С Новым Годом

Последний день в 2008 году. Наверное время подвести итоги. Ну что ж, начнем...

Что было сделано хорошо:
- Найдена новая интересная работа
- Переезд в Минск.
- Закончилась служба в армии и распределение. Я теперь свободный человек.
- Получил, наконец, водительские права. Сдал с первого раза, кстати.

Что можно было сделать лучше:
- Избежать затянувшегося увольнения, которое отобрало много времени и сил.
- Начать нормальную подготовку к CCNP.
- Поднять выше свой профессиональный уровень.
- Съездить летом в Крым.

Вцелом, год для меня выдался хорошим и результативным, хоть и високосный. Успехов и удачи нам всем в новом году.

P.S. Поздравления от cisco здесь

Links

• Cisco Feature Navigator: http://www.cisco.com/go/fn
  
• Tools & Resources: http://www.cisco.com/en/US/support/tsd_most_requested_tools.html
• Solution Finder for Modular Routers: http://www.cisco.com/pcgi-bin/finder/msbsearch.pl

PIX глючит?

После просадки напряжения в одной из серверных "заглючил" пикс. Не спрашивайте, где был УПС. Он сломался и, как водится, на ремонте.
Во-первых, что самое странное, пикс не перезагрузился вместе со всем оборудованием, а продолжил работать. Аптайм уверенно показывал 18 дней. Во-вторых, по какой-то только ему ведомой причине он периодически дропал пакеты, резюмируя

Nov 03 2008 09:50:54: %PIX-3-305006: portmap translation creation failed for udp src adsl_inet:192.168.249.10/50149 dst internet:193.xxx.248.2/53

Описание проблемы и рекомендации на cisco.com

305006
Error Message %PIXASA-3-305006: {outbound
static identity portmap regular)
translation creation failed for protocol src
interface_name:source_address/source_port
dst
interface_name:dest_address/dest_port

Explanation A protocol (UDP, TCP,
or ICMP) failed to create a translation through the security appliance. This
message appears as a fix to caveat CSCdr00663 that requested that security
appliance not allow packets that are destined for network or broadcast
addresses. The security appliance provides this checking for addresses that are
explicitly identified with static command statements. With the change, for
inbound traffic, the security appliance denies translations for a destined IP
address identified as a network or broadcast address.

The security
appliance does not apply PAT to all ICMP message types; it only applies PAT ICMP
echo and echo-reply packets (types 8 and 0). Specifically, only ICMP echo or
echo-reply packets create a PAT xlate. So, when the other ICMP messages types
are dropped, system log message 305006 (on the security appliance) is generated.

The security appliance utilizes the global IP and mask from configured
static command statements to differ regular IP addresses from network or
broadcast IP addresses. If the global IP address is a valid network address with
a matching network mask, then the security appliance does not create a
translation for network or broadcast IP addresses with inbound packets.

For example:

static (inside,outside) 10.2.2.128 10.1.1.128
netmask 255.255.255.128


Global address 10.2.2.128 is responded to as
a network address and 10.2.2.255 is responded to as the broadcast address.
Without an existing translation, security appliance denies inbound packets
destined for 10.2.2.128 or 10.2.2.255, and logs this system log message.

When the suspected IP is a host IP, configure a separated static command
statement with a host mask in front of the subnet static (first match rule for
static command statements). The following static causes the security appliance
to respond to 10.2.2.128 as a host address:

static (inside,outside)
10.2.2.128 10.2.2.128 netmask 255.255.255.255
static (inside,outside)
10.2.2.128 10.2.2.128 netmask 255.255.255.128


The translation may be
created by traffic started with the inside host with the questioned IP address.
Because the security appliance views a network or broadcast IP address as a host
IP address with overlapped subnet static configuration, the network address
translation for both static command statements must be the same.

Recommended Action None.

Мне помого создание правила для NAT по новой.

no nat (adsl_inet) 5 192.168.249.0 255.255.255.0
no global (adsl_inet) 5 interface
global (adsl_inet) 5 interface
nat (adsl_inet) 5 192.168.249.0 255.255.255.0

После все заработало как надо и никаких сообщений в syslog не сыпалось. И как это понимать? Глюки оборудования? примечательно еще и то, что пикс выдержал серьезную просадку напряжения при переключении АВР и не перезагрузился. Циско, все-таки...

Сегодня

27 октября, ровно год назад я сдал CCNA.

В прошлом посте я жаловался что нет предложений, ничего не поменялось и т.д. Накаркал.

Наверное с месяц назад я получил предложение от одной крупной компании работать у них. А вот сегодня, наконец, решился вопрос с увольнением от текущего работодателя. Наверное символично, что именно сегодня опять начинаются какие-то изменения в жизни. С замиранием сердца жду 27 октября 2009-го.

Как все начиналось

Оказывается прошел уже год с момента сдачи первого теста на Retratech.

Уважаемый(ая) Гулида Александр, прошел 1 год с момента сдачи теста Администрирование сетей с оборудованием Cisco. Поскольку сертификаты действительны в течение двух лет, действие Вашего сертификата истекает в следующем году.

Будем рады видеть снова вас на сайте!

Нельзя сказать, что я добился каких-то значительных высот в плане сертификации, всего лишь CCNA в октябре прошлого года, но в профессиональном плане вырос значительно. Такая остановка в сертификации вызвана, вероятно, катастрофическим отсутствием свободного времени, слишком уж много всего наваливается в последнее время. Хотя, все это отговорки. Наверное мне просто лень, наверное я не получил ожидаемый результат от CCNA, и сейчас у меня просто отсутствует мотивация.

Но это все просто бумажки. Не они создают специалиста, а являются всего лишь приятным дополнением, иногда, правда, обязательным для трудоустройства. В конечном итоге о тебе будут судить не по дипломам и сертификатам, а по эффективности твоей работы.

Что касается меня, то в плане профессиональном, как я уже говорил, разница меня теперешнего со мной годичной давности достаточно большая. В принципе, я доволен. Есть еще куда расти, куда двигаться, и есть огромная куча планов на будущее.

А ведь прошел всего лишь год...

Cisco меняет систему сертификации

Вот такое вот письмо пришло сегодня утром:

New From Cisco Career Certifications: CCNA Concentrations and the Cisco Learning Network

Cisco is pleased to announce the release of three new associate-level certifications as well as a brand new social networking site geared towards IT Professionals. CCNA Security, CCNA Wireless, and CCNA Voice are relevant, role-based certifications designed with today’s IT professional in mind. The Cisco Learning Network is a powerful new social networking site for individuals seeking knowledge, training, and support as they enhance their careers through Cisco certifications. Cisco believes these new additions to its training program will play a major role in the global development of IT talent worldwide.

CCNA Concentrations

CCNA Security, CCNA Wireless, and CCNA Voice are relevant, role-based certifications designed with today’s IT professional in mind. Designed to build upon Cisco’s most popular career certification CCNA, these highly specialized; associate level concentrations offer individuals a career stepping stone in the converged technologies that make up today’s sophisticated network. In addition, IT professionals wishing to broaden or add specialized skills to their technology expertise while differentiating themselves in the marketplace will find these specializations a valuable addition.

• CCNA Voice validates skills in VoIP technologies such as IP PBX, IP telephony, handset, call control, and voicemail solutions. Candidates also get exposure to the Cisco Unified Communications architecture and design covering mobility, presence, and TelePresence applications.
  
  
• CCNA Security validates a candidate’s skills including troubleshooting and monitoring of Cisco network devices to maintain integrity, confidentiality and availability of data.
  
  
• CCNA Wireless validates candidate’s skills in the configuration, implementation and support of wireless LANs, specifically those networks using Cisco equipment.
  

Ну и так далее...
Теперь, чтобы сертифицироваться по направлениям Security и Voice (ну, CCWP пока еще нет, поэтому немного не понятно, зачем введен CCNA Wireless) придется сдавать еще и соответствующий CCNA. Т.к. секьюрити интересует меня в большей степени, чем войс, посмотрел содержание экзамена 640-553 IINS Implementing Cisco IOS Network Security (IINS).
Такое чувство, что в Cisco решили делать упор на использование SDM вместо CLI. Ну что ж, флаг им в руки. Лично я считаю, что использование SDM в роутерах приводит к тому, что человек просто не понимает, что именно он делает, самого механизма работы. Такой подход, возможно, приведет к появлению целого ряда "сисиэнэев", не понимающих ничего. Что-то вроде виндовых админов, умеющих только Next-Next-Finish. Видимо в Cisco думают иначе.
В общем впечатления пока в целом отрицательные. Как справедливо заметили на cna.ru

Triple CCNA. Вот она, сила...

Troubleshooting

На работе появилась проблема. Пользователи не могли открыть определенный сайт. Никаких тайм аутов, ничего вообще, просто ожидание ответа и все. Из других мест ресурс нормально открывался, из корпоративной сети - никак. Чуть позже выяснилось, что не открываются все сайты адресного пространства хостера (91.149.xxx.0/24). На сетевом уровне все в порядке, маршруты есть, пинг есть. Картина была примерно такая:

1) root@sungate root# telnet mail.example.by 80
Trying 91.149.xxx.49...
Connected to mail.example.by (91.149.xxx.49).
Escape character is '^]'.
HEAD / HTTP/1.0

HTTP/1.1 200 OK
Date: Wed, 02 Apr 2008 07:16:44 GMT
Server: Apache/2.0.53 (Debian GNU/Linux) PHP/4.4.0-2 mod_ssl/2.0.53
OpenSSL/0.9.7e
Accept-Ranges: bytes
Content-Length: 3247
Connection: close
Content-Type: text/html

Connection closed by foreign host.



2) root@sungate root# telnet mail.example.by 80
Trying 91.149.xxx.49...
Connected to mail.example.by (91.149.xxx.49).
Escape character is '^]'.
GET / HTTP/1.0

//висит, ничего не возвращает !


3) root@sungate root# telnet mail.example.by 80
Trying 91.149.xxx.49...
Connected to mail.example.by (91.149.xxx.49).
Escape character is '^]'.
GET / HTTP/1.1
host: mail.example.by

//висит, ничего не возвращает !

Общение с администраторами хостинга ничего дельного к сожалению не дало.
Конфиг PIX'a ничего не запрещал. Даже permit ip any any ничего не дало.

Однако в логах было отловлено такое вот сообщение

Apr 03 2008 10:00:34: %PIX-4-419001: Dropping TCP packet from internet:91.149.xxx.49/80 to inside:194.158.xxx.7/2565, reason: MSS exceeded, MSS 1380, data 1395

Дальше дело техники. Решение бысто нашлось на cisco.com и с небольшими изменениями было притворено в жизнь.

pixfirewall(config)#access-list http_mss_allow
extended permit tcp any 91.149.xxx.0 255.255.255.0
pixfirewall(config)#
pixfirewall#configure terminal
pixfirewall(config)#
pixfirewall(config)#class-map http_mss_allow_map
pixfirewall(config-cmap)#match access-list
http_mss_allow
pixfirewall(config-cmap)#exit
pixfirewall(config)#tcp-map mss-map
pixfirewall(config-tcp-map)#exceed-mss allow
pixfirewall(config-tcp-map)#exit
pixfirewall(config)#policy-map internet-policy
pixfirewall(config-pmap)#class http_mss_allow_map
pixfirewall(config-pmap-c)#set connection advanced-
options mss-map
pixfirewall(config-pmap-c)#exit
pixfirewall(config-pmap)#exit
pixfirewall(config)#service-policy http_mss_allow_map
interface internet
pixfirewall#

Cisco ASR 1000 Series Aggregation Services Routers

Cisco представила новую модель маршрутизаторов ASR1000, основанную на Quantum Flow Processors.
Серия предназначена для провайдеров и организаций для построения высокоскоростный и высоконадежных WAN-сетей. Линейка состоит из трех моделей

• Cisco ASR 1002 Router
• Cisco ASR 1004 Router
• Cisco ASR 1006 Router

Все три используют инновационные и мощные процессоры Quantum Flow Processor.
Cisco ASR 1000 поддерживаются новой операционной системой Cisco IOS XE Software, базирующейся на Cisco IOS Software Release 12.2SR.
Более подробно здесь.

One More

Как оказалось книги здесь есть поновее и поинтересней. Плюс к этому Pass 4 Sure по трекам CCNA, CCNP, сертификаций Microsoft, Oracle и др.

Resource

Попался на глаза неплохой ресурс.
http://www.netap.net/

Большая подборка книг Cisco Press, хоть и старая, документации, Product Reference, а также Cisco IOS.

Cisco PIX Security Appliances End-of-Sale Announcement

Cisco объявила об окончании продаж семейства Cisco PIX. Пользователям предлагается переход на Cisco ASA 5500 Series Adaptive Security Appliances.
End of Sale Announcement.

The Beginning

Блог создается как дневник подготовки к CCNP с целью систематизировать и упорядочить информацию.
В настоящее время готовлюсь к BSCI. Ориентировочное время сдачи экзамена - март 2008. Используемые материалы для подготовки:

• Building Scalable Cisco Internetworks (BSCI) (Authorized Self-Study Guide), Third Ed.
• CCNP BSCI Official Exam Certification Guide. 4-th Edition. Brent D. Steward, Clare Gough.
• BSCI Student Guide.
  
• CCNP BSCI Portable Command Guide. Scott Empson. ciscopress.com.
• CCNP BSCI Quick Reference Sheets. Exam 642-901. Bren Stewart, Denise Donhoue.
  
• Dynamips 0.8.0-RC1.
• Boson 7.02 CCNP.

Плюс к этому работа сетевым инженером с широким спектром оборудования.