четверг, 26 декабря 2013 г.

EEM, IP SLA, TRACK, VERIFY-REACHABILITY in Catalyst 4500

Нужно часть трафика перекинуть на прокси-сервер. Если сервер падает, нужно пускать трафик мимо него. В ядре стоит коммутатор Catalyst 4900M  с лицензией IP Services. Несмотря на лицензию, функционал EEM и PBR на коммутаторах урезан. В EEM нельзя привязать событие к track, в route-map при установке next-hop нельзя проверять доступность, используя IP SLA. Для себя решил это, находя соответствие определенному шаблону в syslog.

!
interface Vlan31
 ip address 10.6.100.50 255.255.255.252
!
interface Port-channel11
 ip address 10.6.100.1 255.255.255.252
 ip policy route-map PBR
!
ip access-list extended USERS-SUBNETS
 permit ip host 10.6.112.101 any
 permit ip host 10.6.112.85 any
 permit ip host 10.6.13.12 any
!
ip sla 12
 icmp-echo 10.6.100.49 source-interface Vlan31
 threshold 3000
 frequency 10
ip sla schedule 12 life forever start-time now
!
track 12 ip sla 12
 delay down 30
!
route-map PBR permit 10
 match ip address USERS-SUBNETS
 set ip next-hop 10.6.100.49
route-map PBR deny 100
!
event manager applet KERIO-UP
 event syslog pattern "%TRACKING-5-STATE: 12 ip sla 12 state Down->Up"
 action 1.0 syslog msg "KERIO-UP"
 action 2.0 cli command "enable"
 action 3.0 cli command "config t"
 action 3.2 cli command "interface Port-channel11"
 action 3.3 cli command "ip policy route-map PBR"
 action 3.4 cli command "exit"
event manager applet KERIODOWN
 event syslog pattern "%TRACKING-5-STATE: 12 ip sla 12 state Up->Down"
 action 1.0 syslog msg "KERIO-DOWN"
 action 2.0 cli command "enable"
 action 3.0 cli command "config t"
 action 3.2 cli command "interface Port-channel11"
 action 3.3 cli command "no ip policy route-map PBR"
 action 3.4 cli command "exit"
!

суббота, 7 декабря 2013 г.

Easy VPN Server and Remote hardware client

Готовлюсь к экзамену 642-637 SECURE. Все лабораторные работы проходили спокойно и по расписанию. Все понятно. Но тут дошло дело до Easy VPN. Название не предвещает ничего плохого, наоборот, говорит о том, что это «легко». Не тут то было. Настроить сервер через CLI в IOS для подключения программного клиента из Windows не составило большого труда, хотя конфигурация в количестве строчек выглядит внушительно. Проблемы начались, когда я подошел к конфигурации «сервер – аппаратный клиент». В рамках экзамена SECURE я рассматриваю соединение двух IOS устройств. Несмотря на то, что в офисе имеется два 2911, я решил реализовать схемы лабораторных работ в GNS.
Итак, изучив теорию, поняв, какие параметры IKE устраивают программные клиенты, какие подходят для аппаратных, я решил запустить простую схему сервер клиент. Уточню, что клиент находится в режиме «network-extension». Схема указана на рисунке ниже. В данном случае я столкнулся с проблемой, что клиент не помещает маршрут на приватную сеть сервера VPN в таблицу маршрутизации, хотя в split-tunnel она приезжает. Для того чтобы частная сеть клиента видела частную сеть сервера на маршрутизаторе клиента необходимо прописать статический маршрут на сеть сервера через внешний интерфейс. На этом интерфейсе уже есть карта шифрования, которая подхватит пакеты с нужным адресом назначения и завернет их в туннель.

Не буду приводить тут выводы дебагов, пингов и трасс. Это всё вам придется исследовать самостоятельно. Тут я положу схему сети и конфиги маршрутизаторов из GNS. Для этих экспериментов я использовал образ «c3745-adventerprisek9-mz.124-15.T14».