Salut, vreau sa va povestesc despre o comanda care mi-a salvat posteriorul de o multime de ori , iar cand nu mi l-a salvat mi-a oferit un oarecare confort psihic cand fac configuratii ceva mai “exotice” pe echipamente Cisco remote si cand spun remote ma refer la sute de km distanta.
Situatia sper sa o patiti cat mai rar cu putinta,modificati un firewall pe un router cisco,si din lipsa de concentrare,neatentie, dati enter , sesiunea ssh moare instant , pe ecranele de monitorizare apare rosu , stomacul vi se strange , tensiunea creste , ping-ul nu raspunde , transpiratie , atac de panica , lacrimi in ochi , ganduri de sepuku , tocmai ati pus in “cap ” infrastructura unui client. You failed ,bagaj si catre casa…better luck next time..
Povestea e proaspata in mintea mea de aceea am si decis sa scriu acest post.Da,mi s-a imtamplat recent scenariul de sus , mi-am taiat “craca” ,dar totusi am stat linistit …uitandu-ma la ceas.
Trebuia sa fac o configuratie putin mai ciudata la un client,reduntanta cu tracker de obiecte , plus nat redundant 🙂
Configuram de zor route-map-uri pt nat cand am dat enter …moar ssh-ul. Si aici intra sfatul meu dadator de speranta … comanda RELOAD in ….
- Reload in <time>
Cand intru pe un router pentru o configuratie mai complexa intotdeauna folosesc comanda aceasta,ce face ea . Dau de exemplu “reload in 30” Practic ii spun router-ului sa isi dea restart in 30 de minute daca nu revin eu cu comanda
- “reload cancel”
Foarte important e sa nu salvati configuratia pana nu sunteti convins ca merge cum v-ati dorit.
Router-ul isi va da restart dupa 30 de minute si va reveni la ultima salvare. Dupa ce ati terminat configuratia,salvati , sa nu uitati de reload cancel !!!
Intotdeauna folositi “terminal monitor” Inainte sa iesiti de pe router sau in cazul in care vreti sa verificati cat timp mai aveti pana la restart exista comanda.
- Show reload
Sper sa va fie de folos acest sfat din practica,comanda din cate stiu , nu se invata la nici un curs Cisco 🙂
Traffic engineering pe ASA – Limitari sesiuni concurente L4
Salut ca tot sunt cu studiul pentru CCNP Security vreau sa va arat cate ceva si pe ASA,imi cer scuze ca sar de la un capitol la altul dar fac tutoriale in functie de ce ma lovesc in practica.
Avem urmatorul scenariu. O conexiune de internet la care este legata o ASA cu un LAN in spate,in practica am mai multe DMZ-uri dar am simplificat diagrama la minim.
Diagrama mai jos
Ni se cere limitatea sesiunilor simultane spre LAN-ul cu servere la 10000 sesiuni concurent si 300 de sesiuni maxime admise per server.
Am preconfigurat ASA-ul cu ip-urile din diagrama,si am pus accessul pentru ASDM si am configurat permisiile sa las tot traficul din WAN in LAN.
ATENTIE !!! Intotdeauna tineti minte urmatorul lucru !!! Cand configurati pe ASA LAN-ul si il numiti inside va avea default security-level 100 iar interfata de WAN (outside) va avea 0. Implictit tot traficul merge de la o interfata cu security level mai mare spre mai mic,dar NU invers !!!!
Invers merge doar daca specificati voi un acl pe acea interfata in care spuneti explicit acest lucru !!!
Voi face acesta configurare sub forma de video,pentru a fi mai usor de urmatit. (Dati pe full HD si full screen)
