Mondo Cisco: novembre 2011

mercoledì 30 novembre 2011

GIORNO JUNOS ONE: IS-IS FOR DUMMIES

Per qualche ragione ho deciso di iniziare la mia esperienza Junos con un semplice IS-IS rete - quattro core router dal mio Costruire IPv6 principali Service Provider webinar.Come Junosphere non supporta interfacce seriali o POS, ho migrato tutti i link a Gigabit Ethernet e ha aggiunto un point-to-point tra GE PE-PE-A e B.

Ho iniziato con una configurazione molto semplice: dual-stack (IPv4 + IPv6) di rete con IS-IS in esecuzione su interfacce core (e il loopback).

Junos possibile eseguire una singola istanza di ciascun protocollo di routingper il routing esempio . È possibile eseguire più copie di IS-IS, ma dovrete usare più istanze di routing. Le istanze di routing non sono esattamente VRFs, è possibile unire le rotte da più istanze di routing con correttaimportazione e l'esportazione delle politiche.

La guida di configurazione mi ha detto di configurare NET sull'interfaccia di loopback:

root @ PE-A> interfacce di configurazione mostrano lo0.0
famiglia {inet
    indirizzo 10.0.1.1/32;
}
famiglia {iso
    indirizzo 49.0000.0000.cccc.0001.00;
}
famiglia inet6 {
    Indirizzo FEC0:: cccc: 1 / 128;
    Indirizzo:: ffff: 10.0.1.1/128;
}

Tutti gli altri IS-IS-correlati configurazione viene fatta entro i protocolli isis blocco di configurazione - una grande differenza di Cisco IOS, in cui si configura l'interfaccia parametri specifici all'interno della interfaccia modalità di configurazione ( ecco perché l'approccio Junos ha un senso ).

Discovery # 1 : Junos si aspetta di configurare tutti i parametri relativi al protocollo di routing nel protocolli parte della configurazione.

Comunque, continuando a leggere la configurazione di protocolli di routing Guida, ho elencato tutte le interfacce di base all'interno del protocollo isis blocco:

root @ PE-A> spettacolo di configurazione protocolli di isis
topologie ipv6-unicast;
Interfaccia ge-0/0/1.0 {
Interfaccia ge-0/0/4.0;
Interfaccia lo0.0;

Non va bene, non c'erano adiacenze, e IS-IS è stata presumibilmente in esecuzione solo sull'interfaccia di loopback. Mi scusi? Ho fatto configurarlo su tre interfacce.

root @ PE-A> spettacolo isis adiacenza

root @ PE-A> show isis interfaccia
IS-IS database di interfaccia:
L interfaccia CirID Livello 1 Livello 2 DR DR L1/L2 metrico
lo0.0 0 0x1 passivo Passive 0 / 0

Dopo aver trascorso qualche tempo più passare attraverso la guida di configurazione protocolli di routing ho capito il problema: è necessario abilitare famiglia iso sulle interfacce in cui si desidera IS-IS per l'esecuzione. Ricordate: senza piano di controllo dei dati di configurazione aereo (interfacce) non funzioneranno .

Scoperta # 2 : Lista IS-IS interfacce nel protocollo isis blocco di configurazione e abilitare famiglia iso su ogni interfaccia.

root @ PE-A> interfacce di configurazione mostrano ge-0/0/4.0
descrizione "Link al router P";
famiglia {inet
    indirizzo 10.0.7.9/30;
}
famiglia iso;
inet6 famiglia;

root @ PE-A> interfacce di configurazione mostrano ge-0/0/1.0
famiglia iso;
famiglia inet6 {
    non numerati indirizzo lo0.0;
}

Dopo aver aggiunto la famiglia iso in ogni configurazione delle interfacce, IS-IS iniziato a lavorare e ha stabilito sia L1 e L2 adiacenze tra tutti i router.

root @ PE-A # eseguire spettacolo isis adiacenza
Tenere L interfaccia del sistema Stato (sec) SNPA
ge-0/0/1.0 PE-B 1 Up 8 56:68:28:2 b: 86: eb
ge-0/0/1.0 PE-B 2 Up 6 56:68:28:2 b: 86: eb
ge-0/0/4.0 P 1 Up 8 56:68:28:2 b: 87:5
ge-0/0/4.0 P 2 Up 8 56:68:28:2 b: 87:5

Tuttavia, una rapida occhiata in IS-IS banca dati ha rivelato un problema ben noto: L2 LSP conteneva tutti i prefissi noto IS-IS :

root @ PE-A> spettacolo isis dettaglio del database PE-A
IS-IS di livello 1 link-state database:

PE-A.00-00 Sequenza: 0xb, Checksum: 0x6323, Lifetime: 1068 secondi
   IPV4 unicast è prossimo: PE-B.00 Metric: 10
   IPV4 unicast è prossimo: P.03 Metric: 10
   IPV6 unicast è prossimo: PE-B.00 Metric: 10
   IPV6 unicast è prossimo: P.03 Metric: 10
   IP IPv4 unicast prefisso: Metric 10.0.1.1/32: 0 interno Up
   IP IPv4 unicast prefisso: 10.0.7.8/30 Metric: 10 interni Up
   V6 IPV6 unicast prefisso::: ffff: 10.0.1.1/128 Metric: 0 interno Up
   V6 IPV6 unicast prefisso: FEC0:: cccc: 1 / 128 Metric: 0 interno Up

IS-IS di livello 2 link-state database:

PE-A.00-00 Sequenza: 0xd, Checksum: 0x7eb0, Lifetime: 1068 secondi
   IPV4 unicast è prossimo: PE-B.00 Metric: 10
   IPV4 unicast è prossimo: P.03 Metric: 10
   IPV6 unicast è prossimo: PE-B.00 Metric: 10
   IPV6 unicast è prossimo: P.03 Metric: 10
   IP IPv4 unicast prefisso: Metric 10.0.1.1/32: 0 interno Up
   IP IPv4 unicast prefisso: Metric 10.0.1.2/32: 20 interni Up
   IP IPv4 unicast prefisso: Metric 10.0.1.5/32: 20 interni Up
   IP IPv4 unicast prefisso: 10.0.1.6/32 Metric: 10 interni Up
   IP IPv4 unicast prefisso: Metric 10.0.2.0/24: 20 interni Up
   IP IPv4 unicast prefisso: 10.0.7.8/30 Metric: 10 interni Up
   IP IPv4 unicast prefisso: Metric 10.0.7.16/30: 20 interni Up
   V6 IPV6 unicast prefisso::: ffff: 10.0.1.1/128 Metric: 0 interno Up
   V6 IPV6 unicast prefisso::: ffff: 10.0.1.2/128 Metric: 20 Up interno
   V6 IPV6 unicast prefisso::: ffff: 10.0.1.5/128 Metric: 20 Up interno
   V6 IPV6 unicast prefisso::: ffff: 10.0.1.6/128 Metric: 10 interni Up
   V6 IPV6 unicast prefisso: FEC0:: cccc: 1 / 128 Metric: 0 interno Up
   V6 IPV6 unicast prefisso: FEC0:: cccc: 2 / Metric 128: 20 interni Up
   V6 IPV6 unicast prefisso: FEC0:: cccc: 3 / Metric 128: 10 interni Up
   V6 IPV6 unicast prefisso: FEC0:: cccc: 4 / Metric 128: 20 interni Up
   V6 IPV6 unicast prefisso: FEC0: 01:01:13:: / 64 Metric: 20 interni Up

La correzione per questo comportamento è molto semplice: disabilitare L1 routing. Ecco dove la documentazione Junos ottiene confusione - ti dice di disabilitare saluti L1 su ciascuna interfaccia singola, mentre in realtà è possibile disabilitare L1 a livello globale con protocolli di livello 1 isis disabilitare . Ho controllato ogni angolazione possibile, tra cui "Configurazione di IS-IS" sezione (che elenca tutte IS-IS parametri di configurazione) e "Sintesi di IS-IS Dichiarazioni di configurazione" - il livello 1 disabilitare il comando non dovrebbero lavorare al protocollo isis livello .. . ma lo fa (che è una buona cosa).

Disattivare l'esecuzione di L1

root @ PE-A # spettacolo protocolli isis
topologie ipv6-unicast;
livello 1 disabilitare;
Interfaccia ge-0/0/1.0
Interfaccia ge-0/0/4.0;
Interfaccia lo0.0;

Discovery # 3 : Disabilitare l'elaborazione L1 su singoli IS-IS interfaccia conl'interfaccia di nome di livello 1 disabilitare il comando di configurazione.Per disabilitarlo a livello globale, l'uso di livello 1 disabilitare il comando all'interno [modifica protocolli isis].

Solo adiacenze L2 sono stati istituiti dopo la modifica di configurazione ...

root @ PE-A # eseguire spettacolo isis adiacenza
Tenere L interfaccia del sistema Stato (sec) SNPA
ge-0/0/1.0 PE-B 2 Up 6 56:68:28:2 b: 86: eb
ge-0/0/4.0 P 2 Up 8 56:68:28:2 b: 87:5

... e L2 LSP conteneva solo i prefissi locali:

root @ PE-A> show isis database di PE-Un dettaglio
IS-IS di livello 1 link-state database:

PE-A.00-00 Sequenza: 0xd, Checksum: 0x94ef, Lifetime: 632 secondi
   IPV4 unicast è prossimo: PE-B.00 Metric: 10
   IPV4 unicast è prossimo: P.03 Metric: 10
   IPV6 unicast è prossimo: PE-B.00 Metric: 10
   IPV6 unicast è prossimo: P.03 Metric: 10
   IP IPv4 unicast prefisso: Metric 10.0.1.1/32: 0 interno Up
   IP IPv4 unicast prefisso: 10.0.7.8/30 Metric: 10 interni Up
   V6 IPV6 unicast prefisso::: ffff: 10.0.1.1/128 Metric: 0 interno Up
   V6 IPV6 unicast prefisso: FEC0:: cccc: 1 / 128 Metric: 0 interno Up

IS-IS di livello 2 link-state database:

PE-A.00-00 Sequenza: 0x14, Checksum: 0x512c, Lifetime: 998 secondi
   IPV4 unicast è prossimo: PE-B.00 Metric: 10
   IPV4 unicast è prossimo: P.03 Metric: 10
   IPV6 unicast è prossimo: PE-B.00 Metric: 10
   IPV6 unicast è prossimo: P.03 Metric: 10
   IP IPv4 unicast prefisso: Metric 10.0.1.1/32: 0 interno Up
   IP IPv4 unicast prefisso: 10.0.7.8/30 Metric: 10 interni Up
   V6 IPV6 unicast prefisso::: ffff: 10.0.1.1/128 Metric: 0 interno Up
   V6 IPV6 unicast prefisso: FEC0:: cccc: 1 / 128 Metric: 0 interno Up

Sintesi delle principali differenze tra Cisco IOS e Junos

È necessario configurare NET CLNS sull'interfaccia di loopback, entro un processo di IS-IS;
È possibile configurare un singolo IS-IS processo di routing per il routing esempio , ma può eseguire più processi di IS-IS per scatola (utilizzando istanze multiple di routing);
Devi abilitare famiglia iso su ogni interfaccia su cui si desidera eseguire IS-IS;
Devi abilitare IS-IS sulle singole interfacce all'interno del protocollo isis sezione non, all'interno della configurazione delle interfacce;
È possibile utilizzare il protocollo di interfaccia isis tutti , il che permetterebbe IS-IS su tutte le interfacce che hanno famiglia iso abilitato. Dopo di che, è possibile disattivare singole interfacce con l'interfaccia di protocollo isis nome disabilitare .

Rivelazione

L'unica ragione che ho imparato i bit marginale e pezzi che so di Junos è perché Juniper gentilmente mi ha fornito libero accesso all'ambiente Junosphere (grazie a @ abnerg) ...ma non è stato compensato per il mio post sul blog, o chiesto di scrivere su Junos o Junosphere.

Corso Cisco - Corsi Cisco - Corso CCNA

Corso Security - CCNA Security - Certificazione Cisco

lunedì 28 novembre 2011

INVIO DI WAKE-ON-LAN (WOL) PACCHETTO CON IOS TCL

Jonatan Þór Jonasson ha avuto il tempo per implementare Wake-on-LAN utilizzando il supporto UDP introdotto in Cisco IOS Tcl nella versione 15.1 (1) T. Trovò un TCL / TK esempio di un pacchetto magico inviati , utilizzati che come base, e con piccole modifiche riuscito a farlo funzionare sul suo router. Ecco il suo codice (è ovviamente un proof-of-concept, ma avete bisogno di poche righe più per ottenere uno script tclsh di lavoro):

proc WakeOnLan broadcastAddr MACADDR {} {
     impostare net [formato binario H * [join [dividere $ MACADDR -:] ""]]
     impostare pkt [formato binario c * {0xff 0xff 0xff 0xff 0xff 0xff}]

     for {set i 0} {$ i <16} {incr i} {
        aggiungere pkt $ netti
     }

     # Apre UDP e inviare il Paket Magic.
     impostare udpSock [udp_open]
     fconfigure binario $ udpSock-traduzione \
          -Remote [list $ broadcastAddr 4580] \
          -Broadcast 1
     mette udpSock $ $ pkt
     flush $ udpSock;
     chiudere $ udpSock
}

Per una qualche ragione, non era in grado di generare subnet specifiche trasmissioni, a mandare i pacchetti WOL di sottorete specifica indirizzo di broadcast non ha funzionato, mentre l'invio di indirizzo di broadcast locale (255.255.255.255) ha (ovviamente inviare il pacchetto attraverso tutti interfacce dei router).

Remoto WOL

Ovviamente è possibile utilizzare l'indirizzo di broadcast di sottorete di una LAN remota come indirizzo di destinazione unicast, se ci si vuole svegliare un PC remoto, ma che richiedono il supporto broadcast diretto sul router remoto, che non è sempre una buona idea. E 'il modo migliore per configurare una voce statica ARP per un vero e proprio indirizzo IP unicast su LAN remota con indirizzo MAC broadcast . In entrambi i casi, non è necessario specificare la 'di trasmissione di 1' bandiera in Tcl (come si invia un pacchetto UDP unicast).

Corso Cisco - Corsi Cisco - Corso CCNA

Corso Security - CCNA Security - Certificazione Cisco

mercoledì 23 novembre 2011

INTERFACCE JUNOS E PROTOCOLLI: ORA HO CAPITO

Il mio Junos contro Cisco IOS: esplicita e implicita ricevuto una quantità enorme di utili commenti, alcuni di loro un po 'filosofico, altri molto pratico - da usare interfaccia tutticombinato con l'interfaccia disabilitare nella configurazione protocollo di routing, di utilizzare gruppi di configurazione (di più su quel concetto fantastico in un altro post).

Tuttavia, capire cosa sta succedendo non è la stessa ad essere in grado di spiegarlo in una frase ... e Dan (@ jonahsfo) Backman bello inchiodato quello.

Abbiamo avuto una lunga chiacchierata focalizzata su Junos implementazione MPLS (ancora un altro post sul blog) e ci siamo imbattuti mio interfacce e protocolli-confusione.Ha iniziato spiegando come la configurazione dell'interfaccia in realtà legami con Ethertypes accettata attraverso l'interfaccia e le tabelle di inoltro per protocollo (in realtà gli alberi Radix) e poi ha offerto la seguente spiegazione ...

Sai, si configurano i dati sul piano della funzionalità all'interno di interfacce e di control-plane funzionalità all'interno del protocollo .

... e tutto ad un tratto, tutto aveva un senso perfetto:

Protocolli piano di controllo tramite in-band in grado di ricevere la comunicazione a livello di rete i pacchetti solo se il piano dati li riceve, capisce che sono stati inviati al nodo locale, e li inoltra al piano di controllo. Spiega perché è necessario configurarefamiglia iso su un'interfaccia prima di aggiungere che la stessa interfaccia per la IS-IS processo di routing.
Funzionalità di controllo aereo non ha senso se non c'è nessun aereo struttura dati di inoltro per ricevere i risultati. Spiega perché LDP si rifiuta di partire su un'interfaccia priva famiglia mpls configurazione.

Se solo qualcuno avrebbe preso quelle parole sagge e aggiungerli alla documentazione Junos ... l'aggiunta di messaggistica corretto errore quando c'è un controllo / aereo mancata corrispondenza dei dati di configurazione sarebbe quasi troppo bello per sperare;)

Rivelazione

Corso Cisco - Corsi Cisco - Corso CCNA

Corso Security - CCNA Security - Certificazione Cisco

mercoledì 16 novembre 2011

OPENFLOW: CASI D'USO DI ENTERPRISE

Uno dei commenti che ho di solito ottengono circa OpenFlow è "suona alla grande e io sono positivo di Yahoo! e Google alla fine ne fanno uso, ma non vedo nessun caso l'uso aziendale." (Si veda anche questo post del blog ). Ovviamente nessuno sarebbe andato per una vera e propria implementazione nativa OpenFlow e probabilmente vedrete ibrido (navi-in-the-notte) approccio più spesso nei laboratori di ricerca che in reti aziendali, ma c'è sempre la modalità integrata che consente di aggiungere OpenFlow funzionalità basate su infrastruttura di rete esistente.

Lasciando da parte le rivendicazioni pretenzioso come OpenFlow risolverà i problemi duri come il bilanciamento del carico globale , ci sono quattro funzioni si possono facilmente implementare con OpenFlow (Tony Bourke ha scritto su di loro in maniera più dettagliata):

filtri di pacchetti - classificatore flusso seguito da una caduta o normale azione;
politiche di routing basato - classificatore flusso seguito da interfaccia di uscita e / o spingere VLAN tag;
route statiche - classificatori flusso utilizzando solo prefisso IP di destinazione e
NAT - alcuni switch OpenFlow potrebbe supportare sorgente / destinazione indirizzo IP / porta riscrive.

Combinano con la natura effimera di OpenFlow (qualunque scarica di controllo nel dispositivo di rete non influisce in esecuzione / configurazione di avvio e scompare quando non è più necessario), e la possibilità di utilizzare lo stesso protocollo con le famiglie di prodotto, sia da uno o più fornitori, e si dispone di un combo piuttosto interessante.

In realtà, non mi interessa se il meccanismo di modificare le tabelle di inoltro dispositivi di rete 'è OpenFlow o qualcosa di completamente diverso, a condizione che sia programmabile , multi-vendor e integrato con le tecnologie di networking esistenti . Come ho scritto un certo numero di volte, OpenFlow è solo un TCAM / FIB / pacchetto strumento di download classificatore .

Ricordo che uno dei casi OpenFlow di uso primario: "aggiungere funzionalità in cui venditore è che manca" (vedi presentazione Igor Gashinsky da OpenFlow Simposio per una buona copertura di questo argomento).

Ora sosta per un minuto e ricordare quante volte male bisogno di qualche funzionalità in linea con le quattro funzioni che ho citato sopra (filtri di pacchetti, PBR, route statiche, NAT) che non si poteva attuare, a tutti, o che ha richiesto un miscuglio si aspettano di script (o XML / richieste Netconf se siete fan di automazione Junos) che è necessario modificare ogni volta che si distribuisce un diverso tipo dispositivo o una release software differenti.

Qui ci sono alcune idee mi sono nei primi 30 secondi (se si ottiene altre idee, si prega di scrivere un commento):

L'autenticazione degli utenti per i dispositivi che non supportano 802.1X;
Per utente access control (NAC credo è la parola d'ordine popolari) che funziona in modo identico su dial-up, VPN, wireless e dispositivi di accesso cablati;
Spingere utente in una specifica VLAN in base a quello che sta facendo (o si basano su autenticazione utente personalizzata);
Fornire agli utenti l'accesso controllato a una singola applicazione in un altro VLAN (che si combinano con NAT per risolvere i problemi percorso di ritorno);
Layer-2 inserimento di servizio, sia esso firewall, IDS / IPS, WAAS o alcuni ancora sconosciuto dispositivo;

Guardando il mio breve elenco, sembra coppa @ aveva ragione: la sicurezza potrebbe essere solo la killer application per OpenFlow / SDN - OpenFlow potrebbero essere utilizzati sia per implementare alcune funzioni di sicurezza (filtri di pacchetti e di direzione del traffico), per contribuire a integrare le funzioni di sicurezza tradizionali con il resto della rete, o per implementare servizi di sicurezza dinamico inserimento in qualsiasi punto della rete - qualcosa che abbiamo fortemente bisogno, ma quasi mai ottenere.

Corso Cisco - Corsi Cisco - Corso CCNA

Corso Security - CCNA Security - Certificazione Cisco

venerdì 11 novembre 2011

DATI ARCHITETTURE FABRIC CENTER - ALMOST THERE

L'ultima settimana è stato "interessante" - Ho creato il gruppo di diapositive progetto diData Center Fabric Architetture webinar il 16 novembre ^ª e inviato le slide relative a tutti i fornitori menzionati nella presentazione di dare loro la possibilità di risolvere il mio errori - ogni vendor ha almeno la scheda che descrive la mia comprensione della loro soluzione.

Cordiali saluti, ecco la definizione della scheda che sto usando per descrivere le caratteristiche delle soluzioni individuali:

Alcuni dei venditori risposto "hai quasi diritto" (anche se i risultati non sempre lusinghieri), ha sottolineato alcuni miei errori ... e alcuni impegnati in esercizi di interessante lucidatura immagine, cercando di convincermi a cambiare il mio testo per meglio soddisfare il loro messaggio di marketing. Come previsto, che non ha funzionato (ma l'ho fatto riparare ogni singolo errore o omissione che ho fatto).

Su un altro fronte, un bel po 'dei fornitori ha cercato di vendermi futuro sulla falsariga di "noi siamo fornitori di primo del settore con XXX" ... con una leggera gotcha - XXX caratteristica non è menzionato nella loro documentazione a tutti. La risposta era sempre la stessa: "una volta che si avvia spedizione e documentarlo nella documentazione pubblica, fatemelo sapere e io blog su di esso e fissare le diapositive", ma come il "focus su futures" approccio sembra essere un passatempo popolare, ho anche deciso di aggiungere venditore sostiene barra nella parte inferiore della scorecard.Che i documenti bar quello che affermano di avere o avranno, e sarete in grado di giudicare in pochi mesi 'quello che il divario tra promesse e risultati è.

Tutti insieme, i tocchi webinar su soluzioni di data center di nove fornitori diversi (in ordine alfabetico): Alcatel Lucent, Arista Networks, Avaya, Brocade, Cisco, Force 10 Networks, HP, Juniper e NEC, e descrive quattordici diverse soluzioni raggruppate in cinque diversi architetture principali ... tutto per 49,99 dollari. Non credo che tu abbia mai ottenere un tale affare da Gartner & Co;)

Corso Cisco - Corsi Cisco - Corso CCNA

Corso Security - CCNA Security - Certificazione Cisco

giovedì 10 novembre 2011

JUNOSPHERE: LE PRIME IMPRESSIONI

Abner (@ abnerg) Germanow e Dan (@ jonahsfo) Backman sono buone come la parola data: questa settimana ho avuto accesso a Junosphere, una grande rete-in-the-Clouds soluzione di Juniper. Si potrebbe avere familiarità con Olive, la via "inesistente" di correre Junos su una macchina x86 (compreso un VM); Junosphere è la versione supportata dello stesso concetto, tra un aereo di inoltro vero e proprio (è la mia oliva comprensione manca che, che rende alcuni protocolli si comportano in modi inaspettati ).

Rispetto ad altre offerte simili (compresi i nostri laboratori remoti e Cisco IOS-in-a-Cloud ), Junosphere ha diversi vantaggi significativi:

È possibile creare il proprio topologie che includono il router di cui hai bisogno, consentendo di ricreare il routing complesso / scenari di migrazione. Anche se il formato di file topologia è un po 'arcano, al momento, non ho avuto problemi creando il mio topologie proprio (ma si conosce già Sono più che un po 'folle ). Per le persone più sane, c'è uno strumento che può prendere il vostro OSPF o IS-IS database e trasformarlo in una topologia Junosphere.

Il router VJX1000 (Junos-in-a-VM) supporta interfacce Gigabit Ethernet e Junosphere permette di collegare insieme con semplici ponti virtuali . Pensare a quei ponti come cavi / hub, a differenza di Dynamips, ponti Junosphere non hanno alcun supporto esplicito VLAN o accedere / trunk link. Interfacce seriali o POS non sono disponibili.

Basta continuare ad aggiungere topologie

Puoi accedere al tuo router virtuali direttamente utilizzando la soluzione SSL VPN di Juniper. Dopo aver avviato la connessione SSL VPN, è possibile utilizzare SSH per connettersi a dispositivi o SCP per copiare i file a / da loro.

Ovviamente, una volta che hai SSH installato e funzionante, è possibile verificare tutti i tipi di Junos automazione / SDK trucchi (a partire da netconf).

È possibile collegare dispositivi fisici a Junosphere . Un connettore Junosphere (una VM in esecuzione in ambiente VMware - che si tratti di VMware Player, Workstation o ESX) può stabilire un collegamento tra un ponte Junosphere e un'interfaccia (vNIC) nella workstation / hypervisor host. Si può usare per il collegamento LAN Junosphere alla vostra interfaccia di fisica o di qualsiasi altra cosa VMware giocatore può utilizzare (tra cui un interfaccia rubinetto di una macchina Linux ... sai perché questo è interessante, vero?).

Purtroppo, in qualche modo il SSL VPN applet Java non funziona sulla mia macchina Linux (Fedora 14 con Firefox 3.6.23) in cui ho eseguito tutte le altre cose di simulazione; ho dovuto usare Internet Explorer sul mio portatile Windows per connettersi ai laboratori.

È possibile caricare e salvare le topologie e le configurazioni . Questa è stata una delle migliori caratteristiche (dal mio punto di vista). La configurazione di default dei router VJX include un trigger di evento che trasferisce attuale configurazione di un server FTP ogni volta che si esegue un impegno . Indipendentemente da quello che fai, una copia della configurazione è sempre in un luogo sicuro e può essere salvato attraverso il web-based UI e successivamente copiato (come file. Tgz) alla workstation.

È possibile scegliere il rilascio Junos si desidera eseguire . Al momento, l'insieme dei comunicati è possibile scegliere è fissa, ma include una stalla-e-rilascio sostenuto, una versione sperimentale (11,4) e pochi altri.

È possibile eseguire altre macchine virtuali nella stessa sandbox , inclusi i server CentOS, Junos Space e un paio di strumenti di test.

Mi piace Junosphere? Assolutamente. Ci sono degli svantaggi? Certo, come ogni altro sistema Junosphere ha alcuni difetti, dall'interfaccia utente, che potrebbe utilizzare alcuni miglioramenti alla configurazione fastidi minori che possono creare problemi con la funzione di salvataggio di configurazione ... ma l'ostacolo principale è il prezzo corrente e di go-to-market.

Il prezzo di listino corrente per Junosphere è di $ 5/router/day (piccolo esempio EC2 di Amazon costa 2,04 dollari al giorno e paga al minuto), e si può solo acquistare attraverso regolari canali di Juniper di vendita (inclusi i partner). Che ha perfettamente senso se si sta lavorando su una demo del cliente, proof-of-concept o di uno scenario di migrazione di una rete aziendale di grandi dimensioni ... e hai il contatto diretto con Juniper o avuto accesso Junosphere come dolcificante chiusura affare. Ma pensi davvero che un partner di Juniper sarebbe interessato ad ottenere un ordine di acquisto di $ 250 per 10 giorni di accesso a un 5-router ambiente Junosphere? Come su un semplice uso-your-credit-card approccio Cisco utilizza con i suoi laboratori di e-learning ?

Quanti giorni di router hai detto che vuoi comprare?

Il modello per ogni giorno di ricarica è un altro punto del dolore. Con adeguata preparazione, pianificazione e programmazione, il modello attuale potrebbe lavorare per me o per qualcuno che ha per ottenere fluente con Junos veramente veloce per sostenere il progetto successivo. Ovviamente sarebbe buttare via più di due terzi del tempo previsto perché sono troppo vecchio per lavorare sui router per più di 8-10 ore al giorno, ma pagando $ 50/day (10-router topologia) per qualcosa che aiuta si guadagnano soldi veri non dovrebbe essere un bloccante.

Tuttavia, mi piace molto la possibilità di eseguire un laboratorio per un'ora o giù di lì per testare la prossima idea che nati nella parte posteriore del mio cervello, mentre stavo lavorando su qualcos'altro. Pagare per l'intera giornata solo per essere in grado di testare alcune cose potrebbero non essere troppo costoso in termini assoluti, ma sicuramente si sente come un totale spreco di denaro.

Di marketing di Juniper sta facendo un ottimo lavoro cercando di convincere i tecnici di rete ad abbracciare Junos - dal primo giorno libri di Junos come seconda lingua eprogrammi di FastTrack . E 'un peccato che non stanno facendo il passo finale e ottenere tutte le persone interessate a calci alcuni pneumatici Junos (o lavorando duramente sul mastering un'altra piattaforma) un facile accesso on-demand di vivere l'ambiente Junos.

Disclosure : Juniper indirettamente coperto alcune delle mie spese di viaggio durante il Field Day Networking Tech partecipando alla manifestazione, e mi ha dato libero accesso a Junosphere, ma nessuno mi ha mai chiesto di scrivere sui loro prodotti o soluzioni.

Corso Cisco - Corsi Cisco - Corso CCNA

Corso Security - CCNA Security - Certificazione Cisco

mercoledì 9 novembre 2011

SICUREZZA IPV6: GETTING BORED @ AEROPORTO BRU

Ieri 6 ° Vertice sloveno IPv6 è stato (come sempre) piena di presentazioni impressionante, questa volta proveniente direttamente da alcune delle leggende IPv6: controllare quelli di Eric Vyncke (e assicuratevi di leggere il suo libro Sicurezza IPv6 ),Randy Bush e di Mark Townsley . Il momento epico, però, era il "Ero annoiarsi" parte della presentazione di Eric (inizia intorno 0:50:00). Questo è (in poche parole) quello che ha fatto:

Era collegato ad un hotspot Wi-Fi pubblico e ha iniziato un equivalente di radvd . In pochi secondi, aveva più di 50 i vicini IPv6 - tutti in aeroporto utilizzando la stessa WiFi iniziato ad usare IPv6 dopo aver ascoltato un messaggio di RA da Eric.

Di per sé, non è una novità. Sappiamo che un ladro IPv6 "router" può causare il caos nella rete (è per questo che si dovrebbe sempre consentire RA custodisci nel tuo switch) - che è stata una delle principali preoccupazioni alcune persone avevano prima della Giornata Mondiale di IPv6. Tuttavia, in quel momento Eric potrebbe facilmente fare man-in-the-middle su tutto il traffico IPv6 - niente di andare a qualsiasi dual-stack web server sarebbe stato intercettato dalla sua postazione di lavoro.

A peggiorare le cose, avrebbe potuto utilizzare DHCPv6 per pubblicizzare l'indirizzo del server DNS, avviare un server DNS falso (alcuni ospiti preferiscono DNS IPv6 su IPv4 DNS) e creare falsi dual-stack risposte DNS attirare il traffico ancora di più. DNSsec impedire che (sì, tutti utilizzano questo) come sarebbe SSL (si sta usando Facebook e Twitter su SSL, non è vero?), Ma sarebbe ancora in grado di fare danni significativi.

Come ho detto, l'uomo-in-the-middle utilizzando falsi messaggi RA dovrebbe essere ben noto, ma ci sono alcune implicazioni di sicurezza di altri:

Alcuni client IPsec non applicano tunnel politica divisa su entrambi i protocolli.Anche se la politica aziendale richiede che il client VPN di inviare tutto il traffico Internet al firewall centrale / IDS, il traffico IPv6 può ignorare che (facendo di te un punto di ingresso ideale nella rete aziendale);
Unix basati su sistemi operativi in genere hanno due firewall diversi - iptables per IPv4 e ip6tables per IPv6. Se qualcuno ti dà inaspettato connettività IPv6, potresti essere aperti a Internet in generale meno che non abbiate configurato ip6tables .

Si potrebbe sostenere la situazione non è migliore nel mondo IPv4 - un sacco di hotspot sono totalmente protetti contro l'attacco ARP spoofing, ma almeno alcuni punti di accesso ti darà la possibilità di configurare DHCP guardia e DHCP / ARP ispezione. Non avendo esperienza wireless, ecco una domanda per gli esperti: quanti punti di accesso supporto RA guardia (ammesso che nemmeno cosa sia IPv6)? Si prega di condividere la vostra esperienza nei commenti.

Corso Cisco - Corsi Cisco - Corso CCNA

Corso Security - CCNA Security - Certificazione Cisco

martedì 8 novembre 2011

JUNOS DAY ONE: CONFIGURAZIONI TRADURRE LA VIA GEEKY

Abner (@ abnerg) Germanov ci ha sorpreso tutti alla fine della presentazione di Juniper alField Day Networking Tech quando ha annunciato Junosphere accesso per tutti i delegati - dopo un anno di fastidioso, sarei finalmente in grado di toccare Junos. Tuttavia, invece di prendersela con comodo e studiando l'ottimo Day Junos One libri (che ho anche fatto - se siete nuovi a Junos si dovrebbe assolutamente cominciare da lì, sono vale la pena leggere), ho deciso di adottare un approccio più geek.

Ovviamente sarebbe più facile e più veloce per me di acquistare un SRX o due di eBay per ottenere l'esposizione a Junos, ma ho voluto mettere alla prova alcuni scenari po 'più grande con le recenti versioni Junos e il materiale usato raramente viene con il software nuovo di zecca (non menziona neppure che si possa ottenere Junos in natura ed eseguirlo su Olive).

Se avete guardato il video della Automation Junos presentazione Dan Backman ha fatto durante la giornata Tech campo Networking, potreste aver notato quanto ero emozionato per il fatto che utilizza XML Junos internamente - ho sviluppato diverse basato su XML, siti web e sapere tutto sulla flessibilità (e di molto sul dolore) di usare XML e XSLT dietro le quinte.

Come Cisco IOS presumibilmente supporta anche l'output XML, ho avuto questa idea molto semplice: generare codice XML da parte di Cisco IOS, utilizzare una trasformazione XSLT di copiare i parametri rilevanti in formato XML di configurazione Junos, e un'altra trasformazione XSLT per trasformarla in serie comandi o ricci bretelle sintassi.

So che Juniper offre un IOS-to-Junos strumento di traduzione di configurazione ... ma il suo utilizzo non sarebbe stato divertente quasi quanto (per non parlare del valore educativo), come questo progetto è stato.

Step # 1 - ottenere Junos campione configurazioni in formato XML . Alcuni amici twitter ha risposto alla mia richiesta di aiuto (volevo avere pronto prima di accedere Junosphere) e mi ha inviato rimosso file di configurazione in formato XML e il formato di prova. Grazie, sei stato di grande aiuto!

Step # 2 - generare testo da XML di configurazione . Ouch. Come ogni altro sistema di grandi dimensioni, Junos sembra essersi evoluta "organicamente" e non c'è modo semplice per trasformare la configurazione XML in un formato che è identico a un testo di configurazione di un router Junos genera, ci sono eccezioni, troppi (più su che un'altra volta ).

Comunque, ho avuto il 95% ci sarà dopo tweaking esteso e si scopre Junos non si preoccupa troppo la sintassi esatta - fino a quando la struttura dell'oggetto è corretta, di solito analizza e accetta la configurazione.

Se siete interessati a questo progetto, scaricare le XSLT e giocare con essa. Per usarlo, è necessario un processore XSLT 2.0, mi raccomando Saxon (Home Edition) .

Passo # 3 - generare configurazioni XML da Cisco IOS . Fail. Cisco IOS non usa XML internamente; sue configurazioni vengono generate in formato testo (non incolpare nessuno - lo sviluppo di Cisco IOS era iniziata molto tempo prima che qualcuno addirittura sognato di XML).

Tuttavia, in teoria si dovrebbe essere in grado di ottenere una configurazione IOS in formato XML con la configurazione spettacolo | formato di comando. Purtroppo, questo comando deve poter contare su una tecnica in qualche modo simile a screen scraping - ri-analizza la configurazione generata da Cisco IOS e cerca di munge in formato XML.

Il processo funzionato ragionevolmente bene quando ho provato anni fa, questa volta ho avuto l'analisi degli errori e totalmente inutilizzabile XML. Tempo per piano B.

Sì, questo sembra di destra

Un disadattato fa la scelta sbagliata

A questo punto, ho avuto alcune opzioni:

Genera configurazione Junos a mano. Questo sarebbe il più facile e meno doloroso, dopo tutto, volevo avere la configurazione di base, l'indirizzamento IP e il routing IGP dalla mia configurazioni esistenti IOS.
Scrivere uno script Perl che avrebbe usato espressioni regolari per raccogliere quei parametri di configurazione IOS e uscita in parentesi graffe formato.
Sviluppare una soluzione generica.

A questo punto, probabilmente sapete quale opzione un geek stupido con una forte affinità per ottenere-da-destra soluzioni avrebbe scelto ... perché un mucchio di espressioni regolari in uno script Perl semplicemente non è abbastanza buono quando tutto ciò che serve è IP/IPv6 interfaccia affrontare e OSPF / IS-IS di routing.

Due giorni dopo, ho avuto una serie di script Perl che:

Analizzare un linguaggio semplice che può essere utilizzato per specificare i parametri di configurazione Cisco IOS volete partita e come si traducono in nodi XML in Junos configurazione (sì, ho rivisitato il paese delle meraviglie di LR-parser e riscoperto Parse:: RecDescent).
Interpretare il linguaggio per raccogliere informazioni di configurazione di Cisco IOS e creare XML DOM tree (per fortuna, il codice XML:: LibXML Perl modulo supporta la sintassi XPath);
In uscita il documento XML generato o spingerla attraverso il processore XSLT per generare la configurazione Junos.

Al momento, tutti questi script può fare è copiare gli indirizzi di interfaccia IP/IPv6 e molto di base IS-IS configurazione del routing dal formato Cisco IOS in formato Junos ... ma la soluzione è chiaramente estensibile;) e genera effettivamente lavorando configurazioni Junos che ero in grado di utilizzare in Junosphere.

Corso Cisco - Corsi Cisco - Corso CCNA

Corso Security - CCNA Security - Certificazione Cisco

lunedì 7 novembre 2011

RETI PASSA GRANDE POTREBBE EFFETTIVAMENTE DARE UN SENSO

Reti interruttore grande è uno di quei semi-stealth startup che, come per suggerire cosa stanno facendo, senza in realtà ti dice niente, quindi ero molto ansioso di incontrare Kyle Forster e Guido Appenzeller durante il Simposio OpenFlow e ha chiesto loro una semplice domanda: "si può spiegare in 3 minuti che cosa è che stai facendo?"

La risposta (senza nessuna delle virtualizzazione di rete mantra) è stato anche molto semplice: W e permette inquilini in ambienti multi-tenant di utilizzare porte su diversi switch fisici e virtuali, come un singolo switch .

L'ovvia domanda successiva: " come fa che differiscono da MPLS / VPN o VPLS? "risposta onesta:" Non più di tanto "(e mi hanno lasciato spezzatino sopra).

Ci ho messo un paio d'ore, ma poi mi ha colpito ... la vera differenza è il meccanismo di configurazione.

Noioso vecchio mondo

In MPLS / VPN ambiente, il cliente (CE-router) non ha alcun controllo sulla configurazione del PE-router, CE-PE protocolli di link o di routing utilizzato nel MPLS / VPN rete. L'unico modo per influenzare il MPLS / VPN di base è attraverso il protocollo di routing aggiornamenti.

Ambiente VPLS è ancora più semplice: il cliente non ha alcun controllo, in quanto non c'è layer-2 piano di controllo tra gli host e ponti adiacenti. Se siete molto fortunati, potreste essere in grado di passare STP BPDU attraverso la nube VPLS (non sono sicuro se questo è davvero buono o cattivo) o utilizzare Ethernet OAM. Tutto il resto - lascia perdere.

Immissione di un flusso parallelo-controller universo

Ora immaginate si potrebbe effettivamente utilizzare CLI (per il vero macho) o grafica (per gli appassionati di iPhone) e configurare le porte sul router-PE (che si tratti di strato-2 porte, Layer-3 porte o SVI / RVI-come-strato virtuale 3 interfacce), meccanismi di sicurezza( BPDU guardia viene in mente) e le politiche di routing , tutti da soli, come se fosse proprio un interruttore grande distribuzione (come QFabric ), con zero interazione con l'SP / ingegneri cloud provider. Un controller intelligente OpenFlow in esecuzione la procedura guidata-di-Oz-come per magia dietro le quinte potrebbe anche applicare restrizioni delle risorse (numero di flussi - che si tratti di indirizzi MAC, prefissi IP o altri flussi - per ogni inquilino).

Sembra fantascienza? Non proprio, questo è quello che Amazon VPC fa oggi (anche se con funzionalità limitate e solo a Layer-3), quindi è perfettamente fattibile.

Disclaimer : Fino a quando vedo il controller Big Switch in azione e leggere la documentazione, non vuole nemmeno provare a rivendicare essi sono dovunque vicino al nirvana che sto descrivendo. Sto solo dicendo che possiamo raggiungere questo obiettivo utilizzando la tecnologia OpenFlow . Una volta che decidono di condividere più informazioni con me, sarai il primo a saperlo.

Disclosure : Reti Passa Big indirettamente coperto alcune delle mie spese di viaggio durante il Simposio OpenFlow partecipando alla manifestazione, ma nessuno mi ha mai chiesto di scrivere sui loro prodotti o soluzioni. leggere l'informativa completa (o quelle più precise da Tony Bourke o Matt Simmons ).

Corso Cisco - Corsi Cisco - Corso CCNA

Corso Security - CCNA Security - Certificazione Cisco

giovedì 3 novembre 2011

SWITCH VIRTUALI BISOGNO BPDU GUARDIA

Un ingegnere che frequentano la mia profonda Networking VMware Dive webinar mi ha chiesto una domanda difficile che io ero in grado di rispondere:

Cosa succede se una VM in esecuzione all'interno di un host vSphere invia una BPDU? Sarà scartati dalla switch virtuale o sarà inviato allo switch fisico (potenzialmente innescare BPDU guardia)?

Ho avuto la risposta da visibilmente tormentato Kurt (@ networkjanitor) Bales in occasione della Giornata Tech campo Networking, uno dei suoi clienti è riuscito a fare proprio questo.

Ecco una panoramica sommaria di ciò che stava accadendo: erano in esecuzione una macchina virtuale di Windows nella sua infrastruttura di VMware, ha deciso di configurare il bridging tra una vNIC e un collegamento VPN e la VM ha iniziato a mandare BPDU attraverso la vNIC. switch virtuale li ha ignorati, ma l'interruttore fisico non ha - ha chiuso la porta, tagliare un certo numero di macchine virtuali dalla rete.

Migliore dei casi, BPDU guardia sui blocchi interruttore fisico ma non si chiude la porta - tutte le macchine virtuali appuntato che puntano ottenere blackholed, ma il danno si ferma lì. Più spesso BPDU guardia si chiude la porta fisica (la reazione di BPDU guardia è fornitore / switch-specifici), VM usando quella porta si appuntato a un'altra porta, e la VM mal configurati trigger BPDU guardia su un altro porto, fino a quando tutto l'esercito vSphere è tagliato fuori dal resto della rete. Caso assolutamente peggiore, si sta eseguendo VMware High Availability, l'host vSphere innesca la risposta isolamento e la VM offendere viene riavviato su un altro host (eventualmente far cadere l'intero cluster).

C'è solo una buona soluzione a questo problema: implementare BPDU guardia sullo switch virtuale . Purtroppo, nessun interruttore virtuale in esecuzione in ambiente VMware (compresi Nexus 1000V) implementa BPDU guardia (sì, lo so, nessun cliente è di utilizzare questa funzione ). È interessante notare che la stessa funzionalità potrebbe essere abbastanza facile da implementare in Xen / XenServer / KVM: o modificando il open-source Aprire switch virtuale o inoltrando i frame BPDU di OpenFlow controller, che sarebbe poi bloccare la porta incriminata.

Le alternative a BPDU guardia in una vasta switch virtuale di male in peggio

Disabilitare BPDU guardia sullo switch fisico . Hai appena spostato il problema da accesso a livello di distribuzione (se si utilizza BPDU guardia) ... o hai fatto l'intero layer-2 di dominio completamente instabile, come ogni VM potrebbe causare STP modifica della topologia.

Abilita BPDU filtro sullo switch fisico . Ancora peggio - se qualcuno riesce effettivamente a configurare il bridging tra due vNIC (o due schede di rete fisica in un host Hyper-V), siete brindisi; BPDU filtro fa sì che il passaggio fisico di far finta che il problema non esiste.

Abilita BPDU filtro sullo switch fisico e rifiutare trasmette forgiate in switch virtuale .Questo protegge da ponte all'interno di una VM (rifiutando trasmette forgiato fermerà tutti i fotogrammi a ponte e quindi prevenire loop di spedizione), ma non contro una configurazione errata del server fisico. Se siete assolutamente assolutamente positivo tutti i server fisici sono i padroni di vSphere, è possibile utilizzare questo approccio (switch virtuale è dotato di prevenzione ciclo ), se c'è una minima possibilità che qualcuno potrebbe collegare bare-metal di server o un host Hyper-V/XenServer alla rete, non hanno nemmeno pensare di usare BPDU filtro.

Tutto il resto? Descrivi la tua soluzione preferita nei commenti!

Alla ricerca di maggiori informazioni? Li troverete in immersione profonda VMware Networking webinar ( acquistare una registrazione ), se siete interessati a più di un webinar, si consideri il abbonamento annuale .