|
Автор |
Сообщение |
Fedia
Супермодератор
Зарегистрирован: 01 окт 2008, 12:24 Сообщения: 4434
|
Коллеги, по ссылке - обновленный <a href=http://www.anticisco.ru/pubs/YoungSoldierCisco(v2.1).pdf>КМБ</a>
Прошу тех, кто еще не читал - прочитать, кто уже читал - просмотреть изменения (их не очень много).
И высказать свое мнение: чего бы имело смысл добавить для молодых бойцов еще.
ЗЫ В ближайших планах добавить туда полезнейший кусочек про ЕЕМ и Archive
|
12 мар 2011, 12:51 |
|
|
Epifaniy
Зарегистрирован: 01 янв 1970, 03:00 Сообщения: 248
|
Fedia здравствуйте и спасибо за обобщенную информацию! Считаю ее очень полезной!
Скажу за себя.
Очень полезно для молодых бойцов было бы добавить главу IOS. Непонятностей много: Как отличаются иосы? Почему на многих фигурирует K9, а по факту о железке с шифрованием K9 наслышан что купить очень проблематично. Как можно обновить IOS? Нужно ли вводить лицензию? Как разрешается их обновлять? Видел кучу железок с 12-м IOS, видел с 15-м, но с 13-м и 14-м нет. Может их и нет? (в курсе CCNA от академии раздельчик с IOS рассматривается, но уж слишком поверхностно)
Даже если этими вопросами и занимаются в компании гуру а не молодые бойцы, знать это думаю необходимо всем. Да и не все же рождались сразу CCIE.
|
12 мар 2011, 19:02 |
|
|
Fedia
Супермодератор
Зарегистрирован: 01 окт 2008, 12:24 Сообщения: 4434
|
Хорошо, я попробую эту тему осилить, хотя она и не простая вовсе. Ждите обновления
|
12 мар 2011, 19:10 |
|
|
_2e_
Зарегистрирован: 14 май 2009, 12:57 Сообщения: 2067 Откуда: Волгоград
|
Fedia писал(а): Хорошо, я попробую эту тему осилить, хотя она и не простая вовсе. Ждите обновления В "курсе" было б здорово увидеть в Вашем изложении: 1. GRE, IPSEC, GRE over IPSEC. А конкретнее такие моменты: а. Для чего это нужно? б. Как безопасно "объеденить" подсети через ISP. в. Чем удобнее gre over ipsec, чем l2l vpn. г. Что делать в случае, если на "той" стороне не "проприетарное" оборудование, l2l vpn понимает, gre - нет, а нужен доступ из "той" сети в "инет" через ЦО и как задействовать в таком случае loopback и PBR. 2. Как в существующую структуру на базе cisco внедрить смешные ГОСТовские железки типа АПКШ S-Terra, NME-RVPN и пр. фигню без существенного изменения топологии. 3. Рассказать бойцам, что такое ip tcp adjust mss и почему "на зюкселе всё сразу работает", а на сиське сайты не открываются. Блин. Вроде всё для молодых. Но подкованных. (:
|
12 мар 2011, 23:28 |
|
|
Epifaniy
Зарегистрирован: 01 янв 1970, 03:00 Сообщения: 248
|
_2e_ писал(а): В "курсе" было б здорово увидеть в Вашем изложении:
1. GRE, IPSEC, GRE over IPSEC. А конкретнее такие моменты: ......................... 2. Как в существующую структуру на базе cisco внедрить смешные ГОСТовские железки типа АПКШ S-Terra, NME-RVPN и пр. фигню без существенного изменения топологии. 3. Рассказать бойцам, что такое ip tcp adjust mss и почему "на зюкселе всё сразу работает", а на сиське сайты не открываются.
Блин. Вроде всё для молодых. Но подкованных. (: Имхо пункт 1) интересен, но больше смахивает на КМБ of CCNP ))), хотя это конечно Fedia решать; 2) и 3) это скорее специфика с которой вы столкнулись на работе. Это мне кажется лучше не в общую кучу мешать, а отдельные топики на форуме открыть.
|
13 мар 2011, 10:33 |
|
|
_2e_
Зарегистрирован: 14 май 2009, 12:57 Сообщения: 2067 Откуда: Волгоград
|
Epifaniy писал(а): _2e_ писал(а): ... Блин. Вроде всё для молодых. Но подкованных. (: Имхо пункт 1) интересен, но больше смахивает на КМБ of CCNP ))), хотя это конечно Fedia решать; 2) и 3) это скорее специфика с которой вы столкнулись на работе. Это мне кажется лучше не в общую кучу мешать, а отдельные топики на форуме открыть. Согласен. Но всё же, это очень частые вопросы - бойцы постоянно их задают. Помимо упомянутого nat-on-a-stick всё-таки ещё нужно рассказать про router-on-a-stick (что б бойцы не покупали пачками езернет-модули при наличии управляемого коммутатора и кучи исп), рассказать про SVI, про snmp + mrtg/prtg (по минимуму: как снимать показания с интерфейсов, температуру внутри сиськи и загрузку проца, показать пример запроса snmpget). Курс прокачанного бойца. (:
|
13 мар 2011, 11:38 |
|
|
Epifaniy
Зарегистрирован: 01 янв 1970, 03:00 Сообщения: 248
|
))) вы уже намикаете на перевод курсов сетевой академии CCNA и CCNP. Ценность этого курса (в моем представлении) в хинтах и тонкостях которые вы не увидите ни в одном толмуте. И это удалось. _2e_ писал(а): Согласен. Но всё же, это очень частые вопросы - бойцы постоянно их задают. Помимо упомянутого nat-on-a-stick всё-таки ещё нужно рассказать про router-on-a-stick (что б бойцы не покупали пачками езернет-модули при наличии управляемого коммутатора и кучи исп), рассказать про SVI, про snmp + mrtg/prtg (по минимуму: как снимать показания с интерфейсов, температуру внутри сиськи и загрузку проца, показать пример запроса snmpget). Курс прокачанного бойца. (: Про snmp возможно да, интересно было бы дополнить.
|
13 мар 2011, 11:56 |
|
|
qwexak
Зарегистрирован: 01 янв 1970, 03:00 Сообщения: 149
|
Отличный курс, спасибо.
Думаю можно добавить что include можно использовать для нескольких слов разделяю пайпом
sh int | i protocol|address
|
13 мар 2011, 15:45 |
|
|
_2e_
Зарегистрирован: 14 май 2009, 12:57 Сообщения: 2067 Откуда: Волгоград
|
Epifaniy писал(а): ))) вы уже намикаете на перевод курсов сетевой академии CCNA и CCNP.
Ценность этого курса (в моем представлении) в хинтах и тонкостях которые вы не увидите ни в одном толмуте. И это удалось. ... Про snmp возможно да, интересно было бы дополнить. Нет, не намекаю. =) Курсы курсами, тут квинтэссенция опыта, помноженного на практику, в условиях совка. Вот, ещё в желаемое: немного о netflow, top talkers и как без платного коллектора выцепить из cli "зарвавшегося инсайдера". Тут щя меня теми ещё лучами зальют, но надо, надо дать бойцам понятие, про крутейший тикл (TCL) и показать пару простых примеров его использования. И давать в конце каждого параграфа ссылки на первоисточники для дальнейшего углубленного самостоятельного изучения. Вот.
|
13 мар 2011, 16:20 |
|
|
Fedia
Супермодератор
Зарегистрирован: 01 окт 2008, 12:24 Сообщения: 4434
|
Мое мнение: 1. GRE и простейший туннелинг дать не сложно. Добавим 2. IPSec L2L уже описан в другом талмуде ("Алгоритмы. протоколы..." 3. Сравнение GREoIPSec, SVI, Crypto-map и тонкости настройки с железками других производителей - тема большая, ИМХО не для молодых бойцов 4. TCL - я сам не знаю А я уже не так уж и молод. Значит, наверно, в книге КМБ без него можно обойтись. А вот ЕЕМ бывает полезен даже для КМБ 5. Сбор всевозможнейшей статистики (netflow, SNMP, через CLI ) - важная тема. Она в планах. 6. Сильно в специфику залезать не буду: задача немного прокачать молодых, чтобы не боялись идти дальше и делали это не вслепую 7. Про {condition}|{condition} спасибо, добавлю. Пишите еще - без обратной связи тяжело попадать в точку
|
14 мар 2011, 10:44 |
|
|
KOM-STAR
Зарегистрирован: 01 янв 1970, 03:00 Сообщения: 485
|
Огромное спасибо! Очень полезно и подробно описано!
Одно пожелание - дополнить по возможности курс связкой nix + cisco (cpan snort). Было бы интересно почитать ваши рекомендации.
|
16 мар 2011, 11:56 |
|
|
Akhmetov
Зарегистрирован: 16 дек 2008, 08:44 Сообщения: 604
|
|
16 мар 2011, 12:03 |
|
|
_2e_
Зарегистрирован: 14 май 2009, 12:57 Сообщения: 2067 Откуда: Волгоград
|
|
16 мар 2011, 13:12 |
|
|
Akhmetov
Зарегистрирован: 16 дек 2008, 08:44 Сообщения: 604
|
Коллега, если следовать вашей логике (доведем ее до абсурда), то все вместо всего КМБ должна быть фраза "ЧИТАЙ CISCO.COM #ЛЕАТЬ!!!"
|
16 мар 2011, 14:38 |
|
|
_2e_
Зарегистрирован: 14 май 2009, 12:57 Сообщения: 2067 Откуда: Волгоград
|
Akhmetov писал(а): Коллега, если следовать вашей логике (доведем ее до абсурда), то все вместо всего КМБ должна быть фраза "ЧИТАЙ CISCO.COM #ЛЕАТЬ!!!" Не нужно истерик - во второй ссылке всего пара команд. (:
|
16 мар 2011, 15:46 |
|
|
navion
Зарегистрирован: 21 май 2009, 12:43 Сообщения: 207 Откуда: Москва
|
Предлагаю добавить про Reflexive ACLs, довольно полезная штука при нехватке процессорной мощи или несекурной IOS'и
|
16 мар 2011, 15:49 |
|
|
imperorr
Зарегистрирован: 01 янв 1970, 03:00 Сообщения: 4519
|
Иммет смысл разбить на 2 части 1 - для молодого 2 - для не очень А то каша получиться из кучи технологий, как на cisco.com - есть все, но что надо будешь очень долго искать.
|
16 мар 2011, 17:35 |
|
|
KOM-STAR
Зарегистрирован: 01 янв 1970, 03:00 Сообщения: 485
|
imperorr писал(а): Иммет смысл разбить на 2 части 1 - для молодого 2 - для не очень А то каша получиться из кучи технологий, как на cisco.com - есть все, но что надо будешь очень долго искать. Имхо очень здравая мысль.
|
16 мар 2011, 18:08 |
|
|
_2e_
Зарегистрирован: 14 май 2009, 12:57 Сообщения: 2067 Откуда: Волгоград
|
imperorr писал(а): Иммет смысл разбить на 2 части 1 - для молодого 2 - для не очень А то каша получиться из кучи технологий, как на cisco.com - есть все, но что надо будешь очень долго искать. "Молодой боец 80+ лвл" (:
|
16 мар 2011, 19:06 |
|
|
936
Зарегистрирован: 01 янв 1970, 03:00 Сообщения: 11
|
Прочитал КМБ версии 2.1 Заинтересовался пунктом 3.4 про ISR, но не нашел в тексте ничего про условия получения файлов с сигнатурами. Вроде, и железка есть под эту тему (891) и желание попробовать, но непонятно с чего начать Может раскрыть чуток тему ?
|
18 мар 2011, 15:53 |
|
|
P@ve1
Зарегистрирован: 01 янв 1970, 03:00 Сообщения: 2111
|
Почитал веточку, и вспомнился эпизод из фильма Ширли-мырли про "вы слишком много кушать" Сергею конечно респект. Был бы хотя бы у каждого 10-го такой энтузиазм...)
|
18 мар 2011, 17:03 |
|
|
_2e_
Зарегистрирован: 14 май 2009, 12:57 Сообщения: 2067 Откуда: Волгоград
|
Молодым бойцам: дешифровка 7 пароля в CLI:
Допустим, есть пароль
username user100 password 7 115D4F5540445E3B1732
а инета и оффлайнового декриптора под рукой нет. Тогда:
c3825#conf t c3825(config)#key chain test100 c3825(config-keychain)#key 1 c3825(config-keychain-key)#key-string 7 115D4F5540445E3B1732 c3825(config-keychain-key)#exit c3825(config-keychain)#exit c3825(config)#exit c3825#sh key chain Key-chain test100: key 1 -- text "460765Wsx" accept lifetime (always valid) - (always valid) [valid now] send lifetime (always valid) - (always valid) [valid now]
(:
|
23 мар 2011, 14:31 |
|
|
Fedia
Супермодератор
Зарегистрирован: 01 окт 2008, 12:24 Сообщения: 4434
|
_2e_ писал(а): Молодым бойцам: дешифровка 7 пароля в CLI:
Допустим, есть пароль
username user100 password 7 115D4F5540445E3B1732
а инета и оффлайнового декриптора под рукой нет. Тогда:
c3825#conf t c3825(config)#key chain test100 c3825(config-keychain)#key 1 c3825(config-keychain-key)#key-string 7 115D4F5540445E3B1732 c3825(config-keychain-key)#exit c3825(config-keychain)#exit c3825(config)#exit c3825#sh key chain Key-chain test100: key 1 -- text "460765Wsx" accept lifetime (always valid) - (always valid) [valid now] send lifetime (always valid) - (always valid) [valid now]
(: Ух ты, прикольный хинт! Надо будет студам на олимпиаде предложить
|
23 мар 2011, 21:03 |
|
|
Ilya
Зарегистрирован: 20 окт 2009, 18:55 Сообщения: 962
|
Fedia писал(а): _2e_ писал(а): Молодым бойцам: дешифровка 7 пароля в CLI:
Допустим, есть пароль
username user100 password 7 115D4F5540445E3B1732
а инета и оффлайнового декриптора под рукой нет. Тогда:
c3825#conf t c3825(config)#key chain test100 c3825(config-keychain)#key 1 c3825(config-keychain-key)#key-string 7 115D4F5540445E3B1732 c3825(config-keychain-key)#exit c3825(config-keychain)#exit c3825(config)#exit c3825#sh key chain Key-chain test100: key 1 -- text "460765Wsx" accept lifetime (always valid) - (always valid) [valid now] send lifetime (always valid) - (always valid) [valid now]
(: Ух ты, прикольный хинт! Надо будет студам на олимпиаде предложить нечестно, я уще год назад студентам (и расулу) показывал
|
24 мар 2011, 06:55 |
|
|
Fedia
Супермодератор
Зарегистрирован: 01 окт 2008, 12:24 Сообщения: 4434
|
Так, ты уже одной ногой иностранец, так что ничего не узнаешь ) ЗЫ Я вот этого хинта не знал, мне понравился. ЧТож ты мне-то его не показал?
|
24 мар 2011, 08:51 |
|
|
Кто сейчас на конференции |
Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 13 |
|
Вы не можете начинать темы Вы не можете отвечать на сообщения Вы не можете редактировать свои сообщения Вы не можете удалять свои сообщения Вы не можете добавлять вложения
|
|
|