3 полезных протокола для работы в сети

Сетевые протоколы играют ключевую роль в обеспечении обмена данными между устройствами в сети. 

Помимо хорошо известных протоколов, таких как TCP/IP, HTTP, и FTP, существуют менее известные, но не менее важные протоколы, которые могут значительно облегчить работу сетевых администраторов и улучшить производительность сети.

NTP (Network Time Protocol)

NTP — протокол для синхронизации времени на устройствах в сети.

Обеспечивает точность времени на всех устройствах.

Практическое применение:

⏺Синхронизация времени: Обеспечивает единое время на всех устройствах, что важно для логов и диагностики сетевых проблем.

⏺Безопасность: Помогает в обнаружении аномалий и несанкционированного доступа, фиксируя точное время событий.

⏺Координация действий: Необходим для работы некоторых сетевых приложений и протоколов, требующих синхронизации времени.

Команды на Cisco:

Switch(config)# ntp server 192.168.1.1
Switch# show ntp status

IGMP (Internet Group Management Protocol)

IGMP — протокол, используемый для управления группами мультикастинга в IP-сетях.

Он позволяет устройствам сообщать о своем желании присоединиться или покинуть мультикаст-группы.

⏺Эффективное использование полосы пропускания: Мультикаст позволяет отправлять данные группе получателей одновременно, снижая нагрузку на сеть.

⏺Стриминг и трансляции: Используется для приложений, требующих передачи данных множеству получателей, таких как видеотрансляции и аудиоконференции.

Команды на Cisco:

Switch(config)# ip igmp snooping
Switch# show ip igmp groups

VRRP (Virtual Router Redundancy Protocol)

VRRP — протокол, обеспечивающий резервирование маршрутизаторов.

Позволяет нескольким маршрутизаторам совместно использовать один виртуальный IP-адрес для повышения надежности сети.

⏺Обеспечение отказоустойчивости: В случае выхода из строя основного маршрутизатора, резервный маршрутизатор автоматически берет на себя его функции.

⏺Балансировка нагрузки: Распределение трафика между несколькими маршрутизаторами для улучшения производительности сети.

Команды на Cisco:

Router(config)# interface GigabitEthernet0/0
Router(config-if)# vrrp 1 ip 192.168.1.1
Router(config-if)# vrrp 1 priority 120
Router# show vrrp

N.A. ℹ️ Help

Читать полностью…

Для того, чтобы писать качественные и "шустрые" приложения, недостаточно выучить язык программирования. Вам нужно чётко понимать, каким образом ваш код преобразуется в инструкции для центрального процессора.

🔹 Приглашаем на авторский вебинар Дмитрия Кириллова «Основы компиляции программ с примерами на C, Java и Haskell»  от Otus, 13 июня в 20:00. 

Рассмотрим примеры копиляции на принципиально разных языках: C, Java и Haskell

👉 Регистрация:
https://clck.ru/3B7nMP?erid=LjN8K9jnr

Читать полностью…

Как провести радиопланирование с Ekahau

Wi-Fi-сети стали неотъемлемой частью нашей жизни, но их покрытие не всегда эффективно. 

Для решения этой проблемы существует набор инструментов Ekahau Connect для разработки и оптимизации Wi-Fi-сетей.

Инструменты Ekahau Connect

⏺Ekahau Pro Site Survey Tool

• Основной инструмент для планирования, анализа и оптимизации сетей Wi-Fi.
• Поддерживает Windows и Mac OS, а также все актуальные стандарты Wi-Fi до Wi-Fi 6.
• Прост в использовании и быстр в работе.

⏺Ekahau Sidekick

• Многофункциональный измерительный прибор с двумя радиомодулями Wi-Fi.
• Используется для сбора данных и устранения неполадок.
• Поддерживает iPad, MacOS и Windows, работает по принципу Plug and Play.

⏺Ekahau Survey

• Профессиональное решение для диагностики сетей Wi-Fi на iPad.
• Легкий в использовании, подходит для начинающих специалистов.
• Определяет доступные сети и составляет их карту покрытия.

⏺Ekahau Capture

• Позволяет быстро захватывать пакеты данных для анализа.
• Легок в обращении, рекомендуется использовать с Ekahau Sidekick для оптимальной работы.

⏺Ekahau Cloud

• Облачная технология для хранения и совместного использования данных.
• Позволяет работать над одним проектом целой группе специалистов.

Ekahau Connect идеален для масштабных внедрений Wi-Fi, особенно в сложных условиях, таких как толстые перекрытия и помехи.

⚡️Эти инструменты помогают избежать долгих процедур по поиску и устранению проблем с точками доступа.

N.A. ℹ️ Help

Читать полностью…

Поможем освоить методологию DevOps и выйти на новый профессиональный уровень за 4 месяца. Курс «Основы DevOps» стартует 17 июня.

ВЫ ОСВОИТЕ:

- Контейнеризацию и оркестрацию с использованием Docker и Kubernetes

- Основы Linux и Git

- Принципы работы с инфраструктурой, контейнерами, CI/CD

- Методы статического анализа для оценки безопасности кода

- Компьютерные сети, базы данных и Bash-скрипты

- Мониторинг жизненного цикла приложений

- Системы управления конфигурацией

КУРС ПОДОЙДЕТ:

- Новичкам: для старта карьеры в команде продуктовой разработки

- Разработчикам: для автоматизации и оптимизации процессов

- Руководителям проектов: для повышения эффективности своей команды

Пишите нам @Codeby_Academy

или звоните 84994441750

Подробнее о курсе → здесь

Читать полностью…

Популярные методы выполнения сегментации сети

Если вы собираетесь использовать сегментацию сети, тогда вам потребуется обратить внимание на следующие ключевые задачи:

⏺Определить, действительно ли пользователь принадлежит той или иной группе в сети;
⏺Ограничить доступ к интернет-трафику юзеров из одной группы, от группы других;
⏺Предоставить юзерам разрешение на использование только разрешенных ресурсов, а также требуется наложить запрет на остальную информацию.

Решением первой задачи является использование технологии 802.1x в корпоративных сетях.

То есть использование дополнительного фактора (например, учетки в AD и сертификата) для получения доступа в сеть.

Вторая проблема решается с помощью создания дополнительных виртуальных сетей, путем создания разных для сотрудников разных департаментов и т.д - отдельный серверный сегмент, отдельная DMZ и пр.

Для решения третьей задачи обычно используется фильтрация на основе IP-адресов.

Контроль доступа обычно может быть реализован двумя способами: грубыми средствами и тонкой фильтрацией. 

🔥Это реализуется с помощью листов контроля доступа - обычных, расширенных и динамических.

N.A. ℹ️ Help

Читать полностью…

Протокол GRE: Создание туннелей для виртуальных сетей

Generic Routing Encapsulation (GRE) — это протокол туннелирования, который позволяет инкапсулировать различные типы сетевых пакетов в IP-туннели.

Основной принцип работы GRE заключается в добавлении новой заголовочной информации к исходному пакету, что позволяет передавать его через промежуточные сети. 

В результате оригинальный пакет "заворачивается" в GRE-заголовок и IP-заголовок, что позволяет ему путешествовать по маршрутам, как обычный IP-пакет.

Примеры использования GRE для создания туннелей между удаленными сетями

⏺Соединение филиалов: GRE используется для создания туннелей между головным офисом и филиалами компании.

⏺Виртуальные частные сети (VPN): GRE-туннели часто применяются для создания VPN, где требуется передавать нестандартные или многоадресные трафики.

⏺Транзит между различными сетевыми протоколами: GRE позволяет инкапсулировать различные типы трафика, включая IPv6 в IPv4, что делает его полезным для интеграции сетей с разными протоколами.

Настройка GRE туннелей на маршрутизаторах

Чтобы настроить GRE туннель на маршрутизаторе, необходимо выполнить следующие шаги.

1️⃣ Создание интерфейса туннеля:

interface Tunnel0
ip address 192.168.1.1 255.255.255.0
tunnel source 10.0.0.1
tunnel destination 10.0.0.2

В этом примере интерфейс туннеля (Tunnel0) получает IP-адрес 192.168.1.1.

Параметры tunnel source и tunnel destination указывают IP-адреса исходного и конечного маршрутизаторов соответственно.

2️⃣ Настройка маршрутизации:

Добавьте маршрут для направления трафика через туннель:

ip route 172.16.0.0 255.255.255.0 192.168.1.2

Здесь 172.16.0.0 — это сеть, к которой нужно получить доступ через туннель, а 192.168.1.2 — IP-адрес на удаленной стороне туннеля.

3️⃣ Проверка туннеля:

Убедитесь, что туннель работает корректно, используя команды для проверки состояния туннеля:

show ip interface brief
show interface Tunnel0

N.A. ℹ️ Help

Читать полностью…

Сейчас я с удивлением отмечаю, что половина моих клиентов работают в ИТ. Это каждый второй!

Теперь я точно знаю, какую недвижимость предлагать ИТ-специалистам и какие варианты будут для них наиболее привлекательными.

Одни из лучших предложений на этой неделе:

Топ 5 квартир БЕЗ ПЕРВОНАЧАЛЬНОГО ВЗНОСА🔥

Мне доставляет огромное удовольствие находить такие замечательные объекты и договариваться о таких условиях для вас!

Свяжитесь со мной @Rail_Renevada !
Если вам нужна консультация по этим объектам и условиям, пожалуйста, укажите ваши ФИО и номер телефона в личных сообщениях!

Читать полностью…

Типы IPv6-адресов одноадресной рассылки

Индивидуальный адрес служит для однозначного определения интерфейса устройства под управлением протокола IPv6. 

Пакет, который отправляется на такой адрес, будет получен интерфейсом, назначенным для этого адреса.

Как и в случае с протоколом IPv4, IPv6-адрес должен быть индивидуальным. IPv6-адрес назначения может быть как индивидуальным, так и групповым.

Адреса IPv6 для одноадресной рассылки

• Глобальный индивидуальный адрес
• Локальный адрес канала
• Обратная петля
• Неопределенный адрес
• Уникальный локальный адрес
• Встроенный iPv4- адрес

В отличие от устройств IPv4, имеющих только один адрес, адреса IPv6 обычно имеют два одноадресных адреса:

⏺Глобальный индивидуальный адрес аналогичен публичному IPv4-адресу. Эти адреса, к которым можно проложить маршрут по Интернету, являются уникальными по всему миру. Глобальные индивидуальные адреса могут быть настроены статически или присвоены динамически.

⏺Локальный адрес канала (LLA) — это необходимо для каждого устройства с поддержкой IPv6. Локальные адреса канала используются для обмена данными с другими устройствами по одному локальному каналу.

В протоколе IPv6 термин «канал» означает подсеть. Локальные адреса каналов ограничены одним каналом. Они должны быть уникальны только в рамках этого канала, поскольку вне канала к ним нельзя проложить маршрут.

🔥Другими словами, маршрутизаторы не смогут пересылать пакеты, имея локальный адрес канала источника или назначения.

N.A. ℹ️ Help

Читать полностью…

Длина префикса IPv6-адреса

Как вы помните, префикс, или сетевая часть адреса IPv4, может быть обозначен маской подсети в десятичном формате с разделительными точками или длиной префикса (запись с наклонной чертой).

Например, IPv4-адрес 192.168.1.10 с маской подсети в десятичном формате с разделительными точками 255.255.255.0 эквивалентен записи 192.168.1.10/24.

В IPv4 /24 называется префиксом.

В IPv6 это называется длиной префикса. IPv6 не использует для маски подсети десятичное представление с разделительными точками.

⏺Как и IPv4, длина префикса представлена в виде косой черты и используется для указания сетевой части адреса IPv6.

Диапазон длины префикса может составлять от 0 до 128. 

Обычная длина префикса IPv6 для локальных сетей и большинства сетей других типов — /64.

64 бита
Префикс
2001:0 дБ 8:000 а:0000

64 бита
Идентификатор интерфейса
0000:0000:0000:0000

Пример: 2001:db8:a::/64

Это означает, что длина префикса, или сетевая часть адреса, составляет 64 бита, а оставшиеся 64 бита остаются для идентификатора интерфейса (хостовой части) адреса.

Настоятельно рекомендуется использовать 64-битный идентификатор интерфейса для большинства сетей. 

⚡️Это связано с тем, что автоконфигурация адресов без учета (SLAAC) использует 64 бита для идентификатора интерфейса. Это также упрощает создание и управление подсетями.

N.A. ℹ️ Help

Читать полностью…

Статический и динамический NAT

Static NAT

Статический NAT использует сопоставление локальных и глобальных адресов один к одному.

Эти сопоставления настраиваются администратором сети и остаются постоянными. 

Когда устройства отправляют трафик в Интернет, их внутренние локальные адреса переводятся в настроенные внутренние глобальные адреса.

Для внешних сетей эти устройства имеют общедоступные IPv4-адреса.

Статический NAT особенно полезен для веб-серверов или устройств, которые должны иметь согласованный адрес, доступный из Интернета, как например веб-сервер компании.

Статический NAT требует наличия достаточного количества общедоступных адресов для удовлетворения общего количества одновременных сеансов пользователя.

Статическая NAT таблица выглядит так:

Inside Local Adress - Inside Global Adress

192.168.1.2 - 208.165.17.5
192.168.1.3 - 208.165.17.6
192.168.1.4 - 208.165.17.7

Dynamic NAT

Динамический NAT использует пул публичных адресов и назначает их по принципу «первым пришел, первым обслужен». 

Когда внутреннее устройство запрашивает доступ к внешней сети, динамический NAT назначает доступный общедоступный IPv4-адрес из пула.

Подобно статическому NAT, динамический NAT требует наличия достаточного количества общедоступных адресов для удовлетворения общего количества одновременных сеансов пользователя.

Динамическая NAT таблица выглядит так:

Inside Local Adress - Inside Global Adress

192.168.1.2 - 208.165.17.5
Available - 208.165.17.6
Available - 208.165.17.7
Available - 208.165.17.8

N.A. ℹ️ Help

Читать полностью…

Поднимаем OSPF на оборудовании Cisco

Настройка OSPF (Open Shortest Path First) довольна проста и чем-то похожа на протоколы маршрутизации RIP и EIGRP, то есть состоит из двух основных шагов:

⏺включения протокола глобальной командой router ospf PROCESS_NUMBER;
⏺выбора сетей, которые протокол будет «вещать», для чего используется команда(ы) network 255.255.255.255 0.0.0.255 AREA_NUMBER;

Как сразу заметно, в OSPF появляется указание «зоны» - area. 

Первая команда включения говорит сама за себя, но поясним про PROCESS_NUMBER и AREA_NUMBER – это номер процесса и номер зоны соответственно.

Для установления соседства номер процесса OSPF не должен быть одинаковым, но обязательно должен совпадать номер зоны.

Интерфейсы и сети указываем через обратную маску.

Пример настройки OSPF

Компьютер - 10.0.1.0/24 - маршрутизатор R1 - 172.16.0.0/24 - маршрутизатор R2 - 192.168.0.0 - компьютер

В нашей топологии у маршрутизаторов R1 и R2 есть напрямую подключенные подсети.

Нам нужно включить данные подсети в процесс динамической маршрутизации OSPF.

Для этого нам сначала нужно включить OSPF на обоих маршрутизаторах и затем «вещать» данные сети с помощью команды network.

На маршрутизаторах переходим в глобальный режим конфигурации и вводим следующие команды, в соответствии с нашей схемой:



router ospf 1
network 10.0.1.0 0.0.0.255 area 0
network 172.16.0.0 0.0.255.255 area 0





router ospf 1
network 192.168.0.0 0.0.0.255 area 0
network 172.16.0.0 0.0.255.255 area 0



Далее нам нужно проверить, заработала ли динамическая маршрутизация, и для этого используем команды show ip ospf neighbors и show ip route.

Вот и все – также просто, как и настроить RIP: главное не забывать указывать одинаковый номер автономной системы.

⏺Первая команда должна показать «соседа» - на обоих маршрутизаторах убедитесь, что там указан адрес другого маршрутизатора в выводе данной команды.

⏺Вторая команда выведет таблицу маршрутизации, и, маршруты, получаемые по OSPF, будут отмечены буквой O.

N.A. ℹ️ Help

Читать полностью…

28 мая в 10:00 (МСК) на бесплатном вебинаре познакомим с линейкой магистральных маршрутизаторов Eltex.

Расскажем об основных функциях и производительности устройств, разберём особенности аппаратной платформы и ПО линейки.

Ждём сетевых инженеров и других спецов, которые занимаются управлением сетевой инфраструктурой и заинтересованы в повышении её эффективности.

👉 Участие бесплатное, зарегистрируйтесь, чтобы не пропустить 

Реклама. ООО "ПРЕДПРИЯТИЕ "ЭЛТЕКС". ИНН 5410108110. erid: LjN8KbKtZ

Читать полностью…

Команды проверки конфигурации

Ниже приведены наиболее популярные show команды, используемые для проверки конфигурации интерфейса.

show ip interface brief
show ipv6 interface brief



💬 Выходные данные содержат все интерфейсы, их IP адреса, а также их текущее состояние. Активные и действующие интерфейсы представлены значением «up» в столбцах «Status» и «Protocol». Любые другие значения будут означать наличие проблемы либо с настройками, либо с подключением кабелей.

show ip route
show ipv6 route



💬 Отображает содержимое таблицы маршрутизации IPv4, которая хранится в ОЗУ.

show interfaces



💬 Отображает статистические сведения по всем интерфейсам устройства. Тем не менее, эта будет отображать только информацию об адресации IPv4.

show ip interfaces



💬 Отображает статистику IPv4 всех интерфейсов маршрутизатора.

show ipv6 interface



💬 Отображает статистику IPv6 всех интерфейсов маршрутизатора.

Настройка IP Traffic Export в Cisco

Начиная с версий 12.3 Cisco анонсировала фичу под названием IP Traffic Exporter. Сегодня поговорим о ней.

N.A. ℹ️ Help

Читать полностью…

Настройка IP Traffic Export в Cisco

Начиная с версий 12.3 Cisco анонсировала фичу под названием IP Traffic Exporter. Сегодня поговорим о ней.

Настройка IP Traffic Exporter

Давайте представим, что у нас есть IP – телефон с адресом 192.168.2.13 и его трафик мы хотим зеркалировать.

Условно говоря, процесс настройки мы можем разбить на следующие конфигурационные шаги:

⏺Создаем ACL (access control list) для сопоставления трафика, который нас интересует;
⏺Создаем профиль для экспортера;
⏺Добавляем интерфейс в профиль;
⏺Конфигурируем направления для ACL;
⏺Назначаем IP Traffic Exporter на интерфейс;

Начнем? Создаем ACL:

access-list 100 permit 192.168.2.13



Далее, мы создадим профиль экспорта и назовем его EXP_PHONE. Настройку его сделаем в режиме захвата (capture).

Внутри настройки профиля, мы укажем длину пакетов в 512 и повесим свежесозданный ACL 100:

ip traffic-export profile EXP_PHONE capture
 outgoing access-list 100
 length 512



Как и в других системах, в IOS необходимо применить вашу конфигурацию.

Мы заходим в режим настройки интерфейса и включаем захват трафика. Сделать это можно следующим образом:

interface FastEthernet1
 ip traffic-export apply EXP_PHONE size 1024



В команде size мы задаем размер буфера для пакетов.

Теперь, нам нужно включить экспортер трафика, чтобы сделать это, укажем следующие команды:

interface FastEthernet1
merion# traffic-export interface fa1 start //данная команда начинает захват трафика
merion# traffic-export interface fa1 stop //данная команда останавливает захват трафика
merion# traffic-export interface fa1 copy flash:
Capture buffer filename []? merion_dump
Capture buffer copy operation to flash may take a while. Continue? [confirm]
Copying capture buffer to flash:merion_dump
806 bytes copied.
merion#



Мы сделали копирование на flash память маршрутизатора.

N.A. ℹ️ Help

Читать полностью…

Cisco ASA: блокировка доступа к сайтам

Сегодня мы обсудим, как можно заблокировать к определенным вебсайтам (к их доменам) с самым обычным межсетевым экраном Cisco ASA.

Данный метод работает как на старых 5500 моделях, так и на новых 5500-X. 

Единственное требование – наличие версии ПО старше 8.4(2).

Важный момент – даже если данное решение по блокировке вебсайтов выглядит довольно простым, оно не является заменой полноценному веб-прокси серверу.

В случае Cisco, таким решением является Cisco WSA – Web Security Appliance.

Используемые методы

Всего существует несколько способов блокировки страниц в интернете:

• Регулярные выражения с MPF (Modular Policy Framework);
• Блокировка по сетевому адресу с помощью листов контроля доступа (ACL);
• Используя FQDN (Fully Qualified Domain Name) в листе контроля доступа (ACL);

1️⃣Первый метод работает довольно хорошо с HTTP сайтами, но он не будет работать от слова совсем с HTTPS сайтами.

2️⃣Второй метод будет работать только для простых сайтов, у которых статический IP – адрес, то есть будет очень трудоемко настроить его для работы с такими сайтами как Facebook, VK, Twitter и т.д.

Поэтому, в этом посте мы опишем третий метод.

Описание настройки

При использовании версии ПО выше или равной 8.4(2), появилась возможность добавлять в ACL такие объекты как FQDN (полные доменные имена).

Таким образом, вы можете разрешить или запретить доступ к хостам используя их доменные имена вместо IP – адресов.

Создание расширенного ACL:

access-list <номер_ACL> extended deny tcp any host <IP_сайта> eq www

Эта команда создает расширенный ACL для блокировки доступа к веб-сайту с указанным IP-адресом.

Применение ACL к интерфейсу входящего трафика:

access-group <номер_ACL> in interface <название_интерфейса>

Эта команда применяет созданный ACL к интерфейсу, через который проходит входящий трафик.

Сохранение настроек:

write memory

Эта команда сохраняет текущую конфигурацию устройства.

N.A. ℹ️ Help

Читать полностью…

Коммутатор Juniper и его базовая настройка

Компания Juniper является очень крупным производителем сетевого оборудования в мире - после Cisco and Huawei.

После того как вы купили, установили и скоммутировали новое оборудование, возникает вопрос о его правильной настройке.

Преимуществом коммутаторов от производителя Juniper, в основном, является возможность объединения до шести коммутаторов в одно единое устройство с надежным и удобным управлением портами, сохраняя стабильную и бесперебойную работу сети.

• Настройка сетевого интерфейса
• Настройка QoS (качество обслуживания)
• Virtual Chassis (объединение коммутаторов)
• Реализация возможности сброса до заводских настроек

Настроив данные компоненты, вы сможете реализовать работу сети с использованием в ней большого количества устройств для осуществления передачи трафика.

Настройка сетевого интерфейса

Интерфейс коммутатора отвечает за реализацию передачи данных между сетью и пользователем, что и является главной задачей коммутатора.

Его конфигурация осуществляется с помощью следующих строк кода:

root> configure
Entering configuration mode
[edit]
root# edit interfaces
[edit interfaces]
root#



Конфигурация L3:

[edit interfaces]
root

# set em0 unit 0 family inet address 100.0.0.1/30



Где: Em0 - физический интерфейс, а Family inet - позволяет выбрать протокол интерфейса.

Команда "show" позволит из Configuration Mode проверить результат вашей настройки:

[edit interfaces]
root# show
em0 {
unit 0 {
family inet {
address 100.0.0.1/30;
}
}
}
[edit interfaces]



Теперь примените настройки с помощью следующей команды:

root# commit
commit complete



С помощью команды ping осуществим проверку конфигурации:

root> ping 100.0.0.2 rapid
PING 100.0.0.2 (100.0.0.2): 56 data bytes
!!!!!
--- 100.0.0.2 ping statistics ---
5 packets transmitted, 5 packets received, 0% packet loss
round-trip min/avg/max/stddev = 0.402/0.719/1.306/0.343 ms



Конфигурация L2



root> configure
Entering configuration mode
[edit]
root# edit interfaces em0
[edit interfaces em0]

Необходимо задать дуплекс на интерфейсе:

[edit interfaces em0]
root# set link-mode full-duplex
[edit interfaces em0]
root#



L2 - устройства, работающие на канальном уровне, при этом коммутатором занимается фреймами. А L3 взаимодействуют с IP-адресами и осуществляют маршрутизацию.

☄️ Конфигурация L3 включает большее число параметров за счет расширенного функционала.

N.A. ℹ️ Help

Читать полностью…

Установка связи с удаленным узлом с помощью команды ping

Команду ping также можно использовать для проверки способности хоста обмениваться данными с другими сетями.

С локального узла можно отправить эхо-запрос на рабочий IPv4-узел удаленной сети, как показано на схеме. 

Маршрутизатор использует таблицу IP-маршрутизации для пересылки пакетов.

Если ping-запрос был отправлен успешно, можно проверить межсетевое взаимодействие на большом участке.

⏺Успешная отправка межсетевого ping-запроса подтверждает подключение к локальной сети, работоспособность маршрутизатора, выполняющего роль шлюза.

А также работоспособность других маршрутизаторов на пути между локальной сетью и сетью удаленного узла.

Кроме того, может быть проверена работоспособность удаленного узла. 

Если бы удаленный узел не мог передавать данные за пределы своей локальной сети, он бы не ответил на эхо-запрос.

Многие сетевые администраторы ограничивают или запрещают ввод ICMP-сообщений в корпоративную сеть.

⚡️В связи с этим меры по обеспечению безопасности могут стать причиной отсутствия ping-ответа.

N.A. ℹ️ Help

Читать полностью…

Разделение сети iPv6 на подсети с использованием идентификатора подсети

Напомним, что с IPv4 мы должны заимствовать биты из части хоста для создания подсетей.

Это связано с тем, что подсеть была задним числом с IPv4. 

Однако IPv6 был разработан с учетом подсетей. Для создания подсетей используется отдельное поле ID подсети в GUA IPv6.

Как показано на рисунке, поле ID подсети — это область между префиксом глобальной маршрутизации и идентификатором интерфейса.

На картинке показаны части GUA.

Во-первых, 48-битный префикс глобальной маршрутизации, за которым следует 16-битный идентификатор подсети, затем, наконец, 64-битный идентификатор интерфейса.

Префикс маршрутизации A / 48 + 16-битный идентификатор подсети = префикс /64.

GUA с 16-разрядным идентификатором подсети

Преимущество 128-битного адреса заключается в том, что он может поддерживать более чем достаточное количество подсетей и узлов в каждой подсети для каждой сети.

Решение проблемы сохранения не является проблемой. 

Например, если префикс глобальной маршрутизации имеет значение /48 и использует типичные 64 бита для идентификатора интерфейса, это создаст 16-битный идентификатор подсети:

⏺16-битный идентификатор подсети - создает до 65 536 подсетей.
⏺64-битный идентификатор интерфейса. Поддерживает до 18 квинтиллионов IPv6-адресов на подсеть (т. е. 18 000 000 000 000 000 000).

Разбиение на подсети с помощью 64-битного идентификатора интерфейса (или узловой части) также возможно, но требуется редко.

Кроме того, разбиение на подсети IPv6 проще в реализации, чем IPv4, поскольку не нужно выполнять преобразование в двоичный формат.

🔥 Чтобы определить следующую доступную подсеть, достаточно рассчитать следующее шестнадцатеричное число.

N.A. ℹ️ Help

Читать полностью…

Ограничения традиционных методов сегментации

Если использовать популярные подходы для исправления второй и третьей задачи из прошлого поста, большинство функций вы будете выполнять вручную, особенно когда будете использовать сеть.

Эта ситуация станет более ощутимой, ведь после сегментирования среда будет динамичной. 

Например, могут отличаться:

⏺Некоторые правила, которые тесно связаны с обновлениями служб защиты, а также которые управляют ресурсами и сотрудниками компаний;
⏺Количество групп юзеров, которое может меняться от условий реорганизации внутри организации, а от различных дополнений ресурсов в сети и так далее;
⏺Расположение групп пользователей, в связи с чем может возникнуть необходимость расширить сегментацию на новые части сети;

Поддержание сегментации сети становиться все более сложной в зависимости от динамики роста количества сотрудников и различных устройств - то есть сегментация это не единовременная операция, а постоянный и очень важный процесс.

На данный момент также популярным подходом становится программно-определяемая сегментация сети, к примеру у Cisco это протокол TrustSec.

🔥 Этот подход позволяет полностью уйти от IP-адресации и не мучаться с перекраиванием листов контроля доступа в случае смены VLAN-а или изменения топологии сети.

Ставь 👍, если понравилась серия постов о сегментации сети.

N.A. ℹ️ Help

Читать полностью…

RPKI: что это и почему важно?

RPKI (Resource Public Key Infrastructure) — это уровень безопасности для протокола BGP, обеспечивающий криптографическое подтверждение владельца сетевых ресурсов.

BGP не предусматривает понятия владельца, что позволяет любому объявить лучший маршрут, иногда случайно или злоумышленно.

RPKI базируется на стандарте PKI (Public Key Infrastructure) согласно RFC 6480, применяя криптографию для безопасной маршрутизации.

Почему RPKI важен?

RPKI делает BGP более безопасным и надежным. Безопасность BGP — системная проблема, особенно актуальная с ростом Интернета.

Нарушение маршрутизации может привести к:

⏺Кражам данных (Amazon: кража криптовалюты через угон DNS).
⏺Утечкам данных (Mastercard, Visa: утечка префиксов).

Какую защиту предлагает RPKI?

Проблемы BGP возникают чаще всего из-за человеческих ошибок.

RPKI использует криптографическую модель для аутентификации владельцев IP-адресов через открытые ключи и сертификаты, добавляя уровень безопасности к IPv4 и IPv6.

Эти сертификаты продлеваются ежегодно, аналогично HTTPS для веб-страниц. 

Как работает RPKI?

RIR (Regional Internet Registry) обеспечивает корневое доверие. IANA (Internet Assigned Numbers Authority), часть ICANN, распределяет IP-адреса региональным RIR, которые затем распределяют их локальным сетям.

Это создает доверенную цепочку сертификатов.

ROA

ROA (Route Origin Authorization) — это документ, подтверждающий право AS (Autonomous System) объявлять определенные префиксы.

Например, если AS65005 объявляет маршрут 1.0.0.0/8, ROA подтверждает его право.

Как развертывается RPKI?

Сертификаты и ROA доступны в публичных хранилищах. 

Каждая сеть проверяет подписи сертификатов и срок действия ROA. Если проверка не удалась, ROA игнорируется.

Результаты проверки:

⏺Действительное: ROA присутствует, префикс и номер AS совпадают.
⏺Недопустимое: ROA присутствует, но данные не совпадают.
⏺Не найдено или неизвестно: ROA отсутствует.

N.A. ℹ️ Help

Читать полностью…

Уникальный локальный адрес

Уникальные локальные адреса (диапазон fc00::/7 до fdff::/7) пока не реализованы.

Таким образом, этот модуль охватывает только конфигурацию GUA и LLA. 

Однако уникальные локальные адреса могут использоваться для адресов устройств, которые не должны быть доступны извне, таких как внутренние серверы и принтеры.

Уникальные локальные IPv6-адреса имеют некоторые общие особенности с частными адресами RFC 1918 для IPv4, но при этом между ними имеются и значительные различия.

⏺Уникальные локальные адреса используются для локальной адресации в пределах узла или между ограниченным количеством узлов.
⏺Уникальные локальные адреса могут использоваться для устройств, которым никогда не понадобится использование других сетей или получение из них данных.
⏺Уникальные локальные адреса не маршрутизируются глобально и не преобразуются в глобальный адрес IPv6.

Многие сайты используют частные адреса RFC 1918, чтобы обеспечить безопасность или защитить сеть от потенциальных угроз.

⚡️Однако обеспечение безопасности никогда не было целью технологий NAT/PAT, поэтому организация IETF всегда рекомендовала принимать соответствующие меры предосторожности при использовании маршрутизаторов в Интернете.

N.A. ℹ️ Help

Читать полностью…

RIPv1 и RIPv2: в чем разница?

1️⃣Routing Information Protocol Version 1 (RIPv1)

Прямо и по пунктам:

RIPv1 это Distance-Vector протокол. Если переводить на русский - дистанционно-векторный.

Distance vector routing - так называемая дистанционно-векторная маршрутизация, главный принцип которой основан на вычислении специальных метрик, которые определяют расстояние (количество узлов) до сети назначения

RIPv1 это classfull протокол. Это означает, что он не отправляет маску подсети в апдейтах маршрутизации

RIPv1 не поддерживает VLSM (Variable Length Subnet Masking)

VLSM (Variable Length Subnet Masking) - метод эффективного использования IP – адресации, который избавляет от привязки к классу сети (класс A, класс B, класс C). VLSM позволяет дробить подсеть на подсеть и так далее. Тем самым, мы можем эффективно использовать адресное пространство согласно реальных потребностей, а не класса сети

RIPv1 поддерживает максимум 15 хопов! Это означает, что любой маршрутизатор, который расположен от вас в больше, чем 15 узлов (маршрутизаторов) будет отмечен как недоступный

Раз в 30 секунд RIPv1 отправляет широковещательные апдейты маршрутизации – каждый узел должен принять и обработать этот апдейт

2️⃣Routing Information Protocol Version 2 (RIPv2)

RIPv2 это гибридный протокол. Он реализован на базе Distance-Vector, но так же поддерживает часть алгоритмов Link State маршрутизации, то есть, может отслеживать состояние каналов

Link State routing - отслеживает состояние каналов и отправляет LSA (Link-state advertisement) пакеты, в которых рассказывает о состоянии своих каналов. Примером link state протокола маршрутизации является OSPF

RIPv2 - classless протокол. В отличие от своего старшего брата первой версии, второая версия умеет отправлять маску подсети в апдейтах маршрутизации

RIPv2 поддерживает VLSM!

RIPv2, как и RIPv1 поддерживает максимум 15 хопов

RIPv2 отправляет мультикаст сообщения об апдейтах на адрес 224.0.0.9. Это уменьшает нагрузку на сеть и в первую очередь на узлы, на которых не запущен RIP

N.A. ℹ️ Help

Читать полностью…

Друзья! Прокачайте скиллы в проектировании архитектуры сетей, навыках настройки сетевого оборудования и способах противодействия распространенным угрозам. Курс “Компьютерные сети” стартует 3 июня.

ЧТО ВНУТРИ КУРСА?
- Изучение топологии сетей, видов сетевого оборудования
- Маршрутизация данных и управление доступом к среде
- Протокол IP, транспортный и прикладной уровни
- Система имен DNS, безопасность в сетях и противодействие атакам

КОМУ ПОЛЕЗЕН КУРС?
- Junior IT-специалистам, системным администраторам, Web-разработчикам, сетевым инженерам, которые хотят досконально освоить архитектуру сетей

ВЫ ПОЛУЧИТЕ:
- Сертификат/удостоверение о повышении квалификации
- Сопровождение и поддержку Академии Кодебай
- Возможности трудоустройства/стажировки

Пишите нам @Codeby_Academy
или звоните +74994441750

Подробнее о курсе → здесь

Читать полностью…

Хотите получить навыки работы с одной из самых востребованных операционных систем в мире?
 
🐧  Тогда курс «Linux для начинающих» от OTUS — идеальный выбор для вас!
 
Между прочим, курс «Linux для начинающих» сейчас доступен за всего 🔟 ₽ вместо 7000 ₽!
 
➡️ Записаться на курс: https://otus.pw/nhPj/?erid=LjN8JxGXR

Linux — одна из самых распространенных ОС в мире, знание базовых возможностей и умение обращаться с Linux может значительно усилить возможности в карьерном росте!
 
Что из себя представляет курс?
— 3 модуля с видеолекциями
— Комплексные знания по основам Linux
— Можно учиться в любом месте, где есть доступ в интернет
— Закрепление знаний с помощью тестов
 
Спикер курса Андрей Буранов — системный администратор VK, работает с Linux более 7 лет и успешно преподает.

🤝 В качестве бонуса для более эффективной учебы дарим бонус "10 базовых команд Linux"!

Читать полностью…

Ну все! Теперь не нужно тратить деньги на топовые курсы и книги по программированию — их выложили в Telegram бесплатно

Все найденные курсы собирают тут — @portalToIT

По этим курсам выучить любой язык за 7 дней вообще не проблема, находка для начинающих программистов.

Читать полностью…

Устаревшая классовая адресация

В 1981 г. IPv4-адреса в сети Интернет назначались с помощью классовой адресации согласно RFC 790 (Назначенные адреса).

Заказчикам выделялся сетевой адрес на основе одного из трех классов: A, B или C. 

Согласно стандарту RFC одноадресные диапазоны делятся на следующие классы.

⏺Класс A (от 0.0.0.0/8 до 127.0.0.0/8) разработан для очень крупных сетей, имеющих более 16 млн адресов хостов. Для обозначения сетевого адреса IPv4-адреса класса А использовали фиксированный префикс /8 с первым октетом. Остальные три октета использовались для адресов хостов.

⏺Класс B (от 128.0.0.0/16 до 191.255.0.0/16) разработан для поддержки потребностей средних и крупных сетей, содержащих приблизительно 65 000 адресов хостов. Адрес класса B использовал фиксированный префикс /16, два старших октета для обозначения сетевого адреса. Оставшиеся два октета определяли адреса хостов.

⏺Класс C (от 192.0.0.0/24 до 223.255.255.0/24) предназначен для небольших сетей с количеством хостов не более 254. Блоки адресов класса С использовали префикс /24 для трех старших октетов для указания адреса сети и последний октет для указания адресов хостов.

Также имеется многоадресный блок класса D (от 224.0.0.0 до 239.0.0.0) и блок экспериментальных адресов класса E (от 240.0.0.0 до 255.0.0.0).

В то время, с ограниченным количеством компьютеров, использующих Интернет, классическая адресация была эффективным средством распределения адресов.

Сети классов A и B имеют очень большое количество адресов узлов, а класс C имеет очень мало. 

На сети класса А приходится 50% сетей IPv4.

Это привело к тому, что большинство доступных адресов IPv4 не используются.

В середине 1990-х годов, с появлением World Wide Web (WWW), классическая адресация устарела, чтобы более эффективно распределять ограниченное адресное пространство IPv4.

⚡️Классовое распределение адресов было заменено бесклассовой адресацией, которая используется сегодня.

N.A. ℹ️ Help

Читать полностью…

Многоадресная рассылка

Многоадресная рассылка уменьшает трафик, позволяя узлу отправлять один пакет выбранной группе узлов, которые подписаны на группу многоадресной рассылки.

Многоадресный пакет — это пакет с IP-адресом назначения, который является адресом многоадресной рассылки. 

Для многоадресной рассылки в протоколе IPv4 зарезервированы адреса от 224.0.0.0 до 239.255.255.255.

Узлы, которые получают конкретные многоадресные данные, называются клиентами многоадресной рассылки.

⏺Клиенты многоадресной рассылки используют сервисы, запрошенные программой клиента для подписки на группу многоадресной рассылки.

Каждая группа многоадресной рассылки представлена одним групповым IPv4-адресом назначения.

Когда IPv4-узел подписывается на группу многоадресной рассылки, он обрабатывает пакеты, адресованные на этот групповой адрес, а также пакеты, адресованные на его уникальный индивидуальный адрес.

Протоколы маршрутизации, такие как OSPF, используют многоадресную передачу. 

Например, маршрутизаторы с включенной функцией OSPF взаимодействуют друг с другом, используя зарезервированный адрес многоадресной рассылки OSPF 224.0.0.5.

⚡️Только устройства с поддержкой OSPF будут обрабатывать эти пакеты с адресом IPv4 назначения 224.0.0.5. Все остальные устройства будут игнорировать эти пакеты.

N.A. ℹ️ Help

Читать полностью…

Свершилось! В Telegram добавили бесплатный @ChatGPT4o

Малый пример того, что может данный бот:

-Кодить, обучать кодингу
-Анализ и исправление ошибок в вашем коде
-Создать качественную песню по твоему тексту
-Ставить диагноз по вашим симптомам
-Рисовать картины по вашему описанию
-Быть психологом, СММщиком, мотиватором
-Писать резюме/рефераты/статьи/песни/рассказы/контент на любые темы
-Без рекламы и VPN

И многое другое! Возможности бота ограничены только вашей фантазией. Пользуйтесь и делитесь с друзьями! 👉🏻@ChatGPT4o

Читать полностью…

🔥 Программистика - канал для тех, кто стремится изучить python!

Там тебя ждет:

🗣бесценный опыт автора
🗣Огромная библиотека книг по python
🗣разборы кода
🗣фундаментальные статьи и шпаргалки
🗣и многое другое!

👍 Заходи и не упускай возможность стать профи с Программистикой!

Читать полностью…

Хочешь изучать DevOps? Но не знаешь где взять информацию и четкий план?

💪 Тогда лови бесплатный мета-курс Devops Roadmap - это расширенный чек-лист, который поможет сориентироваться в мире DevOps и стать крутым спецом.

👀 В мета-курсе перечислены все основные разделы и навыки, которыми должен обладать DevOps инженер: от Linux до программирования.

✔️А еще он будет полезен при подготовке к собеседованиям.

👽 Кстати, бонусом крутой канал о девопс. Там тоже самые свежие IT-новости, полезные советы от DevOps-инженера с 20-летним стажем, эксклюзивные материалы, релизы топовых инструментов, обзоры вакансий и личный взгляд на девопс-сферу.

Читать полностью…