Archiwum z Kwiecień 2009

« Starsze wpisy

LACP – errata

poniedziałek, 27 Kwiecień 2009

3COM LACPTo co napisałem i narysowałem wcześniej nie do końca jest prawdą. Otóż LACP działa pomiędzy dwoma urządzeniami spiętymi bezpośrednio. Wyjątkiem są przełączniki, które można połączyć w logiczną całość, ale ja takowych nie posiadam. Wcześniej robiłem konfigurację tylko po stronie serwerów, ale to nie wystarczy (mimo, że działało jako tako). Trzeba po drugiej stronie też odpowiednio poustawiać.

Nie wiedzieć czemu jedne serwery raportują połączenie 2 Gbps (przy dwóch kartach), inne tylko 1 Gbps. Prawdopodobnie zależy to od sterownika. Te które mogą więcej to na pewno Intel PRO/1000 EB, te które nie mogą (lub po prostu ja nie wiem jak je zmusić do takiego działania) to:

  • Intel PRO/1000 PM + Intel PRO/1000 PL (serwery Actina z płytami SuperMicro mają różne karty, więc może to być powodem; poza tym ta pierwsza nie wspiera Jumbo Frames),
  • Broadcom BCM5708C NetXtreme II GigE.

Jeśli ktoś wykorzystuje obie karty do dwóch różnych sieci, też może korzystać z LACP. Zawsze w parze z tym idzie VLAN, więc pierw spinamy karty razem, a potem je dzielimy.

Logi z operacji spinania przełączników poniżej:

2009-04-16 14:50:53     generic     information     INFO - LACP: Trunk group 1 created with ports=25, aggregator id=1024, partner system=32767,00:22:57:45:D8:A0, actor oper key = 26436, partner oper key = 14881
2009-04-16 14:50:55     generic     information     INFO - LACP: Trunk group 1 updated with ports=1,25 for aggregator 1024

2009-04-16 14:50:49     generic     information     INFO - LACP: LACP is disabled on port 16
2009-04-16 14:50:49     generic     information     INFO - LACP: Trunk group 1 removed for aggregator 1039
2009-04-16 14:50:50     generic     information     INFO - LACP: Fixed group ID for port 16 set to -1
2009-04-16 14:50:50     generic     information     INFO - LACP: Fixed group ID for port 16 set to 0
2009-04-16 14:50:50     generic     information     INFO - LACP: Fixed group ID for port 39 set to 0
2009-04-16 14:50:50     generic     information     INFO - LACP: LACP is enabled on port 16
2009-04-16 14:50:50     generic     information     INFO - LACP: LACP is enabled on port 39
2009-04-16 14:50:53     generic     information     INFO - LACP: Trunk group 1 created with ports=39, aggregator id=1039, partner system=32767,00:22:57:45:D6:A0, actor oper key = 14881, partner oper key = 26436
2009-04-16 14:50:55     generic     information     INFO - LACP: Trunk group 1 updated with ports=16,39 for aggregator 1039
2009-04-16 14:50:56     generic     information     INFO - RSTP: Set Port Parameters: Admin Path Cost, Value: 0
2009-04-16 14:50:56     generic     information     INFO - RSTP: Set Port Parameters: Admin Path Cost, Value: 0
2009-04-16 14:50:56     generic     information     INFO - LACP: Trunk group 1 updated with ports=16 for aggregator 1039
2009-04-16 14:50:56     generic     information     INFO - LACP: Trunk group 1 updated with ports=16,39 for aggregator 1039
2009-04-16 14:50:56     generic     information     INFO - RSTP: Set Port Parameters: Admin Path Cost, Value: 0
2009-04-16 14:50:58     generic     information     INFO - RSTP: Set Port Parameters: Admin Path Cost, Value: 0

LACP + RSTPOK, skoro LACP to tylko połączenia bezpośrednie, w takim razie przełącznik nadal pozostaje single point of failure. Owszem, ale można rozwiązać to np. za pomocą (R)STP.

W mojej sieci RSTP wyniknęło samo z siebie. Bez żadnych planów osób przeciągających kable. Niektóre idą z poziomu 0 na 2 bezpośrednio, niektóre przez duże przełączniki na piętrach. Taka wolna amerykanka. Oczywiście nie ma tego złego, co by na dobre nie wyszło. Wykorzystałem bałagan dla zwiększenia niezawodności sieci :>
Ciągle mamy newralgiczne połączenia, ale staram się to eliminować.
Przykładowy log RSTP (prawdopodobnie restart jednego z przełączników):

2009-04-17 07:08:17 warning %LINK-W-Down: 19
2009-04-17 07:08:17 warning %LINK-W-Down: 13
2009-04-17 07:08:17 warning %LINK-W-Down: 12
2009-04-17 07:08:17 warning %LINK-W-Down: 20
2009-04-17 07:08:18 information %LINK-I-Up: 19
2009-04-17 07:08:19 information %LINK-I-Up: 12
2009-04-17 07:08:19 information %LINK-I-Up: 20
2009-04-17 07:08:19 information %LINK-I-Up: 13
2009-04-17 07:08:48 warning %STP-W-PORTSTATUS: 19: STP status Forwarding
2009-04-17 07:08:49 warning %STP-W-PORTSTATUS: 12: STP status Forwarding
2009-04-17 07:08:49 warning %STP-W-PORTSTATUS: 20: STP status Forwarding
2009-04-17 07:08:49 warning %STP-W-PORTSTATUS: 13: STP status Forwarding

Tak jak wszystko, warto takie rzeczy dobrze zaplanować od podstaw. Choć operacje na otwartym sercu mają swój urok ;-)

Swoją drogą chciałbym kiedyś trafić do takiej sieci bez dokumentacji w czasie awarii jednego z przełączników.

Tagi:, , , ,
Zaszufladkowany do Tech | 1 komentarz »

Vicky Cristina Barcelona

poniedziałek, 27 Kwiecień 2009

Po prostu Woody Allen

Tagi:,
Zaszufladkowany do Wolne żarty | 1 komentarz »

Baseball – Derby Śląska

piątek, 24 Kwiecień 2009

Derby Śląska

Już w ten weekend rozegrane zostaną na naszym boisku Ekstraligowe derby Śląska, zagramy z drużyną z za miedzy -GEPARDAMI z Żor.Spotkanie zaplanowano w niedzielę o godzinie 13 00 na boisku SILESII przy ul. Partyzantów. Już dziś zapraszamy wszystkich sympatyków baseballu na ten mecz.

Więcej na stronie klubu KS-SILESIA Rybnik.

Na pierwszym (i na razie jedynym) meczu baseball’a byłem kilka(-naście) lat temu, jak dyscyplina ta dopiero raczkowała w naszym kraju – również w Rybniku. Dzięki Wii Sports zachciało mi się pojechać teraz. Biletów nie ma, ale nie ma też miejsc wolnych już w moim samochodzie. Szwagier ma chyba jeszcze dwa, gdyby ktoś chciał jechać.

Jak ktoś ma pomysły na inne sporty w weekend (nie piłka nożna!), to jestem otwarty na takie propozycje. Na hokeju już byłem, zmarzłem, bo nie podejrzewałem, że lód jest zimny ;-)

Tagi:,
Zaszufladkowany do Wolne żarty | 1 komentarz »

Zabezpieczony: Mediaserver, odcinek 1’072

piątek, 24 Kwiecień 2009

Ten wpis jest zabezpieczony hasłem. Aby go zobaczyć, proszę wprowadzić poniżej swoje hasło:


Tagi:, ,
Zaszufladkowany do Tech | Wprowadź swoje hasło, aby zobaczyć komentarze.

CONFidence 2009 + Hackers’ Squad

środa, 22 Kwiecień 2009

Mimo, że moje zgłoszenie na konferencję poszło już drugiego dnia po rozpoczęciu zapisów dla uczestników poprzednich edycji, miejsce w Hackers’ Squad zarezerwowałem dopiero dzisiaj (jakoś nie kliknęło mi się za pierwszym razem). Podobno w pierwszym hostelu już miejsc nie ma, ale organizują kolejny 5 min pieszo dalej (wypada mi na Zwierzyniecką i znajomy Kadetus :>).

Niecierpliwie przebieram nóżkami.
Agenda dla mnie wygląda tak:

  • Adrian Pastor “A pentester’s guide to credit card theft techniques”
  • Łukasz Bromirski (mam nadzieję, że coś świeżego)
  • Piotr Oleszkiewicz “Is Storm just a summer breeze? New concepts in malware”
  • Walter Belgers “Lockpicking 101″ (trzeba sobie odbić za 2008),
  • Pavol Luptak “Public transport SMS ticket hacking”
  • Raoul Chiesa “Corporate Security and Intelligence: the dark links”
  • Alessio L.R. Pennasilico Bakeca.it DDoS: How evil forces have been defeated
  • Alexei Kachalin “Efficiency estimation of network security systems of global networks.”
  • Michael Kemp “Rootkits are awesome: Insider Threat for Fun and Profit”

Czyli przewaga Network & OS & RD. Powyższe może ulec zmianie jeśli postawią automat z Mortal Kombat ;-)

Mam nadzieję, że choć trochę przyczyniłem się do rozpowszechnienia informacji o imprezie.

Zaszufladkowany do Tech, Wolne żarty | Brak komentarzy »

FortiAnalyzer: HTTP vs http

poniedziałek, 20 Kwiecień 2009

attacks_by_top_protocol_10W bieżącym miesiącu mój FortiAnalyzer odnotował 30 ataków na protokół http i 2 na HTTP. Dziwne. Jakaś unifikacja tego by się przydała, str_to_upper() czy coś…

Tagi:,
Zaszufladkowany do Tech | 1 komentarz »

HOWTO: FortiUSB

piątek, 17 Kwiecień 2009

Czasami zdarza się tak, że odcinamy sobie wszystkie drogi do urządzenia (jakiegokolwiek) – dostęp via WWW, SSH, telnet czy kabel szeregowy. Cóż, błąd ludzki… FortiGate ma na szczęście możliwość czytania konfiguracji i ew. firmware z pendrive. Oczywiście wcześniej niezbędne jest przygotowanie kopii bezpieczeństwa, no ale o to każdy przecież dba.

Sytuacja, o której wspominam nie miała miejsca w moim przypadku. Ot tak sobie chciałem przećwiczyć plan awaryjny, żeby na podstawie czegoś stworzyć kolejną procedurę :>

  1. Rozpoznanie terenu

    2. Domyślnie konfiguracja powinna znajdować się w pliku fgt_system.conf, obraz zaś w image.out. Kopiujemy pliki na pamięć (domyślnie takowe mają system plików FAT). Ew. wkładamy po prostu czystą pamięć i uruchamiamy urządzenie żeby sprawdzić co się stanie. Po starcie pojawia nam się smutny komunikat dotyczący problemu z odczytem ext3 (w starszych wersjach FortiOS) lub w drugim przypadku:

    System is started.
    Get image from USB disk ...Can not get image from USB disk.
    Can not get config file from USB disk.

    Możemy poddać się i zakupić FortiUSB lub…

  2. Przygotowanie własnego FortiUSB

    3. Oczywiście w nowszych wersjach FortiOS nie jest potrzebna zmiana systemu plików, ale domyślnie w 100A dają jakieś 3.0 MR5 (chyba), które nie znało niczego innego poza EXT3. Niemniej mamy już właściwy system, pora na kopiowanie plików. Jak wspomniałem – konfiguracja w fgt_system.conf, firmware w image.out (kopiujemy jeden z plików lub oba).

  3. To już!

    4. Wkładamy pamięć w odpowiedni port, uruchamiamy urządzenie i tadam!

    System is started.
    Get image from USB disk ...     OK.
    Check image...  OK.

    Please wait for system to restart.

    Firmware upgrade in progress ...
    Done.

    The system is going down NOW !!

    Please stand by while rebooting the system.
    FG100A (19:06-02.28.2006)
    Ver:04000003
    [...]

    Może się zdarzyć, że nie zaszła żadna zmiana, wtedy dostaniemy:

    Get image from USB disk ... OK.
    Checksum check synced! Don't need restore image.

    Get config file from USB disk OK.
    Checksum check synced! Don't need restore config.

    Czasami może być też tak:

    System is started.
    The config file may contain errors,
    Please see details by the command 'diagnose debug config-error-log read'

    Tu próba skopiowania konfiguracji z FortiOS 4 na 3. Jak pisałem wcześniej – jest kilka znaczących różnic. Tak czy inaczej plan przećwiczony. Pamiętamy o regularnych kopiach, nie wpadaniu w panikę, o postępowaniu zgodnie z procedurami i takie tam ;-)

A tu jeszcze Knowledge Center Fortinet na temat FortiUSB:

Teraz mam drugie urządzenie, więc mogę je podmienić (zostanę jednakże przy firmware z rodziny 3) i sprawdzić czy ‘zawieszanie się‘ to wina sprzętowa czy raczej programowa.

Tagi:, ,
Zaszufladkowany do Tech | Brak komentarzy »

« Starsze wpisy