ESXi Home Server AIO: Часть 3. Virtual NAS.

   В моем случае NAS является виртуальной машиной, запускаемой с локального SSD хоста, в которую прокинут контроллер с дисками. В качестве системы был выбран Nas4Free в Embedded исполнении. 

ESXi Home Server AIO: Часть 2. Установка гипервизора.

   При установке ESXi на железо не из списка официально поддерживаемого часто сталкиваешься с отсутствием поддержки разных набортных контроллеров. В моем случае им стал контроллер сетевой платы Intel 82579LM. Проблема распространенная и сообществом давно решенная: драйвер для ESXi существует, и даже не один.

ESXi Home Server AIO: Часть 1. Муки выбора.

   Вздумалось заиметь дома лабу ESXi для обучения и развлечения. Вздумалось уже очень давно, постепенно к этому шел, набралось достаточно много оборудования, которое временно работало под управлением Windows Server 2008 R2. Работало стабильно, но час пробил. Месяц назад был проведен переезд всего хозяйства под ESXi 5.1. Сейчас начинаю понимать, что многие преодоленные проблемы забываются, потому постараюсь все вспомнить и задокументировать на случай восстановления.

SSLVPN-клиент на телефонах Cisco

Задача: пробросить SCCP-телефон Cisco поверх общественной сети на удаленный ротуер с CUCME через зашифрованный SSL-туннель.
На данный момент заявлена поддержка SSLVPN клиента у телефонов: 7942/7962/7945/7965/7975/8961/9951/9971 с версией прошивки не ниже 9.0(2)SR1S.
Версия CUCME: не ниже 8.6 (сверямся с документом).

SSL VPN на IOS (Clientless + FullTunnel)

Задача: организовать безопасный доступ к ограниченному количеству ресурсов корпоративной сети извне без установки дополнительного клиента. Для полного доступа к ресурсам - предоставить возможность создания туннеля клентом, дистрибуцию которого организовать через то же бесклиентское подключение.
Схемка:

Бридж на туннельный интерфейс

Создадим интерфейс, с которого начинается туннель:

interface Loopback1
 ip address 192.168.150.1 255.255.255.255

Включим бриджевание:

bridge irb
bridge 1 protocol ieee

Создадим туннель и прицепим его к бридж-группе (будет ругаться, что команды "bridge-group ..." не поддерживаются на данном типе интерфейса - не обращаем внимание):

interface Tunnel1
 no ip address
 tunnel source Loopback1
 tunnel destination 192.168.150.2
 bridge-group 1
 bridge-group 1 spanning-disabled

Интерфейс, пакеты с которого будем запихивать в туннель:

interface FastEthernet0/0.1
 encapsulation dot1Q 10
 bridge-group 1

Не забываем про маршрутизацию до другого конца туннеля (192.168.150.2) любым из возможных способов (статика в данном случае):

interface FastEthernet0/1
 ip address 192.168.102.1 255.255.255.252
ip route 192.168.150.2 255.255.255.255 192.168.102.2

На другом конце зеркалируем конфигурацию.

Получаем проброс влана 10, приходящего в транке на интерфейс Fa0/0, через GRE-туннель.
Проверялось на 2651XM и 2691 с adventerprise каких-то мохнатых версий.
Основные траблы, что могут возникнуть: дропы пакетов с DF=1 и повышение нагрузки при фрагментации и обратной сборке больших пакетов.
Другой способ сделать почти то же самое - PPTP.

IPSec Madness (незакончено)

Попытаюсь уложить сюда проверенные примеры разных реализаций ipsec.
Списочек вот такой (буду допонять):
1. старый добрый ipsec через статические и динамические криптомапы;
2. GREoIPSec через криптомапы и tunnel protect;
3. статические и динамические VTI;
4. три фазы DMVPN;
5. ...