Skip to main content

Виртуальная сеть на базе Cisco CSR 1000V


Во время обучения, для того чтобы лучше разобраться как работает та или иная технология я пользовался и программой моделирования сетей DYNAGEN, и удаленным доступом к стенду с реальным оборудованием, любезно предоставленным нам организаторами обучения. Это, конечно же очень помогало, но меня все время не оставляла мысль найти какой-то вариант, который позволил бы иметь ощущение реальности при работе с устройством и в тоже время чтобы я мог его крутить так как мне захочется и в любое время, когда мне захочется.
Я пробовал и GNS3, и IOU, при этом продолжая поиски. Так я узнал о таком продукте от CISCO как CSR 1000V Cloud Services Routerhttp://www.cisco.com/c/en/us/products/routers/cloud-services-router-1000v-series/index.html , скачать который можно в нашей подборке Cisco IOS.
Небольшие выдержки из документации:
«Развернутый на виртуальной машине Cisco CSR 1000V с IOS XE обеспечивает точно такую же функциональность, как если бы IOS XE работала на традиционной аппаратной платформе Cisco. Cisco CSR 1000V содержит виртуальный Route Processor (RP) и виртуальный ForwardingProcessor (FP) как часть своей архитектуры.»
Немного почитав, что это такое, для чего нужно и оценив предъявляемые требования решил попробовать его в действии. На одной из моих машин стоит гипервизор ESXi 5.1 от VMware, который я использую как площадку для всяческих экспериментов и который как нельзя лучше подходит для этого.

Сказано — сделано!
Установка.
На cisco.com скачиваю (требуется учетная запись) последнюю на то время версию iso-образа csr1000v-universalk9.03.11.00.S.154-1.S-std.iso. Доступен также OVA и BIN (для апгрейда), но решил устанавливать из ISO, чтобы самому создать VM в минимально необходимой конфигурации.
Используя vSphere Client перемещаю загруженный образ в папку на datastore1, в которой у меня хранятся все загрузочные образы.
После этого создаю виртуальную машину Version 8, типа Linux “Other 2.6x Linux (64-bit) setting”, с одним одноядерным vCPU, 2,5 GB RAM и диском в 8GB (это минимально рекомендуемые требования для работы с производительностью 250 Mbps, хотя на пробном периоде в 60 дней она составляет 50 Mbps максимум, и максимальным пакетом поддерживаемых технологий “Premium”), на которой будет работать CSR 1000V. Машина должна иметь минимум три сетевых адаптера типа VMXNET 3, CSR развернутый на VMware ESXi может иметь до 10 адаптеров. Далее монтирую загрузочный образ в CD-привод созданной машины и включаю ее.
Начинается процесс загрузки и установки, который продолжается не более 10 минут и не требует никакого участия.
По окончании распаковки и установки начнется загрузка самого CSR 1000V и через несколько секунд появляется запрос на использование диалога конфигурации, и если от него отказаться, то маршрутизатор выводит приглашение пользовательского режима EXEC.
После этого я выключил виртуальную машину, чтобы извлечь загрузочный образ из привода и перезагрузить маршрутизатор. После повторного включения VM и загрузки маршрутизатора производим начальные настройки (hostname, пароли vty и enable), настраиваем один из интерфейсов, который будет «смотреть» в LAN, для подключения по telnet. После этого я подключил к этому же интерфейсу одну из виртуальных машин на которой работает Windows XP с которой и буду подключаться используя Putty. Вот что после подключения мне вывела команда
show version:
CSR 1000V в качестве PPPoE клиента.
Ну что же, маршрутизатор есть и можно приступать к экспериментам. Первое, что решил попробовать, это настроить его в качестве шлюза в Интернет. К провайдеру я подключен по технологии ADSL, поэтому пошел на Cisco Feature Navigator посмотреть, как у него обстоит дело с функционированием в качестве PPPoE Client. И вот, что мне выдал навигатор (почему-то версия 3.11 отсутствует):

Ну раз так, за дело. Еще немного подготовительных мероприятий в ESXi. К интерфейсу маршрутизатора, который будет смотреть в WAN я подключил физический адаптер хоста, на котором работает гипервизор и который в свою очередь подключен к ADSL модему. Вот так это выглядит в vSphere Client, ну а топология самая что ни на есть простая:


Теперь можно переходить к настройке CSR в качестве PPPoE клиента. Настраиваю внешний интерфейс и интерфейс Dialer, который будет инициировать подключение к провайдеру.
После настройки проверяю получил ли интерфейс Dialer IP-адрес от провайдера и его состояние. Состояние интерфейса UP/UP, но IP-адрес не присвоен. Вывожу более детальную информацию об интерфейсе Dialer и вижу что LCP закрыт. Делаю вывод, что что-то не так надо определить в чем проблема. Хотя и закрадывается сомнение, а может ли CSR вообще работать в роли PPPoE клиента.

Пробую включить отладку PPPoE из консоли виртуальной машины на которой работает CSR.
Вижу, что CSR посылает PADI провайдеру, но больше ничего не происходит. Решаю подключить машину на которой работает Windows XP к коммутатору vSwitch5, переведя коммутатор в режим Promiscuous для того чтобы видеть трафик на всех его интерфейсах и захватить трафик в между CSR и ISP при помощи Wireshark. Настраиваю в Wireshark фильтр, где MAC-источник — мой или MAC-назначения — мой и протокол PPPoED. Делаю захват и смотрю что получилось:

Здесь вижу немного больше. Вижу, что маршрутизатор отправляет бродкастом провайдеру PADI, концентраторы доступа провайдера отвечают мне множеством PADO, но маршрутизатор на них никак не реагирует. Почему?!
Думаю, продолжаю искать информацию и читаю документацию по CSR. Натыкаюсь на следующее:
«При первой загрузке CSR 1000V загружается в режиме, который ограничивает функциональность и производительность. Для того, чтобы получить полную функциональность соответствующего пакета технологий и производительность вам необходимо либо установить соответствующую лицензию, либо активировать пробный период.»
И это действительно так, и show version об этом говорит.
Ну что же, поскольку нам дают, совершенно бесплатно, 60 дней пробного периода, почему бы этим не воспользоваться. Активируем пробный период с пакетом технологий Premium — license bootlevel premium. Надо еще согласиться с условиями лицензионного соглашения, сохранить текущую (running) конфигурацию в начальную (startup) и перезагрузить маршрутизатор, чтобы изменения вступили в силу.
После этого вывод show version будет следующим:

и show platform hardware throughput level покажет максимальную пропускную способность для пробного периода.
Еще раз проверяю состояние интерфейсов . . ., и сейчас интерфейс Dialer1 уже имеет IP-адрес от провайдера. Прописываю маршрут по умолчанию и проверяю доступность «внешнего мира» - CSR 1000V настроен как PPPoE клиент и имеет доступ в Интернет, УРА!
Интернет для LAN и ZBF.
Что дальше? Ну если по порядку, то надо предоставить доступ в Интернет локальной сети, через CSR и настроить минимальную защиту. Настраиваю PAT и проверяю, что компьютер из LAN получил доступ в Интернет:

Теперь немного безопасности. Сначала определю зоны WAN и LAN, и интерфейсы Dialer1 и GigabitEthernet1, которые будут принадлежать соответствующей зоне. Схематично это будет выглядеть так:

Сейчас необходимо создать так называемые классмапы, в которых будет описан трафик, который будет отбираться для применения политик, которые будут описаны позже. Под итоговую классмапу, которая называется LANNET-PROT-CLASSMAP, будет попадать трафик протоколов или tcp, или udp, или icmp, отправленный с любого адреса в LAN.

Далее надо создать полисимапу в соответствии с которой будет инспектироваться трафик, определенный класмапой. Затем создать пару зон и указать, что полисимапа будет применяться к трафику, идущему из LAN в WAN. После всех этих действий трафик из LAN в WAN соответствующий указанным в классмапе условиям будет инспектироваться и обратный трафик будет разрешен. Трафик из WAN в LAN будет запрещен.

После этого я опять сделал захват пакетов, приходящих из Интернета и посмотрел, как на них реагирует маршрутизатор. Получилась такая картина: на приходящий на внешний интерфейс UDP трафик маршрутизатор отвечает «Destination unreachable» (ICMP тип 3, код 3), что говорит сканирующей системе, что порт закрыт; на входящие TCP-[SYN] отвечает TCP-[RST], что говорит о том, что попытка установить входящее соединение отклоняется.


Компьютер из LAN имеет доступ в Интернет.
И казалось бы все хорошо, но возникла еще одна небольшая проблема. Когда я открывал в браузере страницы, то некоторые открывались нормально, а некоторые грузились долго или вообще с ошибками. Мои подозрения сразу пали на размер передаваемых данных. Я проверил и это было действительно так. При согласовании TCP соединения в качестве размера MSS (Maximum Segment Size) передавалось значение 1460 bytes, при этом в IP-заголовке был выставлен бит «Don’t fragment». И если к этому значению добавить 20 байт TCP-заголовка и 20 байт IP-заголовка, то размер MTU получался 1500 байт, что было бы приемлемо для Ethernet, но не для PPPoE (1492). Поэтому маленькие пакеты передавались нормально, например, при установлении TCP-соединения, а большие при передаче данных терялись.
Для решения этой проблемы выполняю команду ip tcp adjust-mss 1452 на интерфейсе к которому подключена локальная сеть. После этого маршрутизатор будет заменять значение MSS в TCP-заголовке и обмен данными будет происходить без потерь.
На этом первое знакомство с продуктом CSR 1000V от Cisco буду считать свершившимся. Впечатления самые хорошие.

Comments

Popular posts from this blog

Как найти реального заливщика

Своего первого реального заливщика, который показал мне как можно скачать деньги в интернет с банковских счетов, я нашел случайно, когда еще трудился в Укртелекоме сменным инженером немного подрабатывая продавая трафик налево, но потом этот человек отошел от дел в связи со слишком уж скользкой ситуацией в данной сфере, и я решил поискать партнера на форумах, разместив рекламу на трёх электронных досках объявлений. Честно говоря поначалу даже был готов сразу закинуть 500 000 гривен в Гарант, но потом призадумался, а стоит ли?


Ко мне начал обращаться народ обращается разных категорий

1. Дебильная школота, которая что-то любит повтирать про свою серьезность и просит закинуть 10 000 USD им на Вебмани в качестве аванса 
2. Реальные мэны, которые льют сразу большую сумму по SWIFT без разговоров про гарантии и прочую шнягу, но после того, как им отдаёшь нал, они сразу пропадают, суть данных действий я так и не понял. зачем пропадать, если всё прошло гладко? 3. Мутные личности, берущие реквизиты …

Как стать реальным заливщиком

Некоторые опытные дроповоды, кому уже надоело следить за тем как дропы постоянно прокалываются или их принимают, хотят выйти из темы и думают о том, как бы самим начать лить, и причём по-крупному.

И тут сразу возникает вопрос о покупке банковского трояна. В этом месте позвольте задать извечный китайский вопрос: а нахуа его покупать? Банковские трояны ZeUS и CarberP давно уже выложены на торрентах грамотными людьми и их можно просто так скачать. На самом деле по функционалу у них небольшая разница и CarberP отличается от ZeUS наличием загрузчика, который способен отключить антивирус, установленной на банковской машине, перед загрузкой основного тела программы банковского трояна.

Однако это ещё только начало... чтобы что-либо слить с помощью этих инструментов их нужно установить на какой-нибудь абузный хостинг, написать инжекты под выбранный вами банк и только после этого можно приступать к основной части работы. 

В Мариуполе и Ивано-Франковске я разговаривал со многими ботоводами, и …

Black Hat SEO или бот для скликивания контекстной рекламы

На днях мне стало интересно, а каким образом с точки зрения «черных» методов SEO могут быть использованы хакерские программы – например, путем генерации трафика для заинтересованных ресурсов или скликивания контекстной рекламы AdWords или Яндекс.Директ
Понятно, что увеличение числа посетителей на сайте интернет-магазина или компании, занимающейся недвижимостью, вероятнее всего положительно скажется на их доходах. Поэтому разработка подобного типа программ — вполне себе обыденное дело, и появились такие программы уже давно. По большей части таких ботов можно разделить на два класса — это различного рода Adware, которое распространяется вместе с популярными программами, или трояны, которые осуществляют более серьезную модификацию системы.  Win32/Patched.P Давай для начала рассмотрим достаточно экзотический, но от этого не менее интересный способ подмены результатов поиска в популярных поисковых сервисах Яндекс и Google, который был реализован в троянской программе Win32/Patched.P (ESET)…

Залив на карту без предоплаты по SWIFT или SEPA

В последнее время наблюдается такая ситуация, что нальщиков и дропов на рынке много, а адекватных заливщиков, можно сказать, совсем нет.


Например, один мой хороший знакомый, имеющий свой собственный офшор, работает с заливщиками на условиях партнерства, предоставляя им трафик и взамен получая 20% от поведенных транзакций на свой счет в офшорном банке. Мне он рассказал по большому секрету, как такое ему удается, а начинал он как и все с малого - продажи дебетовых карт и игре на рынке FOREX.

Просто так искать Заливщиков на различных форумах, посвящённых обналу и отмыванию денег - достаточно муторное и нудное занятие, потому как после общения с десятым по счету заливщиком, начинаешь понимать, что просто так на карты и счета никто лить не будет.

Однако моему другу попался один довольно интересный вариант - Заливщик предложил сделать перевод в размере 375 000 EUR по SEPA в день предоставления готового к работе счета и активной системы Multihomed AS.



Остальные предложения были более мутные …

Как работает банк со своими корреспондентами по SWIFT

Итак, наш банк имеет открытые корреспондентские счета в США (CITIBANK N.A. NEW YORK), в Европе (VTB BANK DEUTSCHLAND AG), в России (Промсвязьбанк Москва и Собинбанк Москва).



Соответственно, все расследования по платежам происходят через эти банки согласно  установленным корреспондентским отношениям с использованием соответствующих форматов SWIFT MT-195/295, MT-196/296, MT-199/299 и MT-192/292

Кроме прямых корреспондентских отношений с банками, нашим банком установлены отношения и с другими финансовыми организациями через процедуру обмена ключами, что даёт возможность использовать SWIFT-форматы МТ-195, МТ-196 и МТ-199 для проведения процедуры расследования по стандартным платежам и платежам с покрытием:

- DEUTSCHE BANK TRUST COMPANY AMERICAS USA
- COMMERZBANK AG Germany
- CITIBANK N.A. London
- CITIBANK N.A. Brussels
- BANQUE DE COMMERCE ET DE PLACEMENTS S.A. Geneva
- NORVIK BANKA JSC  LV
- ABLV BANK AS  LV

В среднем процедура расследования занимает от 3 до 14 дней (если необходимо уточнить дета…

Чем рискуют дропы и нальщики принимая заливы на свои карты

Зам.начальника управления Следственного департамента МВД Павел Сычев рассказал о криминальном бизнесе «нальщиков»
- Глава Банка России Эльвира Набиуллина заявила о снижении объемов теневого оборота в конце 2013 года. Что показывает ваша статистика по выявлению незаконных операций?

- В последние годы объем денежных средств, выведенных в теневой сектор, увеличивался, и криминогенная обстановка ухудшалась. Проблема находится в поле зрения президента -  в декабрьском послании Федеральному Собранию, он призвал избавить нашу финансовую систему от разного рода «отмывочных контор» и так называемых «прачечных». Оперативники уже получили ориентировку на более активное выявление этих преступлений.

По уголовным делам, расследованным МВД только в первом полугодии 2013 года, проходит 145 млрд рублей, обналиченных и незаконно выведенных заграницу. Это неуплаченные налоги, незаконный бизнес, хищения, взятки. Финансовый доход посредников от этих операций составил 8 млрд рублей. Расследовано 89 таких дел …