Programmers Day!

by Arman Obosyan 13. September 2010 15:10

Tags:

Calculate how many subnets can aggregated in one summary route

by Besarion GIorgadze 3. September 2010 04:00

  ხშირად არის სიტუაციები როდესაც გვიწევს ქსელების სუმარიზაცია ეს ძალიან კარგია იმიტომ რომ როუტერს რაც ნაკლები ქსელები აქვს და უფრო ნაკლების ცვლილებების შესახებს იგებს ქსელში მით უფრო ნაკლებად იტვირთება.  მაგრამ ხშირად არის სიტუაცია რომ გვავიწყდება   რამდენი ქვე ქსელი არის ამა თუ იმ სუმარიზირებულ ქსელში ან   რამდენი ქვე ქსელის შეიძლება იყოს. ეს ყვეფალფერი კარგად ვიცით რომ ციდან არ მოდის და ეს ყველაფერი მოდის მარტივი ფორმულებიდან ან ხანდახან არც თუ ისე მარტივი ფორუმებიდან ,  ამ პოსტში მინდა დავწერო თუ როგორ შეიძლება გამოვითვალოთ 1 სუმარიზირებულს ქსელში რამდენი ქვე ქსელი შეიძლება იყოს.

2 ხარისხად N= მაქიმუმ ქვე ქსელების რაოდენობა 1 სუმარიზირებულ ქსელში .  სადაც N არის სუმარიზირებულს ქსელსა და ქვექსელს შორის სხვაობა.

მაგალითად: 10.0.0.0/19 არის სუმმარიზირებული ქსელის და 10.0.0.20/24 არის ქვე ქსელი

ამ შემთხევაში N=24-19=5

ხოლო 2 ხარისხად 5 = 32  .სადაც

32 არის მაქსიმუმ ქვე ქსელების რაოდენობა რომლებიც შეიძება დავასუმაროთ

იმედი მაქვს ვინმეს წაგადგებათ რამეში.

Tags:

Routing

How Routing Table Makes Route Desicion

by Besarion GIorgadze 2. September 2010 21:09


Routing Table-ში შეიძლება იყოს ერთი ქსელი სხვადასხვა წყაროდან მოსული და სხვადახვა prefix-ით

მაგ: 192.168.1.0/26 არის  OSPF როუტი, 192.168.1.0/26 eigrp როუტი და  192.168.1.0/24 static როუტი.

პაკეტი როცა მოვა პირველ რიგში როუტერი შეხედავს prefix-ს რომელ prefix-იც იქნება უფრო  მჭიდრო prefix-ით  იმ როუტს გამოიყენებს. ესე როცა ირჩებს როუტერის მარშუტს ანუ მასკის მიხედვით ქვია “Maximum prefix length match longest prefix match”

მაგ : თუ მოვიდა პაკეტი რომლის IP მისამართი არის 192.168.1.10 ზემოთ მოცემული მაგალითიდან შეხეხედავს 192.168.1.0/26 (ყველაზე მჭირდო მასკას)

მხოლოდ ამის შემდეგ შეხედავს. (AD Administrative Distance) ზემოთ მოცემულ მაგალითში გამოიყენებს EIGRP როუტს იმიტომ EIGRP AD ნაკლებია ვიდრე OSPFის

 

Tags:

Routing

Route Lab V0.1

by Besarion GIorgadze 16. August 2010 00:47

მოგესალმებით, ერთ მშვენიერ პარასკევს საღამოს ვაპირებდი  უკვე სამსახურიდან გამოსვლას და მირეკავს მეგობარი და მეუბნეა არ გინდა ერთი ნომრლაური როუტინგ ლაბა ავაწყოთ და ვუპასუხე რატომაც არა.  ესე დაიბადე ეს იდეა. 1 უძილო ღამის მერე გამოცხვა შემდეგი ლაბა ზოგისთვის შეიძლება საინტერესო იყოს და ზოგისთვის არა. “გრძელი სიტყვა მოკლედ ითქმის” შოთა ბიძიას თქმის არ იყოს,  ეს არის რაც გამოგვივიდა. მართალია დიზანის მხრივ შეიძლება ითქვას რომ 0 არის მაგრამ  მაქსიმალურად შევეცადეთ რომ TASK-ებით დაგვეტვირთა

როსტიე გაიხარე დიდი მადლობა შენე.

მოკლედ გადავედით საქმეზე.

Lab Phisyical Topology

Route lab

Lab Tasks

OSPF
configure ospf between
R6 R7 R8 area 67, area type nssa, netwrok type NBMA
R6 R3 Area 0 netwrok type pont-to-point
R6 R3 Area 0 network type point-to-point
R3 R5 area 35, area type totally stubby, network type point-to-point
configure MD5 authentication  over ospf neighbors

Eigrp

configure eigrp as 10  between R3 R4 on interfaces Fa0/0 and on  R2 on all interface
R2 is stub conneted summary
eigrp authentication between R3 and R4 with key 1
eigrp authentication between R2 and R3. R2 send key 2 and R3 send key 1
eigrp authentication between R2 and R4. R2 send key 2 and R4 send key 1
Redistribute

eigrp redistribution into ospf
R3 redistibute all eigrp route to ospf and don't redistribute which route redistribute R4 into eigrp
R4 redistribute all eigrp route to ospf and don't redistribute which route redistribute R3 into eigrp
ospf choose R3 primary route to eigrp network and R4 is backup

ospf redistribution into eigrp
R3 redistrbute all ospf route to eigrp  don't redistribute which route redistribute R4 into ospf
R4 redistribute all ospf route to eigp  don't redistribute which route redistribute R3 into ospf
R2 choose succssor route via R3 and feasible-successor via R4

BGP
between R6 and R8 internal BGP Peering AS-number 65000 with authentication
R6 as-number 65000 and ISP1 as-number 65001 external BGP peering with authentication
R8 as-number 65000 and ISP2 as-number 65002 external BGP peering with authentication

R6 and R8 advertise network 192.168.0.0/16
ISP1 advertise network 1.1.10.0/24 and 1.1.11.0/24
ISP2 advertise network 2.2.10.0/24 and 2.2.11.0/24

R6 is primary route to ISP1 and ISP2
R8 secondary Route to ISP1 and ISP2

NTP
extenal NTP server ISP1 and ISP2 with peering

internal NTP server R6


LAB Config files and Dynagen Network File

ესეც ფაილები . არქივი შეიცვალს ყველა მოწყობულობის კონფიგ ფაილს, Dynagen Network File-ს და ტოპოლოგიის გრაფიკული ფაილ

Tags: ,

Labs | Routing

Today is Sys Admin Day!

by Arman Obosyan 30. July 2010 10:00

გილოცავთ სისტემური ადმინისტატორის დღეს!

ff872150.TN-page-2-image(ge-ge,MSDN.10)

Wikipedia about sysadmin day

Tags:

Cisco IOS Web VPN with Any connect Client

by Besarion GIorgadze 26. July 2010 01:44

მოგესალმებით,

ამ პოსტში დავაკონფიგურიროთ WEB VPNი ისე რომ ANY Connect Clientის მუშაობდეს და მისაწვდომის იყოს web გვერდიდანაც

Web Base VPN-ის აქვს სამი Remote Accessის რეჟიმი

Clientless: – ეს არის ვებ გვერდზე ბაზირებული, აქედან შესაძლებელია მოხდეს წვდომა ვეგ-გვერდზე ბაზირებული აპლიკლაციზებზე, File-Sharing-ზე და OUTLOOK WEB ACCESS (OWA).

Thinclient:  - ამ რეჟიმის საშუალებით შესალებელია მოხდეს TCP Port-Forwarding-ი ისეთ აპლიკაციკებზე როგორიც არის Telnet ,SSH, SMTP POP3, Remote Destop Connection (RDP). იყენებს ჯავა აპლეტს. მხოლოდ TCP Base Application-ზე შეიძლება ამის გამოყენება.

Tunnel Mode: დაახლოებით იგივე რაც არის Easy VPN Clientი. აუცილებლად ჭირდება ადმინისტრატორის უფლებელი

და ნებისმიერი IP Based აპლიკაციის გამოყენება შეიძლება ამ რეჟიმის საშუალებით.

როგორც ASA-ზე ასევე Cisco IOS-ზე შეიძლება web vpn-ი კონფიგურირდება

asa-ზე აუცილებლად საჭიროა ლიცენზია. 2 მომსარებელის შეიძლება ლიცენზიის გარეშე.

აუცილებელი მოთხოვნები

java runtime 1.4 or Later
suport ONLY Web Base VPN  - Cisco IOS 12.4(15)T7

Support Web bases and any connect Client - CISCO IOS 12.4(20)T

ლაბროატორიულში გამოყენებული

Cisco IOS

Cisco IOS Software, C870 Software (C870-ADVSECURITYK9-M), Version 12.4(20)T, RELEASE SOFTWARE (fc3)

ANY Connect Client

anyconnect-win-2.3.2016-k9 გადმოწერა


Web Browsers

FireFox 3.6.8 IE 8

Operartion Systems

Windows XP SP2 and Windows Sever Ultimate 32 bit

კოფიგურაცია

ვაკონფიგურირებთ სერთიფიკაცს
crypto pki trustpoint local
enrollment selfsigned
revocation-check crl
rsakeypair my_key 1024 1024
ვაგენირერებთ სერთიფიკატს და ვრთავთ HTTPS სერვის
crypto pki enroll local
ip http secure-server


სანამ გადავლთ webvpn-ის უშუალო კონფიგურაციამდე ვაკონფიგურირებთ GATEWAY-ს  სადაც მითითებული იქნება  რომელ IP-ზე გამოიყენოს, რომელი სერთიფიკაცი გამოიყენოს, რომელ პორტზე იმუშაოს და თუ გვინდა რომ რომელიმე პორტ-ზე მოსული request გადაამისამართოს ჩვენი webvpn სერვისის პორტზე მაგ: თუ მე80 პროტზ მოხდა მომართვა გადაამისამართოს 443მ პორტზე .ამასაც აქ ვაკონფიგურირებთ

webvpn gateway soho
hostname home
ip address 94.240.203.160 port 443 
ssl trustpoint local
http-redirect port 80
inservice

ვრთავთ AAA მოდელს და ავტორიზაციისთვის ვიყენებთ ლოკალურ ბაზას

aaa new-model
aaa authentication login webvpn local

ვქმნით local address poolს შემდგომაში რასაც გ���მოვიყენებთ any connectი რომ IPები გასცეს კლიენტებისთვის

ip local pool webvpn1 192.168.2.5 192.168.2.10

ვქმნით  loopback ინტერფეის თუ გვინდა რომ ეს ქსელი დაანონსდეს რომელი დინამიურ მარშუტიზაციის პროტოკოლში

interface Loopback2
any Connect
ip address 192.168.2.1 255.255.255.0

ვქმნით access-listს რომელიც შემდეგში გამოიყენებს იმისთვის თუ სად ქონდეს Clientს წვდომა და რომელ პროტოკოლზე ეს SPLIT TUNNELის Access-list ი არ არის SPLIT TUNNELი კეთდება კონტექსტის კონფიგურაციის რეჟიმში

!
ip access-list extended webvpn
permit tcp 192.168.2.0 0.0.0.255 host 192.168.3.100 eq 3389
!

ამის შემგედ გადავდივართ უშუალოს პროფილის შექმნაზე . მიაქციეთ ყურადღება რომ დიზაინის გარკვეულ ელემენტებში არის შეტანილი ცვლილებები

webvpn context txapnia
title "Home WebVpn"
login-photo file flash://ciscologin1.jpg
logo file flash://cisco_funn1.jpg
color grey


secondary-color darkgrey
title-color #515151
ssl authenticate verify all

!
login-message "Enter your creditionals"
!
policy group conft
   functions svc-enabled
   banner "authentication success"
   filter tunnel webvpn
   svc address-pool "webvpn1"
   svc default-domain "conft.community.ge"
   svc keep-client-installed
   svc homepage "http://conft.ge/"

   svc rekey method new-tunnel
   svc split include 192.168.10.0 255.255.255.0
default-group-policy one
aaa authentication list webvpn
gateway soho
inservice
!

ამის შემდეგ ვაყენებთ კლიენტს აუცილებლად კლიენტის ვერისები უნდა იყოს ერთი და იგივე ანუ რასაც ჩვენ გამოვიყენებთ და რასაც აქ დავაყენებთ თუ სხვადასხვა იქნება არ იმუშავებს

webvpn#copy tftp://192.168.10.100/anyconnect-win-2.3.2016-k9.pkg flash

webvpn(config)#webvpn install svc flash:anyconnect-win-2.3.2016-k9.pkg

ამის შემდეგ ვამოწმებთ რომ ხომ დაყენდა კლიენტი
!
webvpn install svc flash:/webvpn/svc_1.pkg sequence 1
!
Any Connect VPNი თუ გვსურს რომ ვებ გვერიდადან დაყენდეს უმჯობესია გამოვიყენოთ  Internet Explorer-ს
ეს არის ის რაც მინოდა მეთქვა ამ პოსტში. შეკითხვების შემთხვევაში შეგიძლიათ მომართოთ

Tags: ,

Labs | Remote-Access

access-list to match even or odd networks

by Besarion GIorgadze 17. July 2010 02:08

მოგესალმებით, მინდა მოკლედ ავღწერო თუ როგორ შეიძლსბა wirlcard maskით გავასხვავოთ წყვილი და კენტი ქსელები ან IP მისამართები ერთამეთისგან

თუ ორობითში ბოლო ბიტი არის 0, IP მისამართ არის წყვილი

თუ ორობითში ბოლო ბიტი არის 1 , IP მისამართი არის კენტი

192.168.1.00000010 = 192.168.1.2   წყვილი

192.168.1.00000100 = 192.168.1.4   წყვილი

192.168.1.00000110 = 192.168.1.6   წყვილი

192.168.1.00000001 = 192.168.1.1 – კენტი

192.168.1.00000011 = 192.168.1.3  – კენტი

192.168.1.00000101 = 192.168.1.5  – კენტი

წყვილი ქსელებისთვის/მისამართებისთვის იქნება

IP მისამართი იქნება192.168.1.0

და wild card mask შემდეგი 0.0.0.254

254 = 11111110

სადაც 0 ნიშნავს იმას რომ ბოლო ბიტი უნდა იყოს ნოლი

ესეც ჩვენი access-list-ი

access-list 1 permit 192.168.1.0  0.0.0.254

კენტი ქსელებისთვის იქნება შემდეგი

IP მისამართი იქნება 192.168.1.1

wild card mask იქნება რაც წყვილი ქსელებისთვის გვქონდა 0.0.0.254

254 = 11111110

სადაც 0 ნიშნავს რომ ბოლო ბიტი უნდა იყოს 1

ესეც Access-list-ი კენტი რისცხვებისთვის

access-list 1 permit 192.168.1.1 0.0.0.254

Tags:

Tips & Tricks

Anti-spoofing rules for Internet routers

by Besarion GIorgadze 16. July 2010 22:59

მოგესალმებით მინდა მოკლედ დავწერო მინიმალურ დონეზე როგორც დავიცვათ და როუტერი ინტერნერისგან

და როგორც შევამოწმოთ თუ რა ხდებაოდა პერიმეტრულ როუტერზე

პირველი რიგში ინტეტნერის მხარეს რომელი ინტერფეისიც არის იმ ინტერფეისის შემომავალი (in) ტრაფიკისთვის უნდა დავწეროთ access-list-ი , ყველამ გაკრგად ვიცი pirvate მისამართები რომელიც აღწერილია RFC1918-ში  ინტერნეტში არ როუტდება და მხოლოდ გამოიყენება შიდა ქსელებისთვის. ამიტსომ ეს მისამართების უნდა დავლოკოთ აუცლებლად .

10.0.0.0/8 , 172.16.0.0/12, 192.168.0.0/16   

როგორც წესი პროვაიდერი გვაძლევს 1 ქსელს ან რამდენიმე ქსელის ამ ქსელების Network ID და

Network Broadcast-ები უნდა დაიბლოკოს:

მაგალიდან პროვაიდერმა მოგვცა ორი ქსელი: 213.157.196.0/27 და 213.157.196.32/30

213.157.196.32/30 პროვაიდერთან მისაერთებლად და 213.157.196.0/27 ვთქვათ  DMZ-სთვის

213.157.196.32/30 Net ID 213.157.196.32 და Net Broadcast 213.157.196.35 ხოლო

213.157.196.0/27 Net ID 213.157.196.0  და Net Broadcast 213.157.196.65

ამ შემთხვევაში უნდა დაიბლოკოს ყველა ქსელის Net ID და  Broadcast.

213.157,196.0, 213.157.196.31, 213.157.196.32, 213.157.196.65

კიდევ აუცილებლად უნდა დაიბლოკოს loopback ქსელი

127.0.0.0/8

mulicast მისამართების უნდა დაიბლოკოს ინტერნეტიდან იმ გამონაკლისის გარდა როცა რაიმე პროკოლოლი მუშაობს ინტერნეთის მხარეს  და იყენებს mulicast მისამართებს მაგლიდად HSRP. ასევე უნდა დაიბლოკოს network broadcast-ი 255.255.255.255, ICMP redicrect-ი trace-ი და ყველა ქსელი 0.0.0.0-ზე ერთროული მომართვა.

224.0.0.0-239.255.255.255, 0.0.0.0, 255.255.255.255  traceroute და ICMP Redirect

გამოგვივიდა შემდეგი access-listი

ip access-list extended from_internet
deny   ip 10.0.0.0 0.255.255.255 any log
deny   ip 172.16.0.0 0.15.255.255 any log
deny   ip 192.168.0.0 0.0.255.255 any log
deny   ip any host 213.157.196.0 log
deny   ip any host 213.157.196.31 log
deny   ip any host 213.157.196.32log
deny   ip any host 213.157.196.65log
deny   ip 127.0.0.0 0.255.255.255 any log
deny   ip 224.0.0.0 15.255.255.255 any log
deny   ip host 0.0.0.0 any log
deny   ip host 255.255.255.255 any log
deny   udp any any range 33400 34400 log
deny   icmp any any redirect log

ლოგირება შეგვიძლია მიუწეროთ შეგვიძლია არა და როგორც ჩვენ გვინდა ისე გამოვიყენებთ

show access-list from_internet –ამ ბრძანებით შეგვიძლია ვნახოთ counter-ები ანუ რამდენჯერ დაემთვა რომელიმე access-list-ის ჩანაწერს

დიდი მადლობა ყურადღებისთვის

თუ დეტალურად დაგაინტერესებთ დაწერეთ და რითაც შევძლებ დაგეხმარებით

Tags:

Tips & Tricks

Interface Very Useful Commands

by Besarion GIorgadze 16. July 2010 21:10


მოგესალმებით, მინდა რამდენიმე ბრძანება დავწერო რომელიც საკმაოდ მოსახერხებელია ინტერფეისისი კონფგურაცისთვის და შემოწმებისთვის. თქვენი არ ვიცი მაგრამ მე ძალიან გამიადვილა ამ ბრძანებებმა კონსოლში ცხოვრება :-D

show run | include interface | ip address | description

ამ ბრძანების საშუალებით შეგვიძლია ვნახოთ runn-ში ინტერფეისი IP მისამართი და აღწერა

ბრძლების გამოყენება მოსახერხებელია მესამე დონის კომუტატორზე და როუტერზე და მეორე დონის კომუტატორს რაც შეეხება აზრი არ აქვს IP ადევს და ეგ არის და ეგ

show running-config | include interface | switchport | description

ამ ბრძანების საშუალებით შეგვიძლია ვნახოთ runn-ში ინტერფეისი switchport ანუ ეს პორტი trunk თუ access portია  და აღწერა. ეს ბრანება მოსახერხებელია მესამე და მეორე დონის კომუტატორებზე.

show interfaces description

ვნახოთ ინტერფეისიების აღწერილობა.

show interfaces status

შევმოწმოთ ინტერფეისის სტატური – UP/DOWN/errdisable

show controllers utilization - შევამოწმოთ ინტერფეისის/კონტოლერის დატვირთვა პროცენტებში

show interfaces summary – ვნახოთ ინტერფეისების  მოკლე აღწერილობა

interface range

თუ გვინდა რამდენიმე ინტერფეისზე ერთი და იგივე პარამეტრი დავაკონფიგურიროთ მაგ: რამდენიმე პორტი იყოს access-ი ან რამდენიმე პორტზე მიუთითორ VOIP VLAN-ი ან რამდენიმე  პორზე STP- პრიორიტეტი შევცვალოთ

ყველა პორტზე შესვლა და ცალ ცალკე შეცვლა ძალიან მოუხერხებელია და ამითომ CISCO-ს დეველოპორებმა გვაჩუქეს შესანიშნავი ბრძანება :-D

interface range  gi0/1 –48 – ყველა პორტი 1-დან 48 –მდე

interface range gi/01 – 12 , gig0/17 – 20 – ამ შემთხვევაში კი 1-დან 12 და 17-იდან მე-20 პორტამდე

შეგვიძლია მიუთითოთ ერთი და იგივე პარამეტრი


show ip interface brief | exclude unassigned- საკმაოდ მოსახერხებელი ბრძანება არის

show ip interface brief ყველა ინტერფეისზე გვიჩვენებს შემოკლებულად და თუ გვაინტერესბეს მესამე დონის კომუტატორზე რომელი ინტერფეის რა IP მისამართი ადევს და გვაქვს ბევრი ინტეფეისი  ამ ბრანების გამოწნება დამატებითი პარამეტრების გარეშე არც ისე მოსახერხებელი ხდება და ამითომ დაუმატოთ ერთი პარამეტრი

არ გვანახოს unass  და ცოტას მაინც გაგვიმართივებს Trubeshooting-ს

show ip interface brief | exclude unassigned

გვაჩვენებს მხოლოდ იმ ინტერფაცებს რომეზეც IP მისამართი ადევს

მაგ: show ip interface brief  და  show ip interface brief | exclude unassigned

R1#show ip interface brief
Interface                  IP-Address      OK? Method Status                Protocol
FastEthernet0/0            unassigned      YES NVRAM  administratively down down   
FastEthernet1/0            unassigned      YES NVRAM  administratively down down   
Serial2/0                  unassigned      YES NVRAM  up                    up     
Serial2/0.1                155.1.0.1       YES NVRAM  up                    up     
Serial2/0.2                156.1.0.1       YES NVRAM  up                    up     
Serial2/1                  unassigned      YES NVRAM  administratively down down   
Serial2/2                  unassigned      YES NVRAM  administratively down down   
Serial2/3                  unassigned      YES NVRAM  administratively down down   
Loopback0                  150.1.1.1       YES NVRAM  up                    up

R1#show ip interface brief | exclude unass
Interface                  IP-Address      OK? Method Status                Protocol
Serial2/0.1                155.1.0.1       YES NVRAM  up                    up     
Serial2/0.2                156.1.0.1       YES NVRAM  up                    up     
Loopback0                  150.1.1.1       YES NVRAM  up                    up     
R1#

ჩემი აზრით საკამოდ მოსახერხებელი არის მეორე ბრძანება :)

default interface ამ ბრძანების საშუალების შეგიძლია გავანოლოთ ინტერფეისი კონფიცურაცია.

კარგი არის იმ შემთხევაში თუ access-პორტია და გვაინდა გავხადოთ trunk პორტი. ამ შემთხევაშ ჯობია ყველაფერი წავშალოთ და ახლიდან  დავაკონფიგურიროთ.

ამ ბრძანებასთან ერთად შეგვიძლია გამოვიყენოთ interface range- ბრაძნება და რამდენიმე ინტერფეისი  კონფიგურაციას გავანოლებთ

მაგ:

R1(config)#default interface fastEthernet 0/0
Building configuration...

Interface FastEthernet0/0 set to default configuration


show running-config interface fastEthernet 0/0 – ამ ბრძანებით შეგვძლია ვნაოთ კონკრეტული ინტერფეისი კონფიგურაცია . თუ გვქავს საკმაოდ მოზრდილი კომფიგი და გვეზარება ამ კონფიგში ქექვა კონკრეტეული ინტერფეისი შეგვიძალია საკამოდ მართივად ვნახოთ .

Tags:

Tips & Tricks

11 June, IT Pro Event, MCP-Club Video

by Arman Obosyan 16. June 2010 22:28

11 June, IT Pro Event, MCP-Clubის შეხვედრის ვიდეო,
მოხსენება TMG 2010 – Sandro Galdava

 

 

Presentation

Tags: ,