Установка Elasticsearch, Kibana и Logstash для анализа по NetFlow и сбора Syslog-сообщений.

ELA_1_001_logos

Сначала установить JAVA: sudo yum install java-1.8.0-openjdk
Затем по последним мануалам ставим Elasticsearch, Kibana и Logstash:
https://www.elastic.co/guide/en/elasticsearch/reference/current/rpm.html
https://www.elastic.co/guide/en/kibana/6.2/rpm.html
https://www.elastic.co/guide/en/logstash/current/installing-logstash.html

Continue reading Установка Elasticsearch, Kibana и Logstash для анализа по NetFlow и сбора Syslog-сообщений.

Как расширить логический раздел на виртуальной машине с CentOS7

  1. Выключаем машину.
  2. Выделяем средствами vSphere дополнителное место.
  3. Включаем машину.
  4. Смотрим, какое имя у нашего устройства, по дефолту это /dev/sda:

    # fdisk -l

  5. Создаем новый раздел:
    1. Запускаем:# fdisk /dev/sda (или то, как называется диск с системе, если он имеет другое название)
    2. Нажимаем p и смотрим какие разделы уже существуют в системе.
    3. Нажимаем n для создание нового раздела.
    4. Нажимаем p для создания primary.
    5. Нажимаем 3 для выбора номера раздела.
    6. Нажимаем Enter дважды.

Continue reading Как расширить логический раздел на виртуальной машине с CentOS7

Reflexive ACL

Reflexive ACL  динамически открывает входящее соединение при срабатывании записи в OUTBOUND ACL.

Пример ниже создает зеркальный ACL MIRROR, который позволяет пропускать обратный трафик.

ip  access-list extended OUTBOUND
 permit tcp any any reflect MIRROR
 permit  udp any any reflect MIRROR
 permit icmp any any reflect MIRROR
 !
 ip access-list extended INBOUND
 evaluate MIRROR
 !
Применяем ACL на интерфейсе:
interface Ethernet0/0
 ip address 1.1.1.1 255.255.255.0
 ip access-group INBOUND in
 ip access-group OUTBOUND out

BGP Local-as/no-prepend replace-as

BGP Local-asПараметр no-prepend replace-as дает возможность скрыть реальную AS при BGP-соседстве. Заменяется она на ту, которая прописана в команде local-as. Без no-prepend replace-as наша реальная AS будет присутствовать в AS-path наряду с указанной в команде local-as. Continue reading BGP Local-as/no-prepend replace-as

Суммаризация маршрутов. Напоминание

Для EIGRP или RIP:

interface e0/0 (интерфейс, за которым находятся соседи)
  ip summary-address [eigrp AS NUMBER |rip]  0.0.0.0/0

Для OSPF.

На ABR:

 router ospf 1
  area # range 0.0.0.0 0.0.0.0

На ASBR: (суммирование маршрутов из других AS)

 router ospf 1
  summary-address 192.0.0.0/16

Для BGP:

router bgp 1
  aggregate-address 0.0.0.0 0.0.0.0 summary-only
либо
router bgp 1
  neighbor x.x.x.x default-originate

либо
router bgp 1
  default-information originate

OSPF filter-list — напоминание.

Virtual Link

Если мы не хотим анонсировать LSA из AREA 1 в AREA 2, то на ABR роутере (R3) надо добавить:

area 1 filter-list prefix NoArea_1 out

ip prefix-list NoArea_1 seq 5 deny 192.168.1.0/24
ip prefix-list NoArea_1 seq 10 permit 0.0.0.0/32

Если не хотим принимать что-то из AREA 2, то на R3:

area 1 filter-list prefix NoArea_1 in

ip prefix-list NoArea_1 seq 5 deny 192.168.2.0/24
ip prefix-list NoArea_1 seq 10 permit 0.0.0.0/32

Multicast. PIM Sparse-mode. Конспект.

Для своей работы PIM использует unicast-маршрутизация для избежания петель.

Режим Sparse не передавает multicast трафик до тех пор, пока тебя не попросят об этом. Это отличие от Dense. Dense флудит трафик через все интерфейсы.
Выбирается точка рандеву — Rendevous Point. Это маршрутизатор, на который накладываются определенные функции. Все остальные мультикаст-маршрутизаторы должны знать о точке рандеву. (Либо руками, либо динамически через Auto-RP или BSR)
Continue reading Multicast. PIM Sparse-mode. Конспект.

Multicast. PIM Dense-mode. Конспект.

PIM — протокол маршрутизации мультикаст-трафика на L3. Существует два режима — Dense и Sparse. Основным является Sparse.
224.0.0.13 — адрес для PIM Hello.
RPF — Reverse-path Forwarding

rpf2

Когда мультикаст-пакет приходит на R2, он смотрит, где находится 10.1.1.1 и видит, что сервер находится за Eth0/1.12, на который же и пришел мультикаст-трафик. Значит этот маршрутизатор будет принимать мультикаст от этого сервера только на этот интерфейс. Далее R2 отправляет пакет дальше на R3. R3 смотрит, где 10.1.1.1 и видит, что тот не за этим интерфейсом, на который пришел пакет, вследствие этого он его отбрасывает. Таким образом строится multicast-дерево. Всё это приводит к отсутствию лишнего флудинга и мультикаст-шторма.
Continue reading Multicast. PIM Dense-mode. Конспект.

Multicast. IGMP. Конспект.

Мультикаст-рассылка — технология, позволяющая передавать одинаковый трафик группе хостов, тем самымм экономя пропускную способность канала. Например, в IPTv есть 3 потока для 100 хостов — канал СТС, ТНТ и МузТВ. Без мультикаст пришлось бы передавать каждому получателю отдельный поток трафика, что загрузило бы канал. С мультикаст мы передаем по одному уникальному потоку, в данном случае 3 потока.

Делиться на L3 Routing и L2 Multicast. На L3 работают PIM и ряд других (MOSPF, DVMRP…). На L2 работает IGMP.
PIM работает между маршрутизаторами.

Multicast
Continue reading Multicast. IGMP. Конспект.