К основному контенту

Сообщения

HP Web Management Platform (на примере 1910) и RADIUS аутентификация и авторизация (управление)

 И так первое что нам надо, настроить Radius сервер (Меню Authentication->RADIUS): Тут все стандартно - указать общий ключ, указать IP адрес и порт вашего сервера (внизу) и Важно! укажите тип сервера Extended иначе не будет работать авторизация - только аутентификация. далее идем в раздел AAA. Создаем новый домен (иначе с залогиненым пользователем в дефолтном домене мы не сможем применить настройки AAA) и не делаем пока его дефолтным. Затем переходим на вкладку Authentication, выбираем наш созданный домен, в примере это rad, и указываем метод аутентификации RADIUS, профиль нашего сервера и запасной метод local   Теперь то же самое нужно сделать на вкладке Authorization. Теперь на RADIUS сервере нужно создать NAS и пользователей. Пример будет на Freeradius. В файле clients.conf указываем сетку с нашими NAS и тем самым общим ключем client HPSwitches {         ipaddr          = Ваша подсеть, например 192.168.0.0/24         secret          = Общий секрет, например RadiusSharedSecret }
Недавние сообщения

Экспорт виртуальной машины с хоста ESXi (в качестве резервной копии) с отключением ненужных дисков.

Известная проблема с экспортом более менее больших виртуальных машин через WEB GUI ESXi решается с помощью ovftool однако иногда бывает нужно что-то еще сделать за одно, например мы хотим экспортировать только один диск нашей машины (предположим второй лежит на другом сторейдже и содержит скажем дистрибутивы или какие то ненужные видео файлы). Можно в WEB GUI ESXi выключить машину, удалить (крестиком) диск, экспортировать машину через ovftools, затем добавить существующий диск (указав путь до vmdk файла (разумеется мы его предварительно запомнили :-)  ). Но может вы хотите потом автоматизировать эту рутину.Тогда вам поможет WMWare PowerCli - это набор скриптов PowerShell которые умеют много из командной строки. Итак начнем. Сначала нужно подключится к VMWare для примера адрес хоста 192.168.1.10 Чтоб не пришлось вводить логин пароль в отдельном окне (а если вы делаете скрипт, тем более) привязываем к хосту учетку: New-VICredentialStoreItem   -Host 192.168.1.10 -User вашпользователь -P

Cisco ASA VTI + BGP туннели

В более менее свежем ПО Cisco ASA появилась возможность строить туннели с динамической маршрутизацией, примерно как на маршрутизаторах, но протокол маршрутизации нужен BGP Плюсы такой схемы перед Crypto map очевидны - анонсы маршрутов через различные туннели и легкое резервирование. Итак что нам понадобится, сначала займемся шифрованием, сразу современным то есть aes-gcm с обоих сторон одинаково добавляем: crypto ikev2 policy 5  encryption aes-gcm  integrity null  group 14  prf sha  lifetime seconds 86400 crypto ipsec ikev2 ipsec-proposal TSET  protocol esp encryption aes-gcm  protocol esp integrity null   crypto ipsec profile IPSEC_PROFILE  set ikev2 ipsec-proposal TSET  set pfs group14 Конечно же нужна туннельная группа, ну и как мы будем аутентифицировать друг друга tunnel-group yy.yy.yy.yy type ipsec-l2l tunnel-group yy.yy.yy.yy ipsec-attributes  ikev2 remote-authentication pre-shared-key <например общим ключом>  ikev2 local-authentication pre-shared-key <например общим

L2TP/IPSEC подключение и маршруты

Рассмотрим подключение на примере ОС Windows. А именно какие маршруты добавляются и как с этим жить. Итак в свойствах подключения есть:     В случае если у нас установлен флаг - "Использовать основной шлюз в удаленной сети" то все что не попадает в нашу локальную подсеть будет отправлено удаленному шлюзу - а это значит что и доступ в интернет должен быть на той стороне настроен для удаленных клиентов, и мы так же теряем доступ к собственным ресурсам через наш локальный шлюз. Иногда это даже хорошо но чаще нет. Флаг же "Отключить добавление маршрутов на основе класса" наоборот если снят то происходит следующее: Если пул из которого выдаются адреса удаленным клиентам например 10.100.101.0/25 То в нашу таблицу маршрутизации будет добавлен маршрут 10.0.0.0/8 через удаленный шлюз потому что это сеть класса A и если все удаленные сети тоже класса А (ну они конечно могут быть на основе масок) то все они будут доступны и без галки - "Использовать основной шлюз в удален

UserGate - Cisco OSPF

 Для того чтоб UserGate и Cisco знали за кем какие сети удобно использовать OSPF Начнем с UserGate: Сначала в зоне Trusted (а у нас интерфейс именно в этой зоне смотрит в сторону Cisco) нужно разрешить OSPF: Далее в Маршрутизаторах у нас по умолчанию есть дефолт маршрутизатор - щелкаем по OSPF Тут указываем идентификатор в виде IP адреса например интерфейса. Метрику, а так же что анонсировать - Connected ну и можно маршрут по умолчанию если UG у вас за одно и шлюз в интернет, тогда ставим галку -Default originate Идем во вкладку "Интерфейсы" и выбираем наш интерфейс в зоне Trusted, там же на вкладке "Аутентификация" если надо включаем аутентификацию для OSPF:  Затем добавляем области на вкладке "области" в нашем случае будет область 0 с именем 0 :-) теперь дело за Cisco: Коротко - создать OSPF процесс, сделать не пассивным интерфейс в сторону UG, анонсировать нужные сети. router ospf 1  router-id 10.XX.XX.XX  passive-interface default  no passive-interface

Доступ в интернет из двух VRF через глобальный

 Схема в EVE такая (маршрутизатор CSR1000v): VPCCUST1 находится в VRF CUST1, VPCCUST2 в VRF CUST2 И каждый из них должен получать доступ в интернет но не на друг друга. План такой: Создаем 2 VRF Настраиваем в них интерфейсы, настраиваем глобальный VRF и передаем маршрут по умолчанию в оба VRF Попутно создаем DHCP пулы для каждого VRF Конфиг роутера (только то что нам интересно)  ip vrf CUST1  rd 65000:1 ! ip vrf CUST2  rd 65000:2 ! ip dhcp pool CUSD1POOL  vrf CUST1  network 10.10.1.0 255.255.255.0  default-router 10.10.1.1  dns-server 8.8.8.8 ! ip dhcp pool CUSD2POOL  vrf CUST2  network 10.10.2.0 255.255.255.0  default-router 10.10.2.1  dns-server 8.8.8.8 ! interface GigabitEthernet1  ip vrf forwarding CUST1  ip address 10.10.1.1 255.255.255.0  no ip unreachables  ip nat inside  negotiation auto  no mop enabled  no mop sysid ! interface GigabitEthernet2  ip vrf forwarding CUST2  ip address 10.10.2.1 255.255.255.0  no ip unreachables  ip nat inside  negotiation auto  no mop enabled  no