Команда arp

Команда arp выполняется из командной строки Windows, Linux или Mac. 

Команда arp –a позволяет получить список всех устройств, которые в данный момент представлены в ARP-кэше узла, а также IPv4-адрес, физический адрес и тип адресации (статическая/динамическая) для каждого из устройств.

Например, обратимся к топологии на фото выше.

Вывод команды arp -a на узле Windows PC-A.

C:\Users\PC-A> 

arp -a

Interface: 192.168.93.175 --- 0xc
  Internet Address      Physical Address      Type
  10.0.0.2              d0-67-e5-b6-56-4b     dynamic
  10.0.0.3              78-48-59-e3-b4-01     dynamic
  10.0.0.4              00-21-b6-00-16-97     dynamic
  10.0.0.254            00-15-99-cd-38-d9     dynamic



Команда arp -a отображает связку известных IP-адресов и MAC-адресов. Обратите внимание, что IP-адрес 10.0.0.5 не включен в список.

Это связано с тем, что кэш ARP отображает информацию только с устройств, к которым недавно обращались.

Чтобы проверить заполнение кэша ARP, выполните команду ping для проверки связи с устройством, чтобы для него была создана запись в таблице ARP.

Например, если PC-A посылает запрос 10.0.0.5, то кэш ARP будет содержать запись для этого IP-адреса.

Если администратору сети необходимо повторно заполнить кэш обновленными данными, можно выполнить команду netsh interface ip delete arpcache для очистки кэша.

⚡️ Для использования команды netsh interface ip delete arpcache может потребоваться доступ администратора на хосте.

N.A. ℹ️ Help

Читать полностью…

Базовый уровень сети на практике

Продолжаем разбирать понятие базового уровня сети и сегодня разберем задержки.

Пример анализа данных ping

Например, следующий ping вывод был захвачен и вставлен в текстовый файл.

August 19, 2019 at 08:14:43

C:\Users\PC-A> ping 10.1.1.10
Pinging 10.1.1.10 with 32 bytes of data:
Reply from 10.1.1.10: bytes=32 time<1ms TTL=64
Reply from 10.1.1.10: bytes=32 time<1ms TTL=64
Reply from 10.1.1.10: bytes=32 time<1ms TTL=64
Reply from 10.1.1.10: bytes=32 time<1ms TTL=64
Ping statistics for 10.1.1.10:
    Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
    Minimum = 0ms, Maximum = 0ms, Average = 0ms
C:\Users\PC-A>

Обратите внимание, что время ping передачи в оба конца меньше 1 мс.

Через месяц пинг повторяется и захватывается.

September 19, 2019 at 10:18:21

C:\Users\PC-A> ping 10.1.1.10
Pinging 10.1.1.10 with 32 bytes of data:
Reply from 10.1.1.10: bytes=32 time=50ms TTL=64
Reply from 10.1.1.10: bytes=32 time=49ms TTL=64
Reply from 10.1.1.10: bytes=32 time=46ms TTL=64
Reply from 10.1.1.10: bytes=32 time=47ms TTL=64
Ping statistics for 10.1.1.10:
    Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
    Minimum = 46ms, Maximum = 50ms, Average = 48ms
C:\Users\PC-A>

⚡️ Обратите внимание на этот раз, что в команде ping время передачи в оба конца намного больше, что указывает на потенциальную проблему.

N.A. ℹ️ Help

Читать полностью…

Каждому айтишнику по квартире

Такой девиз сейчас у застройщиков Петербурга. Пока одни выбирают квартиры в человейниках, работники IT-сектора массово заселяют Петроградку и живут в домах бизнес-класса, хотя платят столько же

Почему так? Благодаря IT-ипотеке со ставкой 5% вместо рыночной 19%. Причем воспользоваться ей могут любые сотрудники аккредитованных компаний. На выбор сотни жилых комплексов: у берега Финского залива, с видовыми квартирами в центре или наоборот малоэтажная застройка в зелёных районах

Каждый день выгодные варианты с готовыми расчетами публикуются на канале ⚓️ Новостройки Питера. Подписывайтесь и уже в этом году сможете купить квартиру в лучшем городе страны

Читать полностью…

erid: LjN8KUJNr

Хорошего контента про ЦОД много не бывает, а про сетевую и инженерную инфраструктуру ЦОД тем более.
 
Собрали подборку материалов о нюансах строительства дата-центров и неочевидных решениях:
 
· Как мигрировать сеть. Специфика миграции сетевых фабрик  
· Принципы проектирования инженерных систем (в вечной мерзлоте!)      
· Зачем агропрому нужны ЦОД?    
· Нагреваем ЦОД и экономим. Прием реально работает, но есть нюансы  
· Можно ли доверить ИИ управление инфраструктурой ЦОД?
 
За другими интересными постами про сетевые решения, дата-центры, мультимедиа и телеком-направление — в канал Jet Network Team. Там много нужного и важного, чего нигде не найдете.

Читать полностью…

🚀 likeabus channel 🚀

Вас интересуют сетевые технологии и реальный опыт работы в этой сфере? Подписывайтесь на мой канал!

🔧 Что вас ждет:

• Личный опыт сертифицированного инженера CCIE
• Обучающие материалы и полезные ресурсы
• Результаты тестирования сетевых продуктов
• Архитектурные решения и практические советы
• Импортозамещение в сетях для ЦОД и MPLS
• Работа с Linux и виртуальными машинами
• Скрипты и автоматизация на Python

👥 Для кого:

Инженеры, архитекторы, администраторы и все, кто связан с сетевыми технологиями

Подписывайтесь на likeabus channel и получите доступ к ценному опыту и знаниям!

Становитесь частью сообщества профессионалов!

Читать полностью…

Отключите неиспользуемые службы

Маршрутизаторы и коммутаторы Cisco запускаются с большим списком активных служб, которые могут потребоваться или не потребоваться при работе в сети.

Отключите все неиспользуемые службы, чтобы сохранить системные ресурсы, такие как ЦП и ОЗУ, и предотвратить использование этих служб злоумышленниками.

Тип служб, которые по умолчанию включен, зависит от версии IOS. Например, IOS-XE обычно имеет открытые только порты HTTPS и DHCP.

Это можно проверить с помощью команды show ip ports all, как показано в примере.

Router# show ip ports all
Proto Local Address               Foreign Address             State       PID/Program Name
TCB       Local Address               Foreign Address             (state)
tcp   :::443                     :::*                        LISTEN      309/[IOS]HTTP CORE
tcp   *:443                      *:*                         LISTEN      309/[IOS]HTTP CORE
udp   *:67                        0.0.0.0:0                               387/[IOS]DHCPD Receive
Router#



В версиях IOS, предшествующих IOS-XE, используется команда show control-plane host open-ports.

Мы упоминаем эту команду, потому что вы можете увидеть ее на старых устройствах. Выходные данные аналогичны.

Однако, обратите внимание, что этот старый маршрутизатор имеет небезопасный HTTP-сервер и работает Telnet.

Обе эти службы должны быть отключены. Как показано в примере, отключите HTTP командой no ip http server в режиме глобальной конфигурации.

Отключите Telnet, указав только SSH в команде конфигурации строки transport input ssh.

Router# 

show control-plane host open-ports

Active internet connections (servers and established)
Prot        Local Address      Foreign Address                  Service    State
 tcp                 *:23                  *:0                   Telnet   LISTEN
 tcp                 *:80                  *:0                HTTP CORE   LISTEN
 udp                 *:67                  *:0            DHCPD Receive   LISTEN
Router# configure terminal
Router(config)# 

no ip http server

Router(config)# 

line vty 0 15

Router(config-line)# 

transport input ssh

N.A. ℹ️ Help

Читать полностью…

Активация подключения по SSH на устройствах Cisco

Telnet упрощает удаленный доступ к устройствам, но не является безопасным, поскольку данные передаются в незашифрованном виде.

Для обеспечения безопасного удаленного доступа настоятельно рекомендуется использовать протокол SSH. 

Настройка SSH на устройствах Cisco выполняется в несколько этапов.

1️⃣ Настройка уникального имени хоста

Для начала задайте уникальное имя хоста для устройства, чтобы оно отличалось от имени по умолчанию:

Router(config)# hostname R1

2️⃣ Настройка имени IP-домена

Настройте имя IP-домена сети с помощью команды режима глобальной конфигурации:

R1(config)# ip domain name span.com

3️⃣ Генерация ключа для шифрования трафика SSH

SSH шифрует трафик между источником и получателем. Для этого необходимо создать уникальный ключ проверки подлинности:

R1(config)# crypto key generate rsa general-keys modulus 1024

В данном случае, размер ключа составляет 1024 бита. Чем больше значение бит, тем безопаснее ключ, но большее значение также требует больше времени для шифрования и расшифровки информации.

Минимальная рекомендуемая длина модуля — 1024 бит.

4️⃣ Создание записи в локальной базе данных

Создайте учетную запись пользователя в локальной базе данных:

R1(config)# username Bob secret cisco

Параметр secret используется для шифрования пароля с помощью MD5.

5️⃣ Аутентификация против локальной базы данных

Настройте строки vty для проверки подлинности в локальной базе данных:

R1(config)# line vty 0 4
R1(config-line)# login local

6️⃣ Включение входящих SSH-сеансов на линиях vty

Разрешите входящие SSH-сеансы на линиях vty:

R1(config-line)# transport input ssh

Теперь устройство настроено на использование SSH для безопасного удаленного доступа. Ниже представлен полный пример конфигурации:

Router# configure terminal
Router(config)# hostname R1
R1(config)# ip domain name span.com
R1(config)# crypto key generate rsa general-keys modulus 1024
The name for the keys will be: R1.span.com % The key modulus size is 1024 bits
% Generating 1024 bit RSA keys, keys will be non-exportable...[OK]
Dec 13 16:19:12.079: %SSH-5-ENABLED: SSH 1.99 has been enabled
R1(config)#
R1(config)# username Bob secret cisco
R1(config)# line vty 0 4
R1(config-line)# login local
R1(config-line)# transport input ssh
R1(config-line)# exit
R1(config)#

⚡️Эти шаги позволят вам настроить безопасное подключение по SSH на устройстве Cisco, обеспечивая шифрование и надежность передачи данных.

N.A. ℹ️ Help

Читать полностью…

🧐 Увлекательный тест по сетевому инженеру💯

Ответьте на 22 вопроса и проверьте, насколько вы готовы к обучению на курсе - Network engineer.

📚Курс ориентирован на специалистов и системных администраторов, которые: 
- стремятся к более масштабным и крупным проектам;
- хотят получить более глубокое представление о своей работе и брать более сложные задачи;
- желают добавить к своим компетенциям навыки работы с сетями.

⏱Время прохождения теста ограниченно 30 минут.

ПРОЙТИ ТЕСТ: https://clck.ru/3BUVtq 

Пройдете тест и получите несколько уроков курса в подарок, а также спец. цену на курс! 😋

Реклама. ООО "ОТУС ОНЛАЙН-ОБРАЗОВАНИЕ". ИНН 9705100963.

Читать полностью…

Промпт-инженеринг — новый хайп или перспективная профессия? 🤔

Рассказываем про направление с большим потенциалом и маленькой конкуренцией на рынке на нашей бесплатной лекции.

По итогам эфира вы узнаете:
— Кто такой промт-инженер и чем он занимается;
— Как интегрировать скиллы промт-инжинеринга в работу, если вы работаете в IT;
— Кому в действительности нужны его услуги и какие результаты это даст;
— Сколько платят промт-инженеру в России и мире;
— Кто может стать промт-инженером и какой порог входа;

Кликай на ссылку и забирай подробную информацию вместе с классными бонусами 👈🏼

erid: LjN8KYrDU
ООО Зерокодер, ИНН 9715401631

Читать полностью…

Конфигурация VCP вручную

Первый пост из серии тут

Включите все коммутаторы, также вам понадобятся их заводская маркировка, которую следует записать.

Для примера используем следующие:

CT0216330172
CV0216450257



Включите коммутатор, который будет выполнять функцию master switch, после чего сделайте сброс настройка с помощью следующей строки кода:

request system zeroize



Перезагрузив систему, выполните следующие строки:

ezsetup
set system host-name sw_master
set system domain-name metholding.int
set system domain-search metholding.int
set system time-zone Europe/Moscow
set system root-authentication plain-text-password
set system name-server 10.10.6.26
set system name-server 10.10.6.28
set system services ssh protocol-version v2
set system ntp server 10.10.1.130 version 4
set system ntp server 10.10.1.130 prefer
set vlans Management description 10.10.45.0/24
set vlans Management vlan-id 100
set vlans Management l3-interface vlan.1
set interfaces vlan unit 1 family inet address 10.10.45.100/24
set routing-options static route 0.0.0.0/0 next-hop 10.10.45.1
set interfaces ge-0/0/47 unit 0 family ethernet-switching port-mode trunk
set interfaces ge-0/0/47 unit 0 family ethernet-switching vlan members Management



Активируем preprovisioned configuration mode:

set virtual-chassis preprovisioned



Вносим серийные номера оборудования:

set virtual-chassis member 0 serial-number CT02/16330172 role routing-engine
set virtual-chassis member 1 serial-number CV0216450257 role routing-engine
set virtual-chassis no-split-detection



Проверьте результат, с помощью следующей строки:

root@sw-master> show virtual-chassis status



Обнулите конфигурацию и включайте остальные коммутаторы:

request system zeroize



Раздел virtual-chassis в конфигурации должен быть пустой, а для подстраховки, используйте команду:

delete virtual-chassis



Настроим порты VCP для каждого коммутатора. Для данного примера, соедините коммутаторы портами ge-0/0/0 и ge-0/0/1 соответственно.

Теперь задайте эти строки кода на каждом из коммутаторов:

request virtual-chassis vc-port set pic-slot 0 port 0
request virtual-chassis vc-port set pic-slot 0 port 1
--------------------ВЫВОД----------------------------
root> show interfaces terse
Interface Admin Link Proto Local Remote
vcp-255/0/0 up up
vcp-255/0/0.32768 up up
vcp-255/0/1 up up
vcp-255/0/1.32768 up up
ge-0/0/2 up down
ge-0/0/2.0 up down eth-switch



Теперь два коммутатора объединились, проверить можно с помощью команды:

show virtual-chassis status
show virtual-chassis vc-port



Если вы захотите добавить дополнительных участников к virtual-chassis, вам будет необходимо очистить конфигурацию нового коммутатора:

show interfaces terse | match vcp



Если есть, их надо удалить с командой:

request virtual-chassis vc-port delete pic-slot 0 port 0



Внесите серийный номер дополнительного устройства:

set virtual-chassis member 2 serial-number CT0217190258 role line-card



Настройка портов VCP в новом коммутаторе, в котором мы соединяем следующими портами - ge-0/0/0 и ge-0/0/1:

request virtual-chassis vc-port set pic-slot 0 port 0
request virtual-chassis vc-port set pic-slot 0 port 1



Теперь проверьте их наличие:

show interfaces terse | match vcp

Читать полностью…

Протоколы группы FHRP (First Hop Redundancy Protocols)

Протоколы группы FHRP предназначены для обеспечения высокой доступности и отказоустойчивости первого шага (first hop) в сетях, использующих маршрутизацию по умолчанию.

Они обеспечивают управление виртуальным IP-адресом, который может переходить с одного активного маршрутизатора на другой в случае отказа.

Рассмотрим основные протоколы этой группы: HSRP, VRRP и GLBP.

1️⃣ HSRP (Hot Standby Router Protocol)

HSRP является протоколом Cisco, предназначенным для обеспечения резервирования первого шага. 

Он позволяет группе маршрутизаторов выбрать один активный маршрутизатор и несколько резервных (standby) маршрутизаторов.

Активный маршрутизатор выполняет пересылку пакетов для виртуального IP-адреса, в то время как резервные маршрутизаторы остаются в готовности, ожидая перехода в активное состояние при отказе текущего активного маршрутизатора.

⏺Используется в средах Cisco для обеспечения отказоустойчивости шлюза по умолчанию.

⏺Поддерживает только один активный маршрутизатор, что может быть недостаточно для некоторых требований масштабируемости.

2️⃣ VRRP (Virtual Router Redundancy Protocol)

VRRP — это открытый стандартный протокол, который выполняет функции, аналогичные HSRP. 

Он позволяет нескольким маршрутизаторам объединиться в группу и выбрать один из них в качестве виртуального маршрутизатора.

Виртуальный маршрутизатор имеет свой собственный виртуальный IP-адрес, который перенаправляется на текущий активный маршрутизатор в группе.

⏺Широко используется в различных сетевых устройствах и операционных системах для обеспечения отказоустойчивости шлюза.

⏺Поддерживает концепцию мастер-соединения (master election), что позволяет легко масштабировать сеть с большим количеством маршрутизаторов.

3️⃣ GLBP (Gateway Load Balancing Protocol)

GLBP является проприетарным протоколом Cisco, который расширяет функциональность HSRP и VRRP.

Тем самым протокол позволяет активным маршрутизаторам распределять нагрузку между собой.

В GLBP несколько маршрутизаторов могут быть активными и выполнять балансировку нагрузки между собой, обеспечивая высокую доступность и использование ресурсов.

⏺Идеально подходит для сетей с высокой нагрузкой, где требуется равномерное распределение трафика между несколькими шлюзами.

⏺Поддерживает не только отказоустойчивость, но и улучшенную производительность сети за счет балансировки нагрузки.

N.A. ℹ️ Help

Читать полностью…

Типы уязвимостей

Уязвимость — степень незащищенности, присущая каждой сети и устройству, включая маршрутизаторы, коммутаторы, настольные компьютеры, серверы и устройства безопасности.

Три основных типа уязвимостей: технологические, конфигурационные и уязвимости политики безопасности.

⏺Технологические уязвимости

• Уязвимости протоколов TCP/IP: Протоколы HTTP, FTP и ICMP ненадежны. SNMP и SMTP имеют небезопасную структуру.

• Уязвимости операционных систем: Все операционные системы, такие как UNIX, Linux, Mac OS, Windows Server 2012, Windows 7, Windows 8, имеют проблемы безопасности, задокументированные в архивах CERT.

• Уязвимости сетевого оборудования: Маршрутизаторы, брандмауэры и коммутаторы имеют недостатки безопасности, такие как слабая защита паролем и отсутствие аутентификации.

⏺Конфигурационные уязвимости

• Незащищенные учетные записи пользователей: Информация может передаваться небезопасно, подвергая риску имена пользователей и пароли.

• Пароли, которые легко подобрать: Неграмотно выбранные пароли легко взломать.

• Ошибки в конфигурации интернет-служб: Неправильные настройки JavaScript, терминальных служб, FTP или веб-серверов создают уязвимости.

• Незащищенные настройки по умолчанию: Настройки по умолчанию могут стать источником проблем с безопасностью.

• Ошибки в конфигурации сетевого оборудования: Неправильные списки доступа, протоколы маршрутизации или пароли SNMP создают дыры в безопасности.

⏺Уязвимости политики безопасности

• Отсутствие утвержденной политики безопасности: Без утвержденной политики невозможно обеспечить ее соблюдение.

• Конфликты политик безопасности: Сложности в согласованном применении политик.

• Отсутствие непрерывной аутентификации: Слабые пароли или использование паролей по умолчанию приводят к несанкционированному доступу.

• Не применяются логические элементы управления доступом: Плохой мониторинг и учет позволяют атаки и несанкционированное использование ресурсов.

• Несоответствие установки и модификации оборудования политике безопасности: Несанкционированные изменения топологии сети создают проблемы безопасности.

• Отсутствие плана аварийного восстановления: Атаки без плана восстановления приводят к хаосу и панике.

N.A. ℹ️ Help

Читать полностью…

TKIP, CCMP и GCMP. Про безопасность Wi-Fi

Стандарт 802.11 поддерживал только один способ защиты данных, передаваемых по WI-FI, от перехвата - это WEP.

Какие же еще существуют способы шифрования и защиты данных при передаче по Wi-Fi?

⏺TKIP

В свое время WEP применялся на беспроводном оборудовании клиента и точки доступа, но он был сильно уязвим.

На смену WEP пришел протокол целостности временного ключа (Temporal Key Integrity Protocol (TKIP).

TKIP добавляет следующие функции безопасности на устаревшем оборудовании и при использовании базового шифрования WEP:

• MIC: этот эффективный алгоритм шифрования добавляет хэш-значение к каждому кадру в качестве проверки целостности сообщения, чтобы предотвратить подделку.
• Time stamp: метка времени добавляется в MIC, чтобы предотвратить атаки, которые пытаются повторно использовать или заменить кадры, которые уже были отправлены.
• Счетчик последовательностей TKIP: эта функция обеспечивает запись кадров, отправленных по уникальному MAC-адресу, чтобы предотвратить использование повторение кадров в качестве атаки.
• Алгоритм смешивания ключей: этот алгоритм вычисляет уникальный 128-битный WEP-ключ для каждого кадра.

До 2012 года протокол шифрования TKIP был достаточно безопасным методом защиты данных. Он применялся до тех пор, пока не появился стандарт 802.11i.

Злоумышленники не оставили в стороне протокол TKIP. Было создано много алгоритмов атак против TKIP, поэтому его тоже следует избегать, если есть более лучший метод защиты данных в беспроводных сетях.

⏺CCMP

Протокол Counter/CBC-MAC (CCMP) считается более безопасным, чем TKIP. 

CCMP состоит из двух алгоритмов:

• AES шифрование в режиме счетчика
• Cipher Block Chaining Message Authentication Code (CBC-MAC) используется в качестве проверки целостности сообщения (MIC)

Расширенный стандарт шифрования (AES)- это текущий алгоритм шифрования, принятый Национальным институтом стандартов и технологий США (NIST) и правительством США и широко используемый во всем мире.

Другими словами, AES является открытым, общедоступным и представляет собой самый безопасный метод шифрования на данный момент времени.

Для использования протокола защиты CCMP, необходимо убедиться, что устройства и точки доступа поддерживают режим счетчика AES и CBC-MAC на аппаратном уровне. 

⏺GCMP

Протокол Galois/Counter Mode Protocol (GCMP)- это надежный набор шифрования, который является более безопасным и эффективным, чем CCMP.

GCMP состоит из двух алгоритмов:

• AES шифрование в режиме счетчика
• Galois Message Authentication Code (GMAC) используется в качестве проверки целостности сообщения (MIC)
GCMP используется в WPA3.

N.A. ℹ️ Help

Читать полностью…

Восстановление образа маршрутизатора Cisco IOS

Что делать если у вас повредился образ операционной системы Cisco IOS вашего роутера?

Из этой неприятной ситуации есть выход, и я расскажу, что нужно сделать.

Процесс

Вы можете восстановить Cisco IOS, используя TFTP-сервер.

Поскольку IOS находится во флэш-памяти маршрутизатора, поэтому сначала необходимо создать резервную копию флэш-файла IOS на TFTP-сервере, а затем восстановить IOS из флэш-файла, который вы сохранили на TFTP-сервере.

Сначала выполните команду show flash, чтобы проверить имя файла флэш-памяти и скопировать имя файла.

Затем выполните следующие команды, чтобы создать резервную копию флэш-файла на TFTP-сервере.

Router#copy flash tftp
Address or name of remote host []? < type tftp server IP address >
Source filename []? < paste the flash file name >
Destination filename [c2600-i-mz.122-28.bin]? < press enter to accept the default file name >
Do you want to overwrite? [confirm] < press enter to overwrite the file >



Теперь перезагрузите роутер. Когда роутер будет загружаться, нажмите CTRL + Pause Break, чтобы войти в режим ROMMON.

Либо можно стереть flash память командой delete flash: и роутер будет автоматически переведен в режим ROMMON, поскольку флэш-память отсутствует.

Как только вы войдете в режим ROMMON, вы увидите приглашение:
rommon>

⏺В режиме ROMMON выполните следующие команды для восстановления Cisco IOS из режима ROMMON, где нужно указать сетевые настройки роутера, адрес TFTP сервера и имя файла, который вы загружаете как образ IOS.

В конце выполните команду tftpdnld.

rommon 1> IP_ADDRESS = 192.168.1.1
rommon 2> IP_SUBNET_MASK = 255.255.255.0
rommon 3> DEFAULT_GATEWAY = 192.168.1.100
rommon 4> TFTP_SERVER = 192.168.1.100
rommon 5> TFTP_FILE = c2600-i-mz.122-28.bin
rommon 6> tftpdnld 



Далее мы получим предупреждение что все данные будут потеряны, и чтобы продолжить нажимаем Y.

Флэш-файл будет загружен на маршрутизатор с TFTP-сервера.

После восстановления файла флэш-памяти выполните команду reset, чтобы перезагрузить роутер.

🔥Теперь маршрутизатор загрузится с новым образом IOS.

N.A. ℹ️ Help

Читать полностью…

Исчерпание адресов: как решить?

Первая часть с частыми проблемами и их решением тут

⏺Исчерпание IP-адресов

Чтобы устранить эту проблему, используйте команду ipconfig. 

Если рабочая станция назначила себе IP-адрес, который начинается с 169.x.x.x, это означает, что IP-адрес не был доступен с сервера DHCP.

⏺Быстрое исправление

У некоторых пользователей проводного интернета может не быть локального маршрутизатора, и в этом случае IP-адреса назначаются на ограниченной основе непосредственно от вашего интернет-провайдера.

Возможно, у вас закончились разрешенные IP-адреса от вашего интернет-провайдера.

Решением этой проблемы является покупка либо автономного маршрутизатора, либо точки доступа WiFi со встроенным маршрутизатором.

Это создает ваш собственный локальный пул внутренних адресов, гарантируя, что вы не закончите.

Если у вас уже есть локальный маршрутизатор с DHCP, пул адресов по умолчанию может быть слишком мал для вашей сети.

Получив доступ к настройкам DHCP на маршрутизаторе, вы можете настроить размер пула адресов в соответствии с потребностями вашей сети.

⏺Превентивные меры

Важно, чтобы в любой сети, подключенной к Интернету, был локальный маршрутизатор, работающий с NAT и DHCP, как из соображений безопасности, так и для предотвращения исчерпания IP-адреса.

⚡️Маршрутизатор должен быть единственным устройством, подключенным к модему, а все остальные устройства подключаются через маршрутизатор.

N.A. ℹ️ Help

Читать полностью…

Анализ протоколов

По мере роста сети становится важным определить, как управлять сетевым трафиком. 

Понимание типа и потока трафика, проходящего по сети, является ключевым для ее эффективного функционирования.

Для этого можно использовать различные инструменты управления сетью, одним из которых является анализатор протоколов, такой как Wireshark.

Пример использования Wireshark

Запуск Wireshark на нескольких ключевых узлах может выявить типы сетевого трафика, проходящего через сеть.

Например, статистика иерархии протоколов Wireshark для узла Windows в небольшой сети показывает, что хост использует протоколы IPv6 и IPv4.

В данных IPv4 видно, что хост использовал DNS, SSL, HTTP, ICMP и другие протоколы.

Рекомендации по захвату трафика

Чтобы определить характерные потоки трафика, важно:

Захватывать трафик в периоды пиковой нагрузки для получения надлежащего представления о различных типах трафика.

Выполнять захват в различных сегментах сети, так как некоторые типы трафика могут быть ограничены определенными сегментами.

Анализ и использование данных

Информация, собранная анализатором протоколов, оценивается на основе данных об источнике и получателе трафика, а также типа отправляемого трафика.

Результаты анализа можно использовать для принятия решений об эффективном управлении трафиком, например, путем уменьшения ненужных потоков или изменения режима потоков, перемещая сервер или службу в другой сегмент сети.

В отдельных случаях достаточно просто переместить сервер или службу, чтобы повысить производительность сети. 

🔥 В других случаях для оптимизации производительности может потребоваться серьезное вмешательство и перепроектирование сети.

N.A. ℹ️ Help

Читать полностью…

Базовый уровень сети

Одним из наиболее эффективных инструментов мониторинга и устранения неполадок с производительностью сети является определение базового уровня сети.

Эффективный базовый уровень производительности сети создается за определенный период времени.

Измерение производительности за различные периоды и с изменяемыми нагрузками позволяет составить более точную картину общей производительности сети.

Создание базового уровня

Выходные данные, полученные в результате использования сетевых команд, предоставляют данные для внесения в базовый уровень сети. 

Одним из способов создания базового уровня является копирование и вставка результатов выполнения команды ping, trace или любой другой соответствующей команды в текстовый файл.

В такие текстовые файлы можно добавить метку времени и дату, а затем сохранить их в архив для дальнейшего использования и сравнения.

Ключевые показатели

При создании базового уровня следует рассмотреть такие объекты, как сообщения об ошибках и значения времени отклика между узлами.

В случае значительного увеличения времени отклика может возникнуть проблема, связанная с задержкой.

👀 В следующем посте разберем на примерах

N.A. ℹ️ Help

Читать полностью…

Расширенная команда ping в Cisco IOS

Команда ping — это основной инструмент для проверки сетевой связи. 

В стандартном режиме она использует ближайший к цели интерфейс в качестве источника, что подходит для простых проверок.

Но что делать, если требуется более точная диагностика?

Стандартный ping

Когда вы выполняете стандартный ping, устройство использует IP-адрес ближайшего к цели интерфейса в качестве источника.

Например, если маршрутизатор R1 имеет интерфейсы G0/0/0 с IP-адресом 209.165.200.225 и G0/0/1 с IP-адресом 192.168.10.1, при выполнении команды ping 10.1.1.10 на R1 будет использоваться IP-адрес 209.165.200.225 в качестве источника пакетов.

Это удобно для большинства базовых проверок, но иногда нужно больше гибкости.

Расширенный ping

В Cisco IOS существует возможность использовать команду ping в расширенном режиме.

Этот режим позволяет настраивать различные параметры команды для создания специализированных запросов ping. 

Для перехода в этот режим введите команду ping в привилегированном режиме EXEC без указания IP-адреса назначения.

Далее вам будет предложено несколько подсказок для настройки расширенного режима ping.

Вот как это работает:

1️⃣ Введите ping в привилегированном режиме EXEC.

2️⃣ Система предложит ввести различные параметры, такие как целевой IP-адрес, количество повторений, размер датаграммы и другие.

3️⃣ Один из ключевых параметров — это IP-адрес источника. Вы можете указать конкретный IP-адрес или интерфейс, который будет использоваться для отправки ICMP эхо-запросов.

Пример настройки расширенного ping:

R1# ping
Protocol [ip]:
Target IP address: 10.1.1.10
Repeat count [5]:
Datagram size [100]:
Timeout in seconds [2]:
Extended commands [n]: y
Ingress ping [n]:
Source address or interface: 192.168.10.1
DSCP Value [0]:
Type of service [0]:
Set DF bit in IP header? [no]:
Validate reply data? [no]:
Data pattern [0x0000ABCD]:
Loose, Strict, Record, Timestamp, Verbose[none]:
Sweep range of sizes [n]:
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.1.1.10, timeout is 2 seconds:
Packet sent with a source address of 192.168.10.1
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/1 ms
R1#

Этот пример показывает, как можно настроить расширенный ping для использования IP-адреса источника 192.168.10.1.

🔥 Расширенный ping предоставляет более точную диагностику и помогает в выявлении проблем в сети, которые стандартный ping может пропустить.

N.A. ℹ️ Help

Читать полностью…

Протокол IS-IS

IS-IS (Intermediate System to Intermediate System) — это протокол внутренней маршрутизации (IGP), используемый для передачи маршрутов между маршрутизаторами в пределах одной автономной системы.

Он был разработан в 1980-х годах и является одним из ключевых протоколов в сетях больших операторов и провайдеров.

Преимущества IS-IS по сравнению с другими маршрутизирующими протоколами, такими как OSPF:

⏺Масштабируемость: IS-IS лучше справляется с масштабируемостью в больших сетях. Он способен поддерживать более крупные топологии с меньшим количеством проблем по сравнению с OSPF.

⏺Простота расширения для IPv6: В отличие от OSPF, который имеет отдельные версии для IPv4 и IPv6, IS-IS легко расширяется для поддержки IPv6 без необходимости создавать отдельный протокол.

⏺Отсутствие зависимости от IP-адресов: IS-IS работает на канальном уровне (L2) и не зависит от IP-адресов, что упрощает управление и конфигурирование в некоторых случаях.

⏺Гибкость в структуре сети: IS-IS может быть легко интегрирован в любые сетевые архитектуры, что делает его более универсальным в использовании.

Настройка IS-IS на маршрутизаторах и коммутаторах

Для настройки IS-IS на маршрутизаторах и коммутаторах Cisco следует выполнить следующие шаги

Активировать IS-IS и задать имя процесса:

Router(config)# router isis
Router(config-router)# net 49.0001.1921.6800.1001.00

Настроить IS-IS на интерфейсах:

Router(config)# interface GigabitEthernet0/0
Router(config-if)# ip router isis
Router(config-if)# isis network point-to-point

Установить метрику для интерфейсов (по желанию):

Router(config-if)# isis metric 10

Активировать IS-IS для IPv6 (если необходимо):

Router(config)# interface GigabitEthernet0/0
Router(config-if)# ipv6 router isis

Пример конфигурации для маршрутизатора R1:

Router# configure terminal
Router(config)# hostname R1
R1(config)# router isis
R1(config-router)# net 49.0001.1921.6800.1001.00
R1(config)# interface GigabitEthernet0/0
R1(config-if)# ip router isis
R1(config-if)# isis network point-to-point
R1(config-if)# exit
R1(config)# interface GigabitEthernet0/1
R1(config-if)# ip router isis
R1(config-if)# isis network point-to-point
R1(config-if)# exit

Проверка работы IS-IS

Для проверки корректной работы протокола IS-IS можно использовать следующие команды

Проверка таблицы маршрутизации IS-IS:

Router# show isis route

Просмотр соседей IS-IS:

Router# show isis neighbors

Просмотр базы данных IS-IS:

Router# show isis database

⚡️ Эти команды помогут убедиться, что IS-IS настроен правильно и работает в соответствии с ожиданиями, обеспечивая маршрутизацию в вашей сети.

Читать полностью…

Резервирование в небольшой сети

Обеспечение надежности сети — важный аспект при ее проектировании, особенно для малых предприятий, где сбой в работе сети может привести к значительным затратам.

Чтобы минимизировать риски и повысить надежность, необходимо предусмотреть резервирование, которое позволяет устранить единые точки отказа.

Способы резервирования

Резервирование в сети может осуществляться различными способами, включая резервное оборудование и резервные сетевые каналы на критически важных участках.

На схеме показаны следующие уровни резервирования:

⏺Резервные серверы: В случае сбоя сервера доступны резервные серверы, обеспечивающие непрерывность работы приложений и служб.

⏺Резервные связи: Каждый сервер имеет два подключения, ведущих к двум коммутаторам, что обеспечивает альтернативные пути в случае сбоя основного канала.

⏺Резервные коммутаторы: Два коммутатора подключены друг к другу и к серверам, обеспечивая резервирование на уровне коммутации.

⏺Резервные маршрутизаторы: Два маршрутизатора соединены друг с другом и с коммутаторами, предоставляя резервные маршруты и защищая сеть от сбоев маршрутизаторов.

Рекомендации для малых сетей

В небольших сетях часто имеется единая точка выхода в Интернет через один или несколько шлюзов по умолчанию.

Однако сбой в работе маршрутизатора может оставить всю сеть без подключения к Интернету. 

Для повышения надежности малым предприятиям рекомендуется приобрести пакет услуг у другого провайдера в качестве резервного соединения.

☄️ Это обеспечит дополнительный уровень безопасности и позволит сохранить доступ к критически важным ресурсам в случае сбоя основного провайдера.

N.A. ℹ️ Help

Читать полностью…

📺 Шестой эпизод реалити «PT NGFW за стеклом»
|4 июля в 14:00|

Продолжаем развенчивать мифы вокруг IPS. Сегодня затронем тему экспертизы — той, о которой говорят все, но никто не знает, что скрывается за этим словом.

Алексей Леднев, руководитель отдела обнаружения атак PT ESC:
📍 Расскажет о нашем подходе к созданию сигнатур IPS
📍 Научит, как проверять качество выявления сетевых атак
📍 И ответит, так ли важно количество сигнатур, которыми хвастаются производители NGFW

Не переставайте задавать вопросы и пытаться загнать нас в тупик — это помогает нам создавать классный продукт.

Читать полностью…

Физическая защита

Не меньшее значение имеет физическая безопасность устройств. 

Злоумышленник может блокировать доступ к сетевым ресурсам, если их можно повредить на физическом уровне.

Имеется четыре класса угроз:

1️⃣ Угрозы для аппаратного обеспечения — физическое повреждение серверов, маршрутизаторов, коммутаторов, кабельных линий и рабочих станций.

2️⃣ Угрозы со стороны окружающей среды — предельные температуры (слишком высокие или слишком низкие) или крайние значения влажности (слишком низкая или слишком высокая).

3️⃣ Электрические угрозы — всплески напряжения, недостаточное напряжение в электрической сети (провалы напряжения), колебания напряжения (шум) и полное отключение электропитания.

4️⃣ Эксплуатационные угрозы — ненадлежащее обращение с ключевыми электрическими компонентами (электростатический разряд), нехватка важных запасных деталей, неправильная прокладка кабелей и ненадлежащая маркировка.

Хороший план физической безопасности должен быть создан и реализован для решения этих проблем.
Планирование физической системы безопасности в целях ограничения ущерба для оборудования.

⏺Поэтажный план безопасного компьютерного зала
⏺Планирование физической системы безопасности в целях ограничения ущерба для оборудования

Шаг 1. Блокирование оборудования и предотвращение несанкционированного доступа через двери, потолок, съемный пол, окна, вентиляционные и канализационные шахты
Шаг 2. Мониторинг и управление доступом к серверному шкафу с помощью электронной системы учета
Шаг 3. Использование камер системы безопасности

N.A. ℹ️ Help

Читать полностью…

Как мониторить SD-WAN

Реализация SD-WAN требует тщательного мониторинга сети. 

В этом посте мы рассмотрим ключевые проблемы SD-WAN и как мониторинг сети может помочь их преодолеть.

Исправление пути и аварийное переключение

SD-WAN автоматически корректирует пути и переключает трафик в случае аварии.

При наличии нескольких соединений (MPLS, широкополосное, LTE) маршрутизатор может перенаправлять трафик, обеспечивая надежность и качество.

Например, если один канал испытывает высокие задержки, маршрутизатор может использовать другой канал. 

Однако это может снизить общую производительность, особенно при дублировании пакетов.

Мониторинг помогает выявлять такие проблемы, предоставляя информацию о задержках, потере пакетов и полосе пропускания.

Сквозные сетевые тесты

Для эффективного устранения проблем важны сквозные сетевые тесты, которые включают:

• Задержка и потеря пакетов (пинг по ICMP или TCP)
• Джиттер для голосовой и видеосвязи (UDP iperf)
• Количество сетевых скачков и изменений пути (traceroute)
• Пропускная способность (iperf, NDT, speedtest)

Инструмент мониторинга должен учитывать весь путь трафика от пользователя до конечного пункта.

Решение включает активные агенты мониторинга, которые устанавливаются на периферии и собирают данные в реальном времени для анализа.

Мониторинг взаимодействия с конечным пользователем

Мониторинг взаимодействия с конечным пользователем включает:

• Время разрешения DNS
• Время загрузки HTTP
• Средняя оценка мнения (MOS) для VoIP
• Показатели производительности WiFi

Объединение активных и пассивных данных позволяет получить полное представление о производительности сети. 

Активные данные полезны для упреждающих предупреждений, а пассивные данные показывают использование полосы пропускания и производительность приложений.

⚡️Это помогает быстро решать проблемы, повышать производительность и удовлетворенность пользователей.

N.A. ℹ️ Help

Читать полностью…

Протокол VXLAN (Virtual Extensible LAN)

Virtual Extensible LAN (VXLAN) — это сетевой туннельный протокол, разработанный для создания логически изолированных виртуальных сетей поверх существующей физической инфраструктуры.

Основные особенности и применение

⏺Расширение пространства VLAN: Традиционные VLAN ограничены 4096 уникальными идентификаторами (VLAN ID). VXLAN расширяет это пространство до 16 миллионов уникальных сегментов, что делает его подходящим для масштабных сетей и облачных сред, где требуется большое количество изолированных виртуальных сетей.

⏺Масштабируемость и гибкость: VXLAN использует туннельный механизм поверх существующей IP-сети (обычно IPv4), что позволяет легко масштабировать сеть без изменения физической инфраструктуры. Это особенно полезно для дата-центров, где требуется быстрое и гибкое развертывание виртуальных сетей.

⏺Поддержка мультикаста и широковещания: VXLAN поддерживает передачу мультикастового и широковещательного трафика, что необходимо для многих сетевых служб и протоколов. Это делает VXLAN подходящим выбором для виртуализованных сред, требующих передачи таких типов трафика.

Пример настройки VXLAN:

Рассмотрим пример настройки VXLAN-туннеля между двумя коммутаторами.

На коммутаторе A:

interface nve1
  no shutdown
  source-interface loopback0
  member vni 5000
    ingress-replication protocol static
    peer-ip 192.168.1.2

На коммутаторе B:

interface nve1
  no shutdown
  source-interface loopback0
  member vni 5000
    ingress-replication protocol static
    peer-ip 192.168.1.1

В этом примере IP-адреса 192.168.1.1 и 192.168.1.2 являются адресами исходных интерфейсов коммутаторов.

⚡️Используемый VNI (VXLAN Network Identifier) равен 5000, что позволяет идентифицировать виртуальную сеть.

Читать полностью…

Не спешите покупать новый iPad Pro. Для начала проверьте свою удачу и попробуйте его выиграть в розыгрыше от Ситилинк.

Всё просто: нужно подписаться на телеграм-канал и нажать на кнопку под конкурсным постом. Итоги уже 24 июня.

Да, так легко можно стать обладателем свежего «яблока» 2024. Повезёт же кому-то!

erid: LjN8Juh9E

Читать полностью…

💣 Хардкорный тест для сетевых инженеров!
 
➡️Пройдите тест из 22 вопросов и получите скидку на онлайн-курс «Network Engineer» от OTUS! 10% скидка до 23 июня. 5% скидка до 30 июня. Спешите!
 
💻 В программе курса — все актуальные инструменты, необходимые сетевому инженеру. Возможна рассрочка.
 
➡️ ПРОЙТИ ТЕСТ: https://otus.pw/GHZCU/?erid=LjN8K4Kt1

Реклама. ООО "ОТУС ОНЛАЙН-ОБРАЗОВАНИЕ". ИНН 9705100963.

Читать полностью…

Типы LSA в OSPF

Link State Advertisements (LSA) — это объявления состояния канала, которые составляют основу работы OSPF, помогая создать карту сети с помощью алгоритма Дейкстры.

Рассмотрим основные типы LSA в OSPF:

⏺Router (Type 1) LSA: Type 1 LSA (также известный как Router LSA) используется для описания интерфейсов и соседей маршрутизатора внутри одной области. Он содержит информацию о всех интерфейсах маршрутизатора, участвующих в OSPF, и о его соседях, распространяется только внутри одной области.

⏺Network (Type 2) LSA: Type 2 LSA применяется на широковещательных сегментах для уменьшения количества смежностей. Он отправляется назначенным маршрутизатором (DR) и описывает все маршрутизаторы, подключенные к одному сегменту, помогая уменьшить хаос от большого количества смежных отношений.

⏺Summary (Type 3) LSA: Type 3 LSA используется для объявления префиксов из одной области в другую, обеспечивая полную достижимость внутри домена OSPF. Он распространяется маршрутизатором границы области (ABR) между областями, предоставляя информацию о префиксах, полученных из Type 1 и Type 2 LSA.

⏺ASBR Summary (Type 4) LSA: Type 4 LSA служит для уведомления маршрутизаторов в разных областях о существовании пограничного маршрутизатора автономной системы (ASBR). Эта Summary LSA предоставляет идентификатор маршрутизатора ASBR, а Area Border Router (ABR) отвечает за его распространение в другие области.

⏺External (Type 5) LSA: Type 5 LSA используется для распространения внешних префиксов, полученных из других доменов маршрутизации. Эти LSA создаются ASBR и передаются через ABR в другие области, обеспечивая маршрутизацию внешних префиксов.

⏺NSSA External (Type 7) LSA: Type 7 LSA используется в Not So Stubby Area (NSSA) для передачи внешних префиксов. В NSSA внешние префиксы передаются как Type 7 LSA. ABR преобразует их в Type 5 для распространения в другие области.

N.A. ℹ️ Help

Читать полностью…

Работа протокола BGP с IPv6

BGP был изначально разработан для поддержки множества различных протоколов и NLRI, включая IPv6, MPLS и VPN.

После освоения основ BGP, работа с этим протоколом в контексте IPv6 становится достаточно простой.

BGP позволяет использовать IPv4 в качестве "несущего" протокола для IPv6 NLRI.

Рассмотрим конфигурацию с двумя простыми маршрутизаторами.

Настройка IPv4 "перевозящего" IPv6 NLRI:

ATL#conf t
ATL(config)#ipv6 unicast-routing
ATL(config)#route-map IPV6NH permit 10
ATL(config-route-map)#set ipv6 next-hop 2001:1212:1212::1
ATL(config)#int lo 100
ATL(config-if)#ipv6 address 2001:1111:1111::/64 eui-64
ATL(config)#router bgp 200
ATL(config-router)#neighbor 10.10.10.2 remote-as 200
ATL(config-router)#address-family ipv4 unicast 
ATL(config-router-af)#neighbor 10.10.10.2 activate 
ATL(config-router)#address-family ipv6 unicast 
ATL(config-router-af)#neighbor 10.10.10.2 activate
ATL(config-router-af)#neighbor 10.10.10.2 route-map IPV6NH out
ATL(config-router-af)#network 2001:1111:1111::/64
ATL#end

Проверка конфигурации:

ATL#show ip bgp ipv6 unicast
ATL2#ping 2001:1111:1111:0:C801:6FF:FEDB:0

Для более "чистой" конфигурации можно использовать IPv6 для передачи информации IPv6 префикса.

Настройка BGP с IPv6:

ATL1#conf t
ATL1(config)#router bgp 200
ATL1(config-router)#bgp router-id 1.1.1.1
ATL1(config-router)#neighbor 2001:1212:1212::2 remote-as 200
ATL1(config-router)#address-family ipv6 unicast
ATL1(config-router-af)#neighbor 2001:1212:1212::2 activate
ATL1(config-router-af)#network 2001:1111:1111::/64
ATL1#end

Для проверки соседства BGP используйте команду show bgp ipv6 unicast summary.

BGP также поддерживает фильтрацию для IPv6, как и для IPv4.

Методы фильтрации включают списки префиксов, фильтрацию AS Path и route maps.

Фильтрация префиксов IPv6 в BGP:

ATL#conf t
ATL(config)#ipv6 prefix-list MYTEST deny 2001:1111:1111::/64
ATL(config)#ipv6 prefix-list MYTEST permit ::/0 le 128
ATL(config)#router bgp 200
ATL(config-router)#address-family ipv6 unicast
ATL(config-router-af)#neighbor 2001:1212:1212::2 prefix-list MYTEST out
ATL#end
ATL#clear ip bgp *

Эти примеры демонстрируют, как гибко и просто BGP может быть настроен для работы с IPv6, обеспечивая при этом эффективную маршрутизацию и безопасность.

N.A. ℹ️ Help

Читать полностью…

Хочешь попасть в IT и AI?

Вот тут ребята расскажут, как получить новую профессию за 4 месяца и зарабатывать от 60 до 100 тысяч в месяц!

Если кратко, то на вебинаре расскажут про две профессии будущего:
1. Data-annotator (это тот, кто готовит датасеты для компьютерного зрения, размечает и фильтрует изображения)
2. AI-тренер — работает с chatGPT и другими речевыми моделями для создания нейро-сотрудников, готовит базы знаний компании

В такие профессии легко залететь за 4 месяца без знаний программирования. Хороший доход, удаленка. А самое главное, что спрос на такие профессии будет только расти!

Регистрируйся прямо сейчас и узнай, как получить новую IT-профессию за 4 месяца!

Читать полностью…

Погрузитесь в мир Python с нашим бесплатным курсом!

🎓 Включено 45 уроков, 56 упражнений в тренажере и 163 проверочных теста. Узнаете, как создавать программы, работать с условиями и функциями.

Что вы освоите:
— Составление программ из нескольких модулей.
— Анализ ошибок в коде с использованием отладочной печати.

📚 Курс охватывает основы Python: синтаксис, условия, циклы, типы данных и библиотеки. Практика на каждом шаге поможет вам уверенно использовать язык.

Начните свое обучение с бесплатного базового курса Python и вы сможете создавать несложные программы, а так же анализировать ошибки в коде!

Читать полностью…