🔎Как выявить дубликаты IP в сети

Дубли IP создают хаос в L2/L3: ARP-флуд, потерю пакетов и непредсказуемое поведение сервисов.

Особенно критично в VLAN с большим количеством хостов.

Простая диагностика на Linux:

Смотрим ARP-таблицу и ищем одинаковые IP с разными MAC:

ip neigh

Используем arping для проверки конкретного IP:

arping -c 5 -I eth0 192.168.1.100

Если приходит несколько разных MAC-ответов — IP занят дважды.

Для массовой проверки можно собрать таблицу всех ARP-ответов:

for ip in $(seq 1 254); do arping -c 1 -I eth0 192.168.1.$ip; done

На Cisco:

show ip arp
show mac address-table

Ищем одинаковые IP, которые «смотрят» на разные MAC.

🔥И еще совет: при выявлении дубликата - быстро сверяем физический порт и VLAN, отключаем проблемный хост или исправляем статический IP.

N.A.

Читать полностью…

SPRINT OFFER в YADRO: Network Engineer in Test!

3 дня — и вы среди инженеров, которые обеспечивают надёжность сетевых систем YADRO 🚀

Мы расширяем команду KORNFELD, которая отвечает за качество и стабильность сетевого оборудования YADRO. Именно здесь инженеры анализируют архитектуру, пишут тестовые сценарии, моделируют сбои и доводят продукт до идеала.

Специалисты работают с самыми глубокими слоями сетевой инфраструктуры — от L2/L3 до сложных связок протоколов и сценариев отказоустойчивости.

⚙️ Как проходит SPRINT OFFER:
1️⃣ Подайте заявку до 30 ноября, пройдите HR-скрининг и технический скрининг.
2️⃣ Пройдите техническое и менеджерское интервью.
3️⃣ Получите оффер в течение 3 дней.

📍 Чем предстоит заниматься:
• Анализировать продуктовые требования и составлять use cases.
• Проводить функциональные, E2E- и failover-тесты.
• Разрабатывать тест-кейсы и тест-планы для нового и уже существующего функционала.
• Участвовать в интеграционных испытаниях, взаимодействовать с разработкой и L3-командами.

📀 У нас:
• Удалённая работа (РФ/РБ) или офис в городах присутствия — Москве, Санкт-Петербурге, Нижнем Новгороде, Екатеринбурге, Минске.
• Амбициозные проекты в уникальной команде инженеров.
• Вертикальный и горизонтальный карьерный рост.
• ДМС с первого дня, поддержка спортивных инициатив сотрудников и другие бенефиты.

💙 YADRO — место, где ценят инженерную экспертизу и предоставляют возможности для эксперимента и инициативы. Оставляйте заявку до 30 ноября и присоединяйтесь к команде KORNFELD!

Читать полностью…

Ветер перемен: представляем новую систему выпуска релизов UserGate NGFW

В основе — лучшие практики международных вендоров, принятые в мировой ИТ/ИБ-индустрии.

Все подробности расскажем на вебинаре. В программе:

— Что побудило нас к изменениям
— Новая система релизов: FR, LTS, LTS (GD)
— Что ещё мы делаем для повышения стабильности
— Первый кандидат на LTS и что в нём нового

В завершении ответим на ваши вопросы.

Вебинар будет интересен как техническим специалистам, так и руководителям ИТ- и ИБ-департаментов.

Спикеры:

— Кирилл Прямов, менеджер по развитию NGFW
— Михаил Кадер, архитектор ИБ, R&D

Когда: 27 ноября, четверг, 10:00 (МСК).

Увидимся в эфире!

Зарегистрироваться

Читать полностью…

Как выявить microbursts на интерфейсе

Microbursts — это короткие всплески трафика, которые длятся доли секунды. 

В графиках на 1-минутном интервале они выглядят как будто «всё нормально», но в реальности в этот момент буферы на интерфейсе бьются в потолок → появляются drops, VoIP начинает хрипеть, UDP рвётся.

Обычный мониторинг их не поймает - нужна ручная проверка через быстрый опрос интерфейса.

🔎 Что делаем

Смотрим аппаратные счётчики input/output drops с очень коротким интервалом. Если цифры скачут рывками — microbursts подтверждены.

Cisco

show interface gi0/1 | include drops

Повторяем команду несколько раз подряд.
Если в какой-то момент счётчик прыгнул сразу на +50, +200, +1000 — это оно.

Linux

watch -n 0.2 "ethtool -S eth0 | grep -E 'drop|overflow|miss'"

Интервал 0.2 сек — оптимальный, чтобы поймать резкие пики.

⏺drop или rx_missed_errors растут скачками
⏺буферные overflow появляются периодически
⏺нагрузка в графиках при этом может быть всего 20–40%

N.A.

Читать полностью…

Протоколы маршрутизации и резервирование: как быстро перестроить сеть без потери трафика

Что происходит в сети при отказе маршрута и как сделать так, чтобы пользователи ничего не заметили? На открытом вебинаре курса OTUS Network Engineer. Professional Николай Колесов разберёт, как работают динамические протоколы маршрутизации и механизмы резервирования, обеспечивающие мгновенное восстановление сети.

→ 26 ноября, 20:00
Протоколы маршрутизации и резервирование — или как быстро перестроить таблицу маршрутизации не привлекая внимание
— как протоколы маршрутизации обеспечивают быструю сходимость сети
— какие механизмы резервирования позволяют избежать простоев
— настройка механизмов повышения скорости перестроения маршрутов
— практические подходы к построению отказоустойчивых сетей
Вебинар будет полезен сетевым инженерам, администраторам и архитекторам, работающим с корпоративными и распределёнными сетями, а также всем, кто хочет глубже разобраться в динамической маршрутизации и резервировании.

→ Зарегистрируйтесь: https://otus.pw/2wip/

Реклама. ООО «Отус онлайн-образование», ОГРН 1177746618576

Читать полностью…

Кто идёт на Kuber Conf by AOT 4 декабря?

Устраиваю розыгрыш 2 билетов на Kuber Conf by АОТ — первую коммьюнити конференцию по K8s в России, которая пройдет 4 декабря в Москве.
В программе — только хардкор и реальные кейсы от команд Авито,Т-Банка, Vitastor, Beget, VK Cloud, Yandex Cloud, Selectel и других.

🟣 Изменения в Cluster API без пересоздания машин
🟣 Как строили платформу деплоя в Т-Банке
🟣 Практический deep-dive в CNI chaining
🟣 Безопасный Gatekeeper в архитектуре k8s-in-k8s
🟣 Поддержка Kubernetes в Vitastor
🟣 Karpenter-провайдер своими руками — что внутри

📅 20 ноября в 12:00 выберем 2 счастливчиков.

Чтобы участвовать: подпишитесь на канал, активируйте участие по кнопке снизу и ждите 20.11. В 20:00 с помощью бота-рандомайзера будет выбран победитель.

Kuber Conf by AOT пройдет под эгидой будущей Ассоциации облачно-ориентированных технологий (АОТ), ее создают VK Cloud, Флант и Yandex Cloud.
Присоединяйся!

➡️ Программа и билеты

Реклама Садовская.Е.О
ИНН:9710066394 Erid:2VtzqxfLCoj

Читать полностью…

Основные причины ошибки «SSH Connection Refused»

Ошибка «SSH Connection Refused» возникает, когда удаленный сервер отклоняет запрос на соединение.

Это может быть вызвано различными причинами, от отсутствия клиента или сервера SSH до неправильных настроек. Вот основные причины и их решения:

1️⃣SSH-клиент не установлен

Если на локальной машине отсутствует SSH-клиент, подключение к серверу невозможно. Проверьте, установлен ли SSH-клиент, командой:

ssh

Если команда не найдена, установите SSH-клиент:
Для Ubuntu/Debian:

sudo apt install openssh-client

Для CentOS/RHEL:

sudo yum install openssh-client

2️⃣ SSH-сервер не установлен на удаленном хосте

Чтобы принимать соединения, на сервере должен быть установлен SSH-демон. Проверьте это, выполнив команду:

ssh localhost

Если появляется сообщение «Connection refused», установите сервер OpenSSH:
Для Ubuntu/Debian:

sudo apt install openssh-server

Для CentOS/RHEL:

sudo yum install openssh-server

3️⃣ Неверные учетные данные или IP-адрес

Часто ошибка вызвана неправильным вводом имени пользователя, пароля или IP-адреса. Убедитесь, что данные верны, и проверьте, какой порт используется сервером:

grep Port /etc/ssh/sshd_config

4️⃣ Служба SSH не работает

Если служба SSH не запущена, сервер не сможет принимать соединения. Проверьте её статус:

sudo service ssh status

Если служба не активна, запустите её:

sudo systemctl start sshd
sudo systemctl enable sshd

N.A.

Читать полностью…

SNMPv3 - безопасный мониторинг сети

SNMPv3 — это апгрейд старых SNMPv1/v2c. 

Главная цель, конечно, безопасно собирать метрики с коммутаторов, роутеров и серверов без риска, что пароли или данные попадут в сеть.

В отличие от SNMPv2c, SNMPv3 поддерживает аутентификацию и шифрование, а права доступа настраиваются детально по объектам.

⏺На практике это значит: можно спокойно опрашивать устройства через SNMP, не боясь, что кто-то подслушает трафик.

Простейшая настройка на Cisco:

snmp-server view MyView iso included
snmp-server group SNMPv3Group v3 auth read MyView
snmp-server user snmpuser SNMPv3Group v3 auth sha MyAuthPass priv aes 128 MyPrivPass

Проверяем:

show snmp user
show snmp group

N.A.

Читать полностью…

Подсчёт уникальных MAC на порту для диагностики L2

В крупных сетях иногда важно быстро понять, сколько разных устройств «сидят» на порту коммутатора или виртуальном интерфейсе.

Это помогает выявлять ARP‑спуфинг, дубликаты MAC или неожиданные источники трафика.

⏺На Linux или Cisco можно собрать статистику и сразу понять, есть ли перегрузка или подозрительные активности.

Каждый Ethernet‑кадр несёт MAC-адрес источника. Коммутатор или Linux-bridge хранит таблицу MAC → порт (FDB, Forwarding Database).

Если на порту появляется слишком много MAC:
• Это может быть законная виртуализация (VMs через vSwitch, Docker, Kubernetes).
• Это может быть rogue device или концентратор.
• ARP-флуд или атака типа MAC-flooding.

Счёт уникальных MAC помогает быстро отделить нормальные сценарии от потенциальных проблем.

Linux — bridge / veth

Проверка всех портов:

bridge fdb show | awk '{print $3}' | sort | uniq -c | sort -nr

Узнать число MAC на конкретном порту (например eth2):

bridge fdb show | awk '$3=="eth2"{print $1}' | sort | uniq | wc -l

Скрипт‑алерт для порта с >10 MAC:

THRESH=10
bridge fdb show | awk '{print $3}' | sort | uniq -c | while read cnt port; do
  if [ "$cnt" -gt "$THRESH" ]; then
    echo "ALERT: $port has $cnt MACs"
  fi
done

Cisco

Вывести MAC-адреса для порта:

show mac address-table interface Gi1/0/1

Подсчёт строк (MAC):

show mac address-table interface Gi1/0/1 | include - | wc -l

N.A.

Читать полностью…

Проверяем реальный UDP throughput и jitter

Когда запускаешь VoIP или стриминг, важно не только знать скорость канала, но и понять, как стабильно он работает.

UDP не подтверждает доставку пакетов, поэтому packet loss и jitter сразу отражаются на качестве звонка или видео.

⏺Throughput показывает, сколько реально проходит данных между хостами, а ⏺jitter — насколько разняются задержки между пакетами.

Для проверки используем iperf3.

На сервере запускаем:

iperf3 -s

На клиенте тестируем максимальную пропускную способность:

iperf3 -c <IP_сервера> -u -b 0

-u активирует UDP, -b 0 снимает ограничение пропускной способности.

Можно задать фиксированную нагрузку, например 1 Мбит/с:

iperf3 -c <IP_сервера> -u -b 1M -t 30

В отчёте увидим реальный throughput, packet loss и jitter, что сразу показывает, насколько канал пригоден для реальных задач.

N.A.

Читать полностью…

Как проверить ARP-флуд на L2

Проверка ARP-флуда на L2 - важный этап для диагностики проблем с сетью, особенно когда клиенты теряют связь или наблюдаются странные задержки. 

ARP-флуд — это ситуация, когда одно устройство слишком часто рассылает ARP-запросы, перегружая коммутаторы и приводя к повышенной нагрузке на CPU.

Для проверки можно использовать стандартные инструменты Linux.

Сначала смотрим текущие ARP-записи и счётчики:

ip -s neigh

Эта команда покажет, сколько раз Linux отправлял ARP-запросы к каждому IP и получил ли ответы.

Если видите один и тот же MAC с большим количеством запросов за короткий период — это повод насторожиться.

Можно дополнительно тестировать конкретный IP:

arping -c 10 192.168.1.50

Команда отправит 10 ARP-запросов и покажет ответы.

⏺Если один MAC отвечает слишком часто или появляются неожиданные ответы от разных MAC на один IP, это признак ARP-флуда или конфликта IP.

Для постоянного мониторинга можно использовать watch или tcpdump:

watch -n 1 "ip -s neigh"
tcpdump -i eth0 arp

N.A.

Читать полностью…

Как протестировать VLAN на линковом уровне

Нужно убедиться, что трафик правильно сегментирован и пакеты из одной VLAN не «пробиваются» в другую.

VLAN (Virtual LAN) — это логическая сегментация сети на канальном уровне. 

Каждый Ethernet-кадр получает тег 802.1Q, который показывает, к какой VLAN он относится.

С правильной настройкой VLAN вы:
⏺изолируете трафик между отделами или сервисами;
⏺снижаете риск ARP-спуфинга и конфликтов IP;
⏺упрощаете диагностику сети.

На Linux это легко эмулировать через виртуальные VLAN-интерфейсы — удобно для тестов, обучения и проверки конфигураций.

1️⃣Создаём VLAN-интерфейсы на базе физического eth0

# VLAN 10
sudo ip link add link eth0 name eth0.10 type vlan id 10
sudo ip addr add 192.168.10.1/24 dev eth0.10
sudo ip link set eth0.10 up

# VLAN 20
sudo ip link add link eth0 name eth0.20 type vlan id 20
sudo ip addr add 192.168.20.1/24 dev eth0.20
sudo ip link set eth0.20 up

2️⃣Проверяем интерфейсы и теги

ip -d link show eth0.10
ip -d link show eth0.20

Убедимся, что VLAN присвоены корректно.

3️⃣Тестируем изоляцию

На другой машине в VLAN 10:

ping 192.168.10.2 -I eth0.10   # должно проходить
ping 192.168.20.2 -I eth0.10   # не должно проходить

И аналогично для VLAN 20.

4️⃣ Следим за трафиком в реальном времени

sudo tcpdump -i eth0.10
sudo tcpdump -i eth0.20

Вы увидите, что пакеты «сидят» строго на своём VLAN и не смешиваются с другими.

N.A.

Читать полностью…

👩‍💻 Всем программистам посвящается!

Вот 17 авторских обучающих IT каналов по самым востребованным областям программирования:

Выбирай своё направление:

🤔 InfoSec & Хакинг — t.me/hacking_ready
👩‍💻 Python — t.me/python_ready
👩‍💻 Linux — t.me/linux_ready
🖼️ DevOps — t.me/devops_ready
👩‍💻 Bash & Shell — t.me/bash_ready
🖥 Data Science — t.me/data_ready
🖥 SQL & Базы Данных — t.me/sql_ready
🤖 Нейросети — t.me/neuro_ready
👩‍💻 C/C++ — /channel/cpp_ready
👩‍💻 C# & Unity — t.me/csharp_ready
📱 GameDev — t.me/csharp_ready
👩‍💻 IT Новости — t.me/it_ready
👩‍💻 Java — t.me/java_ready
🐞 QA-тестирование — t.me/qa_ready
📖 IT Книги — t.me/books_ready
👩‍💻 Frontend — t.me/frontend_ready
📱 JavaScript — t.me/javascript_ready
👩‍💻 Backend — t.me/backend_ready
📱 GitHub & Git — t.me/github_ready
📁 IT Факты — t.me/it_facts
🖥 Design — t.me/design_ready

📌 Гайды, шпаргалки, задачи, ресурсы и фишки для каждого языка программирования!

Читать полностью…

⚡️ Запускаем крупный розыгрыш призов, где можно выиграть iPhone 17, игровые наушники, клавиатуру и мышь!

Без лишних слов, условия:

1. Подписка на:
— бизнестрендс
— Технотренды
— Блумберг
2. Нажать кнопку «Участвовать» снизу

Итоги будут опубликованы 15 ноября в 18:00 на наших каналах, желаем удачи!

Читать полностью…

Сеть тормозит? Подозреваешь утечку или атаку? Wireshark - это инструмент, который «видит» всё внутри сети. 

🦈 Уже завтра на бесплатном вебинаре «Анализ дампа трафика с помощью Wireshark» наш эксперт покажет, как правильно читать дампы трафика и находить аномалии с помощью Wireshark на реальных примерах! 

🔍 Что будет:
 • познакомимся с графическим интерфейсом Wireshark
 • рассмотрим настройку фильтров отображения (Display filter)
 • рассмотрим настройку маркировки пакетов (Coloring rules)
 • сделаем практический анализ дампа трафика и проанализируем аномалии в сети.

👨‍💻 Кому будет полезно:
 • Сетевым администраторам
 • Специалистам по ИБ

🗓 Завтра 12:00 (мск)
⚡️ Мест немного - успей зарегистрироваться.

📡 Узнайте, что на самом деле происходит в вашей сети - атаки, перегрузка протоколов или ошибки конфигураций. Разберём всё на практике!

Реклама. ООО "ФАСТ ЛЕЙН СТОЛИЦА". ИНН 7720787779.

Читать полностью…

Проверка асимметричного VLAN на trunk

Проблема в том, что на стыке двух коммутаторов trunk порт настроен, но трафик некоторых VLAN не проходит.

Часто это из-за того, что на одной стороне не разрешены все нужные VLAN, или VLAN ID не совпадает.

Как быстро проверить:

1️⃣На Cisco:

show interfaces trunk

Проверяет, какие VLAN разрешены и активны на trunk.

show vlan brief

Смотрим, какие VLAN реально присутствуют на портах.

2️⃣На Linux (если trunk через 802.1Q):

ip -d link show eth0

Проверяем VLAN tags на интерфейсе и используемые subinterfaces: eth0.10, eth0.20 и т.д.

3️⃣Тестируем «проход» трафика VLAN:

ping -I eth0.10 <IP в этой VLAN>

Если пинг не проходит, VLAN либо не разрешена на trunk, либо нет IP на другой стороне.

⚡️И да, всегда проверяйте настройки на обоих сторонах trunk - иногда достаточно одной команды switchport trunk allowed vlan add <VLAN_ID>, чтобы вернуть связь.

N.A.

Читать полностью…

Осторожно, пакеты отправляются. Следующая станция 192.168. …

N.A.

Читать полностью…

🎉 Результаты розыгрыша:

🏆 Победители:
1. Руслан (@pandikkd)
2. . (@pythonschik)

✔️Проверить результаты

Читать полностью…

Как поймать внезапный ARP-resolve timeout

Когда «всё работает… но периодически что-то замирает», очень часто виноват ARP.

Хост просто не может быстро получить MAC адрес - и весь трафик встаёт на паузу. Особенно больно это бьёт по VoIP, SSH и интерактивным сервисам.

Обычно такие таймауты не видны в обычных логах, поэтому отлавливать их нужно вручную.

1️⃣Проверяем, как часто хост делает ARP-запросы

Если сосед «теряется», хост начнёт усиленно спрашивать его MAC.

Linux:

tcpdump -ni eth0 arp

Если видишь 2–3 повторяющихся ARP Requests подряд → проблема.

Cisco:

debug arp

или

show arp

Если запись в ARP-таблице часто «флапает», это ненормально.

2️⃣Смотрим, что происходит в момент задержки

Отслеживаем, пропадают ли ответы:

tcpdump -ni eth0 "arp or icmp"

Если ping висит, а в дампе есть ARP Requests без ARP Reply → таймаут найден.

3️⃣Проверяем ARP-таблицу на переполнения и expiry

Если ARP-таблица забилась или записи слишком быстро удаляются → будут постоянные timeouts.

Linux:

ip -s neigh

Подозрительные признаки:
• состояние FAILED
• резкий рост timeouts
• записи часто переходят FAILED → REACHABLE → FAILED

4️⃣Проверяем ARP кэш на коммутаторе

Иногда виноват L2 — коммутатор забывает MAC или шлёт фреймы не туда.

Cisco:

show mac address-table dynamic | include <MAC>

Если MAC постоянно пропадает → проблема на сегменте.

N.A.

Читать полностью…

Как понять, что ACL режет нужный трафик

Когда сервис «периодически падает», VPN не поднимается или API отвечает через раз - один из первых подозреваемых - ACL, который молча дропает пакеты.

Суть в том, чтобы посмотреть, реально ли ACL блокирует нужный поток, и какой именно rule это делает.

🛠 Как смотрим на Cisco

Проверяем hitcount - кто реально срабатывает

Если счётчик растёт → правило принимает или режет трафик прямо сейчас.

show ip access-lists | include hitcnt

Тут сразу видны «подозрительные» строки, у которых hitcnt летит вверх.

Фиксируем конкретный поток (SRC → DST)

Хотим понять, что происходит с определённым направлением.

show ip access-lists <ACL_NAME>

Смотрим: есть ли deny, который попадает под критерии потока.

Смотрим интерфейс, через который идёт трафик

ACL может быть на входе/выходе на другом интерфейсе.

show run interface <int>

Частая ошибка: ACL прикручен на outbound, а ищут только inbound.

Если ничего не видно - включаем логирование конкретного правила

Важный трюк: добавить log только временно, чтобы не заспамить CPU.

ip access-list extended MY_ACL
 deny tcp any any eq 443 log

Дальше:

show logging | include MY_ACL

И моментально видно: кто режется, с какого IP, каким портом.

N.A.

Читать полностью…

Cisco: Private VLAN для изоляции устройств

Private VLAN (PVLAN) — это механизм L2-изоляции внутри одного большого VLAN.

Используется там, где клиенты должны видеть интернет, но не видеть друг друга: отели, коворкинги, общественные сети.

Как это работает:

PVLAN делит один VLAN на подтипы:
⏺Primary VLAN — основной VLAN.
⏺Isolated VLAN — хосты не могут общаться между собой, только с promiscuous-портом.
⏺Promiscuous port — обычно uplink к маршрутизатору/фаерволу. Видит всех.

В итоге, 100 клиентов в одном VLAN → каждый полностью изолирован, без создания сотен отдельных VLAN.

⚙️ Конфигурация PVLAN на Cisco

1️⃣Создаём primary и isolated VLAN

vlan 100
 private-vlan primary

vlan 101
 private-vlan isolated

2️⃣Связываем их

vlan 100
 private-vlan association 101

3️⃣Настраиваем promiscuous порт (uplink)

interface Gi1/0/1
 switchport mode private-vlan promiscuous
 switchport private-vlan mapping 100 101

4️⃣Настраиваем обычные клиентские порты (isolated)

interface range Gi1/0/10 - 20
 switchport mode private-vlan host
 switchport private-vlan host-association 100 101

И финально проверяем

show vlan private-vlan
show interfaces switchport

N.A.

Читать полностью…

MikroTik: NAT Hairpin

Сделать так, чтобы устройства внутри локальной сети могли обращаться к публичному IP ресурса (например, веб-серверу) так же, как внешние клиенты. 

Нужно это, если сервер находится внутри LAN, но пользователи подключаются через внешний IP.

🧑‍💻Без hairpin NAT пакеты, отправленные на внешний IP внутри сети, не вернутся обратно, и соединение не будет установлено.

Hairpin NAT решает эту проблему и позволяет маршрутизатору «заворачивать» трафик обратно внутрь сети.

Настройка на MikroTik:

/ip firewall nat add chain=srcnat \
    src-address=192.168.88.0/24 \
    dst-address=192.168.88.10 \
    action=masquerade

⏺src-address — сеть клиентов, которым нужен hairpin.
⏺dst-address — внутренний IP сервера.
⏺action=masquerade — «заворачивает» пакет так, чтобы сервер правильно ответил.

И проверим:

С клиента внутри LAN:

ping <внешний_IP_сервера>

Проверить активные соединения:

/ip firewall connection print where dst-address=192.168.88.10

Если всё настроено верно, клиенты смогут обращаться к ресурсу через внешний IP так же, как будто они снаружи сети.

N.A.

Читать полностью…

Настроим BPDU Guard для защиты от петель

В сетях с активным STP (Spanning Tree Protocol) важно защитить порты, где подключены только хосты, от случайного подключения коммутаторов или появления петель.

⭐️Если на таком порту появятся BPDUs, это может привести к нарушению топологии и отключению сегмента сети.

BPDU Guard — функция Cisco, которая сразу же блокирует порт при получении BPDU, тем самым предотвращая возникновение петли.

✅Когда используем:
⏺Access-порты, где подключены только ПК, принтеры, камеры и другие конечные устройства.
⏺В сетях с PortFast для ускоренного включения порта.

Настройка на интерфейсе:

interface Gi1/0/10
 switchport mode access
 spanning-tree portfast
 spanning-tree bpduguard enable

👮‍♂️Проверим работу:

show spanning-tree interface Gi1/0/10

Если порт получит BPDU, он автоматически перейдёт в состояние err-disable, а в логах появится сообщение о нарушении BPDU Guard.

Восстановление порта после срабатывания BPDU Guard:

shutdown
no shutdown

или автоматическое восстановление через errdisable recovery.

N.A.

Читать полностью…

😊ПРИВЕТ, КОЛЛЕГИ!

Знакомьтесь — «В моём VLAN’е тихо!»

Это не просто канал, это мой путь становления сетевым инженером. Здесь я делюсь всем, что узнаю, пробую и тестирую в мире Cisco и сетевых технологий.😍😍

Что вы найдёте в канале?

- Подробные инструкции по настройке оборудования Cisco
- Пошаговые руководства с реальными примерами
- Разбор ошибок и их решений
- Полезные команды и конфигурации
- Опыт работы с реальным оборудованием

Почему стоит подписаться?

- Честный подход. Я открыто делюсь своим опытом.
- Практические знания.
- Доступность. Объясняю сложные вещи простым языком.
- Регулярные обновления. Новые материалы каждую неделю.

Мой путь:

- Собственная лаборатория с реальным оборудованием Cisco
- Активное обучение и практика
- Создание подробных руководств
- Обмен опытом с коллегами

Присоединяйтесь к каналу!

Вместе мы сможем создать активное сообщество, где каждый сможет делиться опытом и помогать друг другу.

👉 Подписывайтесь: @inMyVlan

Читать полностью…

Как проследить путь пакетов на L2 (MAC-level)

Отслеживание пути пакетов на L2 полезно, когда проблемы не видны на уровне IP, например, при «пропавшем» трафике между коммутаторами или подозрении на неправильную VLAN-конфигурацию.

Для этого удобно использовать arping и tcpdump.

Простейший способ — отправить ARP-запрос и посмотреть, кто отвечает:

arping -I eth0 -f 192.168.1.10

Флаг -f запускает «flood mode», т.е. пакет посылается сразу несколько раз, что позволяет увидеть ответы и задержки.

Одновременно можно слушать кадры на интерфейсе с выводом MAC-адресов:

tcpdump -i eth0 -e arp

Опция -e показывает L2-заголовки, включая source и destination MAC. Так можно отследить, через какие устройства проходит пакет.

N.A.

Читать полностью…

18 ноября в Москве пройдёт Deckhouse User Community meetup #3

Ключевые темы: виртуализация в небольших инсталляциях, управление Open Source-операторами и оптимизация ядра хранения данных в Deckhouse Prom++

Если вы решаете инфраструктурные задачи и работаете с кубером, рекомендуем зарегистрироваться прямо сейчас.

Читать полностью…

Как измерить jitter и packet loss для UDP

В сетях, где важна стабильность потоков — VoIP, видео или онлайн-игры — ключевыми метриками являются jitter и packet loss. 

Jitter показывает, насколько сильно варьируется время доставки пакетов, а packet loss отражает процент потерянных пакетов.

Высокие значения этих метрик ухудшают качество звонков и потокового видео, поэтому важно уметь их измерять.

iperf3 и ping

Сначала на сервере запускаем UDP-сервер:

iperf3 -s -p 5201 -i 1

На клиенте отправляем UDP-поток с нужной пропускной способностью и временем теста:

iperf3 -c <IP_сервера> -u -b 10M -t 30 -i 1

Вывод iperf3 покажет jitter и процент потерь.

Для быстрой проверки можно использовать ping, отправив пакеты с небольшим интервалом:

ping -i 0.1 -c 50 <IP_сервера>

Результаты покажут минимальное, среднее и максимальное время, а также стандартное отклонение, что даёт простую оценку jitter.

N.A.

Читать полностью…

Как измерить реальный PPS (Packets Per Second) на интерфейсе

Зачем это нужно?

Не всегда важен только общий объём трафика. Даже при невысокой пропускной способности интерфейса большой PPS может перегрузить CPU, сетевой стек или firewall.

Отслеживание PPS полезно для:

⏺Планирования ресурсов сервера или коммутатора
⏺Диагностики аномального трафика или DDoS
⏺Оптимизации работы IDS/IPS

Linux позволяет собирать статистику интерфейсов и вычислять PPS с помощью стандартных инструментов.

1️⃣EtHTool
Смотрим статистику RX/TX:

sudo ethtool -S eth0 | grep -i packets

Чтобы вычислять PPS в реальном времени:

#!/bin/bash
INTERFACE=eth0
RX_PREV=0
TX_PREV=0

while true; do
    RX=$(ethtool -S $INTERFACE | grep 'rx_packets:' | awk '{print $2}')
    TX=$(ethtool -S $INTERFACE | grep 'tx_packets:' | awk '{print $2}')

    RX_PPS=$((RX - RX_PREV))
    TX_PPS=$((TX - TX_PREV))

    echo "RX: $RX_PPS pps | TX: $TX_PPS pps"

    RX_PREV=$RX
    TX_PREV=$TX

    sleep 1
done

2️⃣ IP link
Можно просто смотреть суммарные пакеты:

ip -s link show eth0

Разница между замерами за секунду = PPS.

3️⃣Визуализация
Сохраняем данные для графика:

RX_PPS=$((RX - RX_PREV))
echo "$(date +%s),$RX_PPS" >> pps.csv

N.A.

Читать полностью…

Многоуровневая фильтрация трафика с iptables и nftables

iptables и nftables — два подхода к фильтрации трафика в Linux.

⏺iptables — классика, знакомая большинству системных администраторов, работает через цепочки INPUT, OUTPUT, FORWARD.

⏺nftables — современный инструмент, который объединяет IPv4, IPv6 и L2 фильтрацию в единой структуре, с более компактным синтаксисом и улучшенной производительностью.

С помощью них можно: ограничивать доступ по IP, блокировать конкретные порты, фильтровать трафик между VLAN, логировать подозрительные соединения и создавать сложные правила с условием источника, назначения и интерфейса.

Создадим простое ограничение трафика через nftables:

sudo nft add table inet filter
sudo nft add chain inet filter input { type filter hook input priority 0; }
sudo nft add rule inet filter input ip saddr 192.168.1.0/24 accept
sudo nft add rule inet filter input tcp dport 22 accept
sudo nft add rule inet filter input drop

Логирование SSH попыток:

sudo nft add rule inet filter input tcp dport 22 log prefix "SSH DROP: " counter drop

Проверка правил:

sudo nft list ruleset

N.A.

Читать полностью…

DNS over TLS (DoT) для защиты локальной сети

DNS over TLS шифрует стандартные DNS-запросы через TLS (порт 853), аналогично HTTPS.

Это защищает от прослушивания и MITM в локальной сети, позволяет централизованно контролировать и кэшировать запросы, при этом совместимо с существующими резолверами, такими как BIND, Unbound или Knot Resolver.

⏺Минусом является небольшое увеличение задержки из-за TLS handshake и необходимость поддержки на клиенте или промежуточном резолвере.

Практика на Linux

Установим Unbound с поддержкой DoT:

sudo apt install unbound

Настройка TLS:

server:
  interface: 0.0.0.0@853
  tls-cert-bundle: /etc/ssl/certs/ca-certificates.crt
  access-control: 192.168.1.0/24 allow

Перезапуск:

sudo systemctl restart unbound

Проверка с клиента:

dig @192.168.1.10 example.com +tls=853

Если всё настроено верно, в логах Unbound будет видно успешное TLS-соединение и расшифрованный запрос.

N.A. ℹ️ Help

Читать полностью…