Занялся настройкой CARP на FreeBSD 8.
Приятно удивлен - быстро и просто. :)
Мат.часть
The Common Address Redundancy Protocol manages failover at the intersection of Layers 2 and 3 in the OSI Model (link layer and IP layer).
Each CARP group has a virtual MAC (link layer) address, and one or more virtual host IP addresses (the common address).
The master sends out CARP advertisement messages via multicast (224.0.0.18) using the CARP protocol (IP Protocol 112) on a regular basis, and the backup hosts listen for. If the advertisements stop, the backup hosts will begin advertising. The frequency is configurable, and the host which advertises most frequently is the one most likely to become master in the event of a failure.
http://www.countersiege.com/doc/pfsync-carp/
http://www.opennet.ru/base/net/carp_protocol.txt.html
http://dreamcatcher.ru/bsd/012_obsd.html
Post A Comment | Add to Memories | Tell a Friend | Link
Gartner выпустил свежий отчет со своими "волшебными квадратами". ( ознакомиться с квадратами )
Post A Comment | Add to Memories | Tell a Friend | Link
Я уже как-то писал про чудеса и приколы с модулем 4ESW на 2800 платформe
( детали полетов )
Post A Comment | Add to Memories | Tell a Friend | Link
отличное описание и подборка статей на тему IPSec/L2tp
http://www.jacco2.dds.nl/networking/openswan-l2tp.html
Road Warrior support In IPsec:
* One Preshared Key (PSK) shared by every user
* RSA authentication
* Multiple Preshared Keys with Aggressive Mode
* XAUTH
* DHCP-over-IPsec
* IKEv2
* X.509 certificates
критика PPTP от Schneier "Our hope is that PPTP continues to see a decline in use as IPSec becomes more prevalent. "
кстати, в mpd5 отличная реализация l2tp
и в дополнение, отключение Ipsec в WinXP
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\Parameters]
"ProhibitIpSec"=dword:00000001
Post A Comment | Add to Memories | Tell a Friend | Link
ipfw add 1 setfib 1 all from any to any
А счастье было так возможно ... ээх
this is expected.. setfib in the firewall can only change the fib on an outgoing packet AFTER it has already done its routing decision.
setfib in ipfw is basically for packets that you are ROUTING,(i.e. you are a gateway) and
is expected to be run in INCOMING packets before they make their routing decision..
http://unix.derkeiler.com/Mailing-Lists/FreeBSD/net/2009-01/msg00226.html
5 Comments | Post A Comment | Add to Memories | Tell a Friend | Link
Cisco Configuration Professional (CP) 1.2 is the new device manager for the ISRs and will replace SDM
CP is a graphical user interface (GUI) device management tool for Cisco IOS® Software-based access routers including Cisco ISR and Cisco 7200, and 7301 Series Routers. Cisco CP simplifies router, security, Unified Communications, wireless, WAN and basic LAN configuration through GUI-based easy-to-use wizards. ...
Q. What Cisco IOS® Software versions are compatible with Cisco CP?
A. Cisco Configuration Professional supports Cisco IOS Software Release 12.4(9)T and later.
available as a free download
Cisco CP Express 1.2 - The express version of Cisco CP embedded on the router flash
Cisco CP 1.2 - The PC based version of Cisco CP with complete voice, data and security feature support.
link - http://www.cisco.com/go/ciscocp
Post A Comment | Add to Memories | Tell a Friend | Link
властьВремя меняется! невозможное-возможно!
RFC 3546 - Server Name Indication (SNI)
да, сертификат будет только один на всех, так как еще нет URL от клиента
"Так что, дискриминирующие факторы на тему "какой сертификат предъявить?" только IP и порт сервера... Больше к тому моменту пока ничего не известно (ну, кроме IP клиента :)"
Логично все...
Post A Comment | Add to Memories | Tell a Friend | Link
 |
|
Cisco IP Communications Services for Cisco Integrated Services Router Platforms
Platform Maximum Number of Phones
Cisco 1861 Integrated Services Router 8
Cisco 2801 Integrated Services Router 24
Cisco 2811 Integrated Services Router 36
Cisco 2821 Integrated Services Router 48
Cisco 2851 Integrated Services Router 96
Cisco 3725 Multiservice Access Router 144
Cisco 3745 Multiservice Access Router 192
Cisco 3825 Integrated Services Router 168
Cisco 3845 Integrated Services Router 240
G.711 Channels Medium Complexity Channels High Complexity Channels
PVDM2-16 16 8 6
PVDM2-64 64 32 24
http://www.cisco.com/en/US/prod/collateral/routers/ps5854/product_data_sheet0900aecd80169812_ps5855_Products_Data_Sheet.html
Матрица версий IOS и CME
http://www.cisco.com/en/US/docs/voice_ip_comm/cucme/requirements/guide/33matrix.htm
Также
Cisco IOS Software Release 12.4(15)T will receive extended bug fix support through December 2010.
In addition, Release 12.4(15)T8 (scheduled for release in the December 2008 timeframe) and subsequent rebuilds of Release 12.4(15)T will receive a Maintenance Deployment (MD) release designator. MD defines Cisco IOS Software releases providing bug fix support and ongoing software maintenance.
тоесть CME 4.1 теперь лучше всего будет жить на 12.4(15)Tхх
cme-124-15-T.zip находяться прошивки телефонов и gui для определенной версии.
в cme-basic-4.1.x.y.tar находяться старые прошивки телефонов и gui для определенной версии.
CME System Administrator Guide
http://www.cisco.com/en/US/docs/voice_ip_comm/cucme/admin/configuration/guide/cmeadm.html
useful links
http://dreamcatcher.ru/index.php?option=com_content&task=view&id=6&Itemid=4
http://www.voip-info.org/wiki/view/CallManager+Express
Post A Comment | Add to Memories | Tell a Friend | Link
говорить что все плохо как-то банально, да и повторялось то не раз ...
While most ISPs now have the infrastructure to detect bandwidth flood attacks, many still lack the ability to rapidly mitigate these attacks. Only a fraction of surveyed ISPs said they have the capability to mitigate DDoS attacks in 10 minutes or less. Even fewer providers have the infrastructure to defend against service-level attacks or this year’s reported peak of a 40 gigabit flood attack.
report
Post A Comment | Add to Memories | Tell a Friend | Link
IP protocol 50(ESP)
IP protocol 51(AHP)
UDP 500(ISAKMP)
UDP 4500
UDP/TCP 10 000
Post A Comment | Add to Memories | Tell a Friend | Link
|
|
настройка DHCP ходить на TFTP сервер за XML конфигом
cisco - option 66 ascii "xxx.xxx.xxx.xxx"
isc-dhcp - option tftp-server-name "XXX.XXX.XXX.XXX";
The phone will download file "spa841.cfg" from the TFTP server, and use that for its initial configuration.
two configuration files. One holds your global settings. It is the primary configuration used by all devices of that type. The second configuration file is MAC specific. It supplies only a few phone specific settings.
spa[model number].cfg.
1. perform appropriate actions in Endpoint manager
2. open phone web interface (http://phone_IP/admin)
3. goto provisioning
4. fill in "Profile Rule:" with "SERVER_IP/spa$PSN.cfg" without quotes
5. press "submit all changes"
6. "http://phone_IP/admin/resync?" without quotes
http://spa-ip-addr/admin/spacfg.xml
Resync URL - http://spa-ip-addr/admin/resync?[[protocol://][server-name[:port]]/profile-pathname]
http://www.bytesolutions.com/app/Default.aspx?tabid=159&EntryID=3
http://www.voip-info.org/wiki/view/sipura+mass+deployment
http://www.pifiu.com/spc/ - utilities
Post A Comment | Add to Memories | Tell a Friend | Link
LLDP (Link Layer Discovery Protocol)
A device on a LAN segment employs LLDP to advertise its identity and capabilities, and it also receives this layer 2 information from other devices.
( детали )
Post A Comment | Add to Memories | Tell a Friend | Link
You may prefix a pathname with the minus sign, ``-'', to forego syncing the specified file after every kernel message.
в syslog.conf
local7.* -/var/log/dhcpd.log
выкручивать максимум в пару часов (при этом увеличить default что бы приходили реже)
max-lease-time 14400
Turn off ping-before-offer
Turn off dns updates
в 3.0.x увеличить includes/omapip/hash.h DEFAULT_HASH_SIZE до приемлемого значения (использовать простое число)
аналогично в 3.1.x includes/dhcpd.h LEASE_HASH_SIZE
Some default hash table sizes were tweaked, some upwards, some downwards. 3.1.0a1's
- Lease structures appear in three separate hashes: by IP address, by UID, and by hardware address. One type of table was used for all three, and improvements to IP address hashing were applied to all three (so UID and hardware addresses were treated like 4-byte integers). There are now two types of tables, and the uid/hw hashes use functions more appropriate to their needs.
Post A Comment | Add to Memories | Tell a Friend | Link
мнемоника для BGP
“We Love Oranges AS Oranges Mean Pure Refreshment”
W Weight (Highest)
L Local_Pref (Highest)
O Originate (local originate)
AS As_Path (shortest)
O Origin Code (IGP < EGP < Incomplete)
M MED (lowest)
P Paths (External Paths preferred Over Internal)
R Router ID (lowest)
1 Comment | Post A Comment | Add to Memories | Tell a Friend | Link
буду тут собирать подтверждения :)))
Для начала, основной тезис платформы: "Высокая производительность маршрутизации благодаря альтернативному методу работы внутренней системной шины и самого принципа роутинга."
( проверить ... )
аналоги Juniper SSG520, SSG550, checkpoint UTM.
Post A Comment | Add to Memories | Tell a Friend | Link
В сеть утекли детали ранее объявленной проблемы c DNS
( dns problem... )
ps.
Конечно же, с праздником всех причастных !
Post A Comment | Add to Memories | Tell a Friend | Link
как-то в этом году много всяких феноменальных открытий, внедрений и разоблачений. Вот про коллайдер недавно шумели, IPv6 внедряют интенсивно. А вот теперь проблему в DNS нашли. http://www.us-cert.gov/cas/techalerts/TA08-190B.html
Вообще говоря об этой беде (отравлении кеша DNS неверными ответами) было известно давно, но все от этого отмахивались, так как вероятность експлойта очень мала. А вот Dan Kaminsky молодец, поднял волну, и теперь сотни возбужденых админов могут обсуждать проблему.
p.s
судя по тому что я написал этот пост, я попадаю в указанную категорию :))))
p.p.s
солидарные со мной - http://it.slashdot.org/it/08/07/08/195225.shtml
continue - http://ifreedom.livejournal.com/20086.html
Post A Comment | Add to Memories | Tell a Friend | Link
Пролог
Байку про VTP пожалуй знает любой уважающий себя админ Cisco.
Суббота, день, дремлющий суппорт лениво разглядывает картинки в Интернет, ... ( кто украл Интернет )
5 Comments | Post A Comment | Add to Memories | Tell a Friend | Link
|
|
С большим удовольствием посмотрел презентацию Van Jacobson - A New Way to look at Networking http://video.google.com/videoplay?docid=-6972678839686672840
Очень толковый взгляд на прошлое с обобщением ошибок и способов развития Сети. Идеи куда двигаться дальше.
Кратко:
1 Этап - телефонные сети - построение линков между узлами. Сосредоточенность на линках, а не на том кто общается. Общение лишь следствие.
2 Этап - Tcp/IP (militarizes like 3 letters abbreviations (c)) - построение связности между узлами. В центре внимания - конечные узлы, данные несут информацию о них. Концепция иррелевантна к способу передачи данных между узлами (именно эти принципы и лежат в основе IP-layer3). Данные от общения следствие.
3 Этап - dissemination network (c) Van. - построение способа брать данные из сети. Нам не важно как они у нас окажутся, нам важно что бы они были валидными и консистентными. Это потенциально снимает проблему фишинга, спама и других следствий доверия узлам, а не данным. Да, все так просто ... :)
Спасибо ![[info]](http://l-stat.livejournal.com/img/userinfo.gif) dbg за ссылку. :)
Post A Comment | Add to Memories | Tell a Friend | Link
|
good