Конфигурация VCP вручную

Первый пост из серии тут

Включите все коммутаторы, также вам понадобятся их заводская маркировка, которую следует записать.

Для примера используем следующие:

CT0216330172
CV0216450257



Включите коммутатор, который будет выполнять функцию master switch, после чего сделайте сброс настройка с помощью следующей строки кода:

request system zeroize



Перезагрузив систему, выполните следующие строки:

ezsetup
set system host-name sw_master
set system domain-name metholding.int
set system domain-search metholding.int
set system time-zone Europe/Moscow
set system root-authentication plain-text-password
set system name-server 10.10.6.26
set system name-server 10.10.6.28
set system services ssh protocol-version v2
set system ntp server 10.10.1.130 version 4
set system ntp server 10.10.1.130 prefer
set vlans Management description 10.10.45.0/24
set vlans Management vlan-id 100
set vlans Management l3-interface vlan.1
set interfaces vlan unit 1 family inet address 10.10.45.100/24
set routing-options static route 0.0.0.0/0 next-hop 10.10.45.1
set interfaces ge-0/0/47 unit 0 family ethernet-switching port-mode trunk
set interfaces ge-0/0/47 unit 0 family ethernet-switching vlan members Management



Активируем preprovisioned configuration mode:

set virtual-chassis preprovisioned



Вносим серийные номера оборудования:

set virtual-chassis member 0 serial-number CT02/16330172 role routing-engine
set virtual-chassis member 1 serial-number CV0216450257 role routing-engine
set virtual-chassis no-split-detection



Проверьте результат, с помощью следующей строки:

root@sw-master> show virtual-chassis status



Обнулите конфигурацию и включайте остальные коммутаторы:

request system zeroize



Раздел virtual-chassis в конфигурации должен быть пустой, а для подстраховки, используйте команду:

delete virtual-chassis



Настроим порты VCP для каждого коммутатора. Для данного примера, соедините коммутаторы портами ge-0/0/0 и ge-0/0/1 соответственно.

Теперь задайте эти строки кода на каждом из коммутаторов:

request virtual-chassis vc-port set pic-slot 0 port 0
request virtual-chassis vc-port set pic-slot 0 port 1
--------------------ВЫВОД----------------------------
root> show interfaces terse
Interface Admin Link Proto Local Remote
vcp-255/0/0 up up
vcp-255/0/0.32768 up up
vcp-255/0/1 up up
vcp-255/0/1.32768 up up
ge-0/0/2 up down
ge-0/0/2.0 up down eth-switch



Теперь два коммутатора объединились, проверить можно с помощью команды:

show virtual-chassis status
show virtual-chassis vc-port



Если вы захотите добавить дополнительных участников к virtual-chassis, вам будет необходимо очистить конфигурацию нового коммутатора:

show interfaces terse | match vcp



Если есть, их надо удалить с командой:

request virtual-chassis vc-port delete pic-slot 0 port 0



Внесите серийный номер дополнительного устройства:

set virtual-chassis member 2 serial-number CT0217190258 role line-card



Настройка портов VCP в новом коммутаторе, в котором мы соединяем следующими портами - ge-0/0/0 и ge-0/0/1:

request virtual-chassis vc-port set pic-slot 0 port 0
request virtual-chassis vc-port set pic-slot 0 port 1



Теперь проверьте их наличие:

show interfaces terse | match vcp

Читать полностью…

Протоколы группы FHRP (First Hop Redundancy Protocols)

Протоколы группы FHRP предназначены для обеспечения высокой доступности и отказоустойчивости первого шага (first hop) в сетях, использующих маршрутизацию по умолчанию.

Они обеспечивают управление виртуальным IP-адресом, который может переходить с одного активного маршрутизатора на другой в случае отказа.

Рассмотрим основные протоколы этой группы: HSRP, VRRP и GLBP.

1️⃣ HSRP (Hot Standby Router Protocol)

HSRP является протоколом Cisco, предназначенным для обеспечения резервирования первого шага. 

Он позволяет группе маршрутизаторов выбрать один активный маршрутизатор и несколько резервных (standby) маршрутизаторов.

Активный маршрутизатор выполняет пересылку пакетов для виртуального IP-адреса, в то время как резервные маршрутизаторы остаются в готовности, ожидая перехода в активное состояние при отказе текущего активного маршрутизатора.

⏺Используется в средах Cisco для обеспечения отказоустойчивости шлюза по умолчанию.

⏺Поддерживает только один активный маршрутизатор, что может быть недостаточно для некоторых требований масштабируемости.

2️⃣ VRRP (Virtual Router Redundancy Protocol)

VRRP — это открытый стандартный протокол, который выполняет функции, аналогичные HSRP. 

Он позволяет нескольким маршрутизаторам объединиться в группу и выбрать один из них в качестве виртуального маршрутизатора.

Виртуальный маршрутизатор имеет свой собственный виртуальный IP-адрес, который перенаправляется на текущий активный маршрутизатор в группе.

⏺Широко используется в различных сетевых устройствах и операционных системах для обеспечения отказоустойчивости шлюза.

⏺Поддерживает концепцию мастер-соединения (master election), что позволяет легко масштабировать сеть с большим количеством маршрутизаторов.

3️⃣ GLBP (Gateway Load Balancing Protocol)

GLBP является проприетарным протоколом Cisco, который расширяет функциональность HSRP и VRRP.

Тем самым протокол позволяет активным маршрутизаторам распределять нагрузку между собой.

В GLBP несколько маршрутизаторов могут быть активными и выполнять балансировку нагрузки между собой, обеспечивая высокую доступность и использование ресурсов.

⏺Идеально подходит для сетей с высокой нагрузкой, где требуется равномерное распределение трафика между несколькими шлюзами.

⏺Поддерживает не только отказоустойчивость, но и улучшенную производительность сети за счет балансировки нагрузки.

N.A. ℹ️ Help

Читать полностью…

Типы уязвимостей

Уязвимость — степень незащищенности, присущая каждой сети и устройству, включая маршрутизаторы, коммутаторы, настольные компьютеры, серверы и устройства безопасности.

Три основных типа уязвимостей: технологические, конфигурационные и уязвимости политики безопасности.

⏺Технологические уязвимости

• Уязвимости протоколов TCP/IP: Протоколы HTTP, FTP и ICMP ненадежны. SNMP и SMTP имеют небезопасную структуру.

• Уязвимости операционных систем: Все операционные системы, такие как UNIX, Linux, Mac OS, Windows Server 2012, Windows 7, Windows 8, имеют проблемы безопасности, задокументированные в архивах CERT.

• Уязвимости сетевого оборудования: Маршрутизаторы, брандмауэры и коммутаторы имеют недостатки безопасности, такие как слабая защита паролем и отсутствие аутентификации.

⏺Конфигурационные уязвимости

• Незащищенные учетные записи пользователей: Информация может передаваться небезопасно, подвергая риску имена пользователей и пароли.

• Пароли, которые легко подобрать: Неграмотно выбранные пароли легко взломать.

• Ошибки в конфигурации интернет-служб: Неправильные настройки JavaScript, терминальных служб, FTP или веб-серверов создают уязвимости.

• Незащищенные настройки по умолчанию: Настройки по умолчанию могут стать источником проблем с безопасностью.

• Ошибки в конфигурации сетевого оборудования: Неправильные списки доступа, протоколы маршрутизации или пароли SNMP создают дыры в безопасности.

⏺Уязвимости политики безопасности

• Отсутствие утвержденной политики безопасности: Без утвержденной политики невозможно обеспечить ее соблюдение.

• Конфликты политик безопасности: Сложности в согласованном применении политик.

• Отсутствие непрерывной аутентификации: Слабые пароли или использование паролей по умолчанию приводят к несанкционированному доступу.

• Не применяются логические элементы управления доступом: Плохой мониторинг и учет позволяют атаки и несанкционированное использование ресурсов.

• Несоответствие установки и модификации оборудования политике безопасности: Несанкционированные изменения топологии сети создают проблемы безопасности.

• Отсутствие плана аварийного восстановления: Атаки без плана восстановления приводят к хаосу и панике.

N.A. ℹ️ Help

Читать полностью…

TKIP, CCMP и GCMP. Про безопасность Wi-Fi

Стандарт 802.11 поддерживал только один способ защиты данных, передаваемых по WI-FI, от перехвата - это WEP.

Какие же еще существуют способы шифрования и защиты данных при передаче по Wi-Fi?

⏺TKIP

В свое время WEP применялся на беспроводном оборудовании клиента и точки доступа, но он был сильно уязвим.

На смену WEP пришел протокол целостности временного ключа (Temporal Key Integrity Protocol (TKIP).

TKIP добавляет следующие функции безопасности на устаревшем оборудовании и при использовании базового шифрования WEP:

• MIC: этот эффективный алгоритм шифрования добавляет хэш-значение к каждому кадру в качестве проверки целостности сообщения, чтобы предотвратить подделку.
• Time stamp: метка времени добавляется в MIC, чтобы предотвратить атаки, которые пытаются повторно использовать или заменить кадры, которые уже были отправлены.
• Счетчик последовательностей TKIP: эта функция обеспечивает запись кадров, отправленных по уникальному MAC-адресу, чтобы предотвратить использование повторение кадров в качестве атаки.
• Алгоритм смешивания ключей: этот алгоритм вычисляет уникальный 128-битный WEP-ключ для каждого кадра.

До 2012 года протокол шифрования TKIP был достаточно безопасным методом защиты данных. Он применялся до тех пор, пока не появился стандарт 802.11i.

Злоумышленники не оставили в стороне протокол TKIP. Было создано много алгоритмов атак против TKIP, поэтому его тоже следует избегать, если есть более лучший метод защиты данных в беспроводных сетях.

⏺CCMP

Протокол Counter/CBC-MAC (CCMP) считается более безопасным, чем TKIP. 

CCMP состоит из двух алгоритмов:

• AES шифрование в режиме счетчика
• Cipher Block Chaining Message Authentication Code (CBC-MAC) используется в качестве проверки целостности сообщения (MIC)

Расширенный стандарт шифрования (AES)- это текущий алгоритм шифрования, принятый Национальным институтом стандартов и технологий США (NIST) и правительством США и широко используемый во всем мире.

Другими словами, AES является открытым, общедоступным и представляет собой самый безопасный метод шифрования на данный момент времени.

Для использования протокола защиты CCMP, необходимо убедиться, что устройства и точки доступа поддерживают режим счетчика AES и CBC-MAC на аппаратном уровне. 

⏺GCMP

Протокол Galois/Counter Mode Protocol (GCMP)- это надежный набор шифрования, который является более безопасным и эффективным, чем CCMP.

GCMP состоит из двух алгоритмов:

• AES шифрование в режиме счетчика
• Galois Message Authentication Code (GMAC) используется в качестве проверки целостности сообщения (MIC)
GCMP используется в WPA3.

N.A. ℹ️ Help

Читать полностью…

Восстановление образа маршрутизатора Cisco IOS

Что делать если у вас повредился образ операционной системы Cisco IOS вашего роутера?

Из этой неприятной ситуации есть выход, и я расскажу, что нужно сделать.

Процесс

Вы можете восстановить Cisco IOS, используя TFTP-сервер.

Поскольку IOS находится во флэш-памяти маршрутизатора, поэтому сначала необходимо создать резервную копию флэш-файла IOS на TFTP-сервере, а затем восстановить IOS из флэш-файла, который вы сохранили на TFTP-сервере.

Сначала выполните команду show flash, чтобы проверить имя файла флэш-памяти и скопировать имя файла.

Затем выполните следующие команды, чтобы создать резервную копию флэш-файла на TFTP-сервере.

Router#copy flash tftp
Address or name of remote host []? < type tftp server IP address >
Source filename []? < paste the flash file name >
Destination filename [c2600-i-mz.122-28.bin]? < press enter to accept the default file name >
Do you want to overwrite? [confirm] < press enter to overwrite the file >



Теперь перезагрузите роутер. Когда роутер будет загружаться, нажмите CTRL + Pause Break, чтобы войти в режим ROMMON.

Либо можно стереть flash память командой delete flash: и роутер будет автоматически переведен в режим ROMMON, поскольку флэш-память отсутствует.

Как только вы войдете в режим ROMMON, вы увидите приглашение:
rommon>

⏺В режиме ROMMON выполните следующие команды для восстановления Cisco IOS из режима ROMMON, где нужно указать сетевые настройки роутера, адрес TFTP сервера и имя файла, который вы загружаете как образ IOS.

В конце выполните команду tftpdnld.

rommon 1> IP_ADDRESS = 192.168.1.1
rommon 2> IP_SUBNET_MASK = 255.255.255.0
rommon 3> DEFAULT_GATEWAY = 192.168.1.100
rommon 4> TFTP_SERVER = 192.168.1.100
rommon 5> TFTP_FILE = c2600-i-mz.122-28.bin
rommon 6> tftpdnld 



Далее мы получим предупреждение что все данные будут потеряны, и чтобы продолжить нажимаем Y.

Флэш-файл будет загружен на маршрутизатор с TFTP-сервера.

После восстановления файла флэш-памяти выполните команду reset, чтобы перезагрузить роутер.

🔥Теперь маршрутизатор загрузится с новым образом IOS.

N.A. ℹ️ Help

Читать полностью…

Исчерпание адресов: как решить?

Первая часть с частыми проблемами и их решением тут

⏺Исчерпание IP-адресов

Чтобы устранить эту проблему, используйте команду ipconfig. 

Если рабочая станция назначила себе IP-адрес, который начинается с 169.x.x.x, это означает, что IP-адрес не был доступен с сервера DHCP.

⏺Быстрое исправление

У некоторых пользователей проводного интернета может не быть локального маршрутизатора, и в этом случае IP-адреса назначаются на ограниченной основе непосредственно от вашего интернет-провайдера.

Возможно, у вас закончились разрешенные IP-адреса от вашего интернет-провайдера.

Решением этой проблемы является покупка либо автономного маршрутизатора, либо точки доступа WiFi со встроенным маршрутизатором.

Это создает ваш собственный локальный пул внутренних адресов, гарантируя, что вы не закончите.

Если у вас уже есть локальный маршрутизатор с DHCP, пул адресов по умолчанию может быть слишком мал для вашей сети.

Получив доступ к настройкам DHCP на маршрутизаторе, вы можете настроить размер пула адресов в соответствии с потребностями вашей сети.

⏺Превентивные меры

Важно, чтобы в любой сети, подключенной к Интернету, был локальный маршрутизатор, работающий с NAT и DHCP, как из соображений безопасности, так и для предотвращения исчерпания IP-адреса.

⚡️Маршрутизатор должен быть единственным устройством, подключенным к модему, а все остальные устройства подключаются через маршрутизатор.

N.A. ℹ️ Help

Читать полностью…

3 полезных протокола для работы в сети

Сетевые протоколы играют ключевую роль в обеспечении обмена данными между устройствами в сети. 

Помимо хорошо известных протоколов, таких как TCP/IP, HTTP, и FTP, существуют менее известные, но не менее важные протоколы, которые могут значительно облегчить работу сетевых администраторов и улучшить производительность сети.

NTP (Network Time Protocol)

NTP — протокол для синхронизации времени на устройствах в сети.

Обеспечивает точность времени на всех устройствах.

Практическое применение:

⏺Синхронизация времени: Обеспечивает единое время на всех устройствах, что важно для логов и диагностики сетевых проблем.

⏺Безопасность: Помогает в обнаружении аномалий и несанкционированного доступа, фиксируя точное время событий.

⏺Координация действий: Необходим для работы некоторых сетевых приложений и протоколов, требующих синхронизации времени.

Команды на Cisco:

Switch(config)# ntp server 192.168.1.1
Switch# show ntp status

IGMP (Internet Group Management Protocol)

IGMP — протокол, используемый для управления группами мультикастинга в IP-сетях.

Он позволяет устройствам сообщать о своем желании присоединиться или покинуть мультикаст-группы.

⏺Эффективное использование полосы пропускания: Мультикаст позволяет отправлять данные группе получателей одновременно, снижая нагрузку на сеть.

⏺Стриминг и трансляции: Используется для приложений, требующих передачи данных множеству получателей, таких как видеотрансляции и аудиоконференции.

Команды на Cisco:

Switch(config)# ip igmp snooping
Switch# show ip igmp groups

VRRP (Virtual Router Redundancy Protocol)

VRRP — протокол, обеспечивающий резервирование маршрутизаторов.

Позволяет нескольким маршрутизаторам совместно использовать один виртуальный IP-адрес для повышения надежности сети.

⏺Обеспечение отказоустойчивости: В случае выхода из строя основного маршрутизатора, резервный маршрутизатор автоматически берет на себя его функции.

⏺Балансировка нагрузки: Распределение трафика между несколькими маршрутизаторами для улучшения производительности сети.

Команды на Cisco:

Router(config)# interface GigabitEthernet0/0
Router(config-if)# vrrp 1 ip 192.168.1.1
Router(config-if)# vrrp 1 priority 120
Router# show vrrp

N.A. ℹ️ Help

Читать полностью…

Для того, чтобы писать качественные и "шустрые" приложения, недостаточно выучить язык программирования. Вам нужно чётко понимать, каким образом ваш код преобразуется в инструкции для центрального процессора.

🔹 Приглашаем на авторский вебинар Дмитрия Кириллова «Основы компиляции программ с примерами на C, Java и Haskell»  от Otus, 13 июня в 20:00. 

Рассмотрим примеры копиляции на принципиально разных языках: C, Java и Haskell

👉 Регистрация:
https://clck.ru/3B7nMP?erid=LjN8K9jnr

Читать полностью…

Как провести радиопланирование с Ekahau

Wi-Fi-сети стали неотъемлемой частью нашей жизни, но их покрытие не всегда эффективно. 

Для решения этой проблемы существует набор инструментов Ekahau Connect для разработки и оптимизации Wi-Fi-сетей.

Инструменты Ekahau Connect

⏺Ekahau Pro Site Survey Tool

• Основной инструмент для планирования, анализа и оптимизации сетей Wi-Fi.
• Поддерживает Windows и Mac OS, а также все актуальные стандарты Wi-Fi до Wi-Fi 6.
• Прост в использовании и быстр в работе.

⏺Ekahau Sidekick

• Многофункциональный измерительный прибор с двумя радиомодулями Wi-Fi.
• Используется для сбора данных и устранения неполадок.
• Поддерживает iPad, MacOS и Windows, работает по принципу Plug and Play.

⏺Ekahau Survey

• Профессиональное решение для диагностики сетей Wi-Fi на iPad.
• Легкий в использовании, подходит для начинающих специалистов.
• Определяет доступные сети и составляет их карту покрытия.

⏺Ekahau Capture

• Позволяет быстро захватывать пакеты данных для анализа.
• Легок в обращении, рекомендуется использовать с Ekahau Sidekick для оптимальной работы.

⏺Ekahau Cloud

• Облачная технология для хранения и совместного использования данных.
• Позволяет работать над одним проектом целой группе специалистов.

Ekahau Connect идеален для масштабных внедрений Wi-Fi, особенно в сложных условиях, таких как толстые перекрытия и помехи.

⚡️Эти инструменты помогают избежать долгих процедур по поиску и устранению проблем с точками доступа.

N.A. ℹ️ Help

Читать полностью…

Поможем освоить методологию DevOps и выйти на новый профессиональный уровень за 4 месяца. Курс «Основы DevOps» стартует 17 июня.

ВЫ ОСВОИТЕ:

- Контейнеризацию и оркестрацию с использованием Docker и Kubernetes

- Основы Linux и Git

- Принципы работы с инфраструктурой, контейнерами, CI/CD

- Методы статического анализа для оценки безопасности кода

- Компьютерные сети, базы данных и Bash-скрипты

- Мониторинг жизненного цикла приложений

- Системы управления конфигурацией

КУРС ПОДОЙДЕТ:

- Новичкам: для старта карьеры в команде продуктовой разработки

- Разработчикам: для автоматизации и оптимизации процессов

- Руководителям проектов: для повышения эффективности своей команды

Пишите нам @Codeby_Academy

или звоните 84994441750

Подробнее о курсе → здесь

Читать полностью…

Популярные методы выполнения сегментации сети

Если вы собираетесь использовать сегментацию сети, тогда вам потребуется обратить внимание на следующие ключевые задачи:

⏺Определить, действительно ли пользователь принадлежит той или иной группе в сети;
⏺Ограничить доступ к интернет-трафику юзеров из одной группы, от группы других;
⏺Предоставить юзерам разрешение на использование только разрешенных ресурсов, а также требуется наложить запрет на остальную информацию.

Решением первой задачи является использование технологии 802.1x в корпоративных сетях.

То есть использование дополнительного фактора (например, учетки в AD и сертификата) для получения доступа в сеть.

Вторая проблема решается с помощью создания дополнительных виртуальных сетей, путем создания разных для сотрудников разных департаментов и т.д - отдельный серверный сегмент, отдельная DMZ и пр.

Для решения третьей задачи обычно используется фильтрация на основе IP-адресов.

Контроль доступа обычно может быть реализован двумя способами: грубыми средствами и тонкой фильтрацией. 

🔥Это реализуется с помощью листов контроля доступа - обычных, расширенных и динамических.

N.A. ℹ️ Help

Читать полностью…

Протокол GRE: Создание туннелей для виртуальных сетей

Generic Routing Encapsulation (GRE) — это протокол туннелирования, который позволяет инкапсулировать различные типы сетевых пакетов в IP-туннели.

Основной принцип работы GRE заключается в добавлении новой заголовочной информации к исходному пакету, что позволяет передавать его через промежуточные сети. 

В результате оригинальный пакет "заворачивается" в GRE-заголовок и IP-заголовок, что позволяет ему путешествовать по маршрутам, как обычный IP-пакет.

Примеры использования GRE для создания туннелей между удаленными сетями

⏺Соединение филиалов: GRE используется для создания туннелей между головным офисом и филиалами компании.

⏺Виртуальные частные сети (VPN): GRE-туннели часто применяются для создания VPN, где требуется передавать нестандартные или многоадресные трафики.

⏺Транзит между различными сетевыми протоколами: GRE позволяет инкапсулировать различные типы трафика, включая IPv6 в IPv4, что делает его полезным для интеграции сетей с разными протоколами.

Настройка GRE туннелей на маршрутизаторах

Чтобы настроить GRE туннель на маршрутизаторе, необходимо выполнить следующие шаги.

1️⃣ Создание интерфейса туннеля:

interface Tunnel0
ip address 192.168.1.1 255.255.255.0
tunnel source 10.0.0.1
tunnel destination 10.0.0.2

В этом примере интерфейс туннеля (Tunnel0) получает IP-адрес 192.168.1.1.

Параметры tunnel source и tunnel destination указывают IP-адреса исходного и конечного маршрутизаторов соответственно.

2️⃣ Настройка маршрутизации:

Добавьте маршрут для направления трафика через туннель:

ip route 172.16.0.0 255.255.255.0 192.168.1.2

Здесь 172.16.0.0 — это сеть, к которой нужно получить доступ через туннель, а 192.168.1.2 — IP-адрес на удаленной стороне туннеля.

3️⃣ Проверка туннеля:

Убедитесь, что туннель работает корректно, используя команды для проверки состояния туннеля:

show ip interface brief
show interface Tunnel0

N.A. ℹ️ Help

Читать полностью…

Сейчас я с удивлением отмечаю, что половина моих клиентов работают в ИТ. Это каждый второй!

Теперь я точно знаю, какую недвижимость предлагать ИТ-специалистам и какие варианты будут для них наиболее привлекательными.

Одни из лучших предложений на этой неделе:

Топ 5 квартир БЕЗ ПЕРВОНАЧАЛЬНОГО ВЗНОСА🔥

Мне доставляет огромное удовольствие находить такие замечательные объекты и договариваться о таких условиях для вас!

Свяжитесь со мной @Rail_Renevada !
Если вам нужна консультация по этим объектам и условиям, пожалуйста, укажите ваши ФИО и номер телефона в личных сообщениях!

Читать полностью…

Типы IPv6-адресов одноадресной рассылки

Индивидуальный адрес служит для однозначного определения интерфейса устройства под управлением протокола IPv6. 

Пакет, который отправляется на такой адрес, будет получен интерфейсом, назначенным для этого адреса.

Как и в случае с протоколом IPv4, IPv6-адрес должен быть индивидуальным. IPv6-адрес назначения может быть как индивидуальным, так и групповым.

Адреса IPv6 для одноадресной рассылки

• Глобальный индивидуальный адрес
• Локальный адрес канала
• Обратная петля
• Неопределенный адрес
• Уникальный локальный адрес
• Встроенный iPv4- адрес

В отличие от устройств IPv4, имеющих только один адрес, адреса IPv6 обычно имеют два одноадресных адреса:

⏺Глобальный индивидуальный адрес аналогичен публичному IPv4-адресу. Эти адреса, к которым можно проложить маршрут по Интернету, являются уникальными по всему миру. Глобальные индивидуальные адреса могут быть настроены статически или присвоены динамически.

⏺Локальный адрес канала (LLA) — это необходимо для каждого устройства с поддержкой IPv6. Локальные адреса канала используются для обмена данными с другими устройствами по одному локальному каналу.

В протоколе IPv6 термин «канал» означает подсеть. Локальные адреса каналов ограничены одним каналом. Они должны быть уникальны только в рамках этого канала, поскольку вне канала к ним нельзя проложить маршрут.

🔥Другими словами, маршрутизаторы не смогут пересылать пакеты, имея локальный адрес канала источника или назначения.

N.A. ℹ️ Help

Читать полностью…

Длина префикса IPv6-адреса

Как вы помните, префикс, или сетевая часть адреса IPv4, может быть обозначен маской подсети в десятичном формате с разделительными точками или длиной префикса (запись с наклонной чертой).

Например, IPv4-адрес 192.168.1.10 с маской подсети в десятичном формате с разделительными точками 255.255.255.0 эквивалентен записи 192.168.1.10/24.

В IPv4 /24 называется префиксом.

В IPv6 это называется длиной префикса. IPv6 не использует для маски подсети десятичное представление с разделительными точками.

⏺Как и IPv4, длина префикса представлена в виде косой черты и используется для указания сетевой части адреса IPv6.

Диапазон длины префикса может составлять от 0 до 128. 

Обычная длина префикса IPv6 для локальных сетей и большинства сетей других типов — /64.

64 бита
Префикс
2001:0 дБ 8:000 а:0000

64 бита
Идентификатор интерфейса
0000:0000:0000:0000

Пример: 2001:db8:a::/64

Это означает, что длина префикса, или сетевая часть адреса, составляет 64 бита, а оставшиеся 64 бита остаются для идентификатора интерфейса (хостовой части) адреса.

Настоятельно рекомендуется использовать 64-битный идентификатор интерфейса для большинства сетей. 

⚡️Это связано с тем, что автоконфигурация адресов без учета (SLAAC) использует 64 бита для идентификатора интерфейса. Это также упрощает создание и управление подсетями.

N.A. ℹ️ Help

Читать полностью…

Не спешите покупать новый iPad Pro. Для начала проверьте свою удачу и попробуйте его выиграть в розыгрыше от Ситилинк.

Всё просто: нужно подписаться на телеграм-канал и нажать на кнопку под конкурсным постом. Итоги уже 24 июня.

Да, так легко можно стать обладателем свежего «яблока» 2024. Повезёт же кому-то!

erid: LjN8Juh9E

Читать полностью…

💣 Хардкорный тест для сетевых инженеров!
 
➡️Пройдите тест из 22 вопросов и получите скидку на онлайн-курс «Network Engineer» от OTUS! 10% скидка до 23 июня. 5% скидка до 30 июня. Спешите!
 
💻 В программе курса — все актуальные инструменты, необходимые сетевому инженеру. Возможна рассрочка.
 
➡️ ПРОЙТИ ТЕСТ: https://otus.pw/GHZCU/?erid=LjN8K4Kt1

Реклама. ООО "ОТУС ОНЛАЙН-ОБРАЗОВАНИЕ". ИНН 9705100963.

Читать полностью…

Типы LSA в OSPF

Link State Advertisements (LSA) — это объявления состояния канала, которые составляют основу работы OSPF, помогая создать карту сети с помощью алгоритма Дейкстры.

Рассмотрим основные типы LSA в OSPF:

⏺Router (Type 1) LSA: Type 1 LSA (также известный как Router LSA) используется для описания интерфейсов и соседей маршрутизатора внутри одной области. Он содержит информацию о всех интерфейсах маршрутизатора, участвующих в OSPF, и о его соседях, распространяется только внутри одной области.

⏺Network (Type 2) LSA: Type 2 LSA применяется на широковещательных сегментах для уменьшения количества смежностей. Он отправляется назначенным маршрутизатором (DR) и описывает все маршрутизаторы, подключенные к одному сегменту, помогая уменьшить хаос от большого количества смежных отношений.

⏺Summary (Type 3) LSA: Type 3 LSA используется для объявления префиксов из одной области в другую, обеспечивая полную достижимость внутри домена OSPF. Он распространяется маршрутизатором границы области (ABR) между областями, предоставляя информацию о префиксах, полученных из Type 1 и Type 2 LSA.

⏺ASBR Summary (Type 4) LSA: Type 4 LSA служит для уведомления маршрутизаторов в разных областях о существовании пограничного маршрутизатора автономной системы (ASBR). Эта Summary LSA предоставляет идентификатор маршрутизатора ASBR, а Area Border Router (ABR) отвечает за его распространение в другие области.

⏺External (Type 5) LSA: Type 5 LSA используется для распространения внешних префиксов, полученных из других доменов маршрутизации. Эти LSA создаются ASBR и передаются через ABR в другие области, обеспечивая маршрутизацию внешних префиксов.

⏺NSSA External (Type 7) LSA: Type 7 LSA используется в Not So Stubby Area (NSSA) для передачи внешних префиксов. В NSSA внешние префиксы передаются как Type 7 LSA. ABR преобразует их в Type 5 для распространения в другие области.

N.A. ℹ️ Help

Читать полностью…

Работа протокола BGP с IPv6

BGP был изначально разработан для поддержки множества различных протоколов и NLRI, включая IPv6, MPLS и VPN.

После освоения основ BGP, работа с этим протоколом в контексте IPv6 становится достаточно простой.

BGP позволяет использовать IPv4 в качестве "несущего" протокола для IPv6 NLRI.

Рассмотрим конфигурацию с двумя простыми маршрутизаторами.

Настройка IPv4 "перевозящего" IPv6 NLRI:

ATL#conf t
ATL(config)#ipv6 unicast-routing
ATL(config)#route-map IPV6NH permit 10
ATL(config-route-map)#set ipv6 next-hop 2001:1212:1212::1
ATL(config)#int lo 100
ATL(config-if)#ipv6 address 2001:1111:1111::/64 eui-64
ATL(config)#router bgp 200
ATL(config-router)#neighbor 10.10.10.2 remote-as 200
ATL(config-router)#address-family ipv4 unicast 
ATL(config-router-af)#neighbor 10.10.10.2 activate 
ATL(config-router)#address-family ipv6 unicast 
ATL(config-router-af)#neighbor 10.10.10.2 activate
ATL(config-router-af)#neighbor 10.10.10.2 route-map IPV6NH out
ATL(config-router-af)#network 2001:1111:1111::/64
ATL#end

Проверка конфигурации:

ATL#show ip bgp ipv6 unicast
ATL2#ping 2001:1111:1111:0:C801:6FF:FEDB:0

Для более "чистой" конфигурации можно использовать IPv6 для передачи информации IPv6 префикса.

Настройка BGP с IPv6:

ATL1#conf t
ATL1(config)#router bgp 200
ATL1(config-router)#bgp router-id 1.1.1.1
ATL1(config-router)#neighbor 2001:1212:1212::2 remote-as 200
ATL1(config-router)#address-family ipv6 unicast
ATL1(config-router-af)#neighbor 2001:1212:1212::2 activate
ATL1(config-router-af)#network 2001:1111:1111::/64
ATL1#end

Для проверки соседства BGP используйте команду show bgp ipv6 unicast summary.

BGP также поддерживает фильтрацию для IPv6, как и для IPv4.

Методы фильтрации включают списки префиксов, фильтрацию AS Path и route maps.

Фильтрация префиксов IPv6 в BGP:

ATL#conf t
ATL(config)#ipv6 prefix-list MYTEST deny 2001:1111:1111::/64
ATL(config)#ipv6 prefix-list MYTEST permit ::/0 le 128
ATL(config)#router bgp 200
ATL(config-router)#address-family ipv6 unicast
ATL(config-router-af)#neighbor 2001:1212:1212::2 prefix-list MYTEST out
ATL#end
ATL#clear ip bgp *

Эти примеры демонстрируют, как гибко и просто BGP может быть настроен для работы с IPv6, обеспечивая при этом эффективную маршрутизацию и безопасность.

N.A. ℹ️ Help

Читать полностью…

Хочешь попасть в IT и AI?

Вот тут ребята расскажут, как получить новую профессию за 4 месяца и зарабатывать от 60 до 100 тысяч в месяц!

Если кратко, то на вебинаре расскажут про две профессии будущего:
1. Data-annotator (это тот, кто готовит датасеты для компьютерного зрения, размечает и фильтрует изображения)
2. AI-тренер — работает с chatGPT и другими речевыми моделями для создания нейро-сотрудников, готовит базы знаний компании

В такие профессии легко залететь за 4 месяца без знаний программирования. Хороший доход, удаленка. А самое главное, что спрос на такие профессии будет только расти!

Регистрируйся прямо сейчас и узнай, как получить новую IT-профессию за 4 месяца!

Читать полностью…

Погрузитесь в мир Python с нашим бесплатным курсом!

🎓 Включено 45 уроков, 56 упражнений в тренажере и 163 проверочных теста. Узнаете, как создавать программы, работать с условиями и функциями.

Что вы освоите:
— Составление программ из нескольких модулей.
— Анализ ошибок в коде с использованием отладочной печати.

📚 Курс охватывает основы Python: синтаксис, условия, циклы, типы данных и библиотеки. Практика на каждом шаге поможет вам уверенно использовать язык.

Начните свое обучение с бесплатного базового курса Python и вы сможете создавать несложные программы, а так же анализировать ошибки в коде!

Читать полностью…

Коммутатор Juniper и его базовая настройка

Компания Juniper является очень крупным производителем сетевого оборудования в мире - после Cisco and Huawei.

После того как вы купили, установили и скоммутировали новое оборудование, возникает вопрос о его правильной настройке.

Преимуществом коммутаторов от производителя Juniper, в основном, является возможность объединения до шести коммутаторов в одно единое устройство с надежным и удобным управлением портами, сохраняя стабильную и бесперебойную работу сети.

• Настройка сетевого интерфейса
• Настройка QoS (качество обслуживания)
• Virtual Chassis (объединение коммутаторов)
• Реализация возможности сброса до заводских настроек

Настроив данные компоненты, вы сможете реализовать работу сети с использованием в ней большого количества устройств для осуществления передачи трафика.

Настройка сетевого интерфейса

Интерфейс коммутатора отвечает за реализацию передачи данных между сетью и пользователем, что и является главной задачей коммутатора.

Его конфигурация осуществляется с помощью следующих строк кода:

root> configure
Entering configuration mode
[edit]
root# edit interfaces
[edit interfaces]
root#



Конфигурация L3:

[edit interfaces]
root

# set em0 unit 0 family inet address 100.0.0.1/30



Где: Em0 - физический интерфейс, а Family inet - позволяет выбрать протокол интерфейса.

Команда "show" позволит из Configuration Mode проверить результат вашей настройки:

[edit interfaces]
root# show
em0 {
unit 0 {
family inet {
address 100.0.0.1/30;
}
}
}
[edit interfaces]



Теперь примените настройки с помощью следующей команды:

root# commit
commit complete



С помощью команды ping осуществим проверку конфигурации:

root> ping 100.0.0.2 rapid
PING 100.0.0.2 (100.0.0.2): 56 data bytes
!!!!!
--- 100.0.0.2 ping statistics ---
5 packets transmitted, 5 packets received, 0% packet loss
round-trip min/avg/max/stddev = 0.402/0.719/1.306/0.343 ms



Конфигурация L2



root> configure
Entering configuration mode
[edit]
root# edit interfaces em0
[edit interfaces em0]

Необходимо задать дуплекс на интерфейсе:

[edit interfaces em0]
root# set link-mode full-duplex
[edit interfaces em0]
root#



L2 - устройства, работающие на канальном уровне, при этом коммутатором занимается фреймами. А L3 взаимодействуют с IP-адресами и осуществляют маршрутизацию.

☄️ Конфигурация L3 включает большее число параметров за счет расширенного функционала.

N.A. ℹ️ Help

Читать полностью…

Установка связи с удаленным узлом с помощью команды ping

Команду ping также можно использовать для проверки способности хоста обмениваться данными с другими сетями.

С локального узла можно отправить эхо-запрос на рабочий IPv4-узел удаленной сети, как показано на схеме. 

Маршрутизатор использует таблицу IP-маршрутизации для пересылки пакетов.

Если ping-запрос был отправлен успешно, можно проверить межсетевое взаимодействие на большом участке.

⏺Успешная отправка межсетевого ping-запроса подтверждает подключение к локальной сети, работоспособность маршрутизатора, выполняющего роль шлюза.

А также работоспособность других маршрутизаторов на пути между локальной сетью и сетью удаленного узла.

Кроме того, может быть проверена работоспособность удаленного узла. 

Если бы удаленный узел не мог передавать данные за пределы своей локальной сети, он бы не ответил на эхо-запрос.

Многие сетевые администраторы ограничивают или запрещают ввод ICMP-сообщений в корпоративную сеть.

⚡️В связи с этим меры по обеспечению безопасности могут стать причиной отсутствия ping-ответа.

N.A. ℹ️ Help

Читать полностью…

Разделение сети iPv6 на подсети с использованием идентификатора подсети

Напомним, что с IPv4 мы должны заимствовать биты из части хоста для создания подсетей.

Это связано с тем, что подсеть была задним числом с IPv4. 

Однако IPv6 был разработан с учетом подсетей. Для создания подсетей используется отдельное поле ID подсети в GUA IPv6.

Как показано на рисунке, поле ID подсети — это область между префиксом глобальной маршрутизации и идентификатором интерфейса.

На картинке показаны части GUA.

Во-первых, 48-битный префикс глобальной маршрутизации, за которым следует 16-битный идентификатор подсети, затем, наконец, 64-битный идентификатор интерфейса.

Префикс маршрутизации A / 48 + 16-битный идентификатор подсети = префикс /64.

GUA с 16-разрядным идентификатором подсети

Преимущество 128-битного адреса заключается в том, что он может поддерживать более чем достаточное количество подсетей и узлов в каждой подсети для каждой сети.

Решение проблемы сохранения не является проблемой. 

Например, если префикс глобальной маршрутизации имеет значение /48 и использует типичные 64 бита для идентификатора интерфейса, это создаст 16-битный идентификатор подсети:

⏺16-битный идентификатор подсети - создает до 65 536 подсетей.
⏺64-битный идентификатор интерфейса. Поддерживает до 18 квинтиллионов IPv6-адресов на подсеть (т. е. 18 000 000 000 000 000 000).

Разбиение на подсети с помощью 64-битного идентификатора интерфейса (или узловой части) также возможно, но требуется редко.

Кроме того, разбиение на подсети IPv6 проще в реализации, чем IPv4, поскольку не нужно выполнять преобразование в двоичный формат.

🔥 Чтобы определить следующую доступную подсеть, достаточно рассчитать следующее шестнадцатеричное число.

N.A. ℹ️ Help

Читать полностью…

Ограничения традиционных методов сегментации

Если использовать популярные подходы для исправления второй и третьей задачи из прошлого поста, большинство функций вы будете выполнять вручную, особенно когда будете использовать сеть.

Эта ситуация станет более ощутимой, ведь после сегментирования среда будет динамичной. 

Например, могут отличаться:

⏺Некоторые правила, которые тесно связаны с обновлениями служб защиты, а также которые управляют ресурсами и сотрудниками компаний;
⏺Количество групп юзеров, которое может меняться от условий реорганизации внутри организации, а от различных дополнений ресурсов в сети и так далее;
⏺Расположение групп пользователей, в связи с чем может возникнуть необходимость расширить сегментацию на новые части сети;

Поддержание сегментации сети становиться все более сложной в зависимости от динамики роста количества сотрудников и различных устройств - то есть сегментация это не единовременная операция, а постоянный и очень важный процесс.

На данный момент также популярным подходом становится программно-определяемая сегментация сети, к примеру у Cisco это протокол TrustSec.

🔥 Этот подход позволяет полностью уйти от IP-адресации и не мучаться с перекраиванием листов контроля доступа в случае смены VLAN-а или изменения топологии сети.

Ставь 👍, если понравилась серия постов о сегментации сети.

N.A. ℹ️ Help

Читать полностью…

RPKI: что это и почему важно?

RPKI (Resource Public Key Infrastructure) — это уровень безопасности для протокола BGP, обеспечивающий криптографическое подтверждение владельца сетевых ресурсов.

BGP не предусматривает понятия владельца, что позволяет любому объявить лучший маршрут, иногда случайно или злоумышленно.

RPKI базируется на стандарте PKI (Public Key Infrastructure) согласно RFC 6480, применяя криптографию для безопасной маршрутизации.

Почему RPKI важен?

RPKI делает BGP более безопасным и надежным. Безопасность BGP — системная проблема, особенно актуальная с ростом Интернета.

Нарушение маршрутизации может привести к:

⏺Кражам данных (Amazon: кража криптовалюты через угон DNS).
⏺Утечкам данных (Mastercard, Visa: утечка префиксов).

Какую защиту предлагает RPKI?

Проблемы BGP возникают чаще всего из-за человеческих ошибок.

RPKI использует криптографическую модель для аутентификации владельцев IP-адресов через открытые ключи и сертификаты, добавляя уровень безопасности к IPv4 и IPv6.

Эти сертификаты продлеваются ежегодно, аналогично HTTPS для веб-страниц. 

Как работает RPKI?

RIR (Regional Internet Registry) обеспечивает корневое доверие. IANA (Internet Assigned Numbers Authority), часть ICANN, распределяет IP-адреса региональным RIR, которые затем распределяют их локальным сетям.

Это создает доверенную цепочку сертификатов.

ROA

ROA (Route Origin Authorization) — это документ, подтверждающий право AS (Autonomous System) объявлять определенные префиксы.

Например, если AS65005 объявляет маршрут 1.0.0.0/8, ROA подтверждает его право.

Как развертывается RPKI?

Сертификаты и ROA доступны в публичных хранилищах. 

Каждая сеть проверяет подписи сертификатов и срок действия ROA. Если проверка не удалась, ROA игнорируется.

Результаты проверки:

⏺Действительное: ROA присутствует, префикс и номер AS совпадают.
⏺Недопустимое: ROA присутствует, но данные не совпадают.
⏺Не найдено или неизвестно: ROA отсутствует.

N.A. ℹ️ Help

Читать полностью…

Уникальный локальный адрес

Уникальные локальные адреса (диапазон fc00::/7 до fdff::/7) пока не реализованы.

Таким образом, этот модуль охватывает только конфигурацию GUA и LLA. 

Однако уникальные локальные адреса могут использоваться для адресов устройств, которые не должны быть доступны извне, таких как внутренние серверы и принтеры.

Уникальные локальные IPv6-адреса имеют некоторые общие особенности с частными адресами RFC 1918 для IPv4, но при этом между ними имеются и значительные различия.

⏺Уникальные локальные адреса используются для локальной адресации в пределах узла или между ограниченным количеством узлов.
⏺Уникальные локальные адреса могут использоваться для устройств, которым никогда не понадобится использование других сетей или получение из них данных.
⏺Уникальные локальные адреса не маршрутизируются глобально и не преобразуются в глобальный адрес IPv6.

Многие сайты используют частные адреса RFC 1918, чтобы обеспечить безопасность или защитить сеть от потенциальных угроз.

⚡️Однако обеспечение безопасности никогда не было целью технологий NAT/PAT, поэтому организация IETF всегда рекомендовала принимать соответствующие меры предосторожности при использовании маршрутизаторов в Интернете.

N.A. ℹ️ Help

Читать полностью…

RIPv1 и RIPv2: в чем разница?

1️⃣Routing Information Protocol Version 1 (RIPv1)

Прямо и по пунктам:

RIPv1 это Distance-Vector протокол. Если переводить на русский - дистанционно-векторный.

Distance vector routing - так называемая дистанционно-векторная маршрутизация, главный принцип которой основан на вычислении специальных метрик, которые определяют расстояние (количество узлов) до сети назначения

RIPv1 это classfull протокол. Это означает, что он не отправляет маску подсети в апдейтах маршрутизации

RIPv1 не поддерживает VLSM (Variable Length Subnet Masking)

VLSM (Variable Length Subnet Masking) - метод эффективного использования IP – адресации, который избавляет от привязки к классу сети (класс A, класс B, класс C). VLSM позволяет дробить подсеть на подсеть и так далее. Тем самым, мы можем эффективно использовать адресное пространство согласно реальных потребностей, а не класса сети

RIPv1 поддерживает максимум 15 хопов! Это означает, что любой маршрутизатор, который расположен от вас в больше, чем 15 узлов (маршрутизаторов) будет отмечен как недоступный

Раз в 30 секунд RIPv1 отправляет широковещательные апдейты маршрутизации – каждый узел должен принять и обработать этот апдейт

2️⃣Routing Information Protocol Version 2 (RIPv2)

RIPv2 это гибридный протокол. Он реализован на базе Distance-Vector, но так же поддерживает часть алгоритмов Link State маршрутизации, то есть, может отслеживать состояние каналов

Link State routing - отслеживает состояние каналов и отправляет LSA (Link-state advertisement) пакеты, в которых рассказывает о состоянии своих каналов. Примером link state протокола маршрутизации является OSPF

RIPv2 - classless протокол. В отличие от своего старшего брата первой версии, второая версия умеет отправлять маску подсети в апдейтах маршрутизации

RIPv2 поддерживает VLSM!

RIPv2, как и RIPv1 поддерживает максимум 15 хопов

RIPv2 отправляет мультикаст сообщения об апдейтах на адрес 224.0.0.9. Это уменьшает нагрузку на сеть и в первую очередь на узлы, на которых не запущен RIP

N.A. ℹ️ Help

Читать полностью…

Друзья! Прокачайте скиллы в проектировании архитектуры сетей, навыках настройки сетевого оборудования и способах противодействия распространенным угрозам. Курс “Компьютерные сети” стартует 3 июня.

ЧТО ВНУТРИ КУРСА?
- Изучение топологии сетей, видов сетевого оборудования
- Маршрутизация данных и управление доступом к среде
- Протокол IP, транспортный и прикладной уровни
- Система имен DNS, безопасность в сетях и противодействие атакам

КОМУ ПОЛЕЗЕН КУРС?
- Junior IT-специалистам, системным администраторам, Web-разработчикам, сетевым инженерам, которые хотят досконально освоить архитектуру сетей

ВЫ ПОЛУЧИТЕ:
- Сертификат/удостоверение о повышении квалификации
- Сопровождение и поддержку Академии Кодебай
- Возможности трудоустройства/стажировки

Пишите нам @Codeby_Academy
или звоните +74994441750

Подробнее о курсе → здесь

Читать полностью…

Хотите получить навыки работы с одной из самых востребованных операционных систем в мире?
 
🐧  Тогда курс «Linux для начинающих» от OTUS — идеальный выбор для вас!
 
Между прочим, курс «Linux для начинающих» сейчас доступен за всего 🔟 ₽ вместо 7000 ₽!
 
➡️ Записаться на курс: https://otus.pw/nhPj/?erid=LjN8JxGXR

Linux — одна из самых распространенных ОС в мире, знание базовых возможностей и умение обращаться с Linux может значительно усилить возможности в карьерном росте!
 
Что из себя представляет курс?
— 3 модуля с видеолекциями
— Комплексные знания по основам Linux
— Можно учиться в любом месте, где есть доступ в интернет
— Закрепление знаний с помощью тестов
 
Спикер курса Андрей Буранов — системный администратор VK, работает с Linux более 7 лет и успешно преподает.

🤝 В качестве бонуса для более эффективной учебы дарим бонус "10 базовых команд Linux"!

Читать полностью…