<![CDATA[51CTO技术博客-领先的IT技术博客]]> <![CDATA[51CTO BLOG]]> <![CDATA[Cisco ASA 5510 and Squid with WCCPv2]]> Environment:
Squid server: Ubuntu 8.10 Server Edition      IP Address:192.168.50.100/24
ASA5510:   E0/1 inside         IP Address:192.168.50.1/24
Local Network:     10.1.0.0/16
 
1. ASA WCCP Configuration
ASAconfig)#access-list PROXY extended permit 10.1.0.0 255.255.0.0 any eq www
ASAconfig)# wccp web-cache redirect-list PROXY
ASA(config)# wccp interface inside web-cache redirect in
 
2. Squid Installation
root@ubuntu-squid:~# apt-get install squid
root@ubuntu-squid:~# vi /etc/squid/squid.conf
http_port 3128 transparent
wccp2_router 192.168.50.1
wccp2_forwarding_method 1
wccp2_return_method 1
wccp2_assignment_method 1
acl all src 0.0.0.0/0.0.0.0
http_access allow all
cache_mem 256MB
cache_dir ufs /var/spool/squid 10240 16 256
 
3. Linux Server Configuration
root@ubuntu-squid:~# vi /etc/rc.local
#setup gre tunnel to ASA. Remote is the WCCP route identifier and local is the ip address of Squid
ip tunnel add wccp0 mode gre remote 192.168.50.1 local 192.168.50.100 dev eth0
ifconfig wccp0 inet 127.0.0.3 netmask 255.255.255.255 up
echo 1 > /proc/sys/net/ipv4/ip_forward
echo 0 > /proc/sys/net/ipv4/conf/wccp0/rp_filter
iptables -F -t nat
iptables -t nat -A PREROUTING -i wccp0 -p tcp -m tcp --dport 80 -j DNAT --to-destination 192.168.50.100:3128
 
4. Verify Configuration
ASA# sh wccp
Global WCCP information:
    Router information:
        Router Identifier:                   192.168.50.1
        Protocol Version:                    2.0
    Service Identifier: web-cache
        Number of Cache Engines:             1
        Number of routers:                   1
        Total Packets Redirected:            7611
        Redirect access-list:                PROXY
root@ubuntu-squid:~# tail /var/log/squid/access.log
1246847635.924      2 10.1.254.115 TCP_IMS_HIT/304 445 GET http://wiki.squid-cache.org/wiki/squidtheme/css/screen.css - NONE/- text/css
1246847635.927      2 10.1.254.115 TCP_IMS_HIT/304 444 GET http://wiki.squid-cache.org/wiki/squidtheme/css/print.css - NONE/- text/css
 
5. Related Information
http://wiki.squid-cache.org/ConfigExamples/NatAndWccp2
]]> <![CDATA[Cisco Nexus 1000V安装指南]]>         Nexus 1000V是Cisco推出的第一款纯软件的虚拟交换机产品,可以在VMware虚拟化环境中提供Cisco Catalyst交换机的功能,如QoS、ACL、SPAN等。
        Cisco Nexus 1000V包含VEMVSM两部分,其中VEM运行在ESXi服务器上取代VMware原有的虚拟交换机,VSM是一个单独运行的虚拟机,提供CLI接口,用于管理和配置整个虚拟交换机。
 
 
 
Cisco Nexus 1000V的具体安装步骤如下:
 
安装环境:
ESXi 4.0 x 1            ip address:      192.168.0.10
vCenter Server x 1      ip address:      192.168.0.20
vSphere Client and RCLI x 1   ip address:      192.168.0.30
Cisco Nexus 1000V        management ip 192.168.0.50
 
1、  www.cisco.com下载Nexus 1000V安装包,将安装包解压得到VSMVEM安装程序。
http://tools.cisco.com/support/downloads/pub/Redirect.x?mdfid=282362725
 
2、  ESXi服务器上安装并验证VEM
VEM目录中的cisco-vem-v100-4.0.4.1.1.27-0.4.2.zip复制到C:\Program Files\VMware\VMware vSphere CLI\bin\ 目录中,选择开始菜单中的All programs > VMware >VMware vSphere CLI > Command Prompt
C:\Program Files\VMware\VMware vSphere CLI>cd bin
C:\Program Files\VMware\VMware vSphere CLI\bin>vihostupdate.pl -i -b cisco-vem-v100-4.0.4.1.1.27-0.4.2.zip --server 192.168.0.20
C:\Program Files\VMware\VMware vSphere CLI\bin>vihostupdate.pl -q --server 192.168.0.20
 
3、  vSphere Client选择File > Deploy OVF Template选中VSM目录中的Nexus1000v-4.0.4.SV1.1.ova导入VSM虚拟机。
4、  启动虚拟机,选择安装Nexus 1000VHA模式设定为standalone,定义管理地址及网关。
5、  查看虚拟机的host-id,并根据此idwww.cisco.com上申请60天试用License
#show license host-id
6、  将下载的License文件放在TFTP服务器,并上传到虚拟机的bootflash中。
#copy tftp://192.168.0.30/cisco.lic bootflash:
       #install license bootflash:cisco.lic
       #show license usage
       #copy run start
7、  vCenter Server上安装Cisco Nexus 1000V Plug-in
用浏览器打开虚拟机管理地址http://192.168.0.50下载cisco_nexus1000v_extension.xmlvSphere Client中选择Manage Plug-in,右键点击空白处选择新建Plug-in,选择下载的xml文件并点击注册。如果注册失败,可以删除此plug-in然后重新尝试注册,具体方法见如下的Nexus 1000V安装故障解决指南
http://www.cisco.com/en/US/docs/switches/datacenter/nexus1000/sw/4_0/troubleshooting/configuration/guide/trouble_3install.html#wp1197079
8、  VSM虚拟机连接vCenter Server,如果连接失败通常是第6步没有成功注册Plug-in
n1000v# config t
n1000v(config)# svs connection VC
n1000v((config-svs-conn)# vmware dvs datacenter-name DC-1
n1000v((config-svs-conn)# protocol vmware-vim
n1000v((config-svs-conn)# remote ip address 192.168.0.20
n1000v(config-svs-conn)# connect
n1000v# show svs connections
9、  定义VSMVEM通讯使用的Port Profile
n1000v(config)# port-profile system-uplink
n1000v(config-port-prof)# switchport mode trunk
n1000v(config-port-prof)# switchport trunk allowed vlan 1
n1000v(config-port-prof)# no shut
n1000v(config-port-prof)# system vlan 1
n1000v(config-port-prof)# vmware port-group
n1000v(config-port-prof)# capability uplink
n1000v(config-port-prof)# state enabled
10、              定义其他虚拟机数据和上联通讯的Port Profile
n1000v$ config t
n1000v(config)# port-profile vm-uplink
n1000v(config-port-prof)# switchport mode access
n1000v(config-port-prof)# capability uplink
n1000v(config-port-prof)# switchport access vlan 262
n1000v(config-port-prof)# vmware port-group
n1000v(config-port-prof)# no shut
n1000v(config-port-prof)# state enabled
 
n1000v(config)# port-profile data262
n1000v(config-port-prof)# switchport mode access
n1000v(config-port-prof)# switchport access vlan 262
n1000v(config-port-prof)# vmware port-group data262
n1000v(config-port-prof)# no shut
n1000v(config-port-prof)# state enabled
n1000v(config-port-prof)# copy run start
[########################################]
 
11、              完成上述步骤后就可以在vSphere Client中的Inventory > Networking中看到Nexus 1000VNexus 1000V上点右键选择add hostESXi主机添加到分布式虚拟交换机DVS
12、              验证安装是否成功
n1000v# show module
Mod Ports Module-Type Model Status
--- ----- -------------------------------- ------------------ ------------
1 0 Virtual Supervisor Module Nexus1000V active *
3 248 Virtual Ethernet Module NA ok
 
参考资料:
http://www.cisco.com/en/US/products/ps9902/prod_installation_guides_list.html
]]> <![CDATA[ISO27001 Study Note I]]> 1. Three aspects of information security:
Confidentiality
Integrity
Availability
 
2. ISO PDCA Model:
Plan - Establish the ISMS
Do - Implement and Operate the ISMS
Check - Monitor and Review ISMS
Act - Maintain and Improve ISMS
 
3. Risk
Assessing security risks
Treating security risks
Risk Priority Number (RPN) = Severity x Occurrence x weakness
 
4. The ISMS documentation:
Statement of ISMS Policy
Control of documents
Control of records
Risk assessment and treatment plan
Internal ISMS audits
Management Review of the ISMS
Corrective and Preventive actions
 
5. Audit findings:
Noteworthy efforts
Observations
Non-conformities
 
Annex A: Control Objectives and controls:
5. Information security policy
6. Organization of information security
7. asset management
8. human resources security
9. Physical and environment security
10. communications and operations management
11. access control
12. information systems acquisition, development and maintenance
13. management of information security incidents and improvement
14. Business continuity management
15. Compliance
]]> <![CDATA[VMware ESXi 4.0升级指南]]>     VMware上个月发布了免费版的ESXi 4.0版,真是广大中小企业用户的福音,呵呵。VMware此次发布了全新安装的ISO镜像及从ESXi 3.5到4.0的升级包。在官方的说明中,升级包需要配合vCenter Update Manager使用,下面我们给大家介绍一种无需vCenter Update Manager的简便升级方法。
 
1. 首先把ESXi 3.5中的虚拟机关闭,将整个服务器切换为“maintenance mode”。
 
2. 下载安装7-zip,用于后面从ESXi 4.0升级包中解压vSphere Client。
http://www.7-zip.org
 
3. 下载安装Microsoft .net framework 3.5 sp1,安装vSphere Client时会自动从网上下载.net 3.0sp1,比较费时间,我是先从微软的网站下载安装了最新的.net 3.5sp1。
http://download.microsoft.com/download/2/0/e/20e90413-712f-438c-988e-fdaa79a8ac3d/dotnetfx35.exe
 
4. 从VMware网站下载ESXi 4.0升级包,需要注册一个帐号才能下载,升级包是一个274M的ZIP文件。
https://www.vmware.com/tryvmware/index.php?p=free-esxi&lp=1
 
5. 用7-zip打开下载的升级包,解压出viclient安装文件,该文件在压缩包中的路径如下:
(VMware-viclient.vib\data.tar.gz\data.tar\.\4.0.0\client\VMware-viclient.exe)
 
 
6. 安装vSphere Client, 并在安装中选中“install vSphere Host Update Utility 4.0”。
 
7. 从开始菜单中运行“vSphere Host Update Utility 4.0”,选中你要升级的ESXi服务器,使用下载的升级包进行升级。
 
8. 升级过程中ESXi服务器会自动重启,完成后退出维护模式,启动VM测试是否成功。
 
9.升级完成后有可能需要输入新的License,升级VM中的VMware Tool和虚拟硬件,但由于没有测试我没有执行这些步骤。
 
10. ESXi 4.0中增加了许多特性,如采用了64bit架构,单个虚拟机的硬件提高到了8个SMP和256GB内存,支持ipv6等等,与上一版本相比有了较大的飞跃,成为VMware2009年虚拟化架构的重要组成部分。
 
参考资料:
http://www.vm-help.com/esx40i/ESXi40_upgrade_without_virtualcenter.php
 
]]> <![CDATA[ESXi中Linux虚拟机LVM扩展实例]]> LVM是Linux下常用的磁盘管理技术,可以在线的动态扩展逻辑卷的大小,我们以ESXi中的Linux虚拟机为例说明如何使用LVM动态扩展磁盘空间。
1. ESXi中为Linux虚拟机添加第二块硬盘,查看磁盘状态
#fdisk -l
 
2. 在新加的硬盘上创建分区,分区类型为8e
#fdisk /dev/sdb
Command (m for help): new
Command action
e   extended
p   primary partition (1-4) p
Partition number (1-4): 1
First cylinder (1-512, default 1):
Last cylinder or +size or +sizeM or +sizeK (1-512, default 512):
Command (m for help): t
Partition's system id: 8e
Command(m for help): w
 
3. 创建物理卷
#pvcreate /dev/sdb
 
4 将新建物理卷添加到卷组中
#vgextend vg-1 /dev/sdb
 
5. 扩展逻辑卷大小
#lvextend -L+1G /dev/vg-1/home
 
6. 扩展文件系统大小
#resize2fs -p /dev/vg-1/home
 
7. 查看配置完成后的磁盘空间大小
#df -h
 
8. 查看卷组和逻辑卷状态
#vgdisplay
#lvdisplay
]]> <![CDATA[Cisco 安全技术系列之三:ASA5500 ACL配置详解]]>         访问控制列表(ACL)是防火墙配置中最常用的技术之一,下面以Cisco ASA5500为例介绍一下在不同的应用环境中访问控制列表的具体配置。
 
1)发布服务器
要将内部服务器发布要公网上,只要配置一个静态NAT和与之对应的ACL就可以,下面是将内部地址192.168.0.100服务器的WWW发布的具体配置,公网地址200.200.200.200。
static (inside,outside) 200.200.200.200 192.168.0.100
access-list OUTSIDE_IN extended permit tcp any host 200.200.200.200 eq www
access-group OUTSIDE_IN in interface outside
 
2)基于时间的ACL
ASA5500支持基于时间的ACL,下面的例子将周一到周五工作时间的www流量限制为1Mb/s。
time-range working_time
periodic weekdays 9:00 to 17:00
access-list HTTP extended permit tcp any eq 80 any time-rang working_time
class-map HTTP
 match port tcp eq www
policy-map HTTP
 class HTTP
  police output 1000000 1000
service-policy HTTP interface inside
 
3)Lan-to-Lan VPN ACL
基于端口的ACL对于VPN流量是不起作用的,因此需要使用vpn-filter命令来对Lan-to-Lan和Remote AccessVPN流量进行过滤和控制。下面的例子只允许本地10.10.10.0/24网段的PC访问VPN对段192.168.0.100服务器的FTP服务,在这里需要注意ACL中的源地址是指VPN对段的地址。
access-list Filter extended permit tcp host 192.168.0.100 eq ftp 10.10.10.0 255.255.255.0
group-policy VPN_1 internal
group-policy VPN_1 attributes
vpn-filter value Filter
tunnel-group x.x.x.x type ipsec-l2l
tunnel-group x.x.x.x general-attributes
default-group-policy VPN_1
 
4)Remote Access VPN ACL
下面的例子只允许远程接入VPN的客户端访问内部地址为10.10.10.100的服务器。
access-list RAVPN extended permit ip any host 10.10.10.100
group-policy VPN_2 internal
group-policy VPN_2 attributes
 vpn-filter value RAVPN
vpn-tunnel-protocol IPSec
tunnel-group VPN_2 general-attributes
 default-group-policy VPN_2
]]> <![CDATA[思科站点间VPN技术比较]]> 思科系统公司®提供了业界特性最为丰富、最灵活的站点间VPN解决方案。思科®站点间VPN解决方案集成了先进的网络智能特性和路由功能,为语音和客户端-服务器应用等复杂的关键任务流量提供了可靠的传输,且对通信质量无影响。这些解决方案以五种底层VPN技术为基础:动态多点VPN (DMVPN)、Easy VPN、GRE隧道、标准IP安全(IPsec)和全新的群组加密传输VPN (GET-VPN)。每种技术都各具优点,专为满足特定部署需求而定制。下面对各项技术进行了比较,并提供了使用它们的准则。
http://www.cisco.com/web/CN/products/products_netsol/routers/solution/isr/solutions/network_routers_white_book_aag.html
]]> <![CDATA[Networkers 2009系列之二:Cisco IOS设备管理艺术]]> Cisco 在IOS设备中提供了DMI特性,可以实现更加灵活和智能的配置管理,下面我们给大家介绍几个既可以提供工作效率,又非常有趣的技术。
1、CLI基础
配置模式下执行EXEC命令: (在命令前加do)
router(config)# do show run
命令别名:
router(config)# alias exec shib show ip interface brief
router# show aliases
 
2、CLI高级技巧
配置回滚:
router# config replace disk0:/config-archive-3 time 10
当远程调试设备时,有可能错误的配置中断连接,上面的命令可以让路由器10分钟后自动恢复flash中保存的正确配置。
 
3、TCL脚本
使用noetpad编辑一个文件hello.tcl,然后将文件上传到路由器的flash中。
puts "Hello World"
运行tcl脚本:
Router#tclsh flash:/hello.tcl
 
4、EEM事件触发变更
当收到NTP更新的log,自动执行自定义的一组命令。
event manager applet config_upon_ntp
event syslog pattern ".*%NTP-5-PEERSYNC.*"
action 1.0 syslog msg "Starting ..."
:
... Your Config Changes Here ...
:
action 3.0 syslog msg "... done"
 
5、EEM配置变更报警
禁止修改hostname,并记录日志
event manager applet cli-async-skip
event cli pattern "hostname *" sync no skip yes
action 1.0 syslog msg "Deny to change hostname"
 
6、命令行下编辑文件
www.cisco.com/go/ciscobeyond 下载ed.tcl并上传到路由器flash中,就可以命令行下使用ed编辑简单的文本文件。
router(config)# alias exec ed tclsh flash:/ed.tcl
router# ed flash:/testfile.txt
 
7、配置文件归档
每24小时或执行wirte命令时自动将原有配置保存到flash。
archive
path disk0:/config-archive
maximum 7
time-period 1440
write memory
 
8、图形化管理-SDM
使用web图形化管理工具SDM配置和监控路由器,思科图形化管理工具一直不太好用,SDM算是比较大的一个进步,还有ASA的ASDM,用来监控确实不错,但配置我还是习惯用命令行。
 
9、自定义菜单管理-EMM
IOS 12.4(20)T 后增加了Embedded Menu Manager,可以自定义配置菜单,可以简化配置和便于多人管理,还没有机会尝试。
 
10、多设备和脚本- E-DI
E-DI提供了加强的命令行、Perl和XML的管理方式,可以同时管理多个设备,下载地址:www.cisco.com/go/ciscobeyond
 
参考资料:Networkers 2009 - 13 smarts ways to configure your cisco ios network elements
 
 
 
]]> <![CDATA[Networkers 2009系列之一:通过PfR实现负载均衡]]>          传统的负载均衡厂家都是通过专用的硬件产品来实现负载均衡,不同的产品可以支持出站、入站或双向的负载均衡,如F5的Big-IP系列,Radware LinkProof系列产品。此类产品的价格比较高,通常适用于小型的数据中心或大、中型企业。
 
         现在有更多的中、小企业也部署了多条internet线路,希望能在这些线路上实现负载均衡。其实Cisco在IOS 12.3(8)T以后就推出了Performance Routing (PfR)技术,可以在Cisco路由器上根据延时、丢包率、抖动、负载等条件实现非常灵活的负载均衡,在很多方面甚至超过了专用的负载均衡产品。下面我们给大家具体介绍一下Performance Routing的架构与实现。
 
1、Performance Routing 架构
      Performance Routing由MC和BR构成,其中MC记录线路状况并做出决定,BR是实际的边界路由器,执行MC的命令,实现线路的智能切换。
     根据企业网络规模大小不同,MC/BR的部署可有一下三种常见的方式:
     1)MC和BR在同一台路由器上
     2)MC和一个BR在一台路由器上,另一个BR在一台单独的路由器
     3)MC和两个BR都在单独的路由器上
 
 
2、Performance Routing 操作流程
      Performance Routing的执行过程可以分为以下5步:
      1)学习:  自定义需要监控的数据流,可以根据地址、端口、协议或者应用类型区分数据流。
      2)测量:测量分被动和主动和综合3种方式,被动方式采用Netflow检测数据,主动方式采用IP SLA方式,通常适用于VoIP等实时应用。
     3)应用策略:根据定义的策略,综合延时、丢包率、流量等因素,选出最佳路径
     4)执行策略:由MC通知BR添加静态或BGP路由,实现动态的负载均衡
     5)验证:可以通过查看MC/BR状态、路由表和日志监控Performance Routing的具体执行情况。
 
3、Performance Routing配置范例
      下面我们以一个简单的单路由器来说明Performance Routing的具体配置。
 
      1)MC/BR基本配置
      key chain key-1
      key 1
      key-string cisco
 
     oer master                     #定义MC与BR通讯的地址、端口和密钥
     port 9999
     logging
     border 10.10.10.10. key key-1
     interface e9/0 external
     interface e12/0 external
     interface e8/0 internal
 
    oer border                   #定义BR
    logging
    local loopback0
    port 9999
    master 10.10.10.10 key-chain key-1
 
    interface loopback0
    ip address 10.10.10.10 255.255.255.255
 
    ip route 0.0.0.0 0.0.0.0 e9/0
    ip route 0.0.0.0 0.0.0.0 e12/0
 
    2)定义学习内容和测量标准
     oer master
     learn
      delay                                   #学习延时
      throughput                        #学习线路负载
      periodic-interval 3            #学习周期,每隔3分钟学习一次
      monitor-period 1              #每次学习1分钟
   
     3)定义执行策略
     oer master
     delay threshold 200             #延时超过200ms会自动选择最优路径
     mode route control             #定义执行路由控制
     mode monitor passive       #定义采用被动方式监控
     mode select-exit best         #定义选择最优路径
 
    4)验证配置
      # show oer master
      # show oer master border detail
     # show ip route static
     # show logging
 
参考资料:Networkers 2009 - Deploy Performance Routing
   
]]> <![CDATA[开源网络管理系统简介]]>         当企业完成了基础架构的建设及应用系统的部署后,就会产生加强网络管理和监控的需求,同时虚拟化的普及会进一步推动这种需求,但传统的网络管理产品价格较高,部署时间长,很难适用于中小企业。
       其实有很多优秀的开源产品,就可以满足我们不同的管理需要,甚至在某些方面要强于商业软件,但由于宣传不足,不为大家所熟知,下面我们就为大家介绍几款开源的网络管理系统产品。
 
1、网络设备及流量监控---Cacti  (http://www.cacti.net)
      Cacti是一套基于PHP、MYSQL、SNMP和RRDTOOL开发的网络流量监控工具,你只需要在网络设备中开启SNMP协议,就可以在Cacti中轻松的生成设备CPU、内存、端口流量图。如果你对SNMP协议比较了解,还可以通过自定义生成丰富的图表,如防火墙的连接数、VPN连接数、设备环境温度、UPS电压变化等等。Cacti有丰富的插件库,可以支持路由器、交换机、防火墙、服务器、存储、UPS等等。
 
2、服务器监控---Nagios (http://www.nagios.org)
      如果你想监控服务器的状态,Nagios是最好的平台之一。Nagios可以通过代理及无代理的方式监控windows和linux服务器,包括CPU、内存、磁盘、进程及服务,可以通过声音、邮件及短信报警,支持分布式部署,可以将记录保存在MYSQL中存档。我们现在采用的就是将Cacti和Nagios集成在一起的监控模式。Nagios的安装配置比较复杂,如何你对linux不太熟悉,可以选用Groundwork,它把nagios及图形化管理工具打包在一下,安装使用都非常简单。
 
3、应用流量监控---Ntop (http://www.ntop.org)
      通过Cacti我们可以看到路由器和交换机每个端口的流量,但如何我们想了解每个人的流量情况及不同应用的带宽占用情况,就需要使用Ntop。Ntop通过分析数据镜像端口的流量,生成详细的源地址、目的地址、应用带宽利用率,便于找出视频、P2P等高带宽应用,保证网络的正常通讯。
 
4、安全管理平台---OSSIM (http://www.ossim.net)
SOC是这几年比较热的一个概念,商业化的安全管理平台的产品都比较贵,OSSIM是一个开源的安全管理产品,它集成了Snort、Nagios、Ntop、OCSNG等15个开源安全工具,同时将不同的事件进行关联,构建一个统一的管理平台。应该说它的想法非常好,但还有很多需要完善的地方。
 
除了上面介绍的产品,其实还有很多开源的网络管理工具,如OpenNMS,Hyperic HQ,OpenQRM等等。但由于开源产品宣传不足及安装使用复杂,很难被大家认可,我认为开源产品一方面要加强合作,注重宣传,另一方面要简化安装配置,如提供自启动安装光盘、vmware 虚拟机等简便的安装方式。开源之路仍任重而道远。。。
]]> <![CDATA[Cisco 安全技术系列之二:IOS设备安全管理]]> Cisco IOS 设备的安全加固包括了管理层面、控制层面和数据层面的三方面的内容,管理层面指通过SSHSNMP对设备的管理,控制层面指路由协议IGP以及BGP的管理,数据层面指用户的正常数据通讯,下面主要介绍一下管理层面的安全技术。
 
1、  管理层面
密码管理:
service password-encryption        //启用密码加密服务
username cisco secret cisco         //MD5加密用户密码
aaa authentication attempts loging         //限制用户登陆的尝试次数
 
禁用以下服务:
no ip domain-lookup                    //禁用DNS解析服务
no ip http server                          //禁用HTTP服务
no service config                  //禁用网络下载配置服务
no cdp run                           //禁用CDP服务
 
使用AAA服务:
aaa new-model
aaa authentication login default group tacacs+ enable
tacacs-server host <ip-address-of-tacacs-server>
tacacs-server key <key>
 
aaa authorization exec default group tacacs none
aaa authorization commands 0 default group tacacs none
aaa authorization commands 1 default group tacacs none
aaa authorization commands 15 default group tacacs none
 
aaa accounting exec default start-stop group tacacs
aaa accounting commands 0 default start-stop group tacacs
aaa accounting commands 1 default start-stop group tacacs
aaa accounting commands 15 default start-stop group tacacs
 
SNMP管理:
Access-list 99 permit 192.168.100.1            //定义允许访问SNMP服务的地址
Snmp-server community READONLY RO 99     //定义SNMP只读字符串
 
日志管理:
Logging host 192.168.100.1         //定义syslog主机地址
Logging trap 6                            //定义网络日志等级
Logging buffered 6               //定义缓存日志等级
No logging console               //禁用控制台日志功能
No logging monitor               //禁用远程登陆日志功能
Logging source-interface loopback 0    //定义日志源地址
Service timestamps log datetime mesc show-timezone //定义日志时间格式
 
配置管理:
Archive                        //定义每天自动保存配置到flash
 path disk0:archived-config
 maximum 14
 time-period 1440
 write-memory
 
archive                         //定义记录配置更改并发送syslog日志
 log config
  logging enable
  logging size 200
  hidekeys
  notify syslog
 
参考资料:
http://www.cisco.com/en/US/tech/tk648/tk361/technologies_tech_note09186a0080120f48.shtml#gc
 
]]> <![CDATA[Cisco 安全技术系列之一:2层攻击防范技术]]> 1.      VLAN跳跃攻击(VLAN Hopping
分析:用户可以将自己的端口配置为trunk,将自己加入到所有的Vlan中。另一方法是伪造数据包,在包头中添加双重tag标记,这样即使管理员关闭了该接口的trunk功能,仍可以将数据包发送到其他Vlan
防范:关闭不用的端口或者将他们放在一个隔离的VLAN中。
 
2.      MAC攻击
分析:交换机的MAC的地址表的空间大小是固定的,攻击者可以通过发送随机地址的数据包将地址表空间填满,该交换机就会成为一个HUB,攻击者可以通过监听工具收集和分析网络中的所有数据。
防范:启用端口安全功能,限制每个端口允许的MAC地址数量并发送syslog日志。
Switchport port-security
Switchport port-security maximum 1 vlan access
Switchport port-security violation restrict
Switchport port-security aging time 2
Switchport port-security aging type inactivity
Snmp-server enable traps port-security trap-rate 5
 
3.      DHCP攻击
分析:攻击者可以将自己伪装为DHCP服务器向用户提供DHCP服务,从而将数据引向自身,获得用户数据的内容和流向控制。
防范:启用DHCP Snooping功能
用户端口: no ip dhcp snooping trust
DHCP服务器端口:ip dhcp snooping trust
 
4.      ARP攻击
分析:攻击者可以将自己MAC伪装成网关的MAC地址,从而将同网段的所有流量引向自己。获得用户数据的内容和控制。流行的ARP病毒就是通过这种方式实现的。
防范:DHCP环境(启用动态ARP检测-DAI,可以监控网络中ARP数据)
       全局配置:
       Ip arp inspection vlan 4,104
       Ip arp inspection log buffer entries 1024
       Ip arp inspesction log-buffer logs 1024 interval 10
       端口配置:
       Ip arp inspection trust
 
       DHCP环境(为网关和服务器设置静态IPMAC绑定)
       Ip source binding 0000.0000.0001 vlan 4 10.1.1.1 interface fastethernet 3/1
 
5.      IP/MAC欺骗攻击
分析:攻击者可以伪装成合法的IPMAC地址,从而影响用户的正常通讯和获得非法的权限。
防范:启用ip source guard,可以检测数据包的源IP地址或者源MAC地址,过滤掉非法的数据,ip source guard需要先启用DHCP snooping功能。
全局配置:
       Ip dhcp snooping vlan 4,104
       No ip dhcp snooping information option
       Ip dhcp snooping
       端口配置
       Ip verify source vlan dhcp-snooping
 
6.      STP攻击
分析:攻击者可以发送BPDU引起根桥的变化,从而获得非法的数据并造成网络的震荡。
防范:接入层交换机端口启用BPDU Guard
       Spanning-tree portfast bpdugurad
       核心层交换机端口启用Root Guard
       Spanning-tree guard root
 
总结:  Cisco 2层攻击防范架构
参考资料:
Networkers 2009 BRKSEC2002 Understanding and Preventing Layer 2 Attacks
 
]]> <![CDATA[Cisco ACS替代方案系列之一---Windows IAS]]> Cisco的ACS服务器可以提供完善AAA服务,包括认证、授权和记账的功能。但价格较高,不适合中小企业使用。我们可以使用windows IAS和域控制器来提供AAA中的认证功能,通过域用户和密码来管理网络设备,避免了更新设备密码的麻烦。
 
1)cisco设备配置
aaa new-model
aaa authentication login test group radius local
 
radius-server host x.x.x.x key cisco        #x.x.x.x是windows IAS服务器地址
radius-server source-ports 1645-1646
radius-server directed-request
 
user cisco privilege 15 password cisco
 
line vty 0 4
privilege level 15
login authentication test
 
2)windows IAS服务器配置
在windows administrative tools中选择internet authentication service,右键单击radius clients添加网络设备的ip和key。
在Remote Access Policies, 右键单击 Connections to Other Access Servers, 选择
Properties,将允许登陆网络设备的用户添加到policy condition框中,确保选中下面的Grant Remote Access Permissions。
点击Edit Profile,在Authentication页面中选中Unencrypted authentication (PAP, SPAP), MS−CHAP,和 MS−CHAP−v2,在Encryption页面中选中No Encryption。

 
3)验证认证服务功能
使用域用户和密码登陆网络设备,确认上述配置是否生效。
 
参考资料:http://www.cisco.com/en/US/products/hw/vpndevc/ps2030/products_configuration_example09186a00806de37e.shtml
 
]]> <![CDATA[Cisco ACS替代方案系列之二---Splunk]]> Cisco的ACS服务器可以提供完善AAA服务,包括认证、授权和记账的功能。但价格较高,不适合中小企业使用。其实我们可以让Cisco网络设备本身记录配置的变更,并将变更的内容发送到syslog服务器上,然后由syslog定时将相关的记录过滤出来,通过邮件发送到指定的邮箱来实现记账的功能。
 
在这里我使用Splunk作为syslog服务器,splunk是linux下一款优秀的日志收集和分析软件,免费版可以提供每天500M的日志索引量,对于中小企业已经足够了。下面我们以cisco的交换机和防火墙为例:
 
1)cisco交换机配置
archive
log config
logging enable
logging size 200
hidekeys
notify syslog
 
logging trap notifications
logging x.x.x.x
2) cisco ASA5500配置
logging enable
logging host inside x.x.x.x
logging class config trap notifications
 
3)splunk基本配置
linux下splunk的安装具体见www.splunk.com,同时需要安装smtp邮件系统,我使用的是postfix。安装完成后通过IE访问splunk管理页面。在admin页面中定义使用udp 514端口接受syslog日志。
 
4)splunk报警配置
在搜索框中输入以下条件,并点击搜索框左边的小箭头,选择‘save search’。
 
%ASA-5-111008 OR %PARSER-5-CFGLOG_LOGGEDCMD startminutesago=60
 
在‘save search’的定义页面中选择以下选项,
选中 Run this search on a schedule
schedule:run every hour
alert:alert when number of event greater than 1
send email : xxx@xxx.com
选中 include results
 
5)验证邮件报警功能
在交换机或者防火墙上修改配置,splunk将每隔60分钟搜寻一下前60分钟收到的日志,将与配置变更有关的内容自动发送到你指定的邮箱中,邮件范例如下:
From: splunk@localhost
To: xxx@xxx.com
Content:Saved search results.   Name: 'Config Change'
Query Terms: 'now=1242100800 %ASA-5-111008 OR %PARSER-5-CFGLOG_LOGGEDCMD startminutesago=60'
Alert was triggered because of: 'Saved Search [Config Change]: number of events(16) greater than 1' Search results attached:
attachment: %PARSER-5-CFGLOG_LOGGEDCMD: User:xxx  logged command:service timestamps log datetime
 
]]> <![CDATA[VMware ThinApp使用教程]]> VMware ThinApp是一个应用程序虚拟化的工具,可以将应用程序打包为一个EXE文件,用户可以在任何地方运行而无需安装和管理员权限。我们可以将它看作是绿色软件和单文件的打包工具,VMware推荐和VDI一起使用可以简化桌面应用程序的发布。VMware ThinApp安装和测试过程如下:
 
1、从[url]http://www.vmware.com/download/[/url] 下载ThinApp,并注册申请60天的试用License。
2、在VMware Workstation中新建一个win xp的虚拟机,安装下载的ThinApp。
3、运行ThinApp Setup Capture,点Next建立系统快照。
4、安装需要打包的软件,再点击Next,建立第二次快照,系统自动记录2次快照的区别。
5、勾选运行软件的主文件,点击Next。
6、选择运行时缓存文件的存储位置(sandbox location),保持缺省设置,点击Next。
7、选择文件隔离模式(isolation mode),保持缺省设置,点击Next。
8、选择文件输出目录,是否生成msi文件以及是否压缩。
9、点击‘build now’生成exe文件,在输出目录中的bin文件夹中找到生成的exe文件,用户将该文件复制到本地就可以运行打包的程序,无需安装和管理员权限,十分方便部署和升级。
 
]]> <![CDATA[VMware vSphere 4的特性分析]]> 【TechTarget中国原创】随着vSphere的发布,VMware持续强调这个企业级hypervisor是成熟的。这强调了VMware决定注重的方面:补充其产品。VSphere对VMware ESX 3.5作出的主要更改包括稳定性、可用性和安全性,这些都是服务而不是hypervisor功能。
  VMware已经发布官方申明,最新的产品套件围绕着其龙头产品VMware ESX建立,叫做VMware vSphere。有了vSphere,VMware将其hypervisor定位为虚拟数据中心操作系统或者VDC-OS。与先前的版本相反,许多新功能几乎是与单个系统相关的,新的vSphere几乎以服务为导向,通过VMware的名字选择就能看出来:Application vServices和Infrastructure vServices。Application vServices是提供增强性可用性、稳定性和安全性的产品。作为一个整体,Application vServices位于Infrastructure vServices之上,如vCompute、vStorage和vNetwork。
  在本文中,TechTarget中国的特约虚拟化专家Gabrie van Zanten将介绍这些服务,并介绍VMware vSphere 4的新功能。
  Application vServices
  当涉及到业务应用,终端用户不关心运行应用的硬件或者运行应用的操作系统。用户希望应用作为服务运行,因此,主要的关心问题是在需要时服务是否可用,有多安全,什么时候需要更多的能耗和资源,扩展性能如何等。有了Application vServices,VMware在这些领域的每一个中都添加了新功能。
  可用性
  • VMware Fault Tolerance(VMware FT)。当需要增加可用性时,许多公司考虑集群技术,但这种技术很复杂。应用也必须运行在集群里,并能感知集群,但应用很少能做到。使用VMware FT,虚拟机能在单独主机上使用“ghost”副本运行在lockstep里。如果出现问题需要虚拟机故障转移,故障转移马上就会发生。
    每台虚拟机都可启动VMware FT,目前的版本只需要花费10%的性能。VMware FT只运行在单个虚拟CPU的虚拟机里。这个技术最有用的部分在于虚拟机不需要感知VMware FT,你也不需要对操作系统和应用作出任何修改。
  • VMware Data Recovery(VMware DR)。VMware DR使在文件级别和虚拟机级别备份和存储虚拟机数据更容易。VMware Disaster Recovery比VMware Consolidated Backup(VCB)提供了更高颗粒度。除了有图形用户界面(GUL),现在更容易指定备份、定义保留策略和执行恢复,只需要鼠标点击几下就能做到。VMware DR是无代理的,能使用重复数据删除技术存储增量备份。使用VMware DR有助于成本效益的存储管理。
  安全性
  • VMware VMsafe。如果环境中的每台虚拟机不需要本身的杀毒软件和恶意软件扫描该有多好!VMware VMsafe是一个应用程序接口,能让安全厂商在影响到虚拟机之前扫描所有内存和网络流量。使用这种技术,病毒在影响到虚拟机之前就被截获,预防衍生物。对整个主机只进行一次扫描比对主机上的每个字操作系统进行扫描更好。
  • VMware vShield Zones。作为管理员,你可以创建VMotion、网络和配置感知的vShield信任区。换句话说,从一台主机迁移到另一台的虚拟机能受到来自网络外面的区域保护。分配给区域的虚拟机可能只能移动到另一台拥有相同渔区配置和相同防火墙的主机。
  可扩展性
  • 热添加设备。在先前的版本中,只有虚拟磁盘能添加到运行中的虚拟机。使用VMware vSphere,可以在虚拟机运行时添加更多CPU(内存)。网络和存储设备也能进行“热添加”和“热移除”。通过这样的方式扩展虚拟机,由于给虚拟机添加内存时没有宕机,这就增加了应用的可扩展性。
  • 新虚拟机限制。能给与虚拟机的能耗最大值也增加了。在VMware vSphere里,虚拟机能最多拥有8个虚拟CPU和255GB RAM。更多应用现在是运行在虚拟环境中的合适选后者。例如,用户可能不能在VMware ESX 3.5里运行大型Microsoft SQL数据库或者SAP,因为ESX 3.5最多支持四个CPU。现在虚拟机拥有八个CPU,虚拟化这样的数据库或者SAP就可行了。
  Infrastructure vServices
  在基础设施层有几大改变,这就是VMware所指的Infrastructure vServices。VMware创造了三个焦点领域:vComputer、vStorage和vNetwork,这些新功简化了管理员的工作量,包括Application vServices的植入。
  VMware vComputer
  • 主机限制。要使用vSphere,主机最大需要有512GB的可访问RAM和64CPU核心,也就是说每台主机可以运行大量虚拟机。每核心运行三到四台虚拟机很正常,因此现在每台主机可能运行192台虚拟机。
  • 网络和存储堆栈改良。结合使用Intel的“Nehalem”处理器和VMDirectPath技术,允许vSphere跳过网络接口卡(NIC)的模拟,直接映射物理NIC到虚拟机,达到最大网络访问速度。使用改良的存储堆栈,vSphere应该能达到每秒40万输入/输出操作,提供低于2毫秒延迟。
  • 分布式电源管理(DPM)。使用DPM,当集群的负荷非常小的时候,可以将vSphere主机置于待定模式。DPM将整合虚拟机腾出一台或更多主机,关闭这些主机以降低能源消耗。如果集群上的负荷增加,DPM自动启动待定的主机。
  VMware vStorage
  • 连接的克隆和精简配置。以前VMware ESX使用存储的方式导致经常要求存储空间,其实根本用不了那么多,这就浪费了存储空间。精简配置则杜绝了管理员的猜测,而不会导致存储过量使用。结合使用Linked Clones技术——相同磁盘上可以存储大量虚拟机。VMware宣称使用其更新的虚拟机存储方法可以节省的存储空间能达到50%。
  • 存储提醒和监控。在VMware Infrastructure 3里,vCenter对精确的存储使用率小有远见。现在也提高了,在vCenter里的存储分配与消耗有更好的报告和告警。
  vNetwork
  • 分布式vSwitch。从VMware ESX 2起,分布式vSwitch就是管理员所需求的。在一台主机上创建一个虚拟交换机,并让其与其他所有主机上的vSwitch同步是复杂的。Distributed vSwitches解决了这个问题,因为在分布式交换机上作出的更改将自动在所有主机上更新。这大大减轻了管理虚拟基础设施的负担。较少的管理任务意味着更少的错误和更多的运行时间。
  • 第三方虚拟交换机。除了VMware新植入的分布式vSwitch,vSphere也支持第三方虚拟交换机。思科是第一个对vSphere提供支持的厂商,发布了Nexus 1000V。从思科购买一个独立许可证之后,就可以使用网络密匙激活Nexus 1000V,网络管理员就能完全管理虚拟环境里网络的各个方面,而不需要让VMware管理员进行以前必要的配置。这也减轻了管理和减少了配置错误的风险。
  附加的产品更新
  这只是主机方面新功能的一部分,不过也有对业务操作有重大影响的更新。vCenter的新版本有大量的改进,在VMworld Europe 2009大会上,VMware宣布了其他的新服务,如AppSeed何Chargeback,这些将在今年发布。这些服务主要从虚拟架构管理工具升级vCenter,让其成为一个有额外价值的工具。
]]> <![CDATA[VMware ESXi中安装Vyatta实现虚拟路由器]]> Vyatta是linux下知名的开源路由器项目,在其官方的测试中性能甚至超过了cisco 7200系列路由器,可以支持RIP、OSPF、BGP等路由协议以及VPN、NAT、HA等特性。
 
我们的测试是希望在ESXi中安装Vyatta的虚拟机来替代cisco 1800和2800系列的路由器,或者作为cisco路由器的一个备份,测试的内容只有nat和trunk的支持。
 
1、首先从[url]http://www.vyatta.com[/url]下载vyatta的安装ISO文件,在ESXi中新建一个虚拟机,分配2块网卡,将下载的ISO文件挂载为光驱。
2、在ESXi的配置中,将第2块网卡port group的vlan id改为4095
3、启动虚拟机,用缺省的用户名/密码 root/vyatta登陆系统
4、安装vyatta到硬盘上
install-system
5、进入配置模式
configure
6、配置系统名称
set system host-name vyatta-1
7、设置DNS
set system name-server x.x.x.x
8、设置缺省网关
set system gateway-address 10.0.0.1
9、定义外网接口IP地址
set interfaces ethernet eth0 address 10.0.0.2/24
10、定义内网口IP地址
    set interfaces ethernet eth1 vif 6 address 192.168.6.1/24
    set interfaces ethernet eth1 vif 7 address 192.168.7.1/24
    set interfaces ethernet eth1 vif 8 address 192.168.8.1/24
11、设置NAT策略
    set service nat rule 1 source address 192.168.0.0/16
    set service nat rule 1 outbound-interface eth0
    set service nat rule 1 type masquerade
12、保存和启用配置
     commit
     save
]]> <![CDATA[虚拟化天下,谁主沉浮]]> 虚拟化技术现在是炙手可热,各大厂商是你方唱罢我登场,好不热闹,谁将笑傲群雄,且让我们一一道来。
 
1.、VMware 凭借自己在x86平台10多年的辛勤耕耘,已成为PC服务器虚拟化市场占有率最高的厂商,VI平台也在企业中得到了广泛的应用。VMware的产品线完善,从服务器到桌面、应用程序和灾难备份虚拟化都有相应的产品,应用实例广泛,可以说是产品最为成熟的。今年VMware发布了vSphere,向云计算平台转移,同时加强了与合作伙伴的协作,可以预见在一段时间内VMware仍将保持业界老大的位置,但市场份额在激烈的竞争下将有所下降,同时产品的定价较高也影响了其在中小企业的应用。
 
2、Microsoft是虚拟化的后来者,08年与windows 2008一同发布了Hyper-V。Hyper-v还是一个新产品,还有待与市场的检验和产品的不断完善。但与windows 2008的集成、免费的虚拟机OS授权,让我们想起了曾经的Netscape,microsoft将成为VMware最大的挑战者,首先抢占中小企业市场。但随着linux在企业和数据中心的广泛应用,Hyper-V对linux的有限支持将成为制约其发展的重要因素。
 
3、Citrix 收购了XenSource后将linux平台开源的Xen包装发布了XenServer,提供了与VMware ESX相类似的解决方案。Citrix通过此次收购,完善了自己的产品线,可以提供从服务器、桌面到应用虚拟化的一体化解决方案。但Citrix既没有VMware广泛的用户群,也没有Microsoft在操作系统市场占有率的优势,XenServer只能在两大厂商的夹缝中寻找生存。Citrix09年3月宣布将XenServer企业版完全免费,或将推动Citrix桌面和应用虚拟化产品销售,在虚拟化市场中占有自己的一席之地。
 
虚拟化已成为09年最为热门的技术,从服务器、桌面、应用程序到网络、存储,虚拟化似乎无处不在,一切皆可虚拟化。谁将笑傲江湖,切让我们拭目以待吧。
]]> <![CDATA[VMware ESXi Vlan的三种实现方式]]> 在VMware ESX/ESXi网络中vlan实现方式可以分成3种,分别是通过物理交换机, 虚拟交换机(vSwitch) 和ESXi中的虚拟机(vm)来添加vlan标记,具体方式如下:
 
1) EST - External Switch Tagging
通过将交换机的端口划分到不同的vlan实现虚拟机的vlan分配.
优点: 与管理物理环境相似,无需在ESXi服务器上配置vlan
缺点: 绑定在同一物理端口的虚拟机只能属于同一vlan
物理交换机配置:   switchport mode access
                                   switchport access vlan xx
虚拟交换机(vSwitch)配置: 无
虚拟机(vm)配置: 无
 
 
2) VST - Virtual Switch Tagging
通过在虚拟交换机中配置多个port group对应多个vlan, 物理交换机启动trunk
优点:VMware推荐的方式,可以在ESXi的一个物理端口支持多个vlan
缺点: 配置比较复杂
物理交换机配置: switchport trunk encap dot1q
虚拟交换机(vSwitch)配置: 在ESXi 'Configuration' - 'Networking' 中选择相应的vSwitch, 在属性中添加多个port group, 每个port group的vlan id对应一个vlan
虚拟机(vm)配置: 无
 
 
3) VGT - Vitual Guest Tagging
通过虚拟机来实现标识不同vlan的数据,物理交换机启用trunk
优点:适用于特殊情况,如linux路由器的虚拟机
缺点:需要虚拟机支持802.1q
物理交换机配置: switchport trunk encap dot1q
虚拟交换机(vSwitch)配置:将vSwitch中port group的vlan id改为4095
虚拟机(vm)配置:安装802.1q trunk驱动程序
 
参考资料: [url]www.vmware.com/pdf/esx3_[/url]vlan_wp.pdf
]]>