Znaleziono 22 wyniki

autor: DOOM
09 mar 2018, 07:58
Forum: Routing
Temat: Spięcie 2xISR4351 i 2x ISP
Odpowiedzi: 4
Odsłony: 3089

Re: Spięcie 2xISR4351 i 2x ISP

Co mają robić ? W sumie tyle co nic, terminować tunele, switche L3 będą kierować ruch do ISR-ów (Tunele) albo do Fortinetów (Internet). Ogólnie całość wygląda tak, łącza od ISP są wpięte do 2 zestackowanych switchy 3750. Do nich wpinam 2x Fortinet + 2x ISR 4351. Fortinety umożliwioają dostęp do inte...
autor: DOOM
07 mar 2018, 19:07
Forum: Routing
Temat: Spięcie 2xISR4351 i 2x ISP
Odpowiedzi: 4
Odsłony: 3089

Spięcie 2xISR4351 i 2x ISP

Witam, Mam taki case, muszę spiąć 2 routery ISR3451 redundatnie i podłączyć do każdego z nich 2 łącza od ISP w trybie active/active. Rozumiem że powinienem do tego wykożystać HSRP oraz IP SLA. Tunele, ipsla, nat etc konfiguruje na obu urządzeniach na raz. W razie awarii aktywnego routera, HSRP podni...
autor: DOOM
13 kwie 2017, 05:28
Forum: Security
Temat: ZBFW i IPSEC VPN
Odpowiedzi: 3
Odsłony: 2700

Re: ZBFW i IPSEC VPN

class-map type inspect match-all all-private match access-group 90 class-map type inspect match-all private-ftp match protocol ftp match access-group 90 class-map type inspect match-all private-ssh match protocol ssh match access-group 90 class-map type inspect match-any ipsec-class match access-gr...
autor: DOOM
11 kwie 2017, 14:22
Forum: Security
Temat: ZBFW i IPSEC VPN
Odpowiedzi: 3
Odsłony: 2700

ZBFW i IPSEC VPN

Witam, Mam problem z puszczeniem ruchu do jednej ze zdalnych lokalizacji. Zmieniałem wczoraj główny router na ISR4321, konfigurowałem ZBFW i wszystkie tunele GRE+IPSEC. Dodałem do nich Inside zone i z nimi wszystko jest ok. Problem mam z tunelem policy based. Brak interface'u więc nie mam gdzie przy...
autor: DOOM
14 mar 2017, 20:18
Forum: Security
Temat: porty 2001, 4001, 6001, 9001
Odpowiedzi: 2
Odsłony: 2201

Re: porty 2001, 4001, 6001, 9001

dzięki, już wszystko jasne.
autor: DOOM
08 mar 2017, 22:55
Forum: Security
Temat: porty 2001, 4001, 6001, 9001
Odpowiedzi: 2
Odsłony: 2201

porty 2001, 4001, 6001, 9001

Witam, Ostatnio miałem robione pentesty adresacji publicznej, zauważyłem że w ISR 2921 na portach 2001 4001 6001 9001 jest otwarty telnet. Jaki jest powód ? I czy mogę w jakiś sposób to zablokować oprócz ACL na interfejsie WAN ? I do czego służy line 2 ? Konfiguracja linii: line 2 no activation-char...
autor: DOOM
06 mar 2017, 08:50
Forum: Switching
Temat: Spięcie 3 switchy ze sobą portami 10GB
Odpowiedzi: 9
Odsłony: 4976

Re: Spięcie 3 switchy ze sobą portami 10GB

Tak, i taki jest cel, SW-03 w tym przypadku Cisco 3650 ma link do jednego i do drugiego switcha ale tylko jeden link będzie aktywny w danym momencie. W przypadku padu jednego ze switchy w klatce całość ma się przepiąć na drugi z linków i będzie ok. Taki failover przy użyciu STP.
autor: DOOM
05 mar 2017, 22:08
Forum: Switching
Temat: Spięcie 3 switchy ze sobą portami 10GB
Odpowiedzi: 9
Odsłony: 4976

Re: Spięcie 3 switchy ze sobą portami 10GB

Nie ma żadnych innych uplinków - te 3 switche + router to cała infrastruktura. Dodatkowo jest tylko management macierzy/klatki - tam nawet 10Mbit wystarczy. Są to moduły SI4091 czyli wykastrowane. Z tego co widzę w specyfikacji obsługują Vlan, LAG, QoS, ACL, SSH więc wystarczy.
autor: DOOM
04 mar 2017, 11:02
Forum: Switching
Temat: Spięcie 3 switchy ze sobą portami 10GB
Odpowiedzi: 9
Odsłony: 4976

Re: Spięcie 3 switchy ze sobą portami 10GB

Dokładnie to jest IBM PureFlex, wewnątrz mam 2x switch Ethernet 10Gb. Nie planuje rozbudowy systemu o drugą klatkę. Ta jedna sztuka jest głównym elementem DC. Dodatkowo mam tam kilka urządzeń takich jak macierze IBM podłączone po FC, Nas, dodatkowy serwer jako fizyczny kontroler domeny. Główny ruch ...
autor: DOOM
22 lut 2017, 16:36
Forum: Switching
Temat: Spięcie 3 switchy ze sobą portami 10GB
Odpowiedzi: 9
Odsłony: 4976

Re: Spięcie 3 switchy ze sobą portami 10GB

Tak i to jest kluczowy ruch. Ruch, który musi przechodzić przez switch cisco to:

* pakiety kierowane przez tunele VPN
* ruch do internetu

czyli całość ograniczona przepustowością łącza > 100Mbit

Dodatkowo, ruch między Vlanami ale jest to mało istotne - serwery produkcyjne są w jednym Vlanie.
autor: DOOM
22 lut 2017, 15:55
Forum: Switching
Temat: Spięcie 3 switchy ze sobą portami 10GB
Odpowiedzi: 9
Odsłony: 4976

Spięcie 3 switchy ze sobą portami 10GB

Witam, Rozbudowuję infrastrukturę w datacenter. Będę wymieniał 2 switche w serwerach blade'owych z 1GB na 10Gbit. Switche te mają wszystkie porty 10Gb SFP+ i teraz aby to połączyć z obecną infrastrukturą dorzucam do tego WS-C3650-24TD-S który ma 2x 10Gbit. Teraz pytanie jak to optymalnie połączyć: S...
autor: DOOM
30 sty 2017, 13:53
Forum: Security
Temat: IPSec tunnel pada i się podnosi
Odpowiedzi: 2
Odsłony: 2214

Re: IPSec tunnel pada i się podnosi

To trochę dziwne, konfiguracja tunelu była identyczna po obu stronach. Osoba odpowiedzialna za drugą ze stron zmieniła konfigurację na IKEv2 i teraz tunel pracuje stabilnie. Po mojej stronie dalej jest IKEv1... O ile dobrze wnioskuję, konfig tunelu: crypto isakmp key "Klucz" address 123.12...
autor: DOOM
30 sty 2017, 09:18
Forum: Security
Temat: IPSec tunnel pada i się podnosi
Odpowiedzi: 2
Odsłony: 2214

IPSec tunnel pada i się podnosi

Witam, W piątek zaczęły mi się problemy z tunelami IPSec. Na początku z jedną lokalizacją a dzisiaj z drugą. Pierwsza działa ok. Co ciekawe nikt nic nie zmieniał tunele działały stabilnie przez ostatnie kilka lat a teraz w logu widzę: 000399: Jan 30 08:59:55.276: %CRYPTO-5-SESSION_STATUS: Crypto tun...
autor: DOOM
30 lis 2016, 15:08
Forum: Routing
Temat: ISR 2921 problem z NATem
Odpowiedzi: 2
Odsłony: 2639

Re: ISR 2921 problem z NATem

był ;) clear ip nat translation * rozwiązało problem, dzięki.
autor: DOOM
30 lis 2016, 10:24
Forum: Routing
Temat: ISR 2921 problem z NATem
Odpowiedzi: 2
Odsłony: 2639

Re: ISR 2921 problem z NATem

route-map NAT-to-INTERNET permit 10 match ip address NO_NAT_to_OUTSIDE ip access-list extended NO_NAT_to_OUTSIDE deny ip 10.0.0.0 0.0.0.255 10.0.0.0 0.255.255.255 deny ip 10.0.0.0 0.0.0.255 172.16.0.0 0.15.255.255 deny ip 10.0.0.0 0.0.0.255 192.168.0.0 0.0.255.255 deny ip host 10.0.0.10 any permit i...