Перейти к содержанию

Рубрика: Hard

Настойка можжевельника: готовим Juniper SRX. Часть 2: IPSec

Не так давно мы пощупали немножко Juniper SRX, настроили его , и собрали отказоустойчивый кластер. Теперь начнем поднимать на нем «боевые» схемы, ради которых все и затевалось.
Например, соберем мысленно вот такую схему:
jpsrxvpn

На схеме видим центральный офис и подключенную к нему ноду — это может быть как филиал, так и какой-то удаленный заказчик/клиент, для связи с которыми требуется защищенное соединение. Разумеется, их может быть несколько (об этом ниже). Способ связи при этом нам абсолютно не важен: хоть Интернет, хоть «темное волокно» — данные все равно нужно шифровать, чтобы свести к нулюминимуму риск их утечки. И чем выше стойкость шифра и совершенней способ фильтрации, тем целее будут нервы администратора (как вы, наверное, знаете, сисадмин, как и любая замкнутая система, всегда стремится к состоянию покоя).

Сегодня мы будем поднимать IPSec-туннели.

2 комментария

Настойка можжевельника: готовим Juniper SRX. Часть 1

juniper — можжевельник (англ.)

Намедни в мои цепкие лапы попали два Juniper SRX 550. Попали не просто так, а для организации надежного ipsec и NAT-шлюза, а также OSPF-роутера. Ну а так как главное для нас — надежность, то именно с нее и начнем.

Для того, чтобы обеспечить отказоустойчивость сервисов, критично важные узлы обычно дублируют. Для ЦОДов это уже практически стандарт — N+N или хотя бы N+1. При этом устройства могут работать как независимо друг от друга, так и в кластере. Для обоих типов есть свои плюсы и минусы, но если нужен не просто роутинг/свитчинг, но нечто более «интеллектуальное» (например, те же NAT или IPSec), то без кластера тут точно не обойтись. Так что при плановом апгрейде в качестве замены Cisco 7201 рассматривались именно роутеры, способные работать в кластере. В связи с этим ASR 1k отправился лесом (как и ISR), ASA не рассматривалась (потому как готовить ее не умею), а VSS из Cat6503 — это уж слишком жирно и в плане цены, и в плане съедаемой электроэнергии.

Герой нашего рассказа. (Здесь и далее — картинки с официального сайта Juniper)

Оставьте комментарий

Как отравить кошку? Детективная история со счастливым концом

Статья подготовлена для Habrahabr

Устраивайся поудобнее, мой читатель. Сегодня я расскажу тебе увлекательную историю.

Все началось недавно. Свежеустановленный (меньше месяца) роутер Cisco вдруг на всех обиделся и ушел в себя. Настолько ушел, что на внешние раздражители реагировать перестал совершенно, трафик через себя пропускать посчитал делом неблагодарным и недостойным, и вообще закуклился по самое не могу.

Первая мысль после перезагрузки роутера: какой-то шутник решил запустить очередную убер-программу. Ну, или чей-нибудь ноут сошел с ума – тоже бывает. Однако пристальное изучение трафика (netflow, прослушка tcpdump-ом на предмет хитрого бродкаста) ничего не дало. Более того, шторм-контроль на клиентских портах не срабатывал.

А тем временем, роутер, проработавший после ребута едва ли пять минут, снова завис. Прошу заметить, в самый разгар рабочего дня. «К счастью», телефония шла через этот же роутер, и только это спасло нас от воплей огорченных коллег:).

Оставьте комментарий

Настройка MVR на Cisco ME3400

Начну с небольшого ликбеза. MVR (он же Multicast Vlan Registration) — технология, позволяющая инжектировать мультикаст во влан клиента непосредственно на свиче доступа. У D-Link такая технология называется ISM VLAN (IGMP Snooping Multicast VLAN). Таким образом до самого доступа влан с мультикаст-потоком у нас один, и только в самом конце он подмешивается к обычному пользовательскому влану. При этом Join/Leave сообщения также перехватываются и инжектируются в мультикаст-влан.

Для чего вообще это нужно? Можно, например, развести влан с мультикастом и клиентским трафиком по разным физическим трассам. Или не превращать каждый маршрутизатор еще и в PIM-роутер, уменьшая нагрузку на него. Вместе с IGMP Snooping использование MVR так же позволяет сэкономить на емкости каналов между сервером-источником и клиентами, например при использовании схемы vlan-на-пользователя.
В общем, если вы осознали, что вам нужна именно эта технология, добро пожаловать под кат.

Оставьте комментарий

Еще немного о карточках AMD.

Помните, я вам рассказывал про странное поведение иксов? Началось все еще на Debian, продолжилось на убунтах и Mint. Обновление ядер, драйверов — не помогало ничего. Смена драйверов на свободные ситуацию немного улучшило, но лишь немного — через произвольный (от нескольких часов до пары дней) иксы начинали сыпать артефактами, и терпеть их порой не было никакой возможности.

По этому случаю вера в NVidia была серьезно подорвана и было принято решение вернуться в стан AMD. По случаю зарплаты в Юлмарте был прикуплен сей девайс:
Gigabyte GV-R777OC-1GD

Картинка честно стырена с http://www.legitreviews.com

Оставьте комментарий

Наcтройка Tenda W300A/W301A в режиме AP/AP-Repeater

На работе используем клиентское оборудование Tenda — точки доступа и роутеры. Выглядят неплохо, понимают PoE и работают получше D-Link, как ни странно.
Итак, ситуация — необходимо настроить три точки доступа, при этом к свичу подключена только одна — остальные являются WiFi-репитерами. Ниже покажу, как это реализовывается, бо есть там весьма неочевидные вещи…

1 Комментарий

Откат dwl2100ap с bluebox к заводской прошивке

Собственно, всем хороша ТД D-Link dwl2100ap. Особенно тем, что легко перешивается в bluebox, и на выходе получается дешевое и надежное решение для построения радиканалов на…

Оставьте комментарий