четверг, 31 августа 2017 г.

Enterasys B3 - настройка untagged портов в VLAN


1. Настройка VLAN и VLAN Membership:

#vlan
set vlan create 100
set vlan create 120
clear vlan egress 1 ge.1.1-48;ge.2.1-48
set vlan egress 100 ge.1.1-2;ge.2.1-2;lag.0.1-2 tagged
set vlan egress 100 ge.1.3-5;ge.2.3-5 untagged
set vlan egress 120 ge.1.1-2;ge.2.1-2;lag.0.1-2 tagged
set vlan egress 120 ge.1.6-8;ge.2.6-8 untagged
!


2. Настройка PVID для untagged портов:

#port
set port vlan ge.1.3 100
set port vlan ge.1.4 100
set port vlan ge.1.5 100
set port vlan ge.1.6 120
set port vlan ge.1.7 120
set port vlan ge.1.8 120
set port vlan ge.2.3 100
set port vlan ge.2.4 100
set port vlan ge.2.5 100
set port vlan ge.2.6 120
set port vlan ge.2.7 120
set port vlan ge.2.8 120
!

Автор: на Комментариев нет:
Ярлыки: , , ,

пятница, 25 августа 2017 г.

Fortigate 300D - get hardware status

FG300D # get hardware status
Model name: FortiGate-300D
ASIC version: CP8
ASIC SRAM: 64M
CPU: Intel(R) Core(TM) i3-3220 CPU @ 3.30GHz
Number of CPUs: 4
RAM: 7996 MB
Compact Flash: 15331 MB /dev/sda
Hard disk: 114473 MB /dev/sdb
USB Flash: not available
Network Card chipset: Intel(R) Gigabit Ethernet Network Driver (rev.0003)
Network Card chipset: FortiASIC NP6 Adapter (rev.)

 FG300D #
FG300D # get hardware cpu
processor       : 0
vendor_id       : GenuineIntel
cpu family      : 6
model           : 58
model name      : Intel(R) Core(TM) i3-3220 CPU @ 3.30GHz
stepping        : 9
microcode       : 0x1c
cpu MHz         : 3293.035
cache size      : 3072 KB
physical id     : 0
siblings        : 4
core id         : 0
cpu cores       : 2
apicid          : 0
initial apicid  : 0
fpu             : yes
fpu_exception   : yes
cpuid level     : 13
wp              : yes
flags           : fpu vme de pse tsc msr pae mce cx8 apic sep mtrr pge mca cmov pat pse36 clflush dts acpi mmx fxsr sse sse2 ss ht tm pbe syscall nx rdtscp lm constant_tsc arch_perfmon pebs bts rep_good nopl xtopology nonstop_tsc aperfmperf pni pclmulqdq dtes64 monitor ds_cpl vmx est tm2 ssse3 cx16 xtpr pdcm pcid sse4_1 sse4_2 popcnt tsc_deadline_timer xsave avx f16c lahf_lm arat epb xsaveopt pln pts dts tpr_shadow vnmi flexpriority ept vpid fsgsbase smep erms
bogomips        : 6586.07
clflush size    : 64
cache_alignment : 64
address sizes   : 36 bits physical, 48 bits virtual
power management:

 processor       : 1
vendor_id       : GenuineIntel
cpu family      : 6
model           : 58
model name      : Intel(R) Core(TM) i3-3220 CPU @ 3.30GHz
stepping        : 9
microcode       : 0x1c
cpu MHz         : 3293.035
cache size      : 3072 KB
physical id     : 0
siblings        : 4
core id         : 0
cpu cores       : 2
apicid          : 1
initial apicid  : 1
fpu             : yes
fpu_exception   : yes
cpuid level     : 13
wp              : yes
flags           : fpu vme de pse tsc msr pae mce cx8 apic sep mtrr pge mca cmov pat pse36 clflush dts acpi mmx fxsr sse sse2 ss ht tm pbe syscall nx rdtscp lm constant_tsc arch_perfmon pebs bts rep_good nopl xtopology nonstop_tsc aperfmperf pni pclmulqdq dtes64 monitor ds_cpl vmx est tm2 ssse3 cx16 xtpr pdcm pcid sse4_1 sse4_2 popcnt tsc_deadline_timer xsave avx f16c lahf_lm arat epb xsaveopt pln pts dts tpr_shadow vnmi flexpriority ept vpid fsgsbase smep erms
bogomips        : 6585.12
clflush size    : 64
cache_alignment : 64
address sizes   : 36 bits physical, 48 bits virtual
power management:

 processor       : 2
vendor_id       : GenuineIntel
cpu family      : 6
model           : 58
model name      : Intel(R) Core(TM) i3-3220 CPU @ 3.30GHz
stepping        : 9
microcode       : 0x1c
cpu MHz         : 3293.035
cache size      : 3072 KB
physical id     : 0
siblings        : 4
core id         : 1
cpu cores       : 2
apicid          : 2
initial apicid  : 2
fpu             : yes
fpu_exception   : yes
cpuid level     : 13
wp              : yes
flags           : fpu vme de pse tsc msr pae mce cx8 apic sep mtrr pge mca cmov pat pse36 clflush dts acpi mmx fxsr sse sse2 ss ht tm pbe syscall nx rdtscp lm constant_tsc arch_perfmon pebs bts rep_good nopl xtopology nonstop_tsc aperfmperf pni pclmulqdq dtes64 monitor ds_cpl vmx est tm2 ssse3 cx16 xtpr pdcm pcid sse4_1 sse4_2 popcnt tsc_deadline_timer xsave avx f16c lahf_lm arat epb xsaveopt pln pts dts tpr_shadow vnmi flexpriority ept vpid fsgsbase smep erms
bogomips        : 6585.14
clflush size    : 64
cache_alignment : 64
address sizes   : 36 bits physical, 48 bits virtual
power management:

 processor       : 3
vendor_id       : GenuineIntel
cpu family      : 6
model           : 58
model name      : Intel(R) Core(TM) i3-3220 CPU @ 3.30GHz
stepping        : 9
microcode       : 0x1c
cpu MHz         : 3293.035
cache size      : 3072 KB
physical id     : 0
siblings        : 4
core id         : 1
cpu cores       : 2
apicid          : 3
initial apicid  : 3
fpu             : yes
fpu_exception   : yes
cpuid level     : 13
wp              : yes
flags           : fpu vme de pse tsc msr pae mce cx8 apic sep mtrr pge mca cmov pat pse36 clflush dts acpi mmx fxsr sse sse2 ss ht tm pbe syscall nx rdtscp lm constant_tsc arch_perfmon pebs bts rep_good nopl xtopology nonstop_tsc aperfmperf pni pclmulqdq dtes64 monitor ds_cpl vmx est tm2 ssse3 cx16 xtpr pdcm pcid sse4_1 sse4_2 popcnt tsc_deadline_timer xsave avx f16c lahf_lm arat epb xsaveopt pln pts dts tpr_shadow vnmi flexpriority ept vpid fsgsbase smep erms
bogomips        : 6585.15
clflush size    : 64
cache_alignment : 64
address sizes   : 36 bits physical, 48 bits virtual
power management:

Автор: на Комментариев нет:
Ярлыки: , , ,

Настройка агрегированных каналов 802.3ad в FortiOS


Задача:
Нужно настроить LAG с LACP из 2-х портов с сабинтерфейсами, терминирующими VLAN ID 100/120, а также проверить что LAG поднялся и работает:

Решение:

 FG300D # show system interface DMZ
config system interface
    edit "DMZ"
        set vdom "root"
        set type aggregate
        set member "port3" "port4"
        set role dmz
        set snmp-index 16
    next
end

 FG300D # show system interface DMZ_VLAN100
config system interface
    edit "DMZ_VLAN100"
        set vdom "root"
        set ip 172.30.100.1 255.255.255.0
        set allowaccess ping
        set role dmz
        set snmp-index 18
        set interface "DMZ"
        set vlanid 100
    next
end

 FG300D # show system interface DMZ_VLAN120
config system interface
    edit "DMZ_VLAN120"
        set vdom "root"
        set ip 172.30.120.1 255.255.255.0
        set allowaccess ping
        set role dmz
        set snmp-index 19
        set interface "DMZ"
        set vlanid 120
    next

end

и проверка:

FG300D-Pri-0355 # diag netlink aggregate name DMZ
LACP flags: (A|P)(S|F)(A|I)(I|O)(E|D)(E|D)
(A|P) - LACP mode is Active or Passive
(S|F) - LACP speed is Slow or Fast
(A|I) - Aggregatable or Individual
(I|O) - Port In sync or Out of sync
(E|D) - Frame collection is Enabled or Disabled
(E|D) - Frame distribution is Enabled or Disabled

status: up
npu: y
flush: n
asic helper: y
oid: 133
ports: 2
link-up-delay: 50ms
min-links: 1
ha: master
distribution algorithm: L4
LACP mode: active
LACP speed: slow
LACP HA: enable
aggregator ID: 2
actor key: 17
actor MAC address: 90:6c:ac:f5:86:4e
partner key: 32768
partner MAC address: 00:11:88:f2:95:c0

slave: port3
  link status: up
  link failure count: 2
  permanent MAC addr: 90:6c:ac:f5:86:4e
  LACP state: established
  actor state: ASAIEE
  actor port number/key/priority: 1 17 255
  partner state: ASAIEE
  partner port number/key/priority: 1 32768 32768
  partner system: 34817 00:11:88:f2:95:c0
  aggregator ID: 2
  speed/duplex: 1000 1
  RX state: CURRENT 6
  MUX state: COLLECTING_DISTRIBUTING 4

slave: port4
  link status: up
  link failure count: 1
  permanent MAC addr: 90:6c:ac:f5:86:4f
  LACP state: established
  actor state: ASAIEE
  actor port number/key/priority: 2 17 255
  partner state: ASAIEE
  partner port number/key/priority: 53 32768 32768
  partner system: 34817 00:11:88:f2:95:c0
  aggregator ID: 2
  speed/duplex: 1000 1
  RX state: CURRENT 6
  MUX state: COLLECTING_DISTRIBUTING 4


и проверяем сетевое взаимодействие поверх LAG c хостами из VLAN100,120:

FG300D # execute ping 172.30.100.254
PING 172.30.100.254 (172.30.100.254): 56 data bytes
64 bytes from 172.30.100.254: icmp_seq=0 ttl=64 time=7.3 ms
64 bytes from 172.30.100.254: icmp_seq=1 ttl=64 time=3.8 ms
64 bytes from 172.30.100.254: icmp_seq=2 ttl=64 time=4.0 ms
64 bytes from 172.30.100.254: icmp_seq=3 ttl=64 time=3.7 ms
64 bytes from 172.30.100.254: icmp_seq=4 ttl=64 time=3.7 ms

--- 172.30.100.254 ping statistics ---
5 packets transmitted, 5 packets received, 0% packet loss
round-trip min/avg/max = 3.7/4.5/7.3 ms

FG300D # execute ping 172.30.120.254
PING 172.30.120.254 (172.30.120.254): 56 data bytes
64 bytes from 172.30.120.254: icmp_seq=0 ttl=64 time=5.2 ms
64 bytes from 172.30.120.254: icmp_seq=1 ttl=64 time=3.7 ms
64 bytes from 172.30.120.254: icmp_seq=2 ttl=64 time=3.7 ms
64 bytes from 172.30.120.254: icmp_seq=3 ttl=64 time=3.7 ms
64 bytes from 172.30.120.254: icmp_seq=4 ttl=64 time=3.7 ms

--- 172.30.120.254 ping statistics ---
5 packets transmitted, 5 packets received, 0% packet loss
round-trip min/avg/max = 3.7/4.0/5.2 ms








Автор: на Комментариев нет:
Ярлыки: , , , ,

Как посмотреть зависимости интерфейсов в FortiOS 5.4

Посмотреть зависимости физических интерфейсов в FortiOS можно при помощи
следующей команды

diagnose sys checkused system.interface.name <имя интерфейса>

 

FG300D-Pri-0355 # diagnose sys checkused system.interface.name port1
entry used by table router.static:seq-num '1'

Например в приведенном примере данная команда позволила определить почему port1 нельзя было подключить к новому созданному агрегированному 802.3ad интерфейсу, это нельзя было сделать из-за наличия статического маршрута в основной таблице маршрутизации связанного с данным интерфейсом.
Автор: на Комментариев нет:
Ярлыки: ,

понедельник, 21 августа 2017 г.

Fortigate as dialup VPN Server и Сisco IOS как dialup VPN Client (IPSec)

Ситуация:
Fortigate развернут как Dialup VPN сервер в следующем варианте:

IKE (Phase I):

FGT61E (phase1-interface) # show
config vpn ipsec phase1-interface
    edit "FGT-Cisco"
        set type dynamic
        set interface "wan1"
        set local-gw <wan1 IP>
        set mode aggressive
        set peertype one
        set proposal 3des-sha1
        set dhgrp 5
        set peerid "c1841"
        set psksecret ENC <key> 
   next
end

IPSec (Phase II):
FGT61E (phase2-interface) # show
config vpn ipsec phase2-interface
    edit "FGT-Cisco-IPSEC"
        set phase1name "FGT-Cisco"
        set proposal 3des-sha1
        set pfs disable
        set replay disable
        set keylifeseconds 3600
    next
end

FGT61 # get system interface

== [ FGT-Cisco ]
name: FGT-Cisco   ip: 10.254.254.1 255.255.255.255   status: up    netbios-forward: disable    type: tunnel   netflow-sampler: disable    sflow-sampler: disable    scan-botnet-connections: disable    src-check: enable    explicit-web-proxy: disable    explicit-ftp-proxy: disable    proxy-captive-portal: disable    wccp: disable

Нужно чтобы Fortigate обеспечивал прием входящих VPN-подключений от маршрутизатора Cisco, который находится на удаленной площадке за NAT, причем имеет на внешнем интерфейсе динамический IP-адрес (DHCP).

Особенностью данного решения является, то что Fortigate настроен как Dial-up VPN сервер, т.е он не знает об IP удаленной стороны изначально как в обычном Site-2-Site развертывании.

При этом Fortigate в таком режиме для VPN-интерфейса назначает маску /32, а мы еще хотим чтобы по данному туннелю Routed Based VPN бегал дополнительно еще и OSPFv2, чтобы нам нам не прописывать дополнительно статические маршруты с обоих стороны в сторону удаленной площадки.

Cisco же не позволяет напрямую прописать на туннельном интерфейсе маску /32, но это поведение можно обойти с помощью loopback интерфейсов и IP unnumbered на туннеле, привязанном к данном Loopback-интерфейсу.

Решение:
Настройки со стороны Cisco в данном случае выглядит следующим образом:


crypto isakmp policy 1
 encr 3des
 authentication pre-share
 group 5
!
crypto isakmp peer address <Fortigate WAN1 IP>
 set aggressive-mode password <ключ>
 set aggressive-mode client-endpoint fqdn c1841
!
crypto ipsec security-association replay disable
!
crypto ipsec transform-set ESP_3DES esp-3des esp-sha-hmac
!
crypto ipsec profile test
 set transform-set ESP_3DES

interface Loopback1
 ip address 10.254.254.2 255.255.255.255
!
interface Tunnel0
 ip unnumbered Loopback1
 ip mtu 1400
 ip ospf network point-to-point
 ip ospf mtu-ignore
 tunnel source FastEthernet0/0
 tunnel mode ipsec ipv4
 tunnel destination <Fortigate WAN1 IP>
 tunnel path-mtu-discovery
 tunnel protection ipsec profile test
!


Динамическая маршрутизация со стороны Fortigate:

FGT61 (ospf) # show
config router ospf
    set router-id 192.168.202.99
    config area
        edit 0.0.0.0
        next
    end
    config ospf-interface
        edit "FGT-Cisco-OSPF"
            set interface "FGT-Cisco"
            set dead-interval 40
            set hello-interval 10
            set mtu-ignore enable
            set network-type point-to-point
        next
        edit "FGT-Internal"
            set interface "internal"
            set dead-interval 40
            set hello-interval 10
        next
    end
    config network
        edit 1
            set prefix 192.168.202.0 255.255.255.0
        next
        edit 2
            set prefix 10.254.254.0 255.255.255.252
        next
        edit 3
            set prefix 192.168.253.0 255.255.255.0
        next
    end
    config redistribute "connected"
    end
    config redistribute "static"
    end
    config redistribute "rip"
    end
    config redistribute "bgp"
    end
    config redistribute "isis"
    end
end


Динамическая маршрутизация со стороны Сisco:

router ospf 1
 router-id 172.16.1.1
 network 10.254.254.0 0.0.0.3 area 0.0.0.0
 network 172.16.1.0 0.0.0.255 area 0.0.0.0
!



Cмотрим  что у нас с OSPFv2 на стороне Fortigate:

FGT61E # get router info ospf neighbor

OSPF process 0:
Neighbor ID     Pri   State           Dead Time   Address         Interface
172.16.1.1        1   Full/ -         00:00:36    10.254.254.2    FGT-Cisco_0

FGT61 # get router info routing-table ospf
O       172.16.1.0/24 [110/101] via 10.254.254.2, FGT-Cisco_0, 00:57:09

FGT61E # get router info ospf status
 Routing Process "ospf 0" with ID 192.168.202.99
 Process uptime is 7 days 15 hours 9 minutes
 Process bound to VRF default
 Conforms to RFC2328, and RFC1583Compatibility flag is disabled
 Supports only single TOS(TOS0) routes
 Supports opaque LSA
 Do not support Restarting
 SPF schedule delay 5 secs, Hold time between two SPFs 10 secs
 Refresh timer 10 secs
 Number of incomming current DD exchange neighbors 0/5
 Number of outgoing current DD exchange neighbors 0/5
 Number of external LSA 0. Checksum 0x000000
 Number of opaque AS LSA 0. Checksum 0x000000
 Number of non-default external LSA 0
 External LSA database is unlimited.
 Number of LSA originated 1
 Number of LSA received 303
 Number of areas attached to this router: 1
    Area 0.0.0.0 (BACKBONE)
        Number of interfaces in this area is 3(4)
        Number of fully adjacent neighbors in this area is 1
        Area has no authentication
        SPF algorithm last executed 00:59:05.510 ago
        SPF algorithm executed 88 times
        Number of LSA 2. Checksum 0x010d97


Cмотрим  что у нас с OSPFv2 на стороне Cisco:


c1841#sh ip route ospf
Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
       E1 - OSPF external type 1, E2 - OSPF external type 2
       i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
       ia - IS-IS inter area, * - candidate default, U - per-user static route
       o - ODR, P - periodic downloaded static route, H - NHRP, l - LISP
       + - replicated route, % - next hop override

Gateway of last resort is 10.10.1.254 to network 0.0.0.0

      10.0.0.0/8 is variably subnetted, 5 subnets, 2 masks
O        10.254.254.1/32 [110/1000] via 10.254.254.1, 01:00:16, Tunnel0
O     192.168.202.0/24 [110/1001] via 10.254.254.1, 00:57:30, Tunnel0
O     192.168.253.0/24 [110/1100] via 10.254.254.1, 01:00:16, Tunnel0


c1841#sh ip ospf
 Routing Process "ospf 1" with ID 172.16.1.1
 Start time: 00:00:59.996, Time elapsed: 6w3d
 Supports only single TOS(TOS0) routes
 Supports opaque LSA
 Supports Link-local Signaling (LLS)
 Supports area transit capability
 Supports NSSA (compatible with RFC 1587)
 Event-log enabled, Maximum number of events: 1000, Mode: cyclic
 Router is not originating router-LSAs with maximum metric
 Initial SPF schedule delay 5000 msecs
 Minimum hold time between two consecutive SPFs 10000 msecs
 Maximum wait time between two consecutive SPFs 10000 msecs
 Incremental-SPF disabled
 Minimum LSA interval 5 secs
 Minimum LSA arrival 1000 msecs
 LSA group pacing timer 240 secs
 Interface flood pacing timer 33 msecs
 Retransmission pacing timer 66 msecs
 Number of external LSA 0. Checksum Sum 0x000000
 Number of opaque AS LSA 0. Checksum Sum 0x000000
 Number of DCbitless external and opaque AS LSA 0
 Number of DoNotAge external and opaque AS LSA 0
 Number of areas in this router is 1. 1 normal 0 stub 0 nssa
 Number of areas transit capable is 0
 External flood list length 0
 IETF NSF helper support enabled
 Cisco NSF helper support enabled
 Reference bandwidth unit is 100 mbps
    Area BACKBONE(0.0.0.0)
        Number of interfaces in this area is 3 (1 loopback)
        Area has no authentication
        SPF algorithm last executed 01:02:07.372 ago
        SPF algorithm executed 16 times
        Area ranges are
        Number of LSA 2. Checksum Sum 0x022898
        Number of opaque link LSA 0. Checksum Sum 0x000000
        Number of DCbitless LSA 1
        Number of indication LSA 0
        Number of DoNotAge LSA 0
        Flood list length 0















Автор: на Комментариев нет:
Ярлыки: , , , , ,

четверг, 17 августа 2017 г.

Fortigate 61E - get hardware status 

FGT61E # get hardware status
Model name: FortiGate-61E
ASIC version: SOC3
ASIC SRAM: 64M
CPU: ARMv7
Number of CPUs: 4
RAM: 1866 MB
EMMC: 3662 MB(MLC) /dev/mmcblk0
Hard disk: 122104 MB /dev/sda
USB Flash: not available
Network Card chipset: FortiASIC NP6LITE Adapter (rev.)
 
FGT61E # get hardware 
cpu       Display detailed information for all installed CPU(s).
memory    Display system memory information.
nic       Display NIC information.
status    Hardware status.
 
FGT61E # get hardware cpu
Processor : ARMv7 Processor rev 1 (v7l)
processor : 0
BogoMIPS : 2007.04
 
processor : 1
BogoMIPS : 2007.04
 
processor : 2
BogoMIPS : 2007.04
 
processor : 3
BogoMIPS : 2007.04
 
Features : swp half thumb fastmult vfp edsp thumbee vfpv3 vfpv3d16 tls 
CPU implementer : 0x41
CPU architecture: 7
CPU variant : 0x4
CPU part : 0xc09
CPU revision : 1
 
Hardware : FSoC3_ASIC
Revision : 0000
Serial  : 0000000000000000
 
FGT61E # get hardware memory
MemTotal:        1911668 kB
MemFree:          765140 kB
Buffers:          174340 kB
Cached:           287596 kB
SwapCached:            0 kB
Active:           666768 kB
Inactive:         186716 kB
Active(anon):     493296 kB
Inactive(anon):    82592 kB
Active(file):     173472 kB
Inactive(file):   104124 kB
Unevictable:           0 kB
Mlocked:               0 kB
SwapTotal:             0 kB
SwapFree:              0 kB
Dirty:                 0 kB
Writeback:             0 kB
AnonPages:        391548 kB
Mapped:            56684 kB
Shmem:            184340 kB
Slab:              40008 kB
SReclaimable:      12680 kB
SUnreclaim:        27328 kB
KernelStack:        1016 kB
PageTables:        12976 kB
NFS_Unstable:          0 kB
Bounce:                0 kB
WritebackTmp:          0 kB
CommitLimit:      955832 kB
Committed_AS:    6373160 kB
VmallocTotal:     663552 kB
VmallocUsed:       80864 kB
VmallocChunk:     408596 kB
 
FGT61E # get hardware nic
The following NICs are available:
 dmz
 internal
 internal1
 internal2
 internal3
 internal4
 internal5
 internal6
 internal7
 npu0_vlink0
 npu0_vlink1
 wan1
 wan2
Автор: на Комментариев нет:
Ярлыки: , , ,

среда, 16 августа 2017 г.

Установка лицензий XOS в Extreme SummitStack

Ссылка на официальный гайд по установке лицензий XOS в стеке Extreme SummitStack:

http://documentation.extremenetworks.com/exos/EXOS_21_1/Stacking/t_upgrade-stack-licenses.shtml
Автор: на Комментариев нет:
Ярлыки: ,
Подписаться на: Сообщения (Atom)