Эволюция производительности сетевых устройств

Еще 10 лет назад коммутаторы 10G 32-48х10G были топовым.

Сейчас уже норма устройства с 100g портами (модули QSFP28 и крупнее, например CFP; причем модули стоят уже от 10к рублей):

The FortiGate 3980E enterprise firewall is the world’s first terabit per second network security appliance – delivering 1.12 Tbps firewall performance in addition to 470 Gbps secured VPN throughput

The FortiGate 3980E performance is validated by Ixia’s BreakingPoint and latest CloudStorm 100GE Application and Security Test Load Module.


Читать дальше

Cisco reverse telnet через async порты (aux/db68)

Ссыли 0 1  2

Очень удобная тема, хотя и старая как жигули. Соединяешь новую железку (напр. BRAS) с аплинковой через AUX+консоль или DB68+CAB-OCTAL-ASYNC. Чуть настраиваешь line’ы (пример ниже для DB68 или выше в ссылках).  Далее можно с любого места, с которого доступна аплинковая Cisco (причем по любому из ее IP адресов, не только Lo0) зайти на ненастроенный или, божи-божи, упавший по data портам девайс поконсоль через telnet.

Читать дальше

32-битные счетчики sysUpTime

C 497 дня (4-миллиарда timeticks) обновляется значение Uptime при опросе sysUpTime (DISMAN-EVENT-MIB::sysUpTimeInstance или .1.3.6.1.6.3.10.2.1.3). Такое поведение аналогично на всех устройствах, включая Cisco. 64-битного счетчика timeticks (1/100 секунды), по аналогии с Counter64,  пока не существует. Для Cisco, Alcatel и многих других устройств (даже ZTE, но не D-Link) есть альтернатива – опрашивать количество секунд со старта (не epoch seconds) (SNMP-FRAMEWORK-MIB::snmpEngineTime или .1.3.6.1.2.1.1.3.0) и конвертировать во время самостоятельно скриптом.

Читать дальше

Console settings

Стандартные настройки

UART Settings:
 Baud Rate : <speed>
 Data Bits : 8
 Parity Bits : None
 Stop Bits : 1
 Flow control: None

Чаще всего отличается только скорость (кроме Extreme – у него flow control не none, а software или xon/xoff on):

  • 2400 – UPS
  • 9600 – Cisco, Alcatel 6850, Extreme x670, D-Link 3028/3526/3200 A1/B1, ZTE 5928/2928/2952
  • 115200 – D-Link 3627/3620/3200c1, MikroTik, ALU 7210

 

Хинты

  • При подключении консолью, консольный порт можно определить, не перебирая по очереди каждый COM1-10, а посмотрев его номер в диспетчере устройств “Порты COM и LPT”.


Читать дальше

Настройка Cisco IPsec сервера в Zyxel Keenetic

В связи с полным выпиливанием PPTP из свежих IOS/MACOS потребовался workaround по подключению телефона и макбука к домашнему роутеру. Используя такое подключение можно отказаться от довольно “дрявых” протоколов удаленного доступа вида TeamViewer, прямого RDP (вместо этого подключаемся по RDP из под поднятого IPSEC) и прочих.

Читать дальше

Настройка WLC Huawei AC6005

Настройка подробно с примерами расписана в доках hdx к контроллерам, тут выдержка конфига для софта до V200R006 с комментами. Протестировать настройку можно в eNSP. Главное после настройки перезагрузить эмулятор – может не анонсить SSID до перезагрузки.

# Licence может понадобиться
license active accept agreement
license function data
license function ac
# DHCP
vlan batch 10 555
# Вариант1 - Глобально
# for AP
dhcp enable
ip pool ap
 network 10.0.0.0 mask 255.255.255.0
 gateway-list 10.0.0.111
 dns-list 8.8.8.8
 option 43 sub-option 3 ascii 10.0.0.111
interface vlan 10
 ip address 10.0.0.111 24
 dhcp select global
# for CLIENTS
ip pool clients
 network 192.168.1.0 mask 255.255.255.0
 gateway-list 192.168.1.1
 dns-list 8.8.8.8
interface vlan 555
 ip address 192.168.1.1 24
 dhcp select global
# Вариант2 - На интерфейсах
interface Vlanif10
 ip address 10.0.0.0 255.255.255.0
 dhcp select interface
 dhcp server option 43 sub-option 3 ascii 10.1.201.100 # контроллер не обязательно должен быть в одной подсети с точками, главное чтобы точкам по option 43 приходил правильный IP контроллера и он был доступен им по L3
interface Vlanif555
 ip address 192.168.1.0 255.255.255.0
 dhcp select interface
 dhcp server dns-list 8.8.8.8
# untagged mgmt vlan, tagged client to AP
interface GigabitEthernet0/0/1
 port link-type trunk
 port trunk pvid vlan 10
 port trunk allow-pass vlan 10 555
# Клиентский интерфейс (не может быть tagged)
interface Wlan-Ess0
 port hybrid pvid vlan 555
 port hybrid untagged vlan 555
# Привязываем точки, поднимается CAPWAP (указываем интерфейс на котором включается CAPWAP)
wlan
 wlan ac source interface vlanif 10
 ap-auth-mode no-auth # после этого точки в конфиге сами появятся и CAPWAP поднимется (на точках CAPWAP UP!!)
# (OPT) Создаем регион, подвязываем к нему точки
ap-region id 10
ap id 0
 region-id 10
ap id 1
 region-id 10
# Настраиваем profile на все случаи жизни
wlan
 wmm-profile name wmm [id 0]
 traffic-profile name tra [id 0]
 security-profile name sec [id 0]
 #security-policy wep
 #wep key wep-40 pass-phrase 0 cipher [pass 5/10 symb]
 #wep authentication-method share-key
 #security-policy wpa
 #wpa authentication-method psk pass-phrase cipher testtest encryption-method tkip
 radio-profile name 2g [id 0]
 #radio-type 80211bgn
 wmm-profile id 0
 radio-profile name 5g id 1
 #radio-type 80211an
 wmm-profile id 0
# Создаем сервис SSID, привязываем к нему profile
 service-set name ssid1
 forward-mode direct # default В туннель форвардинге data packet упаковываются в туннель, а в direct нет.


Читать дальше

Настройка MPLS L3VPN на роутерах Huawei

Настройка MPLS L3VPN на Huawei подробно с примерами расписана в доках hdx к роутерам.

Выдержка с комментами.

# 
 sysname PE1 
# 
ip vpn-instance vpna # создаем VRF
 ipv4-family
 route-distinguisher 100:1 # указываем уникальный RD для VRF
 vpn-target 111:1 export-extcommunity
 vpn-target 111:1 222:2 import-extcommunity # в импорт добавляем комьюнити других vpn-instance (222:2, а не только 111:1) если необходимо взаимодействие между ними 
# 
ip vpn-instance vpnb
 ipv4-family
 route-distinguisher 100:2
 vpn-target 222:2 export-extcommunity
 vpn-target 222:2 111:1 import-extcommunity
#
 mpls lsr-id 1.1.1.9 # указываем router-id
 mpls # включаем MPLS глобально
#
mpls ldp # используем LDP сигналинг глобально
#
interface GigabitEthernet1/0/0
 ip binding vpn-instance vpna # привязываем интерфейс к VRF
 ip address 10.1.1.2 255.255.255.0
# 
interface GigabitEthernet2/0/0
 ip binding vpn-instance vpnb
 ip address 10.2.1.2 255.255.255.0
# 
interface GigabitEthernet3/0/0
 ip address 172.1.1.1 255.255.255.0
 mpls  # включаем MPLS на интерфейсе
 mpls ldp # используем LDP сигналинг на интерфейсе
# 
interface LoopBack1
 ip address 1.1.1.9 255.255.255.255
#
bgp 100 # включаем BGP
 peer 3.3.3.9 as-number 100 # устанавливаем iBGP соседство
 peer 3.3.3.9 connect-interface LoopBack1 # используем для этого адрес с Loopback1
 #
 ipv4-family unicast # устанавливаем обычное соседство
 undo synchronization # не используем проверку наличия маршрутов в IGP
 peer 3.3.3.9 enable
 #
 ipv4-family vpnv4 # устанавливаем соседство для обмена префиксами vpnv4
 policy vpn-target
 peer 3.3.3.9 enable
 #
 ipv4-family vpn-instance vpna # настраиваем под каждого клиента свой instance
 import-route direct
 peer 10.1.1.1 as-number 65410
#
 ipv4-family vpn-instance vpn
 import-route direct
 peer 10.2.1.1 as-number 65420
#
ospf 1 # настраиваем OSPF для работы на магистрали
 area 0.0.0.0
 network 1.1.1.9 0.0.0.0
 network 172.1.1.0 0.0.0.255
#
return

 

Читать дальше

Huawei HCNA RS разные заметки и конфиги

  • Huawei VRP (Versatile Routing Platform) – название OS от Huawei, по аналогии с Cisco IOS/IOS-XR.
  • По умолчанию у Huawei STP включен на свичах в версии MSTP (на тех свичах, которые его поддерживают, например S2700SI не поддерживает).
  • Step of an ACL 5 by default, можно поменять.


Читать дальше

eNSP эмулятор Huawei

eNSP – эмулятор Huawei, бесплатный уровня HCNA (CCNA). Мне показался сырым, потратил кучу времени на танцы с бубном.

1) на основном машине не запустился, сколько не бился. Возможно, потому что не поставил предлагаемые версии Wireshark/VB, но у меня самые актуальные и даунгрейд это как-то неправильно (поэтому первый совет тем, кто решит поставить – ставить версии, которые идут с eNSP)

2) запустил после множества танцев с VB, Bios, CMD на виртуалке, наталкиваясь поэтапно на ошибку 40, ошибку 2, ошибку конфига, ошибку незагрузки роутеров, а потом еще и свичей (из плюса – ошибки описаны и исправляются по встроенному FAQ)

3) эмулятор не оптимизирован, в отличии от GNS и при запуске большого количества, даже одинаковых устройств (4-12), лаба глючит по страшному, вплоть до неотклика на CLI и отсутствия пингов

 

Читать дальше