?

Log in

No account? Create an account

Entries by category: компьютеры

[sticky post] All About

  Меня зовут Владислав.

  Я живу в замечательном немецком городе Франкфурте-на-Майне и работаю системным администратором по web инфраструктуре.

  Здесь можно увидеть посты на разные темы - как общие, так и узкоспециалазированные - чаще это рабочие зарисовки на тему различных IT решений, с которыми я имею дело, а также на тему моих увлечений: радиолюбительства (отсюда и ник: RA1AIE - мой позывной), мюзиклов и фотографии.

  Для удобства читателей, посты маркируются тэгами:
Для интересующихся радиолюбительствомCollapse )

Мои контакты:
СмотретьCollapse )

Внезапный инстаграм: RA1AIE

P.S:
DisclaimerCollapse )

  Для SRM/SRH/SRP: упомянутое меню вызывается набором с клавиатуры одной из комбинаций:

  • *435
  • *477

  Для SRM3500 подходят оба варианта.

  В меню доступна служебная информация – для DMO это частота, RSSI, ISSI, MNC, MCC, TEI. В режиме TMO должны отображаться дополнительно текущий сайт и neighbours, а также их LA.


  В рамках внедрения Zabbix, у меня возникла задача добавить к мониторингу довольно большое количество ASA.

  После гугления и ознакомления со штатными шаблонами, все готовые варианты были забракованы, поскольку либо работали совсем уж криво, либо были крайне убогими. Например, при использовании популярного cisco_xml.pl, в случае с ASA, потребовалось бы для каждого устройства генерить отдельный шаблон, поскольку имена интерфейсов и саб-интерфейсов-то почти везде совпадают, а вот snmp oid’ы для них разные. Про стандартный «SNMP Device» и говорить нечего.

  В итоге было решено создать универсальный шаблон, включающий в себя:

  • Мониторинг общих параметров, таких как ICMP, загрузка CPU, использование памяти и время аптайма, количество IKE пиров; триггеры на потери пакетов, на недоступность по ICMP/SNMP, загрузку CPU более 85%, загрузку памяти более 95%, на факт перезагрузки устройства,
  • Снятие инвентарной информации (серийник, модель, ревизия шасси, версии IOS и ROMMON); триггер на изменение верси IOS.
  • Обнаружение интерфейсов, создание по ним триггеров на наличие ошибок, и рисование графиков скорости и количества пакетов разного типа для каждого интерфейса.

  Шаблон был успешно протестирован на Zabbix 2.2 с Cisco ASA 5505 и Cisco ASA 5510. Скачать его можно тут – возможно, кому-то он будет полезен.


Всем хорош мой «боевой товарищ» Dell Latitude D620, но вот кулер процессора у него работает странно: при температуре 40С уже выходит на крейсерскую скорость с соответствующим шумом. SpeedFAN не помог – его регулировка на этот ноут не действует.
Однако нашлась замечательная софтинка I8kfanGUI – она работает с железными сенсорами чипсета напрямую и позволяет настраивать работу охлаждения на ноутах Dell серии Latitude, Precision и Inspiron как угодно, задавая скорость вращения кулера в зависимости от задаваемых руками порогов температуры.

Осторожно: программа рассчитана на пользователя, который знает что делает, и позволяет отключить кулер вообще, что чревато перегревом со всеми вытекающими последствиями.


Родные кулеры в маршрутизаторах Cisco 28 серии имеют помимо «+» и «-» еще один вывод – контрольный, через который маршрутизатор определяет скорость вращения кулера. Соответственно, при замене вышедших из строя кулеров на обычные, где такого вывода нет, маршрутизатор не будет получать информацию об их скорости, и в консоль будет постоянно валиться ошибка FAN_LOW_RPM.

Решение:

с2811(config)#logging discriminator FAN mnemonics drops FAN_LOW_RPM
с2811(config)#logging console discriminator FAN

Таким образом мы фильтруем эту ошибку, и она не будет выводиться в лог.


Сабжевая ошибка появляется при переносе Windows 2003/2008 с физической машины в виртуалку через VMWare Converter, если на физической машине система стоит на IDE ATA жестком диске.

Решение – при настройке переноса в конвертере выбирать не IDE, а SCSI LSI жесткий диск.

В моем случае перенос уже был осуществлен с неправильной настройкой, а делать его еще раз было долго и проблематично. Я решил проблему так: добавил в виртуалку новый виртуальный хард SCSI такого же объема как и системный, загрузил ее с ISO Acronis TrueImage и сделал clone, после чего виртуальный IDE хард удалил – и система загрузилась.


    Довольно распространенной задачей является организация удаленного доступа в корпоративную сеть. При этом встает выбор технологии и средств обеспечения безопасности. Наиболее надежной я считаю такую реализацию удаленного доступа, при которой злоумышленник не сможет ею воспользоваться, даже получив каким-либо образом правильные учетные данные. Это можно сделать, настроив авторизацию по сертификатам. Таким образом, подключиться извне к корпоративной сети сможет только тот, кто предоставит валидный сертификат. Если же хранить сертификат не на мобильном устройстве, а на eToken, имеющем свой PIN-код, то мы сводим практически к нулю угрозу несанкционированного подключения к сети при утере/краже устройства (например, ноутбука). Практически – потому что защита от социальной инженерии в отношении пользователей ключевых носителей выходит за рамки этой статьи.

    Для крупных организаций самым правильным решением была бы интеграция с центром сертификации используемой службы каталогов, например, Active Directory. Но в небольшой организации, где, как правило, удаленный доступ имеют лишь несколько человек, это излишне. И в таком случае проще всего использовать центр сертификации, встроенный в Cisco IOS. Об этом и пойдет речь на примере маршрутизатора Cisco 2811. Я приведу в качестве примера рабочий конфиг – разумеется, адаптированный, без указания реальных IP адресов и имен.

Читать дальше »Collapse )

Схема подключения: есть маршрутизатор Cisco, имеющий внешний IP 1.2.3.4 на интерфейсе Vlan100, и удаленный маршрутизатор FreeBSD, находящийся за NAT, с внутренним адресом 192.168.1.2 и проброшенным c внешнего адреса 5.6.7.8 портом UDP 500. В этом примере 1.2.3.4 и 192.168.1.2 – наше оборудование. Шлюз 5.6.7.8 – не наше и управлять им мы не можем.

Задача – поднять между 1.2.3.4 и 192.168.1.2 туннель GRE с защитой IPSec таким образом, чтобы Cisco и FreeBSD видели друг друга через туннель по адресам 10.0.0.1 и 10.0.0.2 соответственно.

Идея в том, что сначала благодаря пробросу порта мы поднимаем IPSec соединение без использования NAT-T до внешнего адреса маршрутизатора, за которым стоит FreeBSD, и заворачиваем туда все GRE пакеты, которые идут на внутренний адрес FreeBSD. Таким образом, эти пакеты будут маршрутизироваться только через IPSec, и при поднятом IPSec соединении Cisco будет абсолютно прозрачно видеть внутренний адрес FreeBSD (и наоборот), что и является необходимым условием для поднятия GRE туннеля.

Читать дальше »Collapse )

Profile

ra1aie
Владислав

Latest Month

October 2019
S M T W T F S
  12345
6789101112
13141516171819
20212223242526
2728293031  

Tags

Syndicate

RSS Atom
Powered by LiveJournal.com