Match user by group from AD in ASA VPN

Группа в каталоге называется ASA_VPN. Все пользователи, находящиеся в этой группе должны проходить авторизацию на ASA при подключении AnyConnect VPN. 

На tunnel-group нужно повесть политику запрещающую доступ т.к. пользователи, не входящие в группу ASA_VPN попадут на политику tunnel-group или, в случае если для tuneel-group не установлена политика явно, попадут в политику "по умолчанию". Тем пользователям, которые находятся в ASA_VPN будет динамически присвоена политика CorpUsers (настроено в ldap attribute-map).

ldap attribute-map DOMAINNAME_DC
  map-name  memberOf Group-Policy
  map-value memberOf CN=ASA_VPN,OU=INET,OU=Service,OU=Users,OU=DOMAINNAME,DC=DOMAINNAME,DC=local CorpUsers

aaa-server LDAP_SRV_GRP (CORE) host 192.168.244.5
 ldap-base-dn OU=Users,OU=DOMAINNAME,DC=DOMAINNAME,DC=local
 ldap-attribute-map DOMAINNAME_DC

group-policy NOACCESS internal
group-policy NOACCESS attributes
 vpn-simultaneous-logins 0

group-policy CorpUsers attributes
 vpn-simultaneous-logins 3

tunnel-group Corp general-attributes
 default-group-policy NOACCESS  

ASA Site-to-Site IPsec dual-ISP redundancy

Есть два офиса. В одном (главном) два аплика, в другом - один. В офисах стоят ASA 5505. Между ними IPSec Site-toSite tunnel. При падении основного канала нужно, чтобы туннель автоматически поднимался через резервный.

Схема в GNS3

На sw1 не обращайте внимания, он выведен в реальную сеть для управления фаерволами. Трафик идет через маршрутизаторы.

Dual ISP enterprise (branch) cisco router, firewall (ASA)

Классическая задача для предприятий и малого бизнеса - настройка маршрутизатора с двумя каналами в интернет без использования динамических протоколов маршрутизации. Очень много информации на эту тему есть в сети. Решил и я сделать заметку.

Нужно дать пользователям интернет и опубликовать какой-либо сервис (например, RDP) наружу.

Основные затыки происходят тут:
- динамическая смена маршрута 0.0.0.0 0.0.0.0;
- настройка NAT для двух внешних интерфейсов;
- доступность опубликованного сервиса сразу через оба ISP.

Есть хороший пост на хабре - По просьбам трудящихся: Dual ISP на маршрутизаторах cisco без BGP и на сайте этого же автора более полная дока, с рассмотренным вариантом использования сразу двух ISP - Сергей Фёдоров "Подключение к 2 ISP с настройкой трекинговой маршрутизации и NAT.

Вот дока 2008 года с сайта cisco - http://www.cisco.com/c/en/us/support/docs/ip/network-address-translation-nat/100658-ios-nat-load-balancing-2isp.html.

Итак, нам нужно использовать IP SLA для решения первого пункта, ROUTE-MAP для решения второго и третьего.

Использую эти документы, я собрал схему в GNS3. В моем случае опубликован был сервис telnet. На внешних адресах (172.16.X.X) он светился в порту 10023, внутри шел на 192.168.1.2:23.

Опять про MTU

Нашел на хабре несколько хороших статей. Картинка из второй ссылки.



Еще несколько слов о Path MTU Discovery Black Hole
Maximum Transmission Unit (MTU). Мифы и рифы
Всё, что вы хотели знать о Ethernet фреймах, но боялись спросить, и не зря

Выпустить GNS3 в реальный мир tagged (trunk) портом

У меня возникла необходимость подключить GNS3 к физическим маршрутизаторам. В процессе изучения MPLS я проверял работу функционала bfd, который отказался работать внутри dynamips.

Для построения моей схемы мне нужно было не менее четырех интерфейсов. На моем ноуте только один сетевой порт под rj45. Очевидно, что нужно использовать dot1q. Откровенно говоря, раньше я не подключал сетку GNS к живой сети, но мне попадалась статейка о том, как это делается.

Тут проблем никаких не возникло. В GNS есть элемент "облако". Именно с помощью него можно подключиться к миру.

В настройках облака выбираем нужный ethernet-адаптер и делаем линк между элементами.

У меня реальная сетка - это 192.168.3.0 с шлюзом .1. Настраиваем интерфейс маршрутизатора, проверяем доступность интернетов.

Windows 7, dot1q и tagged port (trunk)

В гугле пишут, что если у тебя сетевуха intel, то она обязана уметь dot1q. Речь идет о Win7. Это прекрасно, но в моем ноуте стоит Realtek. Есть шансы и у этой сетевухи. Пообщавшись с человеком, который подружил винду с vlan на карте от Realtek, я понял, что ничего тут сложного нет. Всего-то нужна свежая версия драйвера и утилита Realtek Ethernet Diagnostic Utility.

Все достаточно легко нашлось на сайте Realtek. Обновил дрова, поставил утилиту, бутнул ноут по старой прывычке. Загрузился. Открываю утилиту.

Выбираю VLAN, жму add, указываю номер тега "3". Программа задумывается, перебирает свои пункты, в результате в сетевых подключениях у меня появляется интерфейс "Подключение по локальной сети 5" с надписью "сетевой кабель не подключен". В утилите не появилось никаких новых vlan. Список был все также пуст. При этом настоящий физический интерфейс потерял "поддержку tcp/ipv4", после чего я, естественно, отвалился от сетки. Я просто вернул обратно поддержку tcpip и опять попал в нативный vlan.. Да, забыл сказать, предварительно я настроил порт на коммутаторе в котором мне подается нативный vlan и vlan с номерами 3 и 8 с тегами.

Базовые сервисы технологии MPLS

Хорошая обзорная статья по технологии MPLS.
Оригинал статьи - http://nag.ru/go/text/15448/

MPLS ATM интеграция.
MPLS QoS.
MPLS Traffic Engineering (TE).
  Traffic Engineering (TE).
  Fast Re Route (FRR).
MPLS L3 VPN.
MPLS L2 VPN.
  Point-to-Point VPN (AToM, EoMPLS).
  Multi-Point VPN (VPLS).
GMPLS.
Заключение.

Основным преимуществом MPLS считается ускорение скорости продвижения пакетов (IP) в ядре сети. Однако существуют и другие, не менее важные, приложения для этой технологии.

MPLS ATM интеграция.

Прежде всего, MPLS предоставляет дополнительную возможность соединения IP и ATM-сетей. Считается, что на сегодня это наилучший вариант консолидации сетевой инфраструктуры, содержащей ATM элементы. MPLS и ATM обычно рассматривают как дополняющие друг друга технологии. Возможность развернуть MPLS поверх ATM инфраструктуры практически дает вторую жизнь ATM.

MPLS QoS.

MPLS не определяет новую QoS архитектуру, а базируется на использовании широко известной и зарекомендовавшей себя на практике IP QoS парадигмы.

Для IP QoS определено две модели: IntServ и DiffServ.

IntServ определяет потоковый QoS и использует RSVP для сигнализации.

DiffServ использует маркировку пакетов на границе сети и дальнейшую обработку. Трафик разбивается на классы и в зависимости от этого обрабатывается механизмами ограничения, выравнивания и приоритезации.

MPLS QoS использует DiffServ подход, помещая необходимую маркировку в заголовке. Эквивалентом DSCP метки может являться трехбитовое Experimental поле в MPLS.

Кроме того, реализация TE в принципе может автоматически выполнять функции QoS.

MPLS Traffic Engineering (TE).

Traffic Engineering (TE).

Traffic Engineering (TE) – это возможность управления направлением прохождения трафика с целью выполнения определенных условий (резервирование каналов, распределение загрузки сети, балансировка и предотвращение перегрузок).

Обычные протоколы маршрутизации (IGP протоколы IS-IS, OSPF) предоставляют ограниченные возможности по управлению трафиком на основе метрик составляющих сеть линков.

Основной механизм TE в MPLS – использование однонаправленных туннелей (MPLS TE tunnel) для задания пути прохождения определенного трафика. Например, для одного вида трафика, например высокоприоритетного голосового можно проложить один путь через сеть, а для низкоприоритетного – другой. Так как туннели – однонаправленные, то обратный путь может быть совершенно другим.