Security Notes

IOS CLI VIEWS

2012-01-24T12:06:00.000+04:00

#enable view
(config)#parser view VIEW_1
(config-view)#secret cisco
(config-view)#commands exec include all show
(config-view)#commands exec include ping

(config)#username helpdesk view VIEW_1 secret cisco

Superview
(config)#parser view SV superview
(config-view)#view VIEW_1 //add view to superview. Superview combines commands from several views
(config-view)#view VIEW_2

AAA

2012-01-24T11:29:00.000+04:00

radius udp:1645 udp:1812
tacacs+ tcp:49

ssh config

2012-01-19T12:28:00.001+04:00

(config)# ip domain-name xxx.com
(config)#crypto key generate rsa
(config-line)#transport input ssh
(config)#ip s sh version 2
(config)#ip ssh time-out <1-120secs> //default 120
(config)#ip ssh authentication-retries <0-5> //default 3

sh users

SNMP

2012-01-19T12:24:00.000+04:00

snmp 1/2c
config)#snmp-server community ro

snmp 3

logging config

2012-01-19T12:21:00.000+04:00

(config)#logging buffered 4096 //логировать на флеш (до 4096 байт)
(config)#logging xxx.xxx.xxx.xxx
(config)#logging trap //уровень логгирования. Рекомендуется 5 (notice)
(config)# line vty 0 4
(config-line)#logging synchronous // вывод логов на консоль не мешает вводить команды

syslog-servers:
-Kiwi syslog
-Splunk

2011-02-25T16:58:00.000+03:00

CISA
CISSP
CCSK

ComTIA Sec+ Basics

2011-02-25T15:53:00.001+03:00

Defenses against Attacks
Although multiple defenses may be necessary to withstand an attack, these defenses should be
based on five fundamental security principles: protecting systems by layering, limiting, diversity,
obscurity, and simplicity. This section examines each of these principles, which provide a
foundation for building a secure system.

Layering
The Hope diamond is a massive (45-carat) stone that by some estimates is worth one-quarter
of a billion dollars. How are precious stones like the Hope diamond protected from theft? They
are not openly displayed in public with a single security guard standing at the door. Instead,
they are enclosed in protective cases that are bullet-proof, smash-proof, and resistant to almost
any outside force. The cases are located in special rooms with massive walls and sensors that
can detect slight movements or vibrations. The doors to the rooms are monitored around theclock by remote security cameras, and the video images from each camera are recorded on tape.
The rooms are in buildings surrounded by roaming guards and fences. In short, precious stones
are protected by layers of security. If one layer is penetrated—such as the thief getting into the
building—several more layers must still be breached, with each layer being more difficult or
complicated than the previous layer. A layered approach has the advantage of creating a barrier
of multiple defenses that can be coordinated to thwart a variety of attacks.
The Hope diamond has not always had multiple layers of security. In
1958, this priceless diamond was placed in a plain brown paper wrapper
and sent by registered first-class U.S. mail to the Smithsonian
Institution! The envelope in which it was sent is on display at the
Smithsonian along with the diamond itself.
Information security must likewise be created in layers, because one defense mechanism
may be relatively easy for an attacker to circumvent. Instead, a security system must have
layers, making it unlikely that an attacker has the tools and skills to break through all the
layers of defenses. A layered approach can also be useful in resisting a variety of attacks.
Layered security provides the most comprehensive protection.

Limiting
Consider again protecting a precious diamond. Although a diamond may be on display for
the general public to view, permitting anyone to touch the stone increases the chances that it
will be stolen. Only approved personnel should be authorized to handle the diamond.
Limiting who can access the diamond reduces the threat against it.
The same is true with information security. Limiting access to information reduces the threat
against it. Only those who must use data should have access to it. In addition, the amount of
access granted to someone should be limited to what that person needs to know. For example,
access to the human resource database for an organization should be limited to approved
employees, including department managers and vice presidents. An entry-level computer
technician might back up the database every day, but he should not be able to view the data,
such as the salaries of the vice presidents, because he has no job-related need to do so.
What level of access should users have? The best answer is the least
amount necessary to do their jobs, and no more.
Some ways to limit access are technology-based (such as assigning file permissions so that
a user can only read but not modify a file), while others are procedural (prohibiting an
employee from removing a sensitive document from the premises). The key is that access
must be restricted to the bare minimum.

Diversity
Diversity is closely related to layering. Just as it is important to protect data with layers of
security, so too must the layers be different (diverse) so that if attackers penetrate one layer,
they cannot use the same techniques to break through all other layers. A jewel thief, for
instance, might be able to foil the security camera by dressing in black clothes but should not
be able to use the same technique to trick the motion detection system.
Using diverse layers of defense means that breaching one security layer does not compromise
the whole system. Diversity may be achieved in several ways. For example, some

organizations use security products provided by different vendors. An attacker who can circumvent
a Brand A device would have more difficulty trying to break through both Brand A
and Brand B devices because they are different.

Obscurity
Suppose a thief plans to steal a precious diamond during a shift change of the security guards.
When the thief observes the guards, however, she finds that the guards do not change shifts
at the same time each night. On Monday they rotate shifts at 7:15 PM, while on Tuesday they
rotate at 6:50 PM, and the following Monday at 6:25 PM. The thief cannot find out the times
of these changes because they are kept secret. The thief, not knowing when a change takes
place, cannot detect a clear pattern of times. Because the shift changes are confusing and not
well known, an attack becomes more difficult. This technique is sometimes called “security
by obscurity.” Obscuring what goes on inside a system or organization and avoiding clear
patterns of behavior make attacks from the outside much more difficult.
An example of obscurity would be not revealing the type of computer, operating system,
software, and network connection a computer uses. An attacker who knows that information
can more easily determine the weaknesses of the system to attack it. However, if this
information is hidden, it takes much more effort to acquire the information and, in many
instances, an attacker will then move on to another computer in which the information is
easily available. Obscuring information can be an important way to protect information.

Simplicity
Because attacks can come from a variety of sources and in many ways, information security
is by its very nature complex. The more complex something becomes, the more difficult it is
to understand. A security guard who does not understand how motion detectors interact with
infrared trip lights may not know what to do when one system alarm shows an intruder but
the other does not. In addition, complex systems allow many opportunities for something to
go wrong. In short, complex systems can be a thief’s ally.
The same is true with information security. Complex security systems can be hard to
understand, troubleshoot, and feel secure about. As much as possible, a secure system should
be simple for those on the inside to understand and use. Complex security schemes are often
compromised to make them easier for trusted users to work with—yet this can also make it
easier for the attackers. In short, keeping a system simple from the inside but complex on the
outside can sometimes be difficult but reaps a major benefit.

(с) "COMPTIA SECURITY+ 2008 IN DEPTH" by Mark Ciampa

АПКШ "Континент" - Развертывание

2010-08-12T12:05:00.002+04:00

Последовательность действий в общем
(Согласно "Admin Guide Central")

1. Инициализация и подключение КШ с ЦУС. См. [ 2 ].
2. Установка и запуск Программы управления (см. стр. 25).
3. Установка и запуск Агента (см. стр. 35).
4. Настройка Агента. См. [ 3 ].
5. Регистрация КШ, входящих в комплекс (см. стр. 35).
6. Запись конфигураций КШ на отчуждаемые носители (см. стр. 38).
7. Инициализация и подключение зарегистрированных КШ. См. [ 2 ].
8. Ввод в эксплуатацию инициализированных КШ (см. стр. 56).
9. Настройка комплекса (см. стр. 39).

Установка/обновление ПО

Для установки с usb-флешки, ее надо сначала подготовить с помощью утилиты Flash.exe

При этом все данные с нее удаляются !!! Имиджи установщиков:

cgw_release.flash ПО для установки КШ

cgw.aserv_release.flash ПО для установки КШ с сервером доступа

ncc_release.flash ПО для установки КШ с ЦУС

ncc.aserv_release.flash ПО для установки КШ с ЦУС и сервером доступа

Также требуется идентификатор админа (таблетка ibutton) для того чтобы ПАК "Соболь" разрешил изменить программную среду. По F1 надо обязательно проверить, что Соболь - Версия 1.0

2. Инициализация ЦУС КШ

Требуется ключевая информация для инициализации. Поставляется на дискете, можно просто переписать на флеш. После инициализации на флеш будет записан ключ для установки ПУ для этого ЦУС.

АПКШ "Континент" - Фильтрация IP-пакетов.

2010-08-10T15:11:00.002+04:00

Фильтрация дважды - до и после (де-)криптования.

Фильтрация по:

dest&source IP, dest&source ports
source int
факт аутентификации для внутренних хостов.
содержимое пакетов для прикладных протоколов.

Правила фильтрации IP-пакетов подразделяются на два типа:
• правила, сформированные комплексом автоматически;
• правила, заданные администратором.

Автоматическое формирование правил фильтрации для данного КШ осуществ-
ляется при инициализации ЦУС и КШ. Правила этого типа не отображаются на
экране и не могут быть удалены или изменены администратором

Правила, сформированные комплексом автоматически, разрешают соединения:
• ЦУС с Программой управления и Агентом;
• ЦУС с зарегистрированными КШ;
• основного и резервного КШ.

Режимы работы фильтра:
1) Основной - пакеты, прохождение которых запрещено, отбрасывают-

ся с регистрацией этого события в журнале НСД.

2) "Мягкий"- пакеты только регистрируются в журнале НСД, но пропускаются фильтром.

АПКШ "Континент" - Общие сведения

2010-08-10T13:59:00.002+04:00

Основа - урезанная FreeBSD
Общий функционал:

NAT
QoS
PPPoE
VLAN
v.92 dial-up (через COM или USB модем) ! нельзя при установленном на КШ ЦУС или сервера доступа
hot standby (кроме КШ с установленным ЦУС, а также КШ, подключаемых к телефонной линии с помощью модема)
Аутентификация хостов, подключенных к внутренним интерфейсам КШ
SPAN-порт

В стандартной поставке идет с ПАК "Соболь"

Центральное управление КШ - через ЦУС и программу управления.

ЦУС устанавливается на одном из КШ.

Программа управления работает через агент центра управления сетью.

Основные ТТХ:

• Алгоритм шифрования ГОСТ 28147-89 режим гаммирования с обратной связью

• Длина ключа, бит 256

• Защита передаваемых данных от искажения ГОСТ 28147-89 режим имитовставки

• Фильтрация IP-пакетов в соответствии с задаваемыми правилами фильтрации

• Увеличение размера пакета с учетом дополнительного IP-заголовка, байт, не более 48

• Количество КШ в сети с одним ЦУС до 500

• Максимальное количество сетевых интерфейсов у одного КШ 16

• Аутентификация компьютеров при подключениик КШ На основе расчета хэш-функции по

алгоритму ГОСТ Р 34.11-94

• Максимальное количество КШ в кластере горячего резервирования 2

• Комплекс обеспечивает непрерывную работу в необслуживаемом режиме

Законы регламентирующие защиту ПДн

2010-07-28T15:31:00.003+04:00

Общедоступные

Закрытые

Методические материалы ФСТЭК
Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных" от 15 февраля 2008 года (Базовая модель).
Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных" от 15 февраля 2008 года (Методика).
Документы, которые не применяются с 15 марта 2010 г. Решение ФСТЭК:
Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных" от 15 февраля 2008 года (пометка «для служебного пользования» снята Решением ФСТЭК России от 11 ноября 2009 г.)
Рекомендации по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных" от 15 февраля 2008 года (пометка «для служебного пользования» снята Решением ФСТЭК России от 11 ноября 2009 г.)

ГОСТ Р 51583-2000 Порядок создания автоматизированных систем в защищенном исполнении

2010-07-28T15:13:00.002+04:00

ПРИНЯТ И ВВЕДЕН В ДЕЙСТВИЕ Постановлением Госстандарта России от 6 апреля 2000 г. № 95-ст

1 Область применения

Настоящий стандарт распространяется на автоматизированные системы в защищенном ис полнении, используемые в различных видах деятельности (исследование, управление, проектиро вание и т. п.), включая их сочетания, в процессе создания и применения, которых осуществляется обработка защищаемой информации, содержащей сведения, отнесенные к государственной или служебной тайне.

Настоящий стандарт устанавливает дополнительные требования и положения стандартов класса 34 “Информационная технология. Комплекс стандартов на автоматизированные системы” в части порядка создания и применения автоматизированных систем в защищенном исполнении.

Настоящий стандарт применяется на территории Российской Федерации органами государственной власти, местного самоуправления, организациями, предприятиями и учреждениями не зависимо от их организационно-правовой формы и формы собственности, которые заказывают, разрабатывают, изготавливают и используют (эксплуатируют) автоматизированные системы в за щищенном исполнении.

настоящем стандарте приняты следующие сокращения:

AC — автоматизированная система;

АСЗИ — автоматизированная система в защищенном исполнении;

ЗИ — защита информации;

НД — нормативный документ;

ТЗ — техническое задание;

ЧТЗ — частное техническое задание;

ШС — шифровальное средство;

ТС — технические средства;

ПС — программные средства;

СрЗИ — средство защиты информации;

СиЗИ — система защиты информации;

СВТ — средство вычислительной техники;

ПЭМИН — побочные электромагнитные излучения и наводки;

НСД — несанкционированный доступ;

НИР — научно-исследовательская работа;

ФАПСИ — Федеральное агентство правительственной связи и информации.

http://iso27000.ru/standarty/gost-r-nacionalnye-standarty-rossiiskoi-federacii-v-oblasti-zaschity-informacii/gost-r-51583-2000-poryadok-sozdaniya-avtomatizirovannyh-sistem-v-zaschischennom-ispolnenii

Классификация ИСПДн

2010-07-16T12:16:00.002+04:00

Классификация ИСПДн

Классификация информационных систем персональных данных (ИСПДн) определяется Приказом ФСТЭК России, ФСБ России, Мининформсвязи России от 13 февраля 2008 г. № 55/86/20 «Об утверждении Порядка проведения классификации информационных систем персональных данных».

Следующая информация приведена в соответствии с данным приказом.

Классификация ИСПДн включает в себя следующие этапы:

сбор и анализ исходных данных по информационной системе;
присвоение информационной системе соответствующего класса и его документальное оформление.

Категории информации

Информация, обрабатываемая в ИСПДн может быть отнесена к одной из следующих 4 категорий:

категория 1 - персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни;
категория 2 - персональные данные, позволяющие идентифицировать субъекта персональных данных и получить о нем дополнительную информацию, за исключением персональных данных, относящихся к категории 1;
категория 3 - персональные данные, позволяющие идентифицировать субъекта персональных данных;
категория 4 - обезличенные и (или) общедоступные персональные данные

Классификация по масштабу ИСПДн

По объему обрабатываемых персональных данных (количество субъектов персональных данных, персональные данные которых обрабатываются в информационной системе), ИСПДн делятся на 3 подкласса (Хнпд):

в информационной системе одновременно обрабатываются персональные данные более чем 100 000 субъектов персональных данных или персональные данные субъектов персональных данных в пределах субъекта Российской Федерации или Российской Федерации в целом;
в информационной системе одновременно обрабатываются персональные данные от 1000 до 100 000 субъектов персональных.данных или персональные данные субъектов персональных данных, работающих в отрасли экономики Российской Федерации, в органе государственной власти, проживающих в пределах муниципального образования;
в информационной системе одновременно обрабатываются данные менее чем 1000 субъектов персональных данных или персональные данные субъектов персональных данных в пределах конкретной организации.

Типовые и специальные ИСПДн.

По заданным оператором ПДн характеристикам безопасности обрабатываемой информации ИСПДн подразделяются на типовые и специальные.

«Типовые информационные системы - информационные системы, в которых требуется обеспечение только конфиденциальности персональных данных.
Специальные информационные системы - информационные системы, в которых вне зависимости от необходимости обеспечения конфиденциальности персональных данных требуется обеспечить хотя бы одну из характеристик безопасности персональных данных, отличную от конфиденциальности (защищенность от уничтожения, изменения, блокирования, а также иных несанкционированных действий).

К специальным информационным системам должны быть отнесены:

информационные системы, в которых обрабатываются персональные данные, касающиеся состояния здоровья субъектов персональных данных;
информационные системы, в которых предусмотрено принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы».

Типовым ИСПДн могут быть присвоены следующие классы:

класс 1 (К1) - информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к значительным негативным последствиям для субъектов персональных данных;
класс 2 (К2) - информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к негативным последствиям для субъектов персональных данных;
класс 3 (К3) - информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к незначительным негативным последствиям для субъектов персональных данных;
класс 4 (К4) - информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, не приводит к негативным последствиям для субъектов персональных данных.

Данные классы определяются, исходя из таблицы, в которой в качестве исходных данных присутствует масштаб системы ИСПДн (Хнпд) и категория обрабатываемой информации (Хпд):

		X_нпд
		3	2	1
X_пд	Категория 4	К4	К4	К4
	Категория 3	К3	К3	К2
	Категория 2	К3	К2	К1
	Категория 1	К1	К1	К1

Кроме того ИСПДн имеют еще несколько критериев классификации.

В соответствии с п.2 Приказа «классификация информационных систем проводится государственными органами, муниципальными органами, юридическими и физическими лицами, организующими и (или) осуществляющими обработку персональных данных, а также определяющими цели и содержание обработки персональных данных» - то есть операторами персональных данных.

терминология ИБ

2010-07-16T11:53:00.004+04:00

НСД - несанкционированный доступ, защита от несанкционированного доступа

СКЗИ - средства криптографической защиты информации

МСЭ - межсетевой экран

СЗИ - средства защиты информации (общее)

СЗПДн - система защиты персональных данных

AC — автоматизированная система;

АСЗИ — автоматизированная система в защищенном исполнении;

ЗИ — защита информации;

НД — нормативный документ;

ЧТЗ — частное техническое задание;

ШС — шифровальное средство;

ТС — технические средства;

ПС — программные средства;

СрЗИ — средство защиты информации;

СиЗИ — система защиты информации;

СВТ — средство вычислительной техники;

ПЭМИН — побочные электромагнитные излучения и наводки;

НИР — научно-исследовательская работа;

JunOS interfaces

2010-06-17T10:49:00.004+04:00

Наименование порта

fe, ge, xe

fe 0/1/1

0 - номер шасси или слота, мембер ид в Virtual Chassis. Для standalone номер всегда = 0

1 - Pic number. Фиксированные интерфейсы - 0, аплинк модули - 1

1 - номер порта. Начинается с 0

lo0 - loopback интерфейс

me0 - mgmt out-of-band int

vme - логический mgmt интерфейс в Virtual Chassis, доступен через me0 на любом коммутаторе, входящим в VS

vlan - логический L3 int привязанный к соотвествующему vlan

Все физические интерфейсы имеют сабинтерфейсы, называемые units

L3 конфигурация - на уровне unit

L2 конфигурация применяется на уровне физического интерфейса.

family inet - ipv4 конфигурация

family ethernet-switching - L2 конфигурация ethernet

Деактивация порта:

deactivate - деактивирует конфигурацию порта логически

disable - деактивирует сам порт

Унифицированные коммуникации по версии Cisco

2010-06-09T11:05:00.006+04:00

Что из себя представляет:

1) Все каналы коммуникации: телефония, видеосвязь, е-мейл, мессенджеры, sms и т.д. - объединяются в единую систему UC

Бенефиты от внедрения:

1) Экономия на расходах на связь - традиционно

2) Быстрый поиск всех способов связи с контактом (один контакт - несколько каналов связи) + presence абонента

3) "Единый номер" для всех ваших телефонов.

4) Ваши настройки (номер телефона, персональные контакты итд.) переезжают за вами, где бы вы не были. (Extension Mobility)

5) можем поддерживать 2х-стандартные wifi/gsm телефоны (через моб.терминалы)

6) Централизованное управления всеми контактами, каналами связи, и т.д. и т.п

Варианты совместной работы

1)Personal Communicator + UC Meeting Place.

Видео, desktop sharing, конференции через веб-камеру

2)Cisco Unified Video Conferincing Desktop

Облегченный вариант.

3) TelePresence

Вебконференции для "взрослых" - большие экраны, спецкамеры, выделенное оборудование и т.д и т.п.

Что посмотреть, почитать

1) Вебинар циско "UC в офисе" + наглядная демонстрация

http://cisco-apps.cisco.com/pcgi-bin/sreg2/register/regdetail.pl?SESSION_ID=127606627110586&LANGUAGE_ID=R&SEMINAR_ID=17197&SEMINAR_TYPE=O&USER_TYPE=R&BANNER_FLAG=1&METHOD=D&TOPIC_CODE=S12049

Query

2009-09-29T16:19:00.003+04:00

serial <= 2.048 kb/s - WFQ

other default - FIFO

EAP

2009-09-15T15:45:00.002+04:00

WEP

■ A lack of mutual authentication makes WEP vulnerable to rogue access points.

■ Usage of static keys makes WEP vulnerable to dictionary attacks.

■ Even with use of initialization vector (IV), attackers can deduct WEP keys by capturing

enough data.

■ Conﬁguring clients with the static WEP keys is nonscalable.

LEAP

■ Following are the beneﬁts of LEAP over the basic 802.11 (WEP):

■ Server-based authentication (leveraging 802.1x) using passwords, one-time tokens,

public key infrastructure (PKI) certiﬁcates, or machine IDs

■ Usage of dynamic WEP keys (also called session keys) through reauthenticating the user

periodically and negotiating a new WEP key each time (Cisco Key Integrity Protocol or

CKIP)

■ Mutual authentication between the wireless client and the RADIUS server

■ Usage of Cisco Message Integrity Check (CMIC) to protect against inductive WEP

attacks and replays

WPA

■ Authenticated key management—WPA performs authentication using either IEEE 802.1x

or preshared key (PSK) prior to the key management phase.

■ Unicast and broadcast key management—After successful user authentication, message

integrity and encryption keys are derived, distributed, validated, and stored on the client and

the AP

■ Utilization of TKIP and MIC—Temporal Key Integrity Protocol (TKIP) and Message

Integrity Check (MIC) are both elements of the WPA standard and they secure a system

against WEP vulnerabilities such as intrusive attacks.

■ Initialization vector space expansion—WPA provides per-packet keying (PPK) via

initialization vector (IV) hashing and broadcast key rotation. The IV is expanded from 24 bits

(as in 802.11 WEP) to 48 bits.

WPA2

■ AES
■ more CPU-intensive than WPA mostly because of the usage of AES

EAP-FAST
■ Supports Windows single sign-on for Cisco Aironet clients and Cisco-compatible clients
■ Does not use certiﬁcates or require Public Key Infrastructure (PKI) support on client
devices
■ Provides for a seamless migration from Cisco LEAP
■ Provides full support for 802.11i, 802.1x, TKIP, and AES
■ Supports password expiration or change (Microsoft password change)

■ EAP-TLS uses the Transport Layer Security (TLS) protocol.
■ EAP-TLS uses Public Key Infrastructure (PKI).
■ EAP-TLS is one of the original EAP authentication methods, and it is used in many
environments.
■ The supported clients for EAP-TLS include Microsoft Windows 2000, XP, and CE, plus
non-Windows platforms with third-party supplicants, such as Meetinghouse.
■ One of the advantages of Cisco and Microsoft implementation of EAP-TLS is that it is
possible to tie the Microsoft credentials of the user to the certiﬁcate of that user in a
Microsoft database, which permits a single logon to a Microsoft domain.

PEAP
■ PEAP was developed by Cisco Systems, Microsoft, and RSA Security to the IETF.
■ With PEAP, only the server authentication is performed using PKI certiﬁcate.
■ PEAP works in two phases. In Phase 1, server-side authentication is performed and an
encrypted tunnel (TLS) is created. In Phase 2, the client is authenticated using either EAP-
GTC or EAP-MSCHAPv2 within the TLS tunnel.
■ PEAP-MSCHAPv2 supports single sign-on, but Cisco PEAP-GTC supplicant does not
support single logon

Wireless

2009-09-14T16:19:00.004+04:00

Autonomous APs— WLSE + WDS

WLSE - centralized conﬁguration, monitoring, and management

WDS -radio monitoring and management communication between the autonomous APs and

CiscoWorks WLSE

LWAP - WLC (controllers) + WCS

WLSE

■ Conﬁguration—One CiscoWorks WLSE console supports up to 2500 APs. Conﬁguration

changes can be performed in mass, individually, or in deﬁned groups as desired or on a

schedule time. All Cisco Aironet APs are supported.

■ Fault and policy monitoring—WLSE monitors device faults and performance threshold

conditions

■ Reporting—WLSE provides the capability to e-mail, print, and export reports. Client,

device, and security information can all be tracked and reported.

■ Firmware—WLSE performs centralized ﬁrmware upgrades. Upgrades can be done in mass,

individually, or in deﬁned groups as desired or on a scheduled time.

■ Radio management—WLSE assists in management of the WLAN radio environment. Radio

management features include parameter generation, network status, and reports.

■ Deployment wizard—WLSE provides a deployment wizard that discovers, uploads

conﬁgurations, and manages all deployed AP

WCS has three versions:

■ WCS Base

■ WCS Location

■ WCS Location + 2700 Series Wireless Location Appliance

■ Conﬁguration for controllers and managed APs using customer-deﬁned templates

■ Status and alarm monitoring of all managed devices with automated and manual client

monitoring and control functions

■ Automated monitoring of rogue APs, coverage holes, security violations, controllers, and APs

■ Event log information for data clients, rogue APs, coverage holes, security violations,

controllers, and APs

■ Automatic channel and power level assignment using radio resource management (RRM)

■ User-deﬁned audit status, missed trap polling, conﬁguration backups, and policy cleanups

IPT basics

2009-07-20T12:00:00.002+04:00

Signaling protocols

1) H.323 - ITU standart

2) MGCP - IETF st

3) SIP - IETF st

Regardless of the signaling

protocol used, a phone call has three main stages:

call setup
call maintenance
call teardown.

1) Call setup

During call setup, the destination telephone number must be resolved to an IP address, where the

call request message must be sent; this is called call routing. Call admission control (CAC) is an

optional step that determines whether the network has sufﬁcient bandwidth for the call. If bandwidth

is inadequate, CAC sends a message to the initiator indicating that the call cannot get through

because of insufﬁcient resources. (The caller usually hears a fast busy tone.)

If call routing and CAC succeed, a call request message is sent toward the destination. If the

destination is not busy and it accepts the call, some parameters for the call must be negotiated

before voice communication begins. Following are a few of the important parameters that must be

negotiated:

■ The IP addresses to be used as the destination and source of the VoIP packets between the call

end points

■ The destination and source User Datagram Protocol (UDP) port numbers that the RTP uses at

each call end point

■ The compression algorithm (codec) to be used for the call; for example, whether G.729,

G.711, or another standard will be used

2) Call maintenance

Call maintenance collects statistics such as packets exchanged, packets lost, end-to-end delay, and
jitter during the VoIP call. The end points (devices such as IP phones) that collect this information
can locally analyze this data and display the call quality information upon request, or they can
submit the results to another device for centralized data analysis.
3)Call teardown
is simply "hanging up" and sending appropriate notiﬁcation to the other end point and any control devices so that the resources can be made free.

Analog-to-digital conversion involves four major steps:
1. Sampling
2. Quantization
3. Encoding
4. Compression (optional)

Cisco IPS/IDS

2009-05-25T10:34:00.004+04:00

ISR Built-in NIPS config

Step 1 Specify the location of the SDF—Various SDFs can exist in the Cisco IOS

device, but only one can be referenced.

! step 1 – define the location of the SDF

Router(config)#ip ips sdf ?

builtin Use the built in signature definition file

location Location of the signature definition file

Step 2 Conﬁgure the failure parameter—This tells the Cisco IOS device what

to do if the signature microengine (SME) is not available to scan the trafﬁc.

! step 2 – define the behavior if an SME fails

Router(config)#ip ips fail ?

closed Do not forward traffic of the failed module.

Router(config)#ip ips fail closed

Step 3 Create an IPS rule—This creates a name that is later applied to an interface.

The rule uses the SDF previously deﬁned. Optionally, an access control list

(ACL) can be applied to restrict which trafﬁc is scanned.

! step 3 – create an IPS rule, and optionally apply an ACL

Router(config)#ip ips name ?

WORD Name of IPS rule

Router(config)#ip ips name testips ?

list Specify an access list to match

Router(config)#ip ips name testips list 123

Step 4 Apply the IPS rule to an interface—Once the rule has been created, it must

be applied to an interface to become operational.

! step 4 – apply the IPS rule to

Router(config)#interface fastethernet 0/0

Router(config-if)#ip ips testips ?

in Inbound IPS

out Outbound IPS

Router(config-if)#ip ips testips in

Router(config-if)#

Additional config

VPN Statefull

2009-05-20T17:26:00.003+04:00

IPsec stateful failover uses two protocols for proper and continual operation:

■ HSRP—Monitors both the inside and outside interfaces. If either goes down, the entire router

is deemed unworthy and ownership of the IKE and IPsec SA processes is passed to the

standby router. When this transition occurs, the standby router becomes the active HSRP

router.

■ Stateful Switchover (SSO)—Shares the IKE and IPsec SA information between the active

and backup routers. At any time, either router knows enough to be the active IPsec VPN

router.

There are some limitations/restrictions:

■ Both the active and standby devices must run an identical Cisco IOS release.

■ The active and standby devices must be connected via LAN ports, either directly or through

a switch. WAN interfaces are not supported.

■ Both the inside and outside interfaces must be connected via LAN ports.

■ Only “box-to-box” failover is supported. Intrachassis (card-to-card) failover is not currently

supported.

■ Load balancing is not supported. Only one device in a redundancy group can be active at any

time.

■ IKE keepalive messages are not supported. DPD and periodic DPD are supported.

■ Stateful failover of Layer 2 Tunneling Protocol (L2TP) is not supported.

■ IPsec idle timers are not supported.

Router C:

crypto dynamic-map from-remote 10

set transform-set trans1

reverse-route

crypto map central-office 10 ipsec-isakmp dynamic from-remote

interface fastethernet 1/0

ip address 172.20.1.1 255.255.255.0

standby 1 ip 172.20.1.5

standby 1 priority 150

standby 1 preempt

standby 1 name vpn-remote

crypto map central-office redundancy vpn-remote stateful

redundancy inter-device

scheme standby vpn-remote

ipc zone default

association 1

protocol sctp

local-port 12321

local-ip 10.20.1.1

retransmit-timeout 300 10000

path-retransmit 10

assoc-retransmit 20

remote-port 12321

remote-ip 10.20.1.2

MPLS VPN Overview

2009-05-12T15:11:00.005+04:00

RD - Route Distiguisher - определяет принадлежность роутов к vrf instatnce. 64-bit value

RT - Route Target - позволяет нескольким клиентам с разными RD взаимодействовать. Можно определить какие роуты будут импортироваться или экспортироваться в зону с другим RD

PPPoE config

2009-04-20T11:33:00.001+04:00

int dialer 1

(config-if)#ip mtu 1492 --- PPPoE adds 8 bytes header

(config-if)#ip address negotiate

(config-if)#encapsulation ppp

(config-if)#ppp authentication pap (chap) callin -- callin - one-way auth. ISP wants us to sent our credentials

but don't want to auth itself

Теперь надо привязать виртуальный dialer 1 к физическому интерфейсу через dialer-pool

(config-if)#dialer-pool 1

int fa 4

(config-if)#pppoe enable

(config-if)#pppoe-client dial-pool-number 1

IPv6 Translation

2009-01-19T11:47:00.003+03:00

Translation is a different type of solution, allowing IPv6 devices to communicate with IPv4
devices, without requiring either to be dual stack.

Stateless IP/ICMP Translation (SIIT) translates IP header ﬁelds, and NAT Protocol Translation (NAT-PT) maps IPv6 addresses to IPv4 addresses. If IPv6 is used on the inside of a network and IPv4 is used on the outside, a NAT-PT device receives IPv6 trafﬁc on its inside interface and replaces the IPv6 header with an IPv4 header before sending it to an outside interface. Reply trafﬁc follows the mapping backwards, enabling two-way communication.
Good NAT implementations interpret application trafﬁc and understand when IP information is included in the application data; NAT-PT inherits this capability. For example, DNS packets
include IP addresses; therefore, NAT-PT must recognize DNS trafﬁc and change the IPv4
addresses into IPv6 addresses, and vice-versa.
IPv4 and IPv6 routing domains can also be connected using application-level gateways (ALG) or proxies. A proxy intercepts trafﬁc and converts between the two protocols; it can increase the transmission speed by responding to some requests using information in its cache. A separate ALG is required to support each protocol, so this method only solves speciﬁc types of translation problems.

IPv6 tunneling

2009-01-19T10:45:00.007+03:00

1) Manual
2) 6to4
3) Teredo
4) ISATAP

Manual

Example configuration:

Router(config)# interface tunnel0
Router(config-if)# ipv6 address 2001:0:1:5::1/64
Router(config-if)# tunnel source 192.168.1.1
Router(config-if)# tunnel destination 192.168.2.1
Router(config-if)# tunnel mode ipv6ip

6-to-4 Tunnels

6-to-4 tunnels work similar to manual tunnels but are set up automatically.6-to-4 tunnels concatenate 2002::/16 with the 32-bit IPv4 address of the edge router, creating a 48-bit prefix.

Ex: The tunnel interface on Router A has
an IPv6 preﬁx of 2002:C0A8:501::/48, where C0A8:501 is the hexadecimal equivalent of
192.168.5.1, the IPv4 address of its interface in the IPv4 network.

Teredo
Another type of tunnel is called Teredo (also known as shipworm). Teredo encapsulates IPv6
packets in IPv4/UDP segments and works similarly to other tunnels but with the added beneﬁt of
being able to traverse network address translation (NAT) devices and ﬁrewalls. Teredo is described
in RFC 4380, Teredo: Tunneling IPv6 over UDP through Network Address Translations (NAT).

ISATAP
ISATAP treats the IPv4 network as an NBMA network and allows an IPv4 private network to
incrementally implement IPv6 without upgrading the network. ISATAP is documented in RFC
4214, Intra-Site Automatic Tunnel Addressing Protocol (ISATAP).

Route Maps

2009-01-18T14:48:00.004+03:00

■ Each route map statement has permit or deny permission. Trafﬁc that matches a permit is

affected by the route map. Trafﬁc that matches a deny, or does not ﬁnd a match in the list, is

not affected by the route map.

■ Trafﬁc that is not explicitly permitted is implicitly denied.

■ Each route map statement has zero or more match conditions. A statement without a match

applies to all trafﬁc (like the any option in an access list).

Route Redistribution

2009-01-16T12:06:00.003+03:00

It is important to consider the following rules when redistributing between IP routing protocols:

■ If more than one routing protocol is running on a router, the routing table process will place
the route with the best administrative distance into the routing table.
■ Routing protocols can only redistribute routes they know. Thus, if RIP is being redistributed
into EIGRP, the routing table must have an entry for the RIP network.
■ When a route is redistributed, it inherits the default administrative distance of the new routing
protocol.
■ Redistributed routes are called external. External routes in EIGRP are given a different
(higher) AD, while OSPF tracks the route as external and prefers internal routes.

Potential problems:

■ Routing loops because routers send routing information received from one autonomous

system back into the same autonomous system.

■ Suboptimal routing decisions are made because of the difference in routing metrics.

■ The convergence time increases because of the different technologies involved. If the routing

protocols converge at different rates, this might result in timeouts and the temporary loss of

networks.

■ The decision-making process and the information sent within the protocols might be

incompatible and not easily exchanged, leading to errors and complex conﬁguration.

Control Methods:

■ Passive interfaces

■ Static routes

■ Default routes

■ The null interface

■ Distribute lists

■ Route maps

Route-maps

2009-01-14T10:44:00.002+03:00

IPv6 basics

2009-01-11T13:58:00.022+03:00

IPv6 address format
-8 groups, 4 hex (16 each: 2001:0db8:0000:0000:0000:0000:1428:57ab
-::1/128 - loopback address
Address types
1)Link-local scope - адреса для коннективити внутри L2-домена только. Аналог 169.254.x.x в Windows. Позволяет обмен трафика без настроек внутри сабнета по IP.
-Генерится автоматом при включении хоста.
-Всегда начинается с FE80 (1111 1110 1000), потом 54 bit нулей и последние 64 bit - MAC address c внедренным внутри "FFFE" (Ex: 0019.D122.DCF3 ---> 0019.D1FF.FE22.DCF3 ).
MAC адрес преобразованный таким образом называется EUI-64 (Extended Universal Identifier 64-bit) и служит Interface ID

2) Unique/ Site-local scope - аналог private subnets. Внутренние адреса организации. Depricated ?
3) Global - глобальные адреса.

Address optimization rules:

1) Можно убирать нули идущие подряд
2001:0db8:0000:0000:0000:0000:1428:57ab
2001:0db8:0:0:0:0:1428:57ab
2001:0db8::1428:57ab
NOTE! Символ :: нормально интерпретируется только один раз. Тоесть нельзя полностью убрать нули в двух разделенных другими символами октетах !NOTE

2) Можно убирать ведущие нули
2001:0db8::1428:57ab
2001:db8::1428:57ab

Communication types
1) Unicast - one-to-one, same as IPv4
2) Multicast - same as IPv4, but broadcast now is a kind of multicast group "to all"
3) Anycast - one-to-closest. Фактически встроенный load-balancing. Можно назначить один адрес многим устройствам аля "виртуальный ip в hsrp " и отвечать будет ближайший к клиенту.

IPv6 configuration

(config)#ipv6 unicast-routing
(config)#ipv6 cef
(config-if)# ipv6 address [address]/[prefix] [eui-64]

The eui-64 parameter causes the router to complete the lower order 64 bits of the address using an extended universal identiﬁer 64-bit (EUI-64) format interface ID

Multicast basics

2009-01-09T15:02:00.004+03:00

quick facts

-udp only

-224.0.0.0 - 239.255.255.255

|Client| -------|Switch|----------|Router|------|Internet|------|multicast server|

IGMP используется для организации подписки клиента к мультикаст группе. Служит своего рода source based routing protocol, для нахождения лучшего пути к источнику "вещания" ( например серверу видео stream)

Существует IGMPv3, наиболее используемым является IGMPv2

Если свитч не сконфигурирован для multicast, то по умолчанию он обрабатывает multicast traffic как броадкаст, тоесть рассылает всем.

Есть два метода поддержки multicast свитчом

1) Cisco Group Managment Protocol (CGMP) - cisco proprietary. Роутер по протоколу CGMP сообщает L2-свитчу, для каких маков пересылать трафик

2)IGMP snooping - Стандарт.Фактически весь функционал поддержки multicast переносится на свитч. Необходим L3 свитч. Если клиентов много, может создать сильную нагрузку на свитч.

VPN GRE tunnel with IPSEC

2008-12-23T16:30:00.005+03:00

quick checklist

1) crypto isakmp policy 10

encr aes 256

authentication pre-share

group 2

2) crypto isakmp key cisco address 192.168.3.2 no-xauth

3) crypto ipsec transform-set DEMO esp-aes 256 esp-sha-hmac

4) crypto ipsec profile VPN_PROFILE

set transform-set DEMO

5) tunnel int

ip address 192.168.3.1 255.255.255.0

tunnel source FastEthernet0/0

tunnel destination 10.0.0.2

tunnel mode ipsec ipv4

tunnel protection ipsec profile VPN_PROFILE

Controlling Route Selection

2008-12-17T12:33:00.004+03:00

Weight Attribute
The weight attribute is Cisco proprietary, and is considered before any other attribute.
Weight is local to the router and not propagated to other routers.
Weight is a 16-bit value; higher is preferable. Default is 0 if the route is learned from a peer, or 32,768 if sourced locally.

Router(config-router)# neighbor {<IP address> | <group name>} weight <weight>

Local-Preference Attribute
Local preference is a 32-bit value; higher values are preferred. Default value is 100.
Распространяется только в пределах одной AS ! Не переходит в другие !
Общий стандарт.

Configured as a default:
Router(config-router)# bgp default local-preference <value>

Configured per prefix (via a route-map):
Router(config-router)# neighbor {<IP address> | <group name>} route-map <map name> in

MED Attribute
The multi-exit discriminator is used to influence path selection by external neighbors routing into the AS.
Default MED value is 0; lower is preferred.

Configured as a default:
Router(config-router)# default-metric <value>
MED can also be configured per prefix via route-maps.

BGP Attributes

2008-12-10T14:20:00.004+03:00

Categories

1) Well-known - every vendor, who claimed to support BGP, must support this
2) Optional

3) Mandatory - must be in every route update ( Ex: "next hop address" )
4) Discretionary - optional

5) Transative - travel from router to router (from AS to AS) without change
6) Non-transative

Some of "Well-known" route attr:

1) AS-PATH (Mandatory) - путь прохождение через AS
2) Next-hop address (Mandatory)
3) Origin (Mandatory) - происхождение маршрута, т.е. откуда он пришел, откуда о нем стало известно.
4) Local preference (Discretionary)
5) Atomic aggregate (Discretionary)

Route decision process

Сравнение идет до первого совпадения ( как в ACL)

Weight - проприетарный атрибут циски. Имеет локальное значение. Можно указать weight для определенного neighbor ( точнее для всех приходящих от него маршрутов). Выигрывают маршруты с большим weight .

BGP troubleshooting

2008-12-10T12:14:00.002+03:00

show ip bgp sum
show ip bgp
show ip bgp rib-failure - может показать причину осутствия роута в роутинг таблице, несмотря на наличие этого роута в bgp table
etc

deb ip bgp events
deb ip bgp ?

BGP neighbor relationship

2008-12-10T11:54:00.002+03:00

* Idle (active) - Searching for neighbors
* Connect (active) - TCP connection established
* Open Sent (active) - Open message sent
* Open Confirm (active) - Response received. Если сконфигуренные параметры не совпадают, возвращается к состоянию Active. SIA.
* Established - BGP neighborship established

BGP neighborships can be confirmed with show ip bgp neighbors.

Neighbors still displayed as "active" after some time has passed have not correctly peered.

BGP peer groups

2008-12-10T11:01:00.004+03:00

Peer groups - позволяет создать шаблон атрибутов и применить его к нескольким neighbors сразу.

neighbor [name] peer-group
neighbor [name] remote-as [num]
neighbor [name] update-source [int_name]

применить к neighbor:

neighbor [ip] peer-group [group_name]

BGP notes

2008-12-03T16:47:00.004+03:00

Packets

Open - starts the session
Keepalive
Update
Notification - smth bad has happened; close session

EBGP requires direct connection, но можно обойти с помощью команды ebgp-multihop

router bgp as
neighbor remote-as
update-source - если в качестве неибора указан адрес loopback

BGP Sync (выключено после 12.2(8)T )
Если маршрут пришел по iBGP, но при этом не пришел по внутреннему протоколу - такой маршрут не попадет в routing table.

BGP Next-hop

eBGP peers - меняет next-hop на себя
iBGP peers - не меняет next-hop на себя, оставляет как есть ( поменять поведение командой next-hop-self )

IS-IS Network Types

2008-11-25T10:39:00.002+03:00

1) Broadcast

-assumes full conectivity (all IS can reach each other)

- elects Designated IS (DIS) - same as DR/BDR

- multicast

2) Point-to-point

-p2p connectivity

-no DIS

-unicast

When dealing with NBMA, p2p mode with sub-if is preferred design

IS-IS packet types

2008-11-25T10:15:00.004+03:00

packet = Protocol Data Unit (PDU)

network-layer packet = Network PDU

Data-link frame = Data-link PDU

PDU types:

1) Hello

2) Link-state packet (LSP) - аналог LSA в OSPF. Network advertisement

3) Partial sequence number PDU (PSNP) - выполняет роль ACK или request for missing network

4) Complete sequence number PDU (CSNP) - аналог DBD в OSPF, краткий summary DB. It is rather small, it sent once in 10 s in broadcast network; only once in p2p networks.

LSP header - тип пакета и служебная инфа

TLV - стандартный контейнер, может содержать различную инфу. Вся инфа об IP также передается в TLV. Таким образом можно сопоставить NSAP и соответствующих ему IP subnets.

IS-IS addressing

2008-11-24T10:29:00.003+03:00

OSI uses connectionless network protocol addresses (CNLP)

When CLNP assigned to a router it becomes a Network Service Access Point address (NSAP)
or Net address

NSAP address can be up to 20 bytes

Original OSI implementation defines 5 fields in NSAP

Cisco implementation defines 3 fields:
1) The Area address
2)The system ID
3)The NSAP selector (NSEL)

NSEL - всегда 00, просто определяет, что это IS система.
System ID - всегда 6 байт. Идентификатор роутера. Должен быть уникален
Остальное - Area address

EX: 49.0003.4444.4444.4444.00

49.0003 - Area id

4444.4444.4444 - System ID

Best practice: System ID = Router MAC

IS-IS routing

2008-11-18T11:46:00.006+03:00

IS-IS routing domains

routing
level 0 - взаимодействие End-System - IS
level 1 - взаимодействие IS-IS внутри area
level 2 - внутри AS
level 3 - с другой AS

IS-IS routing process

The Decision Process

After the link-state databases have been synchronized, it is necessary to decide which path to take

to reach the destination. Because the routers and hosts may have multiple connections to each

other, there may be many paths from which to choose.

To make the best path decision, link-state protocols employ the algorithm deﬁned by Dijkstra. This

algorithm creates a tree that shows the shortest paths to all destinations. The tree is used in turn

to create the routing table.

If there is more than one path to a remote destination, the criteria by which the lowest cost paths

are selected and placed in the forwarding database are as follows:

1. If there is more than one path with the lowest value metric, Cisco equipment places some or

all paths into the table. Older versions of IOS support as many as six load-sharing paths,

newer versions support more.

2. Internal paths are chosen before external paths.

3. Level 1 paths within the area are more attractive than Level 2 paths.

4. The address with the most speciﬁc address in IP is the address with the longest IP subnet

mask.

5. If there is no path, the forwarding database sends the packet to the nearest Level 2 router,

which is the default router.

The metric deﬁnes the cost of the path. Integrated IS-IS has four metrics, only one of which is

required and supported. The metrics deﬁned in ISO 10589 are as follows:

■ Default—Every Integrated IS-IS router must support this metric. Cisco set the default for all

interfaces to 10.

■ Delay—Cisco does not support the transit delay metric.

■ Expense—Cisco does not support the expense metric.

■ Error—Cisco does not support the error metric.

By default, six-bit metrics are conﬁgured on the outgoing interface. A 10-bit ﬁeld describes the

total path cost. These default metrics are referred to as narrow.

Because it considered these inadequate, Cisco increased the metric size to 24 bits. This larger

metric ﬁeld provides more granularity to distinguish between paths and is referred to as wide.

To determine shortest path, the lowest metric is chosen, internal paths are chosen over external

paths, and Level 1 routes have precedence over Level 2 routes.

The default metric is the only metric supported by Cisco, because each metric used in Integrated

IS-IS requires a different link-state database calculation for both the Level 1 and Level 2 routes.

IS-IS design

2008-11-18T11:35:00.003+03:00

Нужно предусматривать резервные линки на случай падения одного из роутеров ядра.

IS-IS basics

2008-11-18T10:41:00.007+03:00

Originally designed for OSI
Tuned for TCP/IP but still requires an OSI connectionless network services address (CLNS)

-Link-state - more tunable than OSPF
-Uses SPF - more efficient than OSPF
-Hello msg

L1 routers - internal routers, only knows about routes inside the area
L2 routers - backbone routers, only knows about backbone routes
L1/L2 routers - что-то вроде граничных роутеров. Поддерживают как базу internal area routes, так и backbone routes.

L1 - аналог клиента - внутри area он знает маршруты, но если надо попасть в другую area он обращается за помощью к L1/L2 ( аналог default gw)

Для IS-IS необязательно наличие area 0 - главное чтоб backbone был неразрывен.

По умолчанию, все линки имеют cost = 10. Необходимо вручную настроить все линки cost ( 0 - 63 )

Формирование relationship
L1 <----->L1
L2 <------>L2
L1 ////----/// L2 - не сформируются

L1/L2 <--------> L1/L2 - relationship формируется независимо для L1-to-L1 и для L2-to-L2 и формируются независимые DB

IS-IS NSAP addressing

- ISIS uses CLNP ( Connectionless Network Protocol) - аналог IP в стеке TCP/IP

- когда CLNP адрес назначается роутеру, он называется NSAP address (Network Service Access Point)

- 1 адрес на ноду, не на интерфейс

- NSAP address up to 20 bytes length

Адрес в hex и его лучше читать справа налево:

1) NSEL (1 байт справа - два символа в hex) - определяет тип системы. Для Inermediate System (IS) - роутера - всегда 00

2) System ID - 3 октета по 2 байта каждый. Всегда фиксировано 6 байт. Определяет ID роутера. Должен быть глобально уникальным.

3) Area address - Все остальное слева обозначает Area address. Должен быть одинаковым для роутеров в одной area

OSPF Authentication

2008-10-31T10:58:00.002+03:00

per-interface basis
every ospf packet keyed with password

Authentication types:

null (no authentication)(type 0)
plaintext
MD5

Authentication is enabled per interface.

Plaintext

Router(config-if)# ip ospf authentication-key 
Router(config-if)# ip ospf authentication

MD5

Router(config-if)# ip ospf message-digest-key  md5 
Router(config-if)# ip ospf authentication message-digest

OSPF Area types

2008-10-28T11:19:00.010+03:00

Area Types

Standard area
Stub area - Will not accept external routes (type 5 LSAs); type 5 LSAs are replaced by a default route
Totally stubby area - Will not accept LSAs of type 3, 4, or 5; routes are replaced by the ABR with a default route; Cisco proprietary. Полный аналог static default route
Not-so-stubby area (NSSA) - Stub areas which contain one or more ASBRs; ASBRs in a NSSA generate type 7 LSAs which are then converted to type 5 by the ABR

The greatest advantage of designating stub areas is decreased convergence time.

Stub & Totally stub areas

Not-So-Stubby-Area

`area stub`

Areas are designated as stubs when the chosen exit ABR is unimportant (or there is only one).

Router(config-router)# area [id]  stub

All routers within a stub area must be configured as such. A stub router will not form an adjacency with a non-stub router in the same area.

`area stub no-summary`

no-summary further limits a stub area by creating a totally subby area. Totally stubby areas do not receive type 3 or 5 LSAs from other areas.

Router(config-router)# area [id]  stub no-summary

Only ABRs need to be configured with no-summary appended to the stub command. Остальные роутеры в area могут быть просто с флагом stub.

To direct packets outside the stub area, routers rely on a default route advertised by the ABR(s).

The concept of totally stubby areas is Cisco proprietary.

`area default-cost`

Not-So-Stubby area configuration:
Router(config-router)# area [id] nssa

Used to define the cost of the default route injected by an ABR into a stub area. The default is (cost to the ABR + 1).

This can be used to prefer one stub exit over others.

Router(config-router)# area  default-cost

Configuration is done only on the ABR.

OSPF Virtual links

2008-10-28T10:39:00.016+03:00

Virtual links - позволяют обойти правило дизайна OSPF area, которое гласит что все area должны быть напрямую соединены с area 0

Такой дизайн - не самая лучшая идея. Рекомендуется применять virtual links только в крайнем случае, как временное решение.
Virtual links - фактически туннелирование в area 0. Может быть реализовано с помощью туннельных интерфейсов.
Virtual links cannot use a stub area for transit.

Router(config-router)#area [id] virtual-link [router id]

В нашем случае :
R3(config-router)#area 1 virtual-link 2.2.2.2
Virtual link должен быть сконфигурен с обоих сторон
R2(config-router)#area 1 virtual-link 3.3.3.3
При этом не важно, сколько роутеров между двумя конечными ABR.
sh ip ospf neighbors при этом выглядят также как и без использования VL.

sh ip ospf virtual-links

OSPF LSA types

2008-10-27T12:47:00.003+03:00

Link-State Advertisements

Router link (type 1) - Lists a router's neighbors and its cost to each; flooded throughout the area. Используется в пределах area
Network link (type 2) - Advertisement by the DR containing all routers on the segment it is adjacent to; flooded throughout the area
Network summary link (type 3) - ABRs generate this type of LSA to send between areas; it lists all prefixes available in an are.Используется для анонсов из одной area в другую.
AS external ASBR summary link (type 4) - Router link LSA for ASBRs. Анонс IP ASBR.
External link (type 5) - Originated by an ASBR, contains a route external to OSPF
NSSA external (type 7) - Equivalent to a type 5 LSA, but generated by an ASBR in a not-so-stubby area (NSSA); converted to a type 5 by the ABR

OSPF summarization

2008-10-27T11:19:00.012+03:00

Summarization

Inter-area summarization - Performed at the ABR; creates type 3 LSAs. Type 4 LSAs advertise ASBRs.
External summarization - Performed at the ASBR; creates type 5 LSAs.

1)ABR summarization

Used on an ABR to summarize multiple networks into a single type 3 LSA.

Router(config-router)# area  range  

В нашем случае (см. картинку)
(config-router)# area 1 range 192.168.0.0 255.255.0.0 - указываем area ИЗ которой будет анонсироваться  summary route !

Summary address указывает на Null0 интерфейс - loop prevention mechanism.
В случае, если трафик придет на summary address, но не предназначен ни одной из сетей, входящих в summary,
он дропается на Null0 интерфейсе.


2)ASBR summarization

При суммировании маршрутов приходящих из другой AS используется другая команда.
Так как в другой AS может не использоваться area (например redistribution из RIP),то используется просто summary-address

Router(config-router)# summary-address address mask [no-advertise] [tag]

В нашем случае

Router(config-router)# summary-address 172.16.0.0 255.255.0.0

OSPF Areas

2008-10-27T10:27:00.003+03:00

Router Types

Internal router - all ints in the same area
Backbone - at least one int in area 0
ABR - at least 2 int in different area
ABRS - AS boundary

OSPF network types

2008-10-23T15:23:00.006+04:00

I. Broadcast networks
-single operation mode
-10 s hello, 40 s dead timers
- DR/BDR election
- dual multicast

II. Point-to-point network
-single operation mode
-10 s hello, 40 s dead
-no DR/BDR
-single multicast

III. NBMA network
- 5 operation modes: 2 RFC, 3 Cisco

3.1 NBMA modes

1) Non-Broadcast mode (RFC)
Acts like LAN env -- так как все роутеры в одной подсети, процесс предполагает, что все они имеют connectivity, но на самом деле этом может быть не так. Необходимао настраивать, например настраивать frame-relay maps, чтобы R2 видел R3 через R4, хотя в таблице маршрутизации все может быть ОК.

Могут быть задержки в установлении neighbour relationship
Neighbors должны быть статически сконфигурены на роутере, который выступает в качестве DR/BDR. На остальных - необязательно.

Роутер, который будет выступать в качестве DR/BDR должен иметь высший приоритет.
Или остальные - низший.

DR priorities should be specified to ensure only candidates positioned well in the topology are elected DR and BDR.

Router(config-if)# neighbor  [priority ] [poll-interval ]
[cost ]

priority - This can be used to specify a higher priority than what has been configured on the neighbor (but not lower)
poll interval - The rate at which hellos are sent to inactive neighbors (default 120 seconds)
cost - Cost to reach the neighbor

Лучше будет настроить приоритет на обоих сторонах
На соответсвующем интерфейсе соседа (DROTHER)
(config-if)# ip ospf priority 0

2) Point-to-multipoint (RFC)
treats all links almost as p2p links.
!! Cloud & routers must allow broadcast accross links !!
Не нужно дополнительно прописывать никакие frame-relay maps.

3) Point-to-multipoint non-broadcast (Cisco)

То же, что и p2mp но позволяет реализовать без broadcast. Но при этом neighbors приходится конфигурить статично вручную.

4) Broadcast (Cisco)

Full emulation of broadcast env in NBMA network. Full mesh required. Single subnet required

5) Point-to-point (Cisco)
Full emulation of p2p env. Each DLCI acts as p2p link.
1) needs subinf to be configured
2) needs different subnets

Maybe the best mode for NBMA. Меньше всего проблемы, наиболее детерминированное поведение.

NBMA	Point-to-multipoint broadcast	Point-to-multipoint nonbroadcast	Broadcast	Point-to-point
DR/BDR	Yes	No	No	Yes	No
Identify neighbor?	Yes	No	Yes	No	No
Hello/dead timers	30/120	30/120	30/120	10/40	10/40
Standard	RFC	RFC	Cisco	Cisco	Cisco
Network supported	Full mesh	Any	Any	Full mesh	Point-to-point

Implementing & verification OSPF

2008-10-22T11:06:00.004+04:00

Configuring OSPF in a Single Area

Necessary information:

OSPF process ID (locally significant)
Participating interfaces
Area ID
Router ID

Enable OSPF

Router(config)# router ospf

Configure Included Networks

Router(config-router)# network   area

A single interface can be specified by supplying its IP address and a null wildcard mask:

network 192.168.0.1 0.0.0.0 area 0

Router ID

If no router ID has been administratively declared, a router will choose the highest loopback IP address. If no loopback addresses are present, the highest IP address of the first active interface will be used.

A router ID can be manually specified:

Router(config-router)# router-id

Best practice dictates the creation of a loopback address to be used as the router ID for stability and continuity:

Router(config)# interface loopback 0
Router(config-if)# ip address

Default Cost

Link cost is a 16-bit value (0-65535); default cost is calculated as 100Mbps/interface bandwidth. (Interfaces 100Mbps and faster are assigned a cost of 1.)

OSPF cost can be manually specified per interface:

Router(config-if)# ip ospf cost

An alternative to defining static costs per interface is to change the numerator bandwidth (default 100Mbps):

Router(config-router)# ospf auto-cost reference-bandwidth

Reference speed is a 32-bit value (1 - 4294967). If reference speed is modified, the same modification should be performed on all routers within the area.

Router Priority

Default DR election priority is 1, and a router with a priority of 0 will not become a DR. Priority range is 0 - 255.

Router(config-if)# ip ospf priority

Verifying OSPF Configuration

show ip ospf - OSPF process details
show ip ospf database - Contents of the topology database
show ip ospf interface - Interfaces participating in OSPF
show ip ospf neighbor - Neighbor information
show ip protocols - Displays all active routing protocols
show ip route
debug ip ospf events
debug ip packet

!! В дебаге роутер определяется router-id !!

# clear ip ospf process

OSPF basics

2008-10-20T18:32:00.019+04:00

All OSPF routers in an area share the same Link State Database (LSDB).

All areas must be connected to backbone area 0 ( исключение - использование virtual link - только если нет другого выхода). OSPF requires hierachical design

hello broadcast/p2p - 10 s
NBMA - 30 s

dead timer - 4 x hello

OSPF tables:

Neighbor table
Topology database
Routing table

multicast 224.0.0.5 -DR_other, common
224.0.0.6 - DR, BDR in broadcast env

cost = 100 / bandwidth_in_mbs

DR & BDR has to be elected in every shared segment

DR, BDR election
1) priority
2) highest router-id

HELLO packet

Router ID - 32-bit unique number (IP address)
Hello/dead intervals - Timers
Neighbor list - List of neighboring router IDs
Area ID
Priority - Used in electing the DR and BDR
DR and BDR
Authentication (if enabled)
Stub Area Flag - On if this is a stub area

Neighbor relationship

1. Determine Router ID

1) router id hard-coded (best practice)
2) highest loobback int (lo int can be pingable)
3) highest physical int (only active int participate)

! router ID changes only after reboot or ospf process reload !

2. Add interfaces to LSBD (dictated by network command)

3. Send HELLO on choosen interfaces (**DOWN state**)

HELLO contains:
1) Router ID
2) Hello & dead timers *
3) Network mask *
4) Area id *
5) Neighbors
6) Router priority
7) DR/ BDR ip address
8) Authentication password *
9) Stub flag *

* - must match

4. Receive HELLO (**INIT** state)
Check * to match. If conditions do not match you'll see cycling from **DOWN** to **INIT**

5. Send HELLO reply (** 2-way state**)
Router checks if it listed as neighbor in the received hello:
If yes ----> just reset dead timers, neighbor relationship have been already established earlier
If no -----> adds as new neighbor

6. Master - Slave determine ( **Exstart state ** )

determined by priority; router-id breaks the tie
Master send DBD first.
DBD = Database Desciption ("cliff notes" - заметки на полях - краткое описание topology DB)

7. DBD are acknowleged and received (**Loading state**)

Router просматривает DBD и если находит там сети, о которых он не знает, он запрашивает подробную инфу об этих сетках через Link-State Request (LSR). В ответ приходит Link-State Updates (LSU) c запрошеной инфой. LSU - своего рода контейнер, содержаший индивидуальные Link State Advertisement ( LSA) о каждой анонсируемой сети.

8. Neighbors are synchronized (**FULL state**)
Now it's time to start Dijkstra SPF algorithm to analyze received data

!!! In broadcast env every router establish **FULL state** only with DR &BDR, with DR_Other **2-way state** established !!!

Packet Types

OSPF is IP protocol 89.

Hello - Used to establish communication with directly connected neighbors
Database Descriptor (DBD) - Lists router IDs from which the router has an LSA and its current sequence number
Link State Request (LSR) - Request for an LSA
Link State Update (LSU) - Reply to an LSR with the requested information
Link State Acknowledgment (LSAck) - Used to confirm receipt of link-state information

Сертификация в ИБ

2008-10-14T21:25:00.003+04:00

Сертификация и стандарты
1) Международные
2) Национальные
3) Отраслевые (от ЦБ для финансовой сферы, от Газпрома)
4) Корпоративные

Также делятся на
1) Обязательные
2) Спорные / неявно обязательные
3) Рекомендованные
4) Best practices

В России в сфере ИБ основные регуляторы:
1) ФСБ
2) ФСТЭК
3) Минком-связь (последнее время)
4) МинОбороны
5) ФСО
6) СВР (служба внешней разведки)

Плюс неосновные:
1) ЦБ
2) Газпром
3) PCI Council

Сертификаты:

PCI DSS ( сертификация для работы с платежными системами VISA, MasterCard, Dinner Club, JCB)
последняя версия 1.2 (от 10.2008)
12 требований
см док Cisco Secure Store для PCI

ФСТЭК СТР-К (основной базовый документ ФСТЭК на данный момент)

ФСБ защита персданных
NME-RVPN серт КС1 и КС2

PACE (cisco)
Cisco NCM - аудит на соответствие требованиям сертификации. Не только циско, поддерживает 35 вендоров.

EIGRP Metric

2008-09-24T15:54:00.004+04:00

By default only Delay and Bandwidth are used. Both of them are statically configured values

EIGRP Msg

2008-09-24T15:45:00.003+04:00

Multicast address for EIGRP routers 224.0.0.10
Update msg - sends triggered update
Query - asks about routes
ACK - собственный механизм подтверждения получения. (Все кроме hello)

EIGRP Terminology

2008-09-24T13:56:00.010+04:00

(c) CBT nuggets

AD - advertised distance. For example 1900 in our case for net 10.1.2.0./24
FD - Feaseble distance = AD + cost. For example FD (R1) = 600 +10 for net 10.1.2.0./24
Successor - Primary route ( goes to the routing table)
Feaseble Successor - backup route. Must match condition - AD must be less then FD of the successor
Active route - route is actively search (DUAL) for path to net. Smth failed. If there is feaseble successor, backup route goes routing table without recalculation
Passive route - everything allright.

Feaseble successor shows in topology table #sh ip eigrp topology

2008-01-31T13:17:00.001+03:00

.. в процессе настройки ситуация менялась интересным образом: "должно работать но не работает" - "должно работать и работает" - " НЕ должно работать, но работает сцуко ! " ))

Тестим GS

2008-01-19T11:52:00.000+03:00

Действительно просто. Гугль молодцом - раз, два, три и блог готов. Очень мне последнее время импонирует простота. Вообще, в конечном итоге, в мире победит простота. Посмотрите хотя бы на Ethernet и ...автомат Калашникова ) Они чем-то похожи - оба жутко простые, дешевые и поэтому ужасно популярные ) Еще одна тенденция - интеграция всего и вся. Раньше, помнится, я был категорически против всех этих камерфонов, плейрфонов, коммуникаторов и смартфонов - ну хреново они выполняли свои функции, пусть и разнообразные.... заметно хуже нежели специализированные девайсы. Но прогресс не стоит на месте и сейчас все это вполне юзабельно, а главное..... опять же очень просто =) К чему это я.... Ах, да, а ведь онлайн-сервисы идут тем же путем ) Всем интересно кто же победит Google services или Windows Live ? Google раньше сориентировался в ситуации, спору нет, у них уже сформировалось преданное коммьюнити, их сервисы разнообразнее, функциональнее и все такое.... Вот только у Microsoft тупо больше денег =) И фактическая монополия на уровне home pc, и, что еще важнее, на mobile devices. Чувствую Live прямо таки станет неотделимой частью Windows. А в этом случае, если только Live не будет заметно хуже GS, полная победа ему обеспечена. А если будет хуже - просто большая часть рынка, как это происходит с IE ( который кстати в v7 стал вполне юзабелен). А если MS еще и догадается купить LJ..... кто-то из них его точно купит ;) Как было с youtube. Имхо гуглю стоит подружиться с яблоками... Яблоки действительно становятся конкурентом MS %) Даже у нас в России, где стоят бешеных денег ! Хотя парни из google товарищи амбициозные, могут и собственный дистр Линуха сваять ))
Вообщем развитие событий обещает быть интересным. Увидим ли мы банкротство Голиафа или же МС как всегда останется у руля ? Хмм....