lunes, 28 de mayo de 2012

WCCP: Interceptando paquetes para proxy

WCCP es un protocolo que permite interceptar paquetes que deben ser cacheados.

Este protocolo se utiliza principalmente para dos cosas:
  • Hacer que dentro de una red los clientes no tengan que tener configurado un proxy web, pero mandar automáticamente el tráfico web de los clientes a un proxy web.
  • Enviar tráfico a appliances u otros equipos para que lo traten o examinen. 
El primer caso, en redes pequeñas puede ser una opción, pero para grandes redes me parece poco escalable, sin embargo con la segunda opción se pueden hacer cosas muy interesantes, como por ejemplo hacer que cierto tipo de tráfico sea enviado a un ips como snort que tienes out of path, o enviar ciertos tipos de tráfico a un acelerador wan para maximizar el ancho de banda de una conexión MPLS, y de paso ahorrarte una buena cantidad de dinero.

A efectos de configuración consiste en lo siguiente:

Crear una access list con el tráfico que queremos derivar en el router:

access-list 101 permit tcp any any eq 80


Configurar WCCP versión 2:

r(config)#ip wccp version 2

Configurar la interfaz donde estan conectados los servidores de cache, y que ellos solitos se agregaran:

int vlan 30
 ip wccp <nº_grupo> group-listen

Configurar la interfaz desde donde viene el tráfico de usuario:

int Vlan 50
ip wccp <nºgrupo>  redirect in


Configurar la redirección en modo de configuración global:

ip wccp  <nºgrupo> redirect-list <lista_acceso>

Y voila, ya tienes el tráfico redireccionado.

Es particularmente curioso de ver en funcionamiento en el caso de aceleradores wan como los waas, dejo un par de links al respecto.

http://www.cisco.com/en/US/docs/ios/12_2/configfun/configuration/guide/fcf018.html

 http://docwiki.cisco.com/wiki/Cisco_WAAS_4.1.1_--_Cisco_Wide_Area_Application_Services_Quick_Configuration_Guide#Configuring_WCCP_on_the_Routers

Publicado por en No hay comentarios:
Etiquetas: , , ,

lunes, 21 de mayo de 2012

DNS: Haciendo de caché DNS en un router

Como vimos en un artículo anterior es posible configurar un router cisco como servidor dns, aunque siendo realista no es algo habitual.



Lo que si que es algo habituál hasta cierto punto es configurar un router para hacer la labor de caché DNS, lo que significa que en un cliente configuras el router como servidor DNS, y en el router configuras un servidor DNS al que preguntas, y se va quedando cacheadas las peticiones.

Configuración;

ip dns server
ip domain-lookup
ip name-server 8.8.8.8

Con esta configuración el router consultaría al DNS de Google las consultas que le hagan a el como DNS, cacheandolas por si se las vuelven a pedir.


Publicado por en No hay comentarios:
Etiquetas: , ,

lunes, 14 de mayo de 2012

KRON: Ejecutando automáticamente comandos programados

Los que os hayáis pegado con servidores unix/linux conoceréis el comando cron, y en versión resumida KRON es el cron de ios.


Para los que no os hayáis pegado tanto con el mundo unix, lo que permite hacer kron, es ejecutar un comando o serie de comandos a una fecha y hora determinada, o todos los dias a la misma hora, etc. Las posibilidades de este comando son infinitas, ya que además se puede ejecutar scripts de TCL que tengas previamente creados en el router.

Pongo un ejemplo bastante sencillo que ejecutaría todos los dias un clear arp, y un clear mac-address-table todos los dias a las 6:00.

kron policy-list BORRAR_ARP_Y_MAC
 cli clear arp
 cli clear mac-address-table

kron occurrence LIMPIEZA_DIARIA at 6:00 recurring policy-list BORRAR_ARP_Y_MAC

Dejo el link a la pagina de cisco sobre el KRON:

 http://www.cisco.com/en/US/docs/ios/12_3/feature/guide/g_kron.html
Publicado por en No hay comentarios:
Etiquetas: , , ,

lunes, 7 de mayo de 2012

FTP: Configurar un router como servidor ftp

En el artículo anterior vimos que era posible configurar un servidor tftp en un router cisco, pero con la limitación de ser tan solo un tftp de lectura.

En este artículo veremos la opción de configurar un servidor ftp. Los usuarios que se usaran para entrar al servidor ftp serán usuarios locales, o si habeis configurado aaa pueden ser usuarios de tacacs+, radius, etc.

Configuración:

ftp-server enable
ftp-server topdir <unidad>:>directorio_acompartir> <---se puede compartir directamente flash: aunque no lo recomiendo por seguridad :D

Otra cosa util y que existe también para TFTP, es que cuando copiamos con el cliente de ftp un fichero, es posible seleccionar la interfaz con la que hacemos el FTP/TFTP. Mi recomendación es hacerlo con un loopback siempre, de modo que si el routing cambia no hace falta autorizar todas las interfaces.

ip ftp source-interface Loopback0

Comando relacionado:


Router# debug ftpserver
Publicado por en No hay comentarios:
Etiquetas: , , , , ,
Suscribirse a: Entradas (Atom)