Сообщения

Собираем промышленные коммутаторы Eltex в кольцо ERPS

-
Изображение
Первое что надо сделать - хоть и не хочется это выключить spanning-three no spanning-tree Почему не хочется и почему хотелось бы чтоб было немного иначе поясню на примере Cisco и протокола REP. Первое и главное, мы должны защитится от петель на access портах, а при выключенном STP нам придется применить чтото другое. Для Eltex это loopback-detection Второе, это то что если у нас полукольцо, подключается к сегменту сети с STP, но могут возникать ситуации, когда MAC адрес какого то устройства с сегменте ERPS, со стороны сегмента с STP "виден" через например порт G1/0/1, но после разрыва в полукольце, он доступен через другой порт, но сегмент STP об этом узнать может только если: 1. Коммутатор примет кадр от устройства и поправит запись в MAC таблице 2. Истечет таймаут хранения MAC записи, и кадр в адрес устройства будет разослан во все порты с определенным VLAN. Сегодня я напишу только о второй проблеме, затем допишу уже все остальное  Я проиллюстрировал это на рисунках ниже.  ...
Отправить комментарий
Далее...

Сбор данных о звонках с Avaya Aura (CDR)

-
Сборщик Avaya CDR (логов звонков) с сохранением их в базу данных MySQL. Опубликован на Github https://github.com/OlegPowerC/avayacdrparce  
Отправить комментарий
Далее...

Я опубликовал свою SNMP библиотеку на Github

-
  https://github.com/OlegPowerC/powersnmpv3
Отправить комментарий
Далее...

openssl для сетевого администратора

-
Часто что-то надо сделать с сертификатами но поскольку это не каждый день то ключи openssl забываются, тут немного полезных команд: Проверить соответствие закрытого ключа и сертификата (у них у обоих общий модуль (это то огромное число, разложив которое на его простые множители, можно сразу вычислить секретную экспоненту и получить закрытый ключ, благо для ключей 2048 бит это вроде как пока невозможно (эта операция называется факторизация)). Ну а сравнивать проще по хэшу модуля:  openssl rsa -noout -modulus -in <фай с ключом>   | openssl md5 openssl x509 -noout -modulus -in  <фай с сертификатом>  | openssl md5  Теперь представим что вам нужно разобрать сертификат и закрытый ключ в одном PKCS12 формате (обычно это файл с расширением PFX) на сертификат и закрытый ключ Тут стоит сделать замечание: Данные сертификатов хранятся в формате ASN.1  а именно его варианта кодирования DER. Однако довольно часто нужен формат который можно представить в виде ...
Отправить комментарий
Далее...

Инспекция SIP на Cisco ASA ну или SIP ALG

-
 Для того чтоб SIP АТС, будучи за Inside интерфейсом, могла работать с внешней АТС за Outside интерфейсом, необходимо чтобы ASA после трансляции адресов заменила некоторые поля в пакете SIP и SDP.  В принципе это работает из коробки, так как по умолчанию этот функционал включен: policy-map global_policy  class inspection_default   inspect dns preset_dns_map   inspect ftp   inspect h323 h225   inspect h323 ras   inspect rsh   inspect rtsp   inspect esmtp   inspect sqlnet   inspect skinny   inspect sunrpc   inspect xdmcp   inspect sip   inspect netbios   inspect tftp   inspect ip-options   inspect icmp   inspect icmp error   inspect ipsec-pass-thru   Он включается строкой   inspect sip  в policy-map. Это может быть и не дефолтная политика а та которая применяться к интерфейсу но это уже не по умолчанию. Так вот работает это только с не шифрованным SIP (то либо...
Отправить комментарий
Далее...

Обновление Cisco Nexus 5596 и прошивка Power sequencer

-
 И так нужна версия NXOS для которой есть утилита для обновления ПО секвенсеров. Такая есть под 9.7.1.4.N1.1 Соответственно заливаем ПО на buutflash, всего нам нужно 4 файла: n5000-uk9.7.1.4.N1.1.bin n5000-uk9-kickstart.7.1.4.N1.1.bin  nuova-or-dplug-mzg.7.1.4.N1.1.bin ucd-update.tar Далее устанавливаем NXOS: sh incompatibility system bootflash:n5000-uk9.7.1.4.N1.1.bin show install all impact kickstart n5000-uk9-kickstart.7.1.4.N1.1.bin system n5000-uk9.7.1.4.N1.1.bin  Если ничего критичного не видим то устанавливаем. install all kickstart n5000-uk9-kickstart.7.1.4.N1.1.bin system n5000-uk9.7.1.4.N1.1.bin  Если все успешно нам предложат перезагрузиться: Switch will be reloaded for disruptive upgrade. Do you want to continue with the installation (y/n)?  [n] y   Далее из консоли надо загрузить утилиту: load bootflash:nuova-or-dplug-mzg.7.1.4.N1.1.bin  Loading plugin version 7.1(4)N1(1) ############################################################### ...
Отправить комментарий
Далее...

ASA и LDAP over SSL

-
Видимо начиная с какой то версии ПО на Cisco ASA, работа с LDAP сервером с использованием SSL(TLS) невозможна без импорта на ASA сертификата LDAP сервера (либо его, либо того кем он подписан, например корневого доменного). как узнать какой у вас на сервере сертификат  кем он подписан: Ну например при помощи openssl openssl s_client -showcerts -connect <адрес LDAP сервера> :636  Далее надо получить сертификат в формате BASE64 И добавить его на ASA, например через CLI: crypto ca trustpoint ROOTCA  enrollment terminal  no ca-check crypto ca authenticate ROOTCA  <вставляем base64 текст>  quit  yes  В aaa-server <имя> (INSIDE) host <адрес LDAP сервера> добавляем ldap-over-ssl enable И тестируем test aaa-server authentication <имя> host <адрес LDAP сервера> Вводим имя пользователя Вводим пароль    
Отправить комментарий
Далее...