Kolejność wg. której BGP bierze pod uwagę atrybuty dla neighbor’a.
Dla outbound updates:
1. prefix-list, lub distribute-list
2. filter-list
3. route-map
Dla inbound updates:
1. route-map
2. filter-list
3. prefix-list, lub distribute-list
Prosta i przydatna iRule’a pozwalająca wybrać poolę serwerów na podstawie rozszerzenia pliku, do którego odwołuje się user:
when HTTP_REQUEST {
switch -glob [HTTP::path] {
"*.jpg" -
"*.gif" -
"*.png" { pool image_pool }
"*.pdf" { pool pdf_pool }
default { pool web_pool }
}
}
Ostatnio miałem możliwość przetestowania IronPorta S650. Przez producenta seria S jest określana jako Web Security Appliance. Stawiamy takie pudełko i kierujemy na nie ruch www naszych użytkowników, jawnie lub transparentnie np. przy pomocy WCCP, wówczas całe rozwiązanie działa na zasadzie transparent proxy z filtracją URLi. Ska chroni naszych użytkowników przed spyware’ami, malware’ami i wszystkimi innymi zagrożeniami płynącymi z surfowania po Sieci. Główną siłą Ski są Web Reputation Filters, które wykorzystują bazę firmy IronPort o nazwie SenderBase. Filtry reputacyjne lepiej sprawdzają się w filtrowaniu ruchu niż sygnatury i stanowią obecnie nowy trend w działce security, którym starają się podążać wszyscy producenci na świeci. W serii S mamy do wyboru dwa modele: S650 i S350. Tak naprawdę hardware’owo nie ma różnic między nimi, jedyna różnicą jest ilość użytkowników jaką potrafią obsłużyć oba modele. S350 jest dedykowane dla przedsiębiorstw posiadających 1-5000 użytkowników, a S650 od 250-10.000 użytkowników. Tyle tytułem wstępu, teraz pora na krótkie podsumowanie wrażeń….które w porównaniu do IronPortów serii C, są dużo słabsze. O ile seria C jest dla mnie bardzo dobrym produktem, to już w przypadku serii S nie mogę tego powiedzieć. Ska wydaje się być jeszcze w fazie wczesnego rozwoju. Bardzo ogólnikowe raporty, mała ilość opcji i przeciętna funkcjonalność do tego niemała cena. To wszystko sprawia, że Ska na razie nie zdobyła mojego uznania. Oczywiście nie zmieniam zdania na temat serii C, która jak dla mnie jest świetna, jednak Ska musi jeszcze trochę się rozwinąć zanim na dobre zadomowi się na rynku.
Przydatny dokument opisujący mechanizm chroniące LTMa przed DoSami – Protecting the BIG-IP LTM against denial of service attacks (SOL7301).
Pojawiła sie nowa wersja software’u do FWSMa, Version 4. Pełen release notes dostępny na stronie Cisco. Jedną z ciekawszych rzeczy jest:
The most obvious additions are in using the power of the supervisor to accelerate flows in hardware. There are two implementations of this:
Trusted Flow Acceleration – the FWSM programs a “cut-through” on the PFC so that trusted flows get forwarded in hardware without hitting the FWSM after the first packet. This is for a Sup720 or Sup32 in the same chassis. Targeted performance is 20 – 50+ Gbps Aggregate Throughput and 10+ Gbps Throughput per Flow, but your mileage may vary. Nothing is free, and this takes entries away from the NetFlow TCAM.
PISA Integration – a Sup32-PISA can tag packets, so that a FWSM elsewhere in the network can detect them. For example, an edge PISA can do deep packet inspection of the data and determine that it is safe based on the application layer; the packet is then tagged so that when it arrives at the Datacentre the FWSM does not inspect it again.
Note that both features rely on new versions of supervisor code that are currently expected in an Autumn release.
Bardzo przydatnym featurem dostępnym w Catalystach 3560/3750, 4500, i 6500 jest TDR dostępny na portach miedzianych 10/100/1000. Oczywiście nie dotyczy to portów 10/100 i SFP. Mało jednak osób wie, że zwykłe Cat2960 również posiadają tą funkcjonalność. Dzięki TDR można sprawdzić, czy kabel miedziany wpięty do portu switcha nie jest uszkodzony. Łatwo wykonać zdalny troubleshooting bez odchodzenia od biurka.
sw#test cable-diagnostics tdr interface gi0/48
TDR test started on interface Gi0/48
A TDR test can take a few seconds to run on an interface
Use 'show cable-diagnostics tdr' to read the TDR results.a następnie
sw#show cable-diagnostics tdr interface gi0/48
TDR test last run on: March 01 02:09:30
Interface Speed Local pair Pair length Remote pair Pair status
--------- ----- ---------- ------------------ ----------- --------------------
Gi0/48 auto Pair A 0 +/- 2 meters Pair A Open
Pair B N/A Pair B Normal
Pair C N/A Pair C Normal
Pair D N/A Pair D Normal
Mam wrażenie, że w tym roku organizacyjnie było nieco słabiej niż w poprzednich edycjach. Dobrze, że chociaż polar jest w miarę trendy;) Co do sesji to było jak zwykle…czyli zależy kogo poszło się posłuchać. Z ciekawostek, dobrze zapowiada się Nexus 7000, zwłaszcza możliwość agregacji na nim ethernetu jak i SANa. Jeden kabel ethernetowy do sieci i storage’u? Brzmi jak bajka, ciekawie czy w rzeczywistości też będzie tak bajecznie.
LTM wspiera kilka algorytmów load balancingu, które możemy podzielić na dwie grupy:
- statyczne
- dynamiczne
Do tych pierwszych należą round-robin, oraz ratio (znane jako weighted round-robin w Ciscowym CSMie czy ACEie).
Do dynamicznych zaliczają się least connections, fastes response, observed (kombinacja dwóch poprzednich), predictive
oraz dynamic ratio. Niestety defaultowo nie ma do wyboru tzw. hash loadbalancingu, który jest niezbędny dla rozkładania
ruchu serwerów proxy. Hashing w LTMie można jednak zrobić, a wykorzystuje się do tego iRule. Artykuł będący dobrym
wstępem do napisania takiej iRule’i dostępny jest na DevCentral, polecam.
UPDATE: I jeszcze coś takiego.
