Дневник волка путешественника!

Чтобы запретить создание отношений смежности по EIGRP следует использовать команду passive-interface interface-type interface-number. Есть два варианта запрета. Первый — это закрыть работу EIGRP на конкретном порту, а на всех остальных протокол будет работать. Второй — это закрыть везде, а разрешить на определенных. Команда даётся внутри нужной AS роутера EIGRP. Не смотря на то, что это протокол компании Cisco, его стали поддерживать и некоторые сторонние компании.

Причин по которым необходимо запретить работу EIGRP на интерфейсе может быть несколько. В моём случае — это защита от чужих анонсов из сети провайдера, который со своей стороны не закрыл EIGRP и вещает в мою сеть анонсы своих сетей. Оно конечно забавно и я бы мог поменять номера AS, чтобы мы особо не конфликтовали, но зачем морочить голову моему роутеру, если я могу просто закрыть дверь HELLO-пакетам которые отправляет провайдер в мою сторону. Вторая причина — это защита от прослушивания наших анонсов, что позволит злоумышленнику проанализировать структуру нашей сети.

Тэги: ИТ, Cisco

Отредактировано:2022-01-25 08:06:58 | Читать полную версию...

Точки доступа Cisco умеют работать с шириной канала как 20 МГц, так и 40 МГц. Возьму в качестве примера такую точку как AIR-CAP2602I-R-K9, она снята с производства и стоит копейки на вторичном рынке, а в силу ряда особенностей она является лидером двухдиапазонных точек доступа. Но повторюсь множество знакомых мне системных администраторов считают, что эти точки доступа не умеют работать с каналами шириной 40 МГц, так как при настройке видят на сканерах, что ширина всего 20 МГц. В русскоязычном интернете вообще почти все пишут, что не стоит верить мануалам и ширина канала больше 20 МГц ими не поддерживается.

Сегодня я расскажу как активировать 40 МГц на Cisco в диапазоне 5 ГГц. Для начала надо знать определённые тонкости (они так же характерны точкам доступа и роутерам Keenetic).

Тэги: ИТ, Cisco

Отредактировано:2022-01-09 00:32:11 | Читать полную версию...

Сходили сегодня на Гремячую гриву. Из больших плюсов хочу отметить то, что там появились тёплые информационные центры с установленным там кофе-автоматом. Но его не хватало, очередь до горячего кофе стояла огромная. При этом там же было очень много людей с термосами с чаем и кофе который принесли с собой. Людей было очень много. У меня уже есть статья о посещении этого эко парка. Так, что я набросаю сюда фотографий с прогулки.

Тэги: ПВД

Отредактировано:2022-01-02 20:51:55 | Читать полную версию...

Недавно столкнулся с проблемой из-за короткого срока жизни NAT трансляции на TMG-сервере. Да, кое-где ещё используется этот прокси-сервер от Microsoft. Как выяснилось время жизни UDP трансляции у него не превышает 15 секунд, вероятно из-за большого количества пользователей внутри сети. А мне было необходимо подключить VPN из-за NAT. Естественно, что VPN был реализован на Cisco. Но я бы хотел поговорить о том как настроить эти трансляции на оборудовании Cisco и зачем это надо.

Необходимость в уменьшении времени жизни нужно чтобы быстрее очищать сопоставление портов в NAT (PAT) таблицах маршрутизатора. Если роль NAT в вашей организации выполняет другое оборудование, либо у вас небольшое количество клиентов в сети, то вы можете ничего не трогать. Я вообще рекомендую лишний раз не трогать то, что хорошо работает и вы не уверены в том, что это такое и за, что отвечает.

Тэги: ИТ, Cisco

Отредактировано:2021-12-29 06:20:25 | Читать полную версию...

Микроконтроллер ESP8266 от китайского производителя Espressif Systems начинает мне нравиться всё больше и больше. Многие скажут, что «ну вот родил». Да, понимаю что микроконтроллер 2014 года уже может считаться устаревшим, но ребята, я до сих пор пользуюсь ATMega16 и ATMega32 и вроде как мне хватает для миниатюрных поделок. А тут и объем памяти огромный и процессор шустрый и на борту есть WiFi модуль. Я несколько раз прикручивал ESP8266 ESP-01 только для того, чтобы передать пару сотен байт через WiFi. Для этого приходилось программировать ESP в качестве медиаконвертора из USART в WiFi. А недавно была прямо пачка заказов сделать температурные датчики и обязательно через WiFi, для этого я брал ESP8266 ESP-12E NodeMCU для работы с USB-USART и распаянными пинами.

В общем и целом я пришел к выводу, что мне не хватает отладочной платы для работы с этим микроконтроллером. Была мысль прикрутить его к OrcinusBoard, но для этих целей всё-равно бы пришлось паять промежуточную плату, так не проще ли тогда вообще с нуля сделать. Опять же надо понять специфику этих микроконтроллеров и то куда их можно применить. На Алиэспрессе их часто вкорячивают в разные системы умного дома. Я так же пробовал сделать свою систему умного дома на основе Ethernet и моей отладочной платы. Кстати, мне не хватало на моей плате пары релюшек и постоянно приходилось делать дополнительные платы. Что-то типа такой.

Тэги: ESP8266

Отредактировано:2021-12-05 20:19:40 | Читать полную версию...

Все современные точки доступа от компании Cisco поддерживают работу в режиме MultiSSID. Но так как мне частенько говорят, что пробовали и не завелось, то я решил опять-таки опубликовать небольшую заметку с шаблоном настройки точек доступа Cisco, для экспериментов возьму довольно дешёвую точку доступа AIR AP1041N-E-K9. Как видно из названия — это одно диапазонная точка доступа работающая в режиме IEEE 802.11n (WiFi 4).

Для того, чтобы понять всю суть работы точек доступа от Cisco надо понимать, что есть радиоинтерфейсы и проводные интерфейсы. Между собой их можно объединять транковыми интерфейсами BVI. О том как работать с BVI написана масса статей в интернете, а так же эта функция обязательна к изучению для работы в сложных сетях. Если мне не будет лень, то я могу затронуть и этот вопрос. Для начала надо определиться со схемой подключения. Она будет классической для мелких офисов. Мы создадим две виртуальные сети на базе одной аппаратной точки доступа. Допустим — это будут сети: MYCOMPANY и MYGUEST.

Тэги: ИТ, Cisco

Отредактировано:2021-10-14 13:18:53 | Читать полную версию...

Попытка скрестить 9 FastEthernet и 4 GigabitEthernet порта на одной платформе ISR 2901 увенчались провалом. Эта циска перестаёт видеть модуль HWIC-D-9ESW, при установке модуля EHWIC-4ESG. То есть теряется девятипортовая плата. Для моего случая скорость на портах не критична, критично количество портов, по этому я оставил модуль с девятью FastEthernet портами. Но хочу протестировать, как роутер отреагирует на подключение модуля HWIC-4ESW. У меня такой модуль тоже имеется в наличии, но используется на домашнем роутере. Странно, что такая мысль мне пришла сейчас, а не в момент тестирования. Может быть если я перемещу модуль в другой слот, то оно заработает?

И так, на текущий момент я думаю проверить работу таких условий:

Тэги: ИТ, Cisco

Отредактировано:2021-10-12 11:06:32 | Читать полную версию...

Reflexive ACL на роутерах компании Cisco позволяет творить чудеса. Данное решение позволяет создавать защищенные системы для небольших домашних сетей в которых сидят в основном школьники которые любят ловить приключения на свои мелкие задницы. Они «сидят» за NAT и светятся в интернете белым IP-адресом роутера, за которым может находиться несколько десятков пользователей. И во время попыток других школьников, которые пытаются «наказать» своих обидчиков они применяют довольно распространённые методы взлома роутера и пытаются проникнуть за NAT. Технически, используя открытый порт, оставшийся от предыдущей сессии, можно получить возможность гнать трафик через этот порт за NAT. Полноценный взлом не получится, но DoS или загрузку канала устроить можно. В интернете много информации и инструкций о том как подменить флаг ACK или RST в TCP-пакетах с атакующей машины, да и пост о том как от этого защититься. Например, Cisco держит открытым порт в течение 24 часов для TCP и 5 минут для UDP. Как обстоят дела на других вендорах мне не известно. И так, в чём же плюсы подобного ACL? Он позволяет получать ответы из интернета только при условии инициации от пользователя расположенного внутри нашей сети. Нечто аналогичное можно делать используя established, но established умеет работать только с TCP.

Я понимаю, что в конце 2021 года подобных сетей уже не существует, но подобная настройка пригодится для различных кафе, работающих в обход закона о WiFi и которыми пользуются малолетние хакеры. А так же я знаю несколько человек которые вечно боятся, что их взломают через порты, открытые от предыдущих сессий. И так, перейду к примерам. Для начала нам необходимо определиться, что можно разрешить вытягивать из интернета пользователям нашей импровизированной домашней сети.

Тэги: ИТ, Cisco

Отредактировано:2021-10-01 09:35:38 | Читать полную версию...

Длинные MAC-адреса из 36 знаков, вместо MAC-адреса сетевой карты частенько напрягают при работе с Линукс дистрибутивами. Особенно когда необходимо быстро зарегистрировать его в DHCP какой-нибудь циски. Я говорю вот о таком случае:

Тэги: ИТ, Cisco

Отредактировано:2021-09-28 10:41:17 | Читать полную версию...

Проснулись мы с первыми петухами. Точнее с первыми вибросигналами на браслете MiFit. Решили, что сегодняшний день посвятим прогулке по парку. До автобуса ещё было много времени. По билету он должен был приехать в 15:25. Мы пошли в парк и по дороге ловили покемонов.

Тэги: путешествия

Отредактировано:2021-09-22 12:33:40 | Читать полную версию...