Ciscoman's notes (Записки цыщика c дипломом)

I'm Cisco Champion Community member for 2017!

I'm Cisco Champion Community member for 2017!
"Cisco Champions are passionate about Cisco and happy to share our knowledge, experience, and feedback."

воскресенье, 29 ноября 2009 г.

ASA и NetFlow

Начиная с версии ОС 8.2(1) добавлена проддержка NetFlow.
Включается так:
flow-export destination inside x.x.x.x yyyy
access-list flow_export_acl permit ip host x.x.x.x host x.x.x.x

class-map flow_export_class
match access-list flow_export_acl

policy-map flow_export_policy
class flow_export_class


flow-export event-type flow-creation destination x.x.x.x
service-policy flow_export_policy global

x.x.x.x - NetFlow коллектор
yyyy - порт, на котором слушает коллектор.

http://www.cisco.com/en/US/docs/security/asa/asa82/netflow/netflow.html

четверг, 19 ноября 2009 г.

Нестандартные VPI/VCI

Заметка для себя:
Иногда бывает, что провайдер выдает нестандартные значения VPI/VCI. (VPI>31 или VCI > 1023). Решается очень просто:
atm vc-per-vp 512 (например).
Подробности здесь:
http://www.cisco.com/en/US/tech/tk39/tk48/technologies_tech_note09186a00801086c5.shtml

понедельник, 16 ноября 2009 г.

Juniper for Security Platforms

Сейчас изучаю Juniper for Security Platforms Student's Guide и вижу такой опус:
IPSec supports both unicasts and multicasts traffic.
Однако, ещё из курса Cisco ISCW известно, что "IPmc is not supported with IPsec Direct Encapsulation. IPsec was created to be a security protocol
between two and only two devices, so a service such as multicast is problematic.". Примерно то же говорит RFC 2401. Понятно, конечно, что в Juniper используется IPSec over GRE (точее, route-based ipsec vpn через интерфейс st), однако об этом прямо не сказано, зачем же людей путать?
Спустя несколько дней:
Выясняются ещё более интересные подробности:

A route-based VPN is required for which scenario?
A. when the remote VPN peer is behind a NAT device
B. when multiple networks need to be reached across the tunnel and GRE cannot be used
C. when the remote VPN peer is a dialup or remote access client
D. when a dynamic routing protocol is required across the VPN and GRE cannot be used
Answer: D
Т.е это не GRE. Тогда мне совсем не ясно как это работает.

Постоянные читатели

Поиск по этому блогу