Zone Based Firewall - это фаервол, разработанный для Cisco ISR.

К сожалению ZBF далеко не лучшее изобретение цыски.
Неинтуитивен, невозможность перемещения правил. Ну и конечно глюки.

Один из его глюков - его неумение нормально инспектить SIP.

Чаще всего в логах имеем сообщение:
%AIC-4-SIP_PROTOCOL_VIOLATION: SIP protocol violation (Invalid Transaction) - dropping udp session _ip_:5060 _ip_:5060 on zone-pair _name_

Победить это можно двумя способами.
Первое, что надо сделать - обновить прошивку, далее:

• Идём в Global - System - SNMP
  

  FortiGate (global) # config system snmp community 
  
  FortiGate (community) # show
  config system snmp community
      edit 1
          set name "community_name"
          config hosts
              edit 1
                  set ip 10.1.7.14 255.255.255.255
                  set host-type query
              next
          end
          set query-v1-status disable
          set trap-v1-status disable

Когда мы задумываемся о сети 10гбит, первое что приходит на ум из оборудования - Cisco Nexus.
И первое с чем сталкиваешься, погружаясь в настройки Nexus - отсутствие поддержки традиционной кластеризации в стеке(Stack).

Традиционное стекирование

Как известно, стекирование даёт нам преимущества:

Пришел файл
FAZ_VM64-v7.4.6.M-build2588-FORTINET.out.ovf.zip

Копируем эти файлы на хост VMWare
Для разворачивания в VMWare даём файл FortiAnalyzer-VM64.ovf
Откроется диалог Import Virtual Machine
Для Storage Path подсовываем faz.vmdk

Запускаем машину.
Машина будет запускаться минут 20.
Логин по умолчанию:
admin/

Запросит ввести новый пароль.

Смотрим ip на интерфейсе

Eltex и авторизация TACACS

Для авторизации SSH по TACACS выполняем конструкцию:

aaa authentication login TACACS tacacs local
aaa authentication enable TACACS tacacs local
aaa authentication mode break
line ssh
  login authentication TACACS
  enable authentication TACACS
exit

tacacs-server host 10.1.4.12
  key ascii-text my_key
  source-address 10.3.1.1
exit

Cisco StackWise Virtual - это технология стекирования, которая позволяет объединить два физических коммутатора в один логический.
Линейка Catalyst всегда имела возможность стекирования, при этом StackWise Virtual не использует физические стековые порты.
Для объединения коммутаторов StackWise Virtual использует "рядовые порты" коммутаторов.

Статические маршруты на то и статические, что находятся в таблице маршрутизации всегда, кроме случаев, когда ассоциированный интерфейс FG уходит в Down, или не появится дублированный маршрут, но с меньшей Distance. В таком поведении есть большой минус, т.к. линк может упасть далеко не только на FG, а где-нибудь дальше. Как итог мы получаем падение сервиса.

Для фильтрации маршрутов BGP, для редистрибуции маршрутов между протоколами, мы можем использовать access-lists и prefix-lists.
Для фильтрации маршрутов Prefix-lists имеют преимущество над access-lists по своей гибкости, но вместе с тем Prefix-list чуть сложнее для восприятия.

Итак, Prefix-list - это набор IP Address prefixes, который может быть использован в правилах фильтрации маршрутов.
Prefix-list может идти с операторами ge (Greater than or Equal to) и le (less than or equal to), которые помогают при фильтрации.

Наборы всех команд FG можно сравнить с деревом, и его корень начинается с основных команд:

• CONFIG - конфигурирование объектов
• GET - запросить значения объектов в данном разделе
• SHOW - показать конфигурацию в данном разделе
• EXECUTE - запустить команду
• DIAGNOSE - команды диагностики

Например:

config system interface

Здесь system является Object, а interface является SubObject.

Создание Snapshot

1. Вставляем флешку в интересующий нас коммутатор

2. request system snapshot media usb partition

   "partition" означает, что все данные на флешке будут удалены.

DNS - это Domain Name System.
Изначально, когда Интернет только появился, обращение к хостам производилась через IP адреса.
Уже в последствии появилась система DNS.

У Junniper EX нет возможности разграничивать доступ на VTI.
По умолчанию, если на L3 коммутаторе создано несколько интерфейсов VLAN или IRB, по SSH можно зайти на любой из них.

Для ограничения можно использовать следующую конструкцию:

Полезные команды

Проверяем статус сервисов:

show application status ise

Полная остановка системы.("по кнопке" выключать крайне нежелательно)

1. application stop ise
2. halt

Установка ISE 3.2

при создании виртуальной машины выделяем ресурсы:

Eltex

router ospf 10
area 0.0.0.0
enable
exit
enable
exit
!
tunnel vti 1
mtu 1420
ip ospf instance 10
ip ospf network point-to-point
ip ospf area 0.0.0.0
ip ospf
exit
!
security zone-pair trusted self
 rule 70
    action permit
    match protocol ospf
    enable
  exit

Fortigate

fg200f-node0 (ospf) # show
config router ospf
    set router-id 10.2.252.145
    config area
        edit 0.0.0.0
        next
    end
    config ospf-interface
        edit "RVD"
            set interface "VPN-RVD-PM"

Полезные команды

Проверка health:
show environment

Классический дизайн сети выглядит следующим образом:

Классический подход включает разделение сети на уровни:
- Client Access - Подключение конечных устройств
- Distribution - Если коммутаторов доступа становится много, появляется Distribution Layer, который объединяет коммутаторы уровня Client Access. В случае территориального распределения, добавляются дополнительные коммутаторы Distribution Layer.

Cisco c881w имеет wifi на борту.
Надо понимать, что wifi реализован в виде отдельного модуля, связь с которым происходит через, хоть и внутренний, но интерфейс.
Схематически это выглядит следующим образом:

Конфигурация на Router

Создадим простую конфигурацию, необходимую для работы Интернет

Создадим конфигурацию Mikrotik ROS7 для работы с несколькими каналами.

Рассмотрим следующую схему с двумя провайдерами:

Создание Routing Tables

Первое, что мы сделаем - создадим Routing Tables.
Различные Routing Table позволят заставить соединения использовать определённый путь.
Затем в каждой Routing Table мы создадим свой маршрут.

Итак, создаём Routing Tables

Подключение Mikrotik к коммутатору Cisco

Настроим Bond:
Со стороны Mikrotik: ether2,ether3
Co стороны Cisco: GigabitEthernet1/0/7, GigabitEthernet2/0/7

В определённый момент загрузка CPU маршрутизатора может начать зашкаливать.
Для определения причины даём команду:

show processes cpu sorted

Если лидером является IP input, причина кроется в обработке трафика.
Это может быть чрезмерная нагрузка из-за большого объема трафика.
Причину можно выяснить через команду:

show interfaces

Если команда показывает высокую загрузку интерфейса, можно вычислить виновника: