Старина IPv4… В сетевом мире он распространён так же, как и воздух на Земле. Однако несмотря на то, что миллионы людей используют этот протокол в повседневной жизни, у IPv4 всё ещё есть пара сюрпризов в рукаве. Сегодня мы рассмотрим один из них.

Читать далее

https://habr.com/ru/post/694712/?utm_source=habrahabr&utm_medium=rss&utm_campaign=694712

Старина IPv4… В сетевом мире он распространён так же, как и воздух на Земле. Однако несмотря на то, что миллионы людей используют этот протокол в повседневной жизни, у IPv4 всё ещё есть пара сюрпризов в рукаве. Сегодня мы рассмотрим один из них.

Читать далее

https://habr.com/ru/post/694712/?utm_source=habrahabr&utm_medium=rss&utm_campaign=694712

КПВ

Читать далее

https://habr.com/ru/post/693608/?utm_source=habrahabr&utm_medium=rss&utm_campaign=693608

В первой заметке я описал типичный (насколько его проповедуют в интернете) сценарий использования Forwarding Address (FA): два ASBR подключены к одному внешнему сегменту, причём redistribution маршрутов настроен только на одном из них.

Очевидно, что такой дизайн плох с точки зрения отказоустойчивости, но, возможно, существуют сценарии, когда использование OSPF FA уместно?

Читать далее

https://habr.com/ru/post/692968/?utm_source=habrahabr&utm_medium=rss&utm_campaign=692968

В первой заметке я описал типичный (насколько его проповедуют в интернете) сценарий использования Forwarding Address (FA): два ASBR подключены к одному внешнему сегменту, причём redistribution маршрутов настроен только на одном из них.

Очевидно, что такой дизайн плох с точки зрения отказоустойчивости, но, возможно, существуют сценарии, когда использование OSPF FA уместно?

Читать далее

https://habr.com/ru/post/692968/?utm_source=habrahabr&utm_medium=rss&utm_campaign=692968

Один из моих читателей прислал мне любопытный вопрос об NSSA (подробнее в будущей статье), который побудил меня копнуть глубже вопрос о том, зачем понадобилось поле OSPF Forwarding Address (FA) в Type-5 и Type-7 LSA.

Читать далее

https://habr.com/ru/post/692942/?utm_source=habrahabr&utm_medium=rss&utm_campaign=692942

Один из моих читателей прислал мне любопытный вопрос об NSSA (подробнее в будущей статье), который побудил меня копнуть глубже вопрос о том, зачем понадобилось поле OSPF Forwarding Address (FA) в Type-5 и Type-7 LSA.

Читать далее

https://habr.com/ru/post/692942/?utm_source=habrahabr&utm_medium=rss&utm_campaign=692942

Довольно популярным запросом у заказчиков стало наращивание существующей фабрики Cisco коммутаторами Maipu. Недавно нам удалось наконец собрать необходимый пул оборудования и разобраться, что может и чего не может оборудование Maipu в таких кейсах. Ранее, кстати, рассказал, как мы расширяем существующую DMVPN-сеть Cisco с помощью Maipu, и про коммутаторы Maipu для сетей ЦОД.

Читать далее

https://habr.com/ru/post/692744/?utm_source=habrahabr&utm_medium=rss&utm_campaign=692744

Внедрение Inter-AS Multicast VPN сопряжено с рядом узких мест в случае, когда в ядре сети не используется протокол BGP. Эта статья описывает распространённое решение таких проблем, реализованное на базе Cisco IOS с использованием расширений протоколов MP-BGP и PIM.

Читать далее

https://habr.com/ru/post/692230/?utm_source=habrahabr&utm_medium=rss&utm_campaign=692230

Привет! Мы продолжаем выкладывать новые выпуски нашего сериала про айтишников. Как он появился и как снимался второй сезон нашего мини-сериала, рассказывали ранее.

Читать далее

https://habr.com/ru/post/692116/?utm_source=habrahabr&utm_medium=rss&utm_campaign=692116

Всем доброго времени суток!

Захотелось поделиться реализацией Hun-and-Spoke VPN между Cisco ISR (в качестве споков) и Linux+StrongSwan swanctl (в качестве хабов).

Небольшая предыстория.

На данный момент, в нашей инфраструктуре используется моновендорная среда, базирующаяся на решениях Cisco. В свете последних событий, начали подыскивать возможные варианты замещения как на стороне бранчей (споков), так и на стороне хабов.

Хабы располагаются в ДЦ в виде Cisco CSR. И вот с ними и была основная проблема, так как отечественные решения не могут пока предложить что-то наподобие полностью готового виртуального роутера (поправьте в комментариях, если я ошибаюсь).

В итоге, пока остановились на решении Linux+StrongSwan+FRR.

Читать далее

https://habr.com/ru/post/691144/?utm_source=habrahabr&utm_medium=rss&utm_campaign=691144

Всем доброго времени суток!

Захотелось поделиться реализацией Hun-and-Spoke VPN между Cisco ISR (в качестве споков) и Linux+StrongSwan swanctl (в качестве хабов).

Небольшая предыстория.

На данный момент, в нашей инфраструктуре используется моновендорная среда, базирующаяся на решениях Cisco. В свете последних событий, начали подыскивать возможные варианты замещения как на стороне бранчей (споков), так и на стороне хабов.

Хабы располагаются в ДЦ в виде Cisco CSR. И вот с ними и была основная проблема, так как отечественные решения не могут пока предложить что-то наподобие полностью готового виртуального роутера (поправьте в комментариях, если я ошибаюсь).

В итоге, пока остановились на решении Linux+StrongSwan+FRR.

Читать далее

https://habr.com/ru/post/691144/?utm_source=habrahabr&utm_medium=rss&utm_campaign=691144

В одной из прошлых статей мы искали выход из ситуации с уходом вендоров NGFW из России и предлагали схемы безболезненного перехода на UserGate. Ситуация за это время особо не изменилась. Стало больше клиентов с задачей заменить зарубежный фаервол или протестировать отечественный, на этом фоне появились интересные кейсы стыковки с UG.

В профильных чатах то и дело спрашивают про настройки IPsec между UserGate и FortiGate, между UserGate и CheckPoint. Приготовили для вас горячие пирожки — полноценные инструкции настройки VPN-туннелей между UserGate и CheckPoint, FortiGate, NSX Edge, MikroTik и Cisco. Граблей мы пособирали достаточно и теперь готовы поделиться опытом с теми, кто только начинает разбираться в возможностях настройки IPsec.

Читать далее

https://habr.com/ru/post/685940/?utm_source=habrahabr&utm_medium=rss&utm_campaign=685940

Для того, чтобы повысить уровень отказоустойчивости своей сети на уровне маршрутизации, сетевые администраторы в большинстве случаев используют протоколы семейства FHRP. Меня зовут @in9uz, и в рамках данной статьи ты узнаешь какой кошмар может возникнуть в сети, если к конфигурации системы горячего резервирования маршрутизаторов FHRP отнеслись халатно с точки зрения дизайна и безопасности.

Читать далее

https://habr.com/ru/post/685072/?utm_source=habrahabr&utm_medium=rss&utm_campaign=685072

На прошлой неделе команда безопасников компании Cisco, известная как Cisco Talos, опубликовала подробный отчет об атаке на инфраструктуру Cisco, произошедшую в мае этого года. Несмотря на ряд очевидных умолчаний, ожидаемых в отчете подобного рода, это крайне интересный документ, описывающий успешную кибератаку с большим количеством деталей.

Атака была успешной лишь наполовину: злоумышленникам удалось проникнуть в корпоративную сеть Cisco и даже получить доступ достаточно высокого уровня, вплоть до контроллеров домена. Тем не менее атака была остановлена до нанесения серьезного ущерба. Утекло лишь содержимое корпоративного облачного хранилища одного пользователя, в котором не было секретных данных. С этим скудным результатом организаторы атаки пытались требовать выкуп, но безуспешно.
Читать дальше →

https://habr.com/ru/post/682650/?utm_source=habrahabr&utm_medium=rss&utm_campaign=682650

Добрый день.

Меня зовут Василий и я сетевой инженер.

В данной статье хочу рассказать вам про шишки, которые мы насобирали, чтобы достичь удобного в администрировании и поддержке корпоративного VPN.

Хочу сразу предупредить, что в статье будет больше слов чем кода, так как больше хочется показать подход, нежели чем предоставить готовое решение.

Итак, поехали.

Поехали!

https://habr.com/ru/post/678586/?utm_source=habrahabr&utm_medium=rss&utm_campaign=678586