11897
Обучающий канал по сетевому и системному администрированию. Сотрудничество: @dad_admin Биржа: https://telega.in/c/networkadm РКН: https://bit.ly/3C9TB1e
Настройка SPAN и RSPAN
Мониторинг сетевого трафика с помощью SPAN
Ищете способ анализировать сетевой трафик или подключить систему записи звонков? SPAN — идеальное решение для мониторинга.
switch# configure terminal
switch(config)# monitor session 1 source interface fa0/1
switch(config)# monitor session 1 destination interface fa0/5
switch_source# config term
switch_source(config)# vlan 100
switch_source(config-vlan)# remote span
switch_source(config-vlan)# exit
switch_source(config)# monitor session 10 source interface fa0/1
switch_source(config)# monitor session 10 destination remote vlan 100
switch_remote# config term
switch_remote(config)# vlan 100
switch_remote(config-vlan)# remote span
switch_remote(config-vlan)# exit
switch_remote(config)# monitor session 11 source remote vlan 100
switch_remote(config)# monitor session 11 destination interface fa0/5
Base Virtualization — запустили бесплатный курс для тех, кто хочет погрузиться в облачные технологии
Уже используете облака, только планируете переезд или просто хотите разобраться в терминологии? Что такое IaaS, SaaS, PaaS? В чем разница между частным, публичным и гибридным облаками? Что такое миграция и как организовать бесшовный переезд в облако? Об этом и о многом другом рассказали в нашем новом курсе.
Что вас ждет:
— 10 уроков о виртуализации и облачной инфраструктуре.
— Доступ к материалам курса без ограничений.
— Поддержка и общение с экспертами в Telegram-сообществе.
Зарегистрируйтесь на курс по ссылке и начните погружение в виртуализацию прямо сейчас.
#реклама
О рекламодателе
5 команд для работы с сетями
Работа с сетями требует использования продвинутых инструментов для диагностики, мониторинга и управления.
Рассмотрим пять сложных команд, которые помогут в решении сложных задач и обеспечат контроль над инфраструктурой.
1️⃣tcpdump – захват и анализ сетевого трафика
tcpdump — мощная команда для анализа пакетов в реальном времени. Она позволяет собирать данные о трафике на сетевом интерфейсе и анализировать их с учетом фильтров.
Пример использования:
tcpdump -i eth0 'port 443 and src 192.168.1.10'
ss -tulnp
iperf -s
iperf -c 192.168.1.100 -t 30 -i 5
traceroute -I google.com
nmap -sS -p 1-1000 -T4 192.168.1.0/24
Ethernet OAM: Инструменты управления сетью
Что такое Ethernet OAM?
Ethernet Operations, Administration, and Maintenance (OAM) — это набор механизмов, позволяющих отслеживать состояние сети, управлять соединениями и устранять неисправности. Ethernet OAM используется провайдерами и корпоративными сетями для обеспечения стабильности и высокого качества связи.
Типы OAM в Ethernet-сетях
1️⃣Link OAM (IEEE 802.3ah):
• Отслеживает состояние физического канала связи между двумя устройствами.
• Помогает обнаруживать разрывы, деградацию линка и другие аппаратные проблемы.
2️⃣ Service OAM (IEEE 802.1ag, ITU-T Y.1731):
• Управляет соединениями на уровне сервисов.
• Обеспечивает мониторинг целостности, производительности и диагностику проблем на уровне сети.
Функции Ethernet OAM
⏺Loopback: Удаленный узел отправляет ответ на тестовые пакеты, позволяя проверить доступность соединения.
⏺Continuity Check Messages (CCM): Периодические пакеты, проверяющие целостность связи между двумя точками.
⏺Performance Monitoring: Измеряет параметры качества сервиса (например, задержку, потерю пакетов, вариацию задержки).
⏺Fault Management: Выявляет и сигнализирует об ошибках в сети.
⏺Link Monitoring: Проверяет физическое состояние соединений (например, уровень сигнала или ошибки в кадрах).
Использование Service OAM
Допустим, клиент провайдера жалуется на низкую скорость соединения. С помощью OAM:
• Провайдер запускает тесты CCM, чтобы проверить доступность сети.
• Использует Delay Measurement для проверки задержки между узлами.
• Анализирует отчеты о потерях пакетов для выявления проблемных участков.
Результат: быстрое устранение проблемы с минимальным воздействием на других пользователей.
N.A. ℹ️ Help
Практическое использование прокси-серверов в безопасности. Часть 2
Фильтрация вредоносного трафика
Пример: Блокировка доступа к нежелательным сайтам.
Добавьте в конфигурацию файл с запрещёнными доменами:
acl blocked_sites dstdomain "/etc/squid/blocked_sites.txt"
http_access deny blocked_sites
facebook.com
youtube.com
sudo systemctl restart squid
sudo apt install postfix
message_size_limit = 10485760 # Ограничение размера сообщений
content_filter = smtp-amavis:[127.0.0.1]:10024 # Включение фильтрации
sudo systemctl restart postfix
tail -f /var/log/squid/access.log
grep "example.com" /var/log/squid/access.log
Практическое использование прокси-серверов в безопасности
Для использования прокси-сервера в вашей сети необходимо:
⏺Определить задачи: Зачем вам нужен прокси (маскирование IP, фильтрация трафика, защита почты и т.д.)?
⏺Выбрать тип прокси-сервера:
⏺HTTP Proxy: Подходит для фильтрации интернет-трафика.
⏺SMTP Proxy: Если ваша задача — защищать почтовую систему.
⏺FTP Proxy: Для защиты передачи данных через FTP.
⏺Выбрать программное обеспечение: Например, Squid, FireBox, или платные сервисы вроде NordVPN или ExpressVPN.
Настройка на примере Squid Proxy
Squid — популярный и бесплатный инструмент для настройки прокси-серверов.
Установка Squid (Linux):
1. Откройте терминал и выполните:
sudo apt update
sudo apt install squid
sudo nano /etc/squid/squid.conf
http_port 3128 # Порт, на котором будет работать прокси
acl localnet src 192.168.1.0/24 # Разрешение доступа для локальной сети
http_access allow localnet
http_access deny all # Запрет остального трафика
cache_dir ufs /var/spool/squid 100 16 256 # Настройка кэширования
sudo systemctl restart squid
Роль прокси-серверов в ИБ
Что такое Proxy-сервер?
Proxy-сервер — это программное обеспечение, которое выступает посредником между пользователем и интернетом.
Он позволяет отправлять запросы от имени другого компьютера, маскируя реальный IP-адрес пользователя.
Как это работает?
Пример: вы находитесь за границей и хотите посмотреть прямую трансляцию, доступную только в вашей стране.
С помощью прокси-сервера вы можете сымитировать родной IP-адрес, получив доступ к ограниченному контенту.
SWG часто сравнивают с межсетевыми экранами следующего поколения (NGFW).
⚡️Вы знали, что в Москве бесплатно можно ходить на крутые IT-мероприятия от Сбера, Яндекса, МТС и тд?
Мы рекомендуем обратить внимание на канал, который собирает анонсы вебинаров, хакатонов, конференций, мастер-классов и мероприятий от ведущих компаний и экспертов в области программирования, дизайна, аналитики и других IT-направлений.
Сохраняйте t.me/events_it_msk и оставайтесь в курсе ближайших событий!
SSH/SFTP/RDP/VNC-клиент МС22 — решение для удалённого управления и конфигурирования сетевого оборудования, сделанное с заботой об админах.
Отечественная замена популярных зарубежных программ (PuTTY, Xshell, KiTTY, SecureCRT, SmarTTY, MobaXterm и др.) и встроенных терминалов ОС.
Есть возможность работы в нескольких вкладках, подсветка синтаксиса, быстрые клавиши и готовые шаблоны, различные инструменты автоматизации и приятные мелочи (типа соблюдение стандарта FHS установочным пакетом).
Посмотреть и бесплатно потестировать можно тут - https://МС22.рф
В процессе обеспечим оперативную поддержку и гарантированно прислушаемся к обратной связи!
#реклама
О рекламодателе
Освойте Gitlab CI/CD: с нуля до про🔥
Gitlab CI/CD — DevOps-практика, помогающая разработчикам решать рутинные задачи быстро и эффективно:
➡️автоматизировать процессы интеграции и поставки
➡️регулярно выпускать ПО высокого качества
➡️автоматически устанавливать изменения кода на сервера компании и выполнять дополнительные тесты
➡️ускорить цикл работы с минимальными рисками и другие.
⭐️Вы не только облегчите свою работу, но и сможете ощутимо повысить уровень дохода.
🔥Даем 3️⃣ дня бесплатного демодоступа видеокурса «Gitlab CI/CD» на ознакомление с материалами и спикерами курса.
Начните в любое время и обучайтесь в комфортном темпе: курс доступен 2 года с момента покупки.
👉Смотреть программу курса и получить бесплатный доступ 👈
#реклама
О рекламодателе
Команда dig: диагностика и анализ DNS-запросов
Команда dig (Domain Information Groper) используется для отправки запросов к системам доменных имен (DNS) и получения информации о DNS-записях.
Она широко применяется для диагностики DNS-проблем, анализа конфигураций и мониторинга сети.
dig google.com
dig -x 8.8.8.8
dig example.com MX
dig @8.8.8.8 example.com A
dig google.com +short
dig example.com +stats
Почему /31 префикс — новая эра в настройке сетей?
⏰Вечером 3 декабря на открытом вебинаре разберемся, почему и как появился /31 префикс и сравним его с классическим /30 : 👉 https://tglink.io/4b654bf74745 👈
💬Что обсудим на занятии:
• Почему появилась возможность использования сетей с маской /31.
• Как настраивается линк с такой адресацией и какие особенности нужно учитывать.
• Чем /31 префикс отличается от классического подхода с /30
Дальнейшее освоение тонкостей профессии сетевого инженера вас ждёт на онлайн-курсе «Специализация Network Engineer».
👉Проводит вебинар преподаватель курса в Отус, сертифицированный инструктор Сетевой академии CISCO по направлениям SECURITY и R&SW. Эксперт WorldSkills и Abilympics по компетенции «Сетевое и системное администрирование».
Регистрируйтесь на урок 3.12 в 20:00 (мск) и получите спец.цену на курс: 👉 https://tglink.io/4b654bf74745?erid=LjN8KNVLu 👈
#реклама
О рекламодателе
Бесплатно перенесите ваши проекты в Selectel 🚀
Получите до 1 000 000 бонусов на два месяца при переезде на мощности Selectel с инфраструктуры других провайдеров или собственной инфраструктуры on-premise.
Для участия в акции достаточно зарегистрироваться в панели управления и создать тикет.
Selectel поддержит на всех этапах переезда:
🔹 организует встречу с архитектором, который ответит на вопросы;
🔹 проведет миграцию силами опытных DevOps-инженеров Selectel.
Акция действует до 31 декабря 2024 года.
Подробнее — на сайте →
Тонкое искусство разбиения сети на подсети
Компьютерные сети — неотъемлемая часть современной жизни.
Они есть в каждом доме, офисе и особенно в крупных организациях.
EIGRP: Идентификатор роутера и требования к соседству
Enhanced Interior Gateway Routing Protocol (EIGRP) — протокол динамической маршрутизации, предлагающий высокую скорость конвергенции и гибкость. В этом посте рассмотрим две важные темы:
1️⃣Идентификатор роутера (Router ID) EIGRP
2️⃣ Требования к соседству в EIGRP
Идентификатор роутера (EIGRP Router ID)
Router ID (RID) — это 32-битный идентификатор роутера, записанный в формате IPv4-адреса. Хотя RID не играет ключевой роли в EIGRP, уникальность идентификатора требуется для внешних маршрутов (redistribution).
Определение RID в EIGRP выполняется следующим образом:
1. Ручная настройка: Используется заданное значение RID.
2. Loopback интерфейсы: Если RID не настроен, выбирается самый высокий IPv4-адрес на loopback-интерфейсе в состоянии up/up.
3. Non-loopback интерфейсы: Если loopback-интерфейсов нет, используется самый высокий IPv4-адрес на обычном интерфейсе.
Настройка RID вручную:
Router(config)# router eigrp 1
Router(config-router)# eigrp router-id 1.1.1.1
10.1.1.1/2410.1.1.2/24RouterA(config)# router eigrp 1
RouterA(config-router)# network 10.1.1.0 0.0.0.255
RouterA(config-router)# no passive-interface g0/0
RouterB(config)# router eigrp 1
RouterB(config-router)# network 10.1.1.0 0.0.0.255
RouterB(config-router)# no passive-interface g0/0
RARP: настройка и проверка работы
Хотя протокол RARP сегодня устарел и редко используется, в учебных целях или при работе с устаревшими устройствами его можно настроить для работы.
Вот пошаговое руководство для использования RARP на практике.
1️⃣Настройка RARP-сервера
Для работы RARP необходимо настроить сервер, который будет отвечать на запросы устройств. Сервер хранит таблицу соответствий MAC-адресов и IP-адресов.
Шаги для настройки RARP-сервера:
Убедитесь, что на вашей машине установлен rarpd (демон RARP).
• Для Linux можно установить его через пакетный менеджер, например:
sudo apt-get install rarpd
00:1A:2B:3C:4D:5E 192.168.1.10
00:1A:2B:3C:4D:5F 192.168.1.11
sudo rarpd -a
ip link show
rarp -i eth0
sudo tcpdump -i eth0 arp or rarp
20:45:01.123456 ARP, Request who-has 192.168.1.10 tell 00:1A:2B:3C:4D:5E, length 42
20:45:01.123789 ARP, Reply 192.168.1.10 is-at 00:1A:2B:3C:4D:5E, length 42
ps aux | grep rarpd
Протокол RARP (Reverse Address Resolution Protocol)
RARP (Reverse Address Resolution Protocol) — это сетевой протокол, предназначенный для нахождения IP-адреса устройства, если известен только его MAC-адрес.
Он работает как обратная версия ARP (Address Resolution Protocol), которая используется для поиска MAC-адреса по IP-адресу.
Сервер RARP, который хранит таблицу соответствий MAC-адресов и IP-адресов, отвечает на запрос, отправляя соответствующий IP-адрес обратно устройству.
RARP не поддерживает динамическую настройку параметров и не так гибок, как DHCP, что сделало его устаревшим в большинстве современных сетей.
🚀 Приглашаем на бесплатный урок "Повторители, мосты, хабы, медиаконвертеры и коммутаторы. Кто из них выжил и почему? И принципы их работы" 18 декабря в 20:00 (мск). https://otus.pw/viN2/
📌 Этот вебинар — часть курса "Специализация Network Engineer". Хотим предоставить вам возможность разобрать важные аспекты работы с сетями от эксперта ТАС вендора!
🤔 Что вас ждет:
- Разбор принципов работы таких устройств: повторители, мосты, хабы, медиаконвертеры и коммутаторы.
- Как эти устройства использовались в прошлом и какие из них актуальны для современных сетей.
- Сравнение разных типов устройств и их применения в реальных сетевых проектах.
👨🏫 Урок проведет Николай Колесов, сертифицированный CISCO специалист с богатым опытом работы (>18 лет) с сетевыми решениями. Работает с ведущими проектами и компаниями и обучает специалистов в области сетевых технологий.
⏰ Регистрация ограничена! https://otus.pw/viN2/?erid=LjN8KAMLy
#реклама
О рекламодателе
🔍 Google — В С Ё ?
В 2024 году невозможно найти что-то полезное, просто загуглив: выдача поиска забита мусором из ChatGPT, а все годные материалы не попадают в топы поиска.
Хорошо, что есть База Знаний — сеть каналов, в которой команда опытных айтишников постит лучшее из мира IT. Для вашего удобства всё отсортировано по категориям:
👩💻 Все языки: /channel/main_it_baza
🖥 Python: /channel/python_baza
👩💻 Frontend: /channel/frontend_baza
👩💻 Backend: /channel/backend_baza
🎨 Дизайн: /channel/design_baza
📊 Архив: /channel/knowledge_baza
🕔 Ссылки будут активны ещё 48 часов, успейте сохранить себе, чтобы не потерять
✅️ GitHub теперь в Telegram!
Подписывайтесь: @GitHub
Девушка: как я тебя узнаю?
Я: поверь, я буду такой один, ты меня сразу узнаешь
SOAP — протокол “мыльной оперы”
SOAP (Simple Object Access Protocol) — это протокол обмена сообщениями в вычислительных средах, созданный в 1998 году группой разработчиков во главе с Дейвом Винером.
Консорциум W3C поддерживает и развивает этот стандарт, финальная версия которого — SOAP 1.2.
Настройка OSPF с использованием Stub и NSSA областей
OSPF предоставляет возможность оптимизировать маршруты в сети, используя различные типы областей, такие как Stub и NSSA (Not So Stubby Area).
Эти области помогают снизить нагрузку на маршрутизаторы и упрощают управление топологией.
router ospf 1
network 192.168.0.0 0.0.0.255 area 0
router ospf 1
network 192.168.1.0 0.0.0.255 area 1
area 1 stub
router ospf 1
network 192.168.2.0 0.0.0.255 area 2
area 2 nssa
router ospf 1
redistribute connected subnets
OSPF: Типы LSA и области (Areas)
Протокол OSPF (Open Shortest Path First) использует систему LSA (Link-State Advertisement) для распространения информации о маршрутах.
Понимание типов LSA и областей OSPF позволяет оптимизировать работу сети, снизить нагрузку на маршрутизаторы и минимизировать объем передаваемой информации.
Типы LSA в OSPF
⏺Type 1 (Router LSA):
Содержит информацию о маршрутизаторах и их связях в области. Распространяется только внутри одной области.
⏺Type 2 (Network LSA):
Используется для описания сетей с общим доступом (например, Ethernet). Создается DR (Designated Router).
⏺Type 3 (Summary LSA):
Передает информацию о префиксах между областями. Создается ABR (Area Border Router).
⏺Type 4 (ASBR Summary LSA):
Сообщает о местоположении ASBR (Autonomous System Boundary Router) для внешних маршрутов.
⏺Type 5 (External LSA):
Используется для распространения маршрутов, полученных извне домена OSPF (например, из BGP).
⏺Type 7 (NSSA External LSA):
Специальный тип, используемый в NSSA (Not So Stubby Area). Преобразуется в Type 5, когда выходит за пределы области NSSA.
Типы областей в OSPF
1️⃣Backbone Area (область 0):
Центральная магистральная область. Все остальные области должны быть напрямую или косвенно подключены к ней.
2️⃣ Normal Area (стандартная область):
Поддерживает все типы LSA (1-5).
3️⃣ Stub Area (заглушка):
• Не принимает LSA Type 5 (внешние маршруты).
• Блокирует LSA Type 4.
• Использует маршрут по умолчанию (LSA Type 3, 0.0.0.0/0) для доступа к внешним префиксам.
4️⃣ Totally Stubby Area (полностью заглушка):
• Блокирует LSA Type 3 (межобластные маршруты), кроме маршрута по умолчанию.
• Также блокирует Type 4 и Type 5.
5️⃣ NSSA (Not So Stubby Area):
• Позволяет распространять внешние маршруты через LSA Type 7.
• Блокирует Type 4 и Type 5.
6️⃣ Totally NSSA: Аналогично NSSA, но дополнительно блокирует LSA Type 3, кроме маршрута по умолчанию.
Пример: Stub Area и Totally Stubby Area
Stub Area:
router ospf 1
network 192.168.1.0 0.0.0.255 area 1
area 1 stub
router ospf 1
network 192.168.1.0 0.0.0.255 area 1
area 1 stub no-summary
router ospf 1
area 1 virtual-link 3.3.3.3
Установка K-значений в EIGRP
В протоколе EIGRP (Enhanced Interior Gateway Routing Protocol) ключевую роль играет метрика, используемая для выбора наилучшего маршрута.
МЕТРИКА = ([K1 * Bandwidth] + [K2 * Bandwidth / (256 - Load)] + [K3 * Delay]) * [K5 / (Reliability + K4)]
metric weights TOS K1 K2 K3 K4 K5metric weights 0 1 1 1 0 0
OFF1#conf term
OFF1(config)#router eigrp 1
OFF1(config-router)#metric weights 0 1 1 1 0 0
OFF1(config-router)#end
Работаем с BGP. Часть 2
Фильтрация маршрутов
1️⃣Фильтрация с использованием prefix-list
Ограничивает анонсируемые или принимаемые маршруты по префиксам.
Пример:
ip prefix-list ALLOWED_ROUTES seq 5 permit 10.0.0.0/24
ip prefix-list ALLOWED_ROUTES seq 10 deny 0.0.0.0/0 le 32
router bgp 65001
neighbor 192.168.1.1 prefix-list ALLOWED_ROUTES out
route-map BLOCK_COMMUNITY deny 10
match community 100:100
route-map BLOCK_COMMUNITY permit 20
router bgp 65001
neighbor 192.168.1.1 route-map BLOCK_COMMUNITY in
router bgp 65001
maximum-paths 4
neighbor 192.168.1.1 ebgp-multihop 2
neighbor 192.168.2.1 ebgp-multihop 2
router bgp 65001
bgp graceful-restart
router bgp 65001
neighbor 192.168.1.1 ttl-security hops 2
64512-65535).router bgp 65001
neighbor 192.168.1.1 remove-private-as
Работаем с BGP. Часть 1
BGP (Border Gateway Protocol) — это основа глобального интернета и сложных корпоративных сетей.
route-map PREFER_ISP1 permit 10
set local-preference 200
router bgp 65001
neighbor 192.168.1.1 route-map PREFER_ISP1 in
route-map LOWER_PRIORITY permit 10
set as-path prepend 65001 65001 65001
router bgp 65001
neighbor 203.0.113.1 route-map LOWER_PRIORITY out
route-map SET_MED permit 10
set metric 50
router bgp 65001
neighbor 192.168.2.1 route-map SET_MED out
Тонкое искусство разбиения сети на подсети
Продолжаем говорить о разбиении сетей
Вариант 2: Подсети разного размера (VLSM)
Для экономии адресов используется Variable Length Subnet Mask (VLSM). В этом случае подсети создаются с учетом их реальных нужд.
Пример:
1️⃣Отдел A — 50 устройств.
2️⃣ Отдел B — 20 устройств.
3️⃣ Отдел C — 10 устройств.
Рассчитаем:
⏺Для отдела A потребуется подсеть /26 (62 адреса).
⏺Для отдела B — /27 (30 адресов).
⏺Для отдела C — /28 (14 адресов).
Распределение:
• A: 192.168.1.0/26 → 192.168.1.1 - 192.168.1.62
• B: 192.168.1.64/27 → 192.168.1.65 - 192.168.1.94
• C: 192.168.1.96/28 → 192.168.1.97 - 192.168.1.110
Плюсы: Оптимальное использование адресов.
Минусы: Требует более сложного расчёта и управления.
N.A. ℹ️ Help
Курс “Компьютерные сети” стартует 2 декабря!
Успейте записаться на курс по старой цене до конца ноября - 39.990 руб. 49.990 руб.
Содержание курса:
- Изучение топологии сетей, видов сетевого оборудования
- Маршрутизация данных и управление доступом к среде
- Протокол IP, транспортный и прикладной уровни
- Система имен DNS, безопасность в сетях и противодействие атакам
Кому полезен курс?
- Junior IT-специалистам, системным администраторам, Web-разработчикам, сетевым инженерам, которые хотят досконально освоить архитектуру сетей
Вы получите:
- Сертификат/удостоверение о повышении квалификации
- Сопровождение и поддержку Академии Кодебай
- Возможности трудоустройства/стажировки
@Codeby_Academy
Узнайте подробнее о курсе здесь
На счету каждая секунда загрузки сайта?
Ускорить доставку контента поможет CDN — Content Delivery Network.
Как работает технология, каким проектам подходит и как защищает инфраструктуру от DDoS-атак — рассказываем в новой полезной подборке.
Вы научитесь:
🔹 подключать и настраивать CDN,
🔹 снижать нагрузку на серверы веб-проектов,
🔹 повышать производительность онлайн-сервисов,
🔹 оптимизировать изображения с помощью Image Stack.
Переходите в Академию Selectel, чтобы познакомиться с базовыми принципами работы сети → https://slc.tl/fzhjn
Реклама, АО «Селектел», ИНН: 7810962785, ERID: 2VtzqvSWiWs