co dwa (lub trzy, jeśli dopuścimy wejście w stan ‘zawieszony’) lata, w życiu każdego CCIE i CCDE pojawia się ten straszny moment zwany ‘recertyfikacją’. panika jest zwykle krótkotrwała i kończy się ‘popchnięciem’ - z użyciem różnych technik, ale jednak do przodu. miałem okazję trafić właśnie ostatnio na konieczność ‘recerta’ - i sprawdza się mądrość ludowa, że ludzie, którzy na bieżąco przestają mieć do czynienia z sieciami, mają z tym problemy....
zdarzyło się tak, że dopadł mnie weekend na wsi :) router Cisco 887VAGW+7-E-K9, mała konfiguracja (jak poniżej) i jest dobrze. ! chat-script gsm "" "AT!SCACT=1,1" TIMEOUT 15 "OK" ! interface Cellular0 ip address negotiated ip nat outside ip virtual-reassembly in encapsulation slip load-interval 30 dialer in-band dialer idle-timeout 300 dialer string gsm dialer-group 1 async mode interactive ! ip nat translation timeout 60 ip route 0.0.0.0 0.0.0.0 Cellular0 ! dialer-list 1 protocol ip permit !...
temat stary jak świat, ale właśnie musiałem zrobić trochę porządków i trafiłem na problem z kluczami… 4096 bitowymi. bardziej dla własnej informacji, ale być może komuś to zebrane w jednym miejscu się przyda. klucze do Cisco IOS importuje się bez specjalnego problemu: router#conf t Enter configuration commands, one per line. End with CNTL/Z. router(config)#ip ssh pubkey-chain router(conf-ssh-pubkey)#username TEST router(conf-ssh-pubkey-user)#key-string router(conf-ssh-pubkey-data)#AAAAB3NzaC1yc2EAAAADAQABAAACAQDCiLBaopUwsFb9YJNhGqVYqBajlrH S/zwD6/yR6N8VcRzrpqMMNCFXe1q5GMGM[...]ANWInd9GHBjTzbJWVwavxy1ooQewii8ErofZuv1l/SXSdXLzfL p0zMoZ0L+BNPS0j4XBS0N3t8Vl8oVixqIeG2BNTCNaDDt6hx2Q== lukasz@bromirski.net router(conf-ssh-pubkey-user)#exit router(conf-ssh-pubkey)#exit dla Cisco ASA klucze powyżej 2048 bitów trzeba zaimportować używając formatu pkf - ponieważ linia poleceń ma ograniczenie do 512 bajtów....
…nie ma dwóch, to nie ma “stacji roboczej”. przez Święta i nieco czasu teraz poskładałem sobie takie oto coś: płyta główna Asus Z9PE-D8 WS (BIOS 5304, na ‘zastanym’ 3304 potrafiły się dziać dziwne rzeczy) 2x Xeon E5 2660 (Sandy Bridge EP/EX), łącznie 16 rdzeni fizycznych, 32 wątki z HT dwa zestawy Corsair H80i do chłodzenia CPU 64GB RAMu (8x 8GB DDR3 1600 ECC) OWC 480GB PCIe (karta z dwoma dyskami SSD po 240GB w RAID0) obudowa Corsair Obsidian 900D 2 dyski Seagate 4TB HDD 6 dysków Samsung 2TB (stare, wyjęte z NASa do którego trafiły nowsze i większe Seagate’y) kontroler LSI 9261-8i (do niego podpięte są dyski, nawet w RAID5 pięknie skaluje wydajność tych 2TB staruszków) “stara” karta dźwiękowa (Creative SB ZX) “stara” karta graficzna (AMD Radeon 7970), wpięta w trzy monitory Della U2412M (1920x1200), mój ulubiony zestaw ‘biurkowy’ “stara” karta Intel X520 (jeden port do Catalysta 2960S, drugi do “starej” stacji roboczej - Xeon 5670, 48GB RAMu, OWC 240GB jako boot i dwa dyski 2TB jako RAID0 pod ESXi 5....
najpierw pieczołowicie robisz OVA, żeby potem łatwo klonować. a potem w trakcie importu do zdalnego ESXi dostajesz informacje, że Failed to deploy OVF package: The task was canceled by a user.. bardzo irytujące. okazuje się, że w większości wypadków wystarczy rozpakować OVA (to zwykły ZIP), usunąć plik z sumami kontrolnymi (*.mf) i w pliku definicji maszyny (*.vmx) zmienić ciąg vmware.cdrom.iso na vmware.cdrom.atapi. brawo VMware i szacun za przyjazność interfejsu użytkownika :)
…czas przypomnieć sobie stare dobre CLI. próbuje właśnie wyeksportować gotową maszynę wirtualną z instancji VMware vSphere 5.1 stojącej bardzo-bardzo-daleko do OVA. niestety, przepakować w locie 40GB najwyraźniej nie jest łatwo i w różnych momentach proces ten kończy się błędem ’timeout’ (brawa dla jasności wypowiedzi). wystarczy jednak włączyć sobie SSH, a potem wykonać kopiowanie całego katalogu poleceniem SCP - z odpowiednimi parametrami - -C i -o CompressionLevel=9 żeby dostać mniej więcej to samo gdzieś lokalnie, spakować sobie i zostać szczęśliwym posiadaczem OVA: scp -C -o CompressionLevel=9 xyz@zdalne_IP:/vmfs/volumes/strasznie-fajny-ciag-znakow-uuid-i-takie-rozne/nazwa_maszyny/\* ....
jeśli do tej pory nie mieliście okazji zauważyć, w linii 15M wprowadzony został shell IOS. uruchomienie tej funkcjonalności sprowadza się do banalnego: C2#conf t C2(config)#shell processing full teraz dodatkowe polecenia i możliwości stoją przed Wami otworem. działają typowe dla systemów unixowych polecenia oraz rozszerzenia poleceń, w tym zagnieżdżony grep :) C2#sh running-config | wc -l 163 C2#sh running-config | grep ip | grep 2001 ipv6 address 2001:DB8:10::10:254/64 ipv6 route ::/0 2001:DB8:10::10:1 dla wszystkich, którzy przyzwyczaili się pod IOS-XR do obsługi dodatkowych poleceń, to zapewne miła wiadomość :)
ostatnio w ramach porządków i pewnych zmian w rozkładzie i zawartości biurka, postanowiłem przenieść swoją instalację windows 7 z dysku Seagate Momentus XT 320GB na jeden z OCZ Vortexów, które zostały mi po zmianie moich MacBookowych dysków na Intele 710. ponieważ miałem już swego czasu pozytywne wrażenia po jednokrotnym zastosowaniu windowsowego backup & restore, postanowiłem skorzystać z tego mechanizmu i tym razem. błąd. boot z USB instalacyjnego z Windows 7 i próba wykonania odzyskania obrazu z zasobu sieciowego kończyła się błędem (0x80070057) informującym mnie o złym parametrze....
na PLNOGu w trakcie swojej sesji o BGP blackholingu zapowiedziałem, że zorganizujemy dla wszystkich chętnych operatorów bardzo techniczne, ale nie pozbawione elementów zabawy i to dobrej zabawy - szkolenie techniczne z różnego rodzaju mechanizmów i technik do zastosowania w swoich sieciach. mam na myśli blackholing, sinkholing, QPPB, NetFlow a także rzeczy takie jak ochrona szkieletu MPLS/VPLS, utrzymanie mimo wszystko szybkiej konwergencji, dobre praktyki utrzymania urządzeń opartych o IOS, IOS-XE i IOS-XR i wiele, wiele innych....
jakiś czas temu pisałem o możliwości podejrzenia na żywo co dzieje się z ruchem przechodzącym przez router i jak rozkłada się on z podziałem na poszczególne systemy autonomiczne (z opcjami sortowania/agregacji po bajtach, pakietach i innych cechach). niedawno do możliwości flexible netflow dołączyła możliwość wykorzystania mechanizmu NBAR, a dokładniej - posłużenia się nim do segregacji danych w pamięci podręcznej NetFlow. co to oznacza? za pomocą bardzo prostej modyfikacji rekordu zbierającego dane o ruchu możemy dołączyć do cech ruchu również zidentyfikowaną mechanizmem NBAR aplikację:...
…właśnie po raz kolejny mnie to uderzyło. przed chwilą w ramach pewnych eksperymentów potrzebowałem zdefiniować dużo tysięcy (bardzo dużo) kolejek korzystając z ALTQ. niestety, bardzo szybko w trakcie parsowania pf.conf pfctl zameldował, że: pfctl: DIOCADDALTQ: Cannot allocate memory wystarczy jednak w tych trzech plikach: /usr/include/altq/altq_hfsc.h /usr/src/sbin/pfctl/missing/altq/altq_hfsc.h /usr/src/sys/contrib/altq/altq/altq_hfsc.h zmienić stałą #define HFSC_MAX_CLASSES 64 na żądaną wartość, przebudować kernel i wszystko działa jak powinno.
dostawanie się do zdalnych Windowsów przez Remote Desktop jest w momencie pracy na konsoli lub na łączu które nie oferuje radości posiadania jakiejkolwiek przepustowości po prostu męką. tak się złożyło, że parę takich maszyn stoi w różnych miejscach - i fajnie byłoby mieć do nich zdalny dostęp. na pomoc przychodzi cygwin (jest jeszcze VanDyke’owy V-Shell, ale troszkę drogi do zastosowań niebiznesowych), który pozwala zastosować prawdziwe OpenSSH i wszelkie korzyści z tym związane (SCP/etc)....
dawno dawno temu, zabawa z BGP (samo nieco ironiczne tłumaczenie tego akronimu jako Bardzo Groźny Protokół zdaje się zdradzać w którą stronę podąża ten akapit) była zdecydowanie zarezerwowana dla wtajemniczonych tego świata, którzy nieco jak Lemowski Trurl i Klapaucjusz naśmiewali się z niewiedzy, ale z drugiej strony sami tą wiedzą się nie dzielili. potem zmieniło się wiele, opary w jaskiniach wiedzy nieco się rozrzedziły, pojawiły się kursy, certyfikacje, elitarne a potem masowe kursy - i nagle BGP ma w domu każda gospodyni domowa, gdyż bez niego nie wrzuci sobie via bluetooth nowego kontaktu do komórki....
uparłem się - a choć wiało w oczy i pierwszego dnia infrastruktura dała nam w kość, udało mi się odpalić w trakcie PLNOGa routery xTR dla LISP. nie, nie chodzi o programowanie routerów Cisco za pomocą tego języka programowania, a o Location/ID Split, czyli koncepcje zmiany podejścia do obsługi ruchu w Internecie. w skrócie - obsługujemy ruch jak do tej pory, ale poszczególnym lokalizacjom (firmom, użytkownikom) przydzielamy adresy IPv4 i IPv6 z nowej puli - dla której ruch obsługujemy w sposób specjalny....
kwestia dokładnego nadzoru ruchu wymienianego pomiędzy systemami autonomicznymi w dobie peerowania się ze wszystkimi we wszystkich dostępnych IXach stała się kluczowa do możliwości utrzymania realnej przewidywalności prowadzonego biznesu, optymalizacji wykupionych usług oraz oczywiście - optymalnej inżynierii ruchu w sieci. dosyć popularnym, otwartym oprogramowaniem do prostego zliczania i wizualizacji ruchu wymienianego z poszczególnymi ASami oraz obciążenia połączeń z rozbiciem na poszczególne ASy jest pakiet AS-Stats - bardzo prosty, wydajny i dający szybko wgląd w to co się dzieje na routerze....
wygląda na to, że coraz więcej ciekawych rzeczy pojawia się ‘pod strzechami’. parę osób skupionych wokół projektu nTop we współpracy z Intelem stworzyło implementację sterownika dla linuksa pozwalającą na stworzenie do 32 tysięcy reguł filtrujących realizowanych sprzętowo przez kartę sieciową - kartę 10GE Intel X520. 32 tysiące reguł to trochę mało żeby obsłużyć router z duża ilością użytkowników i sesji, ale prawdopodobnie wystarczająco żeby zaprojektować ‘sprzętowy’ firewall dla serwera czy stacji roboczej....
część z zaglądających do mnie na stronę zauważyła, że przez jakiś czas strona była niedostępna. złożyła się na to awaria RAIDu 5’ego w moim serwerze na którym stoi strona WWW. niezawodne FreeBSD bardzo starało się kontynuować pracę po awarii pierwszego dysku ale w ciągu 30 minut (!!!) padł drugi dysk. temperatura bardzo odpowiednia dla pracy całości, najwyraźniej po prostu 5 lat ciągłej pracy w końcu je wykończyły (jeśli kogoś to interesuje, były to identyczne dyski Seagate’a)....
kończę właśnie testy nowych (i nieco ulepszonych) konfiguracji w ramach projektu BGP blackholing. dobra informacja jest taka, że dzisiaj już bardzo wielu dostawców usług w Polsce używa dobrodziejstw między innymi tej techniki, zła - że w projekcie jest zawsze za mało uczestników :) prawdopodobnie już do najbliższego weekendu ruszymy znowu ‘produkcyjnie’ - sesja będzie mogła być i po IPv4 i po IPv6, rozgłaszać będziemy IPv4 (dokładnie tak jak do tej pory) ale dodamy do tego prefiksy IPv6 - oczywiście tam gdzie będziecie chcieli....
miałem okazję w ciągu ostatnich trzech tygodni parokrotnie porozmawiać z różnymi ludźmi, którzy mieli nieszczęście spotkać się z dużą ilością ulotek reklamowych i cyframi dotyczącymi urządzeń sieciowych, które składają się w tak kreatywną matematykę, że jej zrozumienie wymaga odejścia od ogólnie przyjętych norm. nie mam czasu ani ochoty na znęcanie się, chciałbym natomiast podsumować parę wątków, które stale wracają w tego typu rozmowach i raz spisane mogą stać się doskonałą referencją do różnego rodzaju pytań na ten temat....
jeśli nie widzieliście mojej praktycznej prezentacji na SecureCON 2007, w najbliższy czwartek będzie okazja to nadrobić - pojawię się gościnnie o 19:45 na AGH w Krakowie aby przez półtorej-dwie godziny w ramach spotkań z cyklu netWork pokazać na żywo i opowiedzieć o mechanizmach bezpieczeństwa w sieci. będzie można na pewno zobaczyć coś nowego w stosunku do zeszłorocznego pokazu i oczywiście porozmawiać. zdjęcia ze spotkania znajdują się tutaj a bliższy opis tego co się działo tutaj....
wczoraj wróciłem z Brukselki a dzisiaj rano o 5:30 okazało się, że zdecydowanie “PASS” :) parę uwag i porad dla przygotowujących się (bez łamania NDA oczywiście). po pierwsze, jeśli masz ten luksus że możesz ćwiczyć na dowolnym sofcie w dowolnej wersji - polecam jednak zajrzenie do informacji na stronie i dostosowanie sobie programu zajęć praktycznych do wersji (linii) używanych na egzaminie. wersje zostały dobrane specyficznie i rzeczy które działają ‘zawsze’ mogą akurat na sprzęcie w labie działać trochę inaczej, albo trochę mniej przewidywalnie....
na mój apel o konwersję Cisco FAQ PL odpowiedziało do dzisiaj 6 osób…ale niestety do tej pory nie ma żadnych wyników. cóż, być może czas zakasać rękawki i zrobić to samemu… z bardziej optymistycznych rzeczy - tydzień temu skończyłem prowadzić Bootcamp SMB dla partnerów Cisco. było dużo pracy (3 dni po 12-14 godzin), trochę na ten temat można przeczytać w powyższym linku na forum CCIE.PL (na które zresztą serdecznie zapraszam). na koniec sprzęt został spakowany i rozjechaliśmy się do domów....
przez następne dwa-trzy tygodnie nie będzie wielu aktualizacji. przygotowuje się do przeprowadzki serwera z Białegostoku do Warszawy. starego, wysłużonego IBMa PII-233 zastąpi nowiutki x306 tego samego producenta. jeśli wszystko pójdzie dobrze, nie zauważycie nawet różnicy. w tym czasie postaram się dopracować nową wersję nieoficjalnego Cisco FAQ PL plus parę innych nowych rzeczy.
3 listopada IANA ogłosiła przekazanie RIPE zwierzchnictwa nad blokami adresowymi 80/8, 81/8, 82/8, 83/8 i 84/8. cały problem polega na tym, że leniwi administratorzy firewalli i wszelkich ACLek filtrujących ruch bogon jakby tego nie zauważyli i od paru dni nowy abonenci usługi Neostrada+ TP S.A., którzy otrzymają adres z puli przydzielonej TP S.A. (83.0.0.0/11) mają problem z osiągnięciem wielu stron. do roboty Panowie administratorzy! zaspanie prawie półtórej miesiąca naprawdę nienajlepiej o was świadczy!...
dostałem ostatnio parę maili z prośbą o ponowną publikację skryptu do generowania PDFów z DocBooka. ostrzegam, że przepis działa na FreeBSD z zainstalowanym pakietem /usr/ports/textproc/docproj i nie pytajcie mnie co zrobić żeby działał w ogóle, działał na innym systemie czy przy innej konfiguracji. na początek, musisz zainstalować całą paczkę /usr/ports/textproc/docproj wskazując, że interesuje Cię również zbudowanie Jade, czyli wydając polecenie: # cd /usr/ports/textproc/docproj # make JADETEX=yes install clean to trochę potrwa (nawiasem mówiąc, uaktualniłeś sobie porty, prawda?...