Поиск по этому блогу

30.11.2011

IPSec на спутниковых каналах

IPSec на спутниковых каналах толком не работает, поэтому рассчитывать на его использование не приходится. Коллега сообщил о результатах тестирования оборудования одного известного производителя межсетевых экранов на спутниковом канале. Если "скорость" одной TCP-сессии в среднем составляет 14Кбайт/с, то в туннеле - 3Кбайт/с, т.е. падение производительности труда в разы по причине более длительной отправки документов, форм. Это все во благо ФЗ-152. Ку!
А теперь подумаем:
1. Объем передаваемых данных каждый год увеличивается. В частности, увеличивается размер файлов с отсканированными документами.
2. Нет причин для снижения цен на спутниковые каналы.
3. Оптимизированный трафик такими средствами как Cisco Waas или Juniper WXC не пройдет через через "слишком умный" межсетевой экран, установленный на границе контролируемой зоны, так как содержимое пакета будет изменено.
4. Ежегодные тендерные процедуры по смене поставщика услуг связи не благоприятствуют непрерывной работе информационных систем, а в случае использования вот таких схем включения, где можно подключить только одного оператора в один единственный порт, любая ошибка - к дальней дороге.
Вот почему-то у меня возникла мысль, что в таких случаях логично использовать программно-аппаратное шифрование на спутниковых модемах, а тендерить частотный ресурс.
Проблема вовсе не надуманная, как может показаться. Если посмотреть на карту Красноярского края, то следует принять во внимание, что выше Енисейска оптики нет. Может быть дотянут волокно до Богучан, где строят ГЭС.

29.11.2011

Мониторинг загрузки CPU сервера FreeBSD с помощью bsnmpd и cacti

Возникла необходимость отмониторить удаленный сервер с FreeBSD на предмет загрузки процессора. Имеется уже работающий cacti и стандартный bsnmpd на удаленной машине. С помощью всего этого мониторятся загрузки на интерфейсах удаленной машины. По умолчанию bsnmpd не имеет нужных MIB'ов для отдачи данных о загрузке процессора, нужно что-то делать.

Устанавливаем порт bsnmp-ucd-0.3.2 (у меня в портах такая версия)

# cd /usr/ports/net-mgmt/bsnmp-ucd
# make install clean
......
===> Compressing manual pages for bsnmp-ucd-0.3.2
===> Registering installation for bsnmp-ucd-0.3.2
===> Cleaning for bsnmp-ucd-0.3.2

После установки добавляем в конец конфигурационного файла /etc/snmpd.config следующее:

#
# bsnmp-ucd (8)
#
begemotSnmpdModulePath."ucd" = "/usr/local/lib/snmp_ucd.so"
%ucd
memMinimumSwap = 1600
memSwapErrorMsg = "No free swap!"
laConfig.1 = "6.0"
laConfig.2 = "5.0"
laConfig.3 = "4.0"
laErrMessage.1 = "1min load average is high!"
laErrMessage.2 = "5min load average is high!"
laErrMessage.3 = "15min load average is high!"
# Extension commands (extTable)
extNames.0 = "uname"
extCommand.0 = "/usr/bin/uname -a"
extNames.1 = "uptime"
extCommand.1 = "/usr/bin/uptime"
И перезапускаем bsnmpd:
# /etc/rc.d/bsnmpd restart
В cacti создаем новый график ucd/net - CPU Usage в нужном нам хосте, наблюдаем и удивляемся :)

18.11.2011

Небольшой опыт с коммутаторами nexus

Появилась как-то возможность попробовать коммутаторы Cisco nexus, а именно 5548P и расширением 2232PP (N2K 10GE, 2PS, 1 Fan Module, 32x1/10GE+8x10GE (req SFP+)). Интересно, что вторая модель сама по себе не работает вообще, не имеет портов для управления. Обзывается, понятно, extender, как на нем самом и написано. 2232 подключается к 5К 10G аплинками (оптическими сборками, к примеру). Собственно, 8x10GE как раз и означает, что максимальное количество аплинков - 8. Они выделены желтым цветом на коммутаторе. Подключается к 5000 серии строго по документации.
Как-то так:
feature fex

fex 101
pinning max-links 1
description "FEX0101"
type N2232P

interface port-channel1
switchport mode fex-fabric
fex associate 101

interface Ethernet1/3
switchport mode fex-fabric
fex associate 101
channel-group 1

interface Ethernet1/4
switchport mode fex-fabric
fex associate 101
channel-group 1
Далее начинается процесс обновления софта на 2232 с последующей инициализацией портов:
L-N5K-1# show fex
FEX FEX FEX FEX
Number Description State Model Serial
------------------------------------------------------------------------
101 FEX0101 Image Download N2K-C2232PP-10GE ******

L-N5K-1 %$ VDC-1 %$ %SATCTRL-FEX101-2-SATCTRL: FEX-101 Module 1: Cold boot
L-N5K-1 %$ VDC-1 %$ %PFMA-2-FEX_STATUS: Fex 101 is online
L-N5K-1 %$ VDC-1 %$ %NOHMS-2-NOHMS_ENV_FEX_ONLINE: FEX-101 On-line
L-N5K-1 %$ VDC-1 %$ %PFMA-2-FEX_STATUS: Fex 101 is online

L-N5K-1# show fex
FEX FEX FEX FEX
Number Description State Model Serial
------------------------------------------------------------------------
101 FEX0101 Online N2K-C2232PP-10GE ******
Еще несколько впечатлений:
1. Нет wr mem, зато есть progress bar ;)
L-N5K-1# copy running-config startup-config
[####################################### ] 95%
2. Смутила опция pinning max-links, но когда попробовал поэкспериментировать, то вопрос отпал
L-N5K-1(config-fex)# pinning max-links ?
<1-8> Number of fabric links

L-N5K-1(config-fex)# pinning max-links 2
Error: FEX has port-channel. max-links should be one
3. Не определялись медные гигабитные трансиверы. Оказывается, я не один такой. Вроде как софт надо обновить с 5.0(3)N1(1c) до N2, т.е. без смартнетов никуда, даже с новым железом.
4. Управление запихали в vrf и удаленно попасть на коммутатор можно через MGMT-порт. SVI для управления сделать нельзя, потому что нету SVI
vrf context management
ip route 0.0.0.0/0 172.16.1.254
interface mgmt0
ip address 172.16.1.1/24

03.11.2011

Отмена автоматического перевода времени на серверах FreeBSD

Для отмены автоматического перевода времени в ОС FreeBSD необходимо актуализировать файл таймзоны. Для этого нужно установить последнюю версию пакета zoneinfo, либо, если он уже установлен, обновить этот пакет до актуального состояния.
Установим пакет используя систему портов:
1. Обновим дерево портов до актуального состояния используя утилиту portsnap:
# portsnap fetch
# portsnap update
2. Установим нужный нам пакет:
# cd /usr/ports/misc/zoneinfo/
# make install clean
3. Установим (скопируем) в систему файл таймзоны актуальный для нашего региона:
# tzsetup

02.11.2011

Отмена автоматической смены времени на серверах с РТУ (ОС Debian)

Для отмены автоматической смены зимнего/летнего времени в ОС Debian необходимо обновить пакет tzdata по следующей инструкции:
1. Со станицы http://packages.debian.org/ru/sid/all/tzdata/download необходимо загрузить пакет tzdata_2011l-2_all.deb и залить его на сервер.
2. Установить пакет командой dpkg -i tzdata_2011l-2_all.deb.
3. После установки пакета выполнить команду zdump -v /etc/localtime. Появившийся список будет содержать даты смены времени.
debian-server:~#zdump -v /etc/localtime
/etc/localtime Sat Oct 24 19:00:00 2009 UTC = Sun Oct 25 02:00:00 2009 KRAT isdst=0 gmtoff=25200
/etc/localtime Sat Mar 27 18:59:59 2010 UTC = Sun Mar 28 01:59:59 2010 KRAT isdst=0 gmtoff=25200
/etc/localtime Sat Mar 27 19:00:00 2010 UTC = Sun Mar 28 03:00:00 2010 KRAST isdst=1 gmtoff=28800
/etc/localtime Sat Oct 30 18:59:59 2010 UTC = Sun Oct 31 02:59:59 2010 KRAST isdst=1 gmtoff=28800
/etc/localtime Sat Oct 30 19:00:00 2010 UTC = Sun Oct 31 02:00:00 2010 KRAT isdst=0 gmtoff=25200
/etc/localtime Sat Mar 26 18:59:59 2011 UTC = Sun Mar 27 01:59:59 2011 KRAT isdst=0 gmtoff=25200
/etc/localtime Sat Mar 26 19:00:00 2011 UTC = Sun Mar 27 03:00:00 2011 KRAT isdst=0 gmtoff=28800
/etc/localtime Mon Jan 18 03:14:07 2038 UTC = Mon Jan 18 11:14:07 2038 KRAT isdst=0 gmtoff=28800
/etc/localtime Tue Jan 19 03:14:07 2038 UTC = Tue Jan 19 11:14:07 2038 KRAT isdst=0 gmtoff=28800
debian-server:~#

Если последняя дата смены времени – 26 марта 2011 года, пакет установлен успешно

4. После установки пакета необходимо его переконфигурировать командой dpkg-reconfigure tzdata. Необходимо выбрать пункт Etc и установить требуемый часовой пояс.
debian-server:~#dpkg-reconfigure tzdata


5. После выполнения команд необходимо перезагрузить систему следующими командами:
debian-server:~#/etc/init.d/rtu-common restart
debian-server:~#/etc/init.d/mvts3g-server-pro restart
debian-server:~#/etc/init.d/apache2 restart

Справка
. В соответствии с Постановлением Правительства РФ, с 2011 года в России отменён перевод часов на зимнее время.

Удаленный доступ на ASA по SSH

Пока снова не забыл где лежат грабли. Настраивается авторизация:
aaa authentication ssh console LOCAL
aaa authorization exec LOCAL
Указывается из каких сетей разрешен доступ:
ssh 172.16.0.0 255.255.0.0 lan
ssh timeout 60
Если лицензия K8, то доступна только ssh версии 1
ssh version 1
Необходимо сгенерить ключи. В отличие от IOS указывать domain-name не требуется:
ASA(config)# crypto key generate rsa 
Создаем пользователя:
ASA(config)# username admin password test privilege 15
С putty понятно подключается с кучей окон. В линуксе для ssh необходимо указать дополнительные параметры:
$ ssh -1 -c des -l admin 172.16.0.1