раз я видел, как люди, экипированные всевозможными защитными приспособлениями на всех частях тела, подвергаясь всемирному закону тяготения, наносят себе травмы. Тогда как опытные спортсмены месяцами катаются без единого падения.
Всему виной — отсутствие практики. Проведите за книжками хоть целый месяц, и, вероятно, вы добьётесь меньшего, чем за 2 недели с лабой на изучаемую тематику.
IS-IS легко можно назвать странным протоколом. Но такой он только в теории. На практике мы встречаемся с теми же проблемами, что караулили нас во время использования других IGP-протоколов. Основная его цель – распространение маршрутной информации и принятие решений по её добавлению в таблицу маршрутизации.
Данный выпуск оказался длиннее, чем я рассчитывал. Больше часа информации не каждый способен осилить за один раз. В силу обстоятельств, я не могу разбить видео на два выпуска.
Смотрите в этой части:
  • Базовая настройка IS-IS на Cisco IOS и IOS-XR.
  • Установление соседства между маршрутизаторами.
  • Дебаг и разбор дампа трафика при обнаружении соседа.
  • Метрика протокола и его настройка.
  • Hello и Hold таймеры и их причуды.
  • Hello-padding.
  • Линки с множественным доступом и DIS.
  • Обмен между L1 и L2 базами. Значение ATT bit.
  • Анонс префиксов из BGP в IS-IS.
  • External маршруты и их метрика.
  • Как избежать петель при импорте из L2 в L1.
  • Ассиметричная маршрутизация и Suboptimal routing.
Будь крутым, настрой роль каждого линка правильно.



Ваши лайки ускоряют выход 4ой части.

Книги к прочтению (в том числе про OSPF):
H.Gredler-The Complete IS-IS Routing Protocol-2005
Abe Martey — Cisco Press — IS-IS Network Design Solutions
Cisco Press — Routing.TCP.IP.Volume.1.2nd.Edition.Oct. 2005
Wendell Odom, Rus Healy, Denise Donohue — CCIE Routing and Switching Exam Certification Guide 4th Edition — 2009
CCIE Routing and Switching v5.0 Official Cert Guide Volume 1

Ссылки:
monsterdark.com/wp-content/uploads/BRKRST-2327.pdf — большая презентация на CiscoLive про ISIS
blog.ine.com/2009/12/31/tuning-ospf-performance/ — тюнинг OSPF, в тч ISPF и PRC
inetzero.com/isis-training-and-junos-configuratio/ — прекрасная статья про ISIS в Junos и PDU с inetzero.com
packetlife.net/captures/protocol/isis/ — Дампы трафика
citforum.ru/nets/ito/20.shtml — протоколы OSI, на русском!
www.itcertnotes.com/2012/03/is-is-protocol-data-units-pdus.html — ещё немного про PDU, ёмко и с кратинками
sites.google.com/site/amitsciscozone/home/is-is/is-is-packets — глубже в PDU с wireshark
blog.initialdraft.com/archives/844/ — примеры формирования database
rekrowten.wordpress.com/2013/09/30/learn-is-is-basic-configuration-part-1/ — большой блог по ISIS с практикой

Часть 1. youtu.be/2PFdK9Fj8Ys
Часть 2. youtu.be/FtE86LxhhRo
Видео про IOS-XR youtu.be/MT1f0ueV0nA

Let's Lab. IS-IS routing protocol. Часть 2

Концепции и правила! Они окружают нас повсюду. Что употреблять в пищу, как переходить дорогу, почему не стоит облизывать лягушек и как перекладывать пакеты, если ты маршрутизатор. Очень много всяких штук приходится держать в голове сетевому инженеру. Порой и не поймёшь, так ли тебе надо знать все типы LSA в OSPF, по какому порту строятся TCP сессии в BGP, и так ли важно каждый день узнавать что-то новое, при этом, не забывая старое.
Так или иначе, переходить к практике рано, пока нет понимания теории. В выпуске будет очень много концепций, которые я постараюсь вам объяснить. Всю воду и историю я слил в первый выпуск. А данный выпуск будет состоять из двух секций, в первой из которых я подробно расскажу о топологиях с IS-IS. Вторая секция будет посвящена данным, которыми обмениваются маршрутизаторы в IS-IS.
И вот о чём пойдёт речь:
Тяжко ли быть маршрутизатором с OSPF или IS-IS на борту?
Как OSPF и IS-IS строят топологию?
L1, L2, L1/L2 маршрутизаторы и куда их пристроить.
Что такое Partial route calculation и как работает ISPF?
Зачем нам куча Area и так ли они важны?
Нужен ли в IS-IS virtual link?
Поменять номер Area без downtime?
Почему IS-IS называют L2-протоколом?
Бабушка, а зачем тебе такое больше MTU?
Что такое PDU, и какими они бывают в IS-IS?
Почему я так люблю Overload bit?
И как запихнуть в OSI-протокол ip-префиксы и чизбургер?
В следующем выпуске больше веселья. Даёшь командную строку!



Книги к прочтению (в том числе про OSPF):
H.Gredler-The Complete IS-IS Routing Protocol-2005
Abe Martey — Cisco Press — IS-IS Network Design Solutions
Cisco Press — Routing.TCP.IP.Volume.1.2nd.Edition.Oct. 2005
Wendell Odom, Rus Healy, Denise Donohue — CCIE Routing and Switching Exam Certification Guide 4th Edition — 2009
CCIE Routing and Switching v5.0 Official Cert Guide Volume 1
Ссылки:
monsterdark.com/wp-content/uploads/BRKRST-2327.pdf — большая презентация на CiscoLive про ISIS
blog.ine.com/2009/12/31/tuning-ospf-performance/ — тюнинг OSPF, в тч ISPF и PRC
inetzero.com/isis-training-and-junos-configuratio/ — прекрасная статья про ISIS в Junos и PDU с inetzero.com
packetlife.net/captures/protocol/isis/ — Дампы трафика
citforum.ru/nets/ito/20.shtml — протоколы OSI, на русском!
www.itcertnotes.com/2012/03/is-is-protocol-data-units-pdus.html — ещё немного про PDU, ёмко и с кратинками
sites.google.com/site/amitsciscozone/home/is-is/is-is-packets — глубже в PDU с wireshark
blog.initialdraft.com/archives/844/ — примеры формирования database
rekrowten.wordpress.com/2013/09/30/learn-is-is-basic-configuration-part-1/ — большой блог по ISIS с практикой

Let's Lab. IS-IS routing protocol. Часть 1

Статья и видео подготовлены специально для linkmeup Алексеем Кротовым.

Всем привет, дорогие друзья!
Маршрутизация – это весело. А IGP-маршрутизация — это ещё и быстро. Есть, конечно, энтузиасты, которым не хватает всего многообразия решений, и в результате мы видим такие забавные реализации, как тысячи статических маршрутов или полное доминирование iBGP в маленьких сеточках.
Но сегодня мы не будем запихивать слона в игольное ушко. Обсуждаемой теме уже 100 лет в обед, но я всё чаще становлюсь свидетелем того, как заслуженный протокол признают уделом извращенцев. А говорю я об integrated IS-IS.
С тех пор как Cisco вырезала топик из CCNP R&S, все кому не лень стали кидать в беднягу тапками. Мол «вали туда, где покоятся frame relay и x25, у нас есть OSPF». Да, давайте просто так назовём дураками и лентяями крупнейших провайдеров, может они правда не хотят идти в ногу со временем?
Я думаю всё дело в том, что не так много начинающих инженеров сталкивается в своей работе с этим протоколом. Кстати в CCNP Service Provider топик не обошли вниманием. А те, кто пошёл по пути Juniper, возможно, и вовсе не имеют таких предрассудков. Захотели сдать CCIE R&S written?- пожалуйте на страницы учебников, «матчасть» надо знать.
Не сочтите меня фанатом IS-IS, я считаю, что всему своё место, и не стоит пихать IS-IS в каждый энтерпрайз «лишь бы было». Но вот что меня не устраивает категорически, так это количество учебных материалов и заметок в интернете. Очень трудно «въехать с нуля».
Тем, чьё сердце пленили операторские сети, тем, кто не боится знать правду и тем, кто страстно желал видеть IS-IS на страницах LinkMeUP, посвящается.



Книги к прочтению:

H.Gredler-The Complete IS-IS Routing Protocol-2005
Abe Martey — Cisco Press — IS-IS Network Design Solutions
Cisco Press — Routing.TCP.IP.Volume.1.2nd.Edition.Oct. 2005
Wendell Odom, Rus Healy, Denise Donohue — CCIE Routing and Switching Exam Certification Guide 4th Edition — 2009
CCIE Routing and Switching v5.0 Official Cert Guide Volume 1

Следите за новыми видео на канале Let's Lab.
Блог Алексея на хабре.

Let's Lab. Операционная система IOS-XR, обзор и практика.

Статья и видео подготовлены специально для linkmeup Алексеем Кротовым.

Cisco IOS – самая народная и родная среда для большинства сетевых инженеров. Бесчисленное количество статей, видео уроков и тонны документации берут её как эталонную. Но ничто не стоит на месте, и старым программным продуктам на замену приходят новые.
Многие ругают Cisco за решения в рамках развития IOS. Одна из причин недовольства – разные интерфейсы настройки. Среди недовольных был и я, когда первый раз столкнулся с IOS-XR. Куда подевались « | section», почему не поднимается BGP, почему коллеги не хотят обновлять CRS? – эти и многие другие вопросы заставили меня сомневаться и не доверять этому незнакомцу.
Но земля не плоская, электричество не колдовство, а инженер не должен бояться нового. Особенно, когда оно очень похоже на знакомое старое.
А речь сегодня пойдёт об операционной системе IOS-XR. Хороша она или нет, судите сами. Welcome!



Статья про операционные системы cisco, полезно про IOS-XE.
Стратегия и эволюция IOS. IOS-XE.
Большая презентация про IOS-XR на русском.
IOS-XR и примеры его применения.
IOS-XR, архитектура платформ и отличия в CLI.

Следите за новыми видео на канале Let's Lab.
Блог Алексея на хабре.

Безопасность IP телефонии

Статья написана специально для linkmeup.

=======================

Здравствуйте, коллеги и друзья, я, Семенов Вадим, совместно с командой проекта network-class.net представляем вниманию обзорную статью, которая затрагивает основные тенденции и угрозы в IP телефонии, и самое главное, те инструменты защиты, что на данный момент предлагает производитель в качестве защиты (если выражаться языком специалистов по безопасности, то рассмотрим какие инструменты предлагает производитель для уменьшения уязвимостей, которыми смогут воспользоваться нелегитимные лица). Итак, меньше слов– переходим к делу.
Для многих читающих термин IP телефония уже давно сформировался, а также и то, что данная телефония «лучше», дешевле по сравнению с телефонией общего пользования (ТФОП), богата различными дополнительными функциями и т.д. И это действительно так, однако… отчасти. По мере перехода от аналоговой (цифровой) телефонии со своими абонентскими линиями (от абонентского телефона до станции или станционного выноса) и соединительными линиями (меж станционная линия связи) ни много ни мало были только лишь в зоне доступа и управления провайдера телефонии. Иными словами, обычным обывателям туда доступа не было (ну или практически так, если не учитывать кабельную канализацию). Вспоминается один вопрос на старом добром форуме хакеров «Подскажите, как получить доступ к АТС? – ответ: «Ну как, берешь бульдозер – таранишь стену здания АТС и вуаля». И эта шутка имеет свою долю правды) Однако с переносом телефонии в дешевую IP среду мы получили в довесок и те угрозы, которые несет в себе открытая IP среда. Примером приобретенных угроз может служить следующее:

  • Сниффинг сигнальных портов с целью совершения платных вызовов за чужой счет
  • Подслушивание за счет перехвата голосовых IP пакетов
  • Перехват звонка, представление нелегитимным пользователем как легитимный пользователь, атака «человек по середине»
  • DDOS атаки на сигнальные сервера станции с целью вывода из строя всей телефонии
  • Спам-атаки, обрушение большого количества фантомных вызовов на станцию с целью занять все её свободные ресурсы

Несмотря на очевидность в необходимости устранять все возможные уязвимости дабы уменьшить вероятность реализации той или иной атаки — по факту внедрение тех или иных мер защиты необходимо начинать с составления графика, учитывающего стоимость внедрения защитных мер от конкретной угрозы и убытков предприятия от реализации злоумышленниками этой угрозы. Ведь глупо тратить денег на безопасность актива больше, чем стоит сам актив, который мы защищаем.
Определив бюджет на безопасность, начнем устранение именно тех угроз, которые наиболее вероятны для компании, например для малой организации больнее всего будет получить большой счет за несовершенные междугородние и международные звонки, в то время как для государственных компаний важнее всего сохранить конфиденциальность разговоров. Начнем же постепенное рассмотрение в текущей статье с базовых вещей – это обеспечение безопасного способа доставки служебных данных от станции к телефону. Далее рассмотрим аутентификацию телефонов перед подключением их к станции, аутентификацию станции со стороны телефонов ну и шифрование сигнального трафика (для скрытия информации кто и куда звонит) и шифрование разговорного трафика.
У многих производителей голосового оборудования (в том числе и у Cisco Systems) есть уже интегрированные инструменты безопасности от обычного ограничения диапазона ip адресов, с которых можно совершать вызовы, до аутентификации оконечных устройств по сертификату. Например, у производителя Cisco Systems с его голосовой линейкой продуктов CUCM (Cisco Unified CallManager) с версии продукта 8.0 (дата выхода в свет май 2010г.; на данный момент доступна версия 10.5 от мая 2014г.) стала интегрироваться функция «Безопасность по умолчанию». Что она в себя включает:

  • Аутентификация всех скачиваемых по/с TFTP файлов (конфигурационные файлы, файлы прошивки для телефонов т.д.)
  • Шифрование конфигурационных файлов
  • Проверка сертификата с инициализации телефоном HTTPS соединения

Давайте рассмотрим пример атаки «человека по середине», когда нелегитимное лицо перехватывает конфигурационный файлы для телефонов, из которого телефон узнает на какую станцию ему регистрироваться, на каком протоколе работать, какую прошивку скачивать и т.д. Перехватив файл, злоумышленник сможет вносить в него свои изменения либо полностью затереть файл конфигурации, тем самым не дав телефонам всего офиса (см. рисунок) зарегистрироваться на станции, а, следовательно, лишив офиса возможности совершать звонки.

Читать дальше →

Packet Crafting

Александр sinister подготовил для linkmeup новую интереснейшую статью.

=====================================



Создание пакетов или packet crafting — это техника, которая позволяет сетевым инженерам или пентестерам исследовать сети, проверять правила фаерволлов и находить уязвимые места.
Делается это обычно вручную, отправляя пакеты на различные устройства в сети.
В качестве цели может быть брандмауэр, системы обнаружения вторжений (IDS), маршрутизаторы и любые другие участники сети.
Создание пакетов вручную не означает, что нужно писать код на каком-либо высокоуровневом языке программирования, можно воспользоваться готовым инструментом, например, Scapy.

Scapy — это один из лучших, если не самый лучший, инструмент для создания пакетов вручную.
Утилита написана с использованием языка Python, автором является Philippe Biondi.
Возможности утилиты практически безграничны — это и сборка пакетов с последующей отправкой их в сеть, и захват пакетов, и чтение их из сохраненного ранее дампа, и исследование сети, и многое другое.
Всё это можно делать как в интерактивном режиме, так и создавая скрипты.
С помощью Scapy можно проводить сканирование, трассировку, исследования, атаки и обнаружение хостов в сети.
Scapy предоставляет среду или даже фреймворк, чем-то похожий на Wireshark, только без красивой графической оболочки.
Утилита разрабатывается под UNIX-подобные операционные системы, но тем не менее, некоторым удается запустить ее и в среде Windows.
Эта утилита так же может взаимодействовать и с другими программами: для наглядного декодирования пакетов можно подключать тот же Wireshark, для рисования графиков — GnuPlot и Vpython.
Для работы потребуется права суперпользователя (root, UID 0), так как это достаточно низкоуровневая утилита и работает напрямую с сетевой картой.
И что важно, для работы с этой утилитой не потребуются глубокие знания программирования на Python.

Приступаем



Читать дальше →

Страсти по PLC

Статья написана нашим постоянным читателем и слушателем — Алексеем Кораблиным. Опубликована на nag.ru.

===============================

Эту статью породили две последние минуты 7-го выпуска 1-го подкаста для связистов ЛинкМиАп. Для тех, кто не слушал (и очень зря кстати) или слушал, но забыл, напомню, речь шла о технологии PLC.

PLC — Power Line Communication коммуникационная сеть, транспортом которой является обычная электропроводка квартиры, офиса или предприятия. Сети такого рода можно использовать для передачи данных и голоса. Электрический кабель буквально окружает современного человека. Он есть в домах офисах и предприятиях, общественных местах. И это не удивительно, ведь провода являются единственным широкоиспользуемым средством доставки электрического тока потребителю. Зачастую к электрифицированным объектам подходит не один, а несколько питающих кабелей, связано это с использованием нескольких электрических фаз или дополнительных линий питания. Само собой разумеется, что об использовании электрического кабеля как средства коммуникации задумывались давно. При реализации этой затеи, подключение к сети сводилось бы к подключению вилки адаптера к розетке. Как следствие, была разработана новая спецификация, в основу которой легли разработки PLC и DPL (Digital PowerLine), которые велись ранее. Создана она была усилиями группы компаний, таких как Siemens, Nortel, Motorola и др., образовавших собой HomePlug Powerline Alliance.

С появлением стандартов HomePlug 1.0, а затем и HomePlug AV PLC устройства в режиме BPL (Broadband over Power Lines — широкополосная передача через линии электропередачи) стали способны обмениваться данными на скорости до 200Мб/с. Где же можно использовать технологию Power Line Communication? При правильном применении почти где угодно, но, главным образом, данная технология используется для организации локальной сети дома и офиса, а также в качестве технологии доступа на провайдерском уровне. К достоинствам данной технологии можно отнести легкую масштабируемость сети, возможность реализации системы «умный дом» (на подобии технологии Z-Wave:) ), отсутствие дополнительных отверстий в стене и кабеля в квартире/доме.

История


Читать дальше →