Basic ASA 5505 Configuration

http://ciscorouterswitch.over-blog.com/article-basic-asa-5505-configuration-124245801.html

Unable to negotiate with x.x.x.x.123 port 22: no matching key exchange method found. Their offer: diffie-hellman-group1-sha1

При подключении к некоторым железкам типа Cisco ASA5508 может быть ошибка при подключении
Unable to negotiate with x.x.x.x.123 port 22: no matching key exchange method found. Their offer: diffie-hellman-group1-sha1

Фикс: указать опцию -oKexAlgorithms=+diffie-hellman-group1-sha1
например так
ssh -oKexAlgorithms=+diffie-hellman-group1-sha1 x.x.x.x

Можно в ~/.ssh/config добавить
Host x.x.x.x
    KexAlgorithms +diffie-hellman-group1-sha1

Cisco Express Forwarding (CEF)

Cisco Express Forwarding (CEF) — технология высокоскоростной маршрутизации/коммутации пакетов, использующаяся в маршрутизаторах и коммутаторах третьего уровня фирмы Cisco Systems, и позволяющая добиться более быстрой и эффективной обработки транзитного трафика.
Функционал, который поддерживает CEF:

• QoS
• ACL
• Zone Based Firewall
• NAT
• Netflow
• IPSec
• GRE
• PBR

CEF не работает в следующих случаях:

• Включен ACL Logging (в конце ACL добавлено слово log, например deny ip any any log)
• Пакеты предназначены для самого маршрутизатора/коммутатора.
• Нет L2 Adjacency. 

http://xgu.ru/wiki/Cisco_Express_Forwarding

и немного тут
http://www.opennet.ru/base/cisco/cisco_mem.txt.html

HP ProCurve и cisco + multicast

У многих управляемых свичей есть весьма неприятный баг: по умолчанию не работает multicast, ибо выключено, поэтому могут не работать всякие proxmox (corosync для работы требует мультикаст). Например, HP 2510-24
ftp://ftp.hp.com/pub/networking/software/2510-AdvTrafficMgmt-Aug2006-59914762.pdf
Проверяем
show ip igmp
show ip igmp config
и видим везде off. Включается на каждый влан отдельно.
vlan 1 ip igmp

cisco:
https://github.com/corosync/corosync/wiki/Corosync-and-Cisco-switches

switch# config t
switch(config)# ip multicast-routing
switch(config)# int vlan1
switch(config-if)# ip pim sparse-dense-mode
switch(config-if)# ^Z
switch# wr

вариант 2
# conf t
# no ip igmp snooping
http://pve.proxmox.com/wiki/Multicast_notes

FreeBSD: проблемы с локальными доменами

Иногда бывает так, что распознавание днс не работает для некоторых зон. И что самое странное, выглядеть это может так:

# host server1.local
server1.local has address 192.168.20.20
# ping -c 1 server1.local
ping: cannot resolve server1.local: No address associated with name

cisco: очистка dns cache

Самый простой вариант:
# clear host *
вместо * можно указать конкретные имена.

Вариант извращеннее:
# conf t
(config)# no ip domain-lookup
(config)# exit
# conf t
(config)# ip domain-lookup
(config)# exit

Сети для самых маленьких

Была найдена серия статей про настройку цисок, но многое применимо и к другим вендорам. Полезно почитать тем, кто интересуется сетями.

Сети для самых маленьких. Микровыпуск №1. Переход на GNS3

6. Сети для самых маленьких. Часть шестая. Динамическая маршрутизация
5. Сети для самых маленьких: Часть пятая. NAT и ACL
4. Сети для самых маленьких: Часть четвёртая. STP
3. Сети для самых маленьких: Часть третья. Статическая маршрутизация
2. Сети для самых маленьких. Часть вторая. Коммутация
1. Сети для самых маленьких. Часть первая. Подключение к оборудованию cisco
0. Сети для самых маленьких. Часть нулевая. Планирование

vlan-ы на cisco и аналогах

В частности, у EdgeCore и Huawei подобный синтаксис

interface FastEthernet0/11 
 switchport trunk encapsulation dot1q
 switchport trunk allowed vlan 34
  switchport mode trunk

switch#(enable) clear trunk 3/28  1-33,37-333,335,337-1005
switch#(enable) set trunk 3/28 on dot1q 34-36,334,336

The first command disallows some VLANs, the second one allows specific VLANs.

The command
show trunk
can be used to control the trunk state.

http://people.freebsd.org/~arved/vlan/vlan_en.html

Cisco на 802.11n

http://www.cisco.com/en/US/netsol/ns767/index.html#~products

Самые дешевые точки от 15к (GPL?)

Более интересное описание (правда, про драфт)
http://old.cio-world.ru/products/infrastructure/431908/

Об ублюдочности cisco NAT

Задача: есть мобильные пользователи, которые ходят со своими ноутами и могут работать с сетевыми сервисами как из дома, так и из офиса. Для этого адрес должен быть внешний, вида office.site.ru
Причём вариант service.office.site.ru рассматривается лишь как крайний случай.
Я могу решить эту задачу на freebsd, не так давно было на базе kerio, это легко сделать за 15 минут гугления на iptables...
Но я уже месяц не могу это сделать на циске. Нет, может качество железа у них на уровне, и их гибкостью многие восторгаются... Но эта гибкость появляется несколько в других областях. А по данной проблеме спросил 5 опытных цисководов - все долго гуглили, в итоге разводили руками и советовали делать через service.office.site.ru и локальный днс (серверов много - "по сервису на сервер", а благодаря виртуализации железа при этом много не надо).
В данном случае через днс получается как раз "через жопу": основной домен лежит снаружи и по многим причинам внутри не будет, создать view никто там не даст. Но в инете "спецы" описывают данное решение как единственный "правильный" путь, потому что никак не могут признать отстойность ната в цисках и отсутствия банальных snat и dnat штатно, большая сложность создания нескольких нат-правил...
пример на opennet

Как вариант, заказал второй айпи, прописал его как secondary... Из мира всё работает по обоим айпи, а вот из локалки - нет (через один внешний айпи на другой).

Есть подозрение, что задача не через днс решается только с железом на десяток-другой килобаксов.

Также можно почитать про NAT Order of Operation
http://www.cisco.com/en/US/tech/tk648/tk361/technologies_tech_note09186a0080133ddd.shtml
https://learningnetwork.cisco.com/docs/DOC-8009
https://learningnetwork.cisco.com/thread/30633

GNS3

Виртуализация Juniper JunOS в среде GNS3
http://habrahabr.ru/blogs/network_technologies/111172/

Установка Juniper JunOS 10 M/T series
http://habrahabr.ru/blogs/network_technologies/111974/

Вообще про GNS3
http://habrahabr.ru/tag/GNS3/

Линки по cisco

http://www.hilik.org.ua/category/cisco/