Знакомство с QUIC

QUIC (Quick UDP Internet Connections) – это новый транспортный протокол, разработанный Джимом Роскиндом в 2012 году.

Основная цель QUIC – ускорить передачу данных в стабильных высокоскоростных сетях.

Ключевые особенности QUIC

1️⃣ Сокращение рукопожатия:

QUIC сокращает трехстороннее рукопожатие до одного пакета (нулевое рукопожатие), что значительно ускоряет установку соединений.
Это достигается за счет уменьшения количества циклов обмена между отправителем и получателем.

2️⃣ Уменьшение повторных передач:

Использование Forward Error Correction (FEC) позволяет восстанавливать поврежденные данные без необходимости повторной передачи. Отрицательные подтверждения (NACK) и управление окном предотвращения перегрузки CUBIC также способствуют снижению числа повторных передач.

Процесс установления соединения в QUIC

Процесс установления соединения в QUIC включает серию криптографических ключей и хэшей:

⏺Приветствие клиента (CHLO): Клиент отправляет серверу приветствие, содержащее требование подтверждения, набор сертификатов и хэш сертификата. Поле маркера адреса источника (STK) остается пустым при первом контакте.

⏺Ответ сервера (REJ): Сервер создает STK на основе предоставленной информации и отправляет его клиенту.

⏺Подтверждение клиента: Клиент включает полученный STK в последующие пакеты приветствия. Если STK совпадает, сервер принимает приветствие.

Пара IP-адрес / STK может быть подменена злоумышленником, что является известной проблемой в QUIC и рассматривается в документации протокола.

Сокращение времени установления соединения

TCP требует как минимум полутора rtt для создания нового сеанса через SYN, SYN-ACK и ACK. QUIC уменьшает это до одного rtt.

Это особенно важно для веб-страниц и мобильных приложений, которые должны подключаться к множеству серверов для загрузки. 

Сокращение количества rtt значительно улучшает производительность.

N.A. ℹ️ Help

Читать полностью…

🐧 Best Practice Linux + Ansible. Бесплатный вебинар.

25 июля в 20:00 Слёрм проведёт открытый вебинар «Избавляемся от рутины и получаем деньги. Best practice Linux + Ansible». Рассмотрим их сразу вместе, потому что администрировать Linux без знания Ansible — это как уметь водить машину, но ездить на ней только по двору🥲

ЗАРЕГИСТРИРОВАТЬСЯ

О чем будут говорить:

➡ Первичная установка и развертывание машин: как настроить все не руками?
➡ Почему важно автоматизировать рутину, и как это сделать с помощью Ansible и IaC?
➡ Почему Ansible пригодится админу всегда?

На вебинаре будет возможность задать вопросы спикерам и получить обратную связь. Подключайтесь!

🔗 ХОЧУ НА ВЕБИНАР

Реклама ООО «Слёрм» ИНН 3652901451

Читать полностью…

Структура GUA IPv6

⏺Префикс глобальной маршрутизации

Префикс глобальной маршрутизации — это часть IPv6-адреса, назначаемая интернет-провайдером заказчику или узлу. 

Обычно провайдеры назначают своим клиентам префикс глобальной маршрутизации /48, что является наиболее распространенной практикой.

Например, IPv6-адрес 2001:0DB8:ACAD::/48 имеет префикс глобальной маршрутизации, где первые 48 бит (2001:0DB8
) обозначают сетевую часть адреса.

Двойное двоеточие (::) указывает на оставшуюся часть адреса, состоящую из нулей.

Размер префикса глобальной маршрутизации определяет размер идентификатора подсети.

⏺Идентификатор подсети

Поле идентификатора подсети находится между префиксом глобальной маршрутизации и идентификатором интерфейса. 

В IPv6 идентификатор подсети используется для обозначения подсетей внутри организации, упрощая управление сетью по сравнению с IPv4.

Чем больше значение идентификатора подсети, тем больше доступных подсетей.

Например, организация, получившая префикс глобальной маршрутизации /32 и использующая /64 для идентификатора интерфейса, имеет 32 бита для идентификатора подсети.

Это позволяет создать 4,3 миллиарда подсетей, каждая из которых может содержать до 18 квинтиллионов устройств.

⏺Идентификатор интерфейса

Идентификатор интерфейса в IPv6-адресе эквивалентен узловой части IPv4-адреса.

Этот термин используется, когда один узел имеет несколько интерфейсов с одним или несколькими IPv6-адресами. 

В большинстве случаев рекомендуется использовать /64 подсети, создавая 64-битный идентификатор интерфейса, который позволяет иметь до 18 квинтиллионов устройств в подсети.

Подсеть /64 упрощает разработку адресного плана и позволяет устройствам автоматически генерировать свои идентификаторы интерфейса с помощью SLAAC.

В IPv6 устройству можно назначить адрес узла, состоящий из одних 0 или 1, что невозможно в IPv4.

N.A. ℹ️ Help

Читать полностью…

Единица данных протокола (PDU)

По мере того как данные приложений передаются по стеку протоколов до перемещения через средство сетевого подключения, различные протоколы добавляют в них информацию на каждом из уровней.

Это называется процессом инкапсуляции.

Хотя PDU UDP называется датаграммой, IP-пакеты иногда также называются IP-датаграммами.

Форма, которую принимает массив данных на каждом из уровней, называется единицей данных протокола (PDU).

В ходе инкапсуляции каждый последующий уровень инкапсулирует PDU, полученную от вышестоящего уровня в соответствии с используемым протоколом.

На каждом этапе процесса PDU получает другое имя, отражающее новые функции.

Универсальной схемы именования для PDU нет, и в этом курсе PDU называются в соответствии с терминологией набора протоколов TCP/IP, как показано на рисунке.

PDU для каждой формы данных показаны на рисунке.

⏺Данные — общий термин для обозначения PDU, используемой на уровне приложений
⏺Сегмент — PDU транспортного уровня
⏺Пакет — PDU сетевого уровня
⏺Кадр — PDU канального уровня
⏺Биты — PDU физического уровня

N.A. ℹ️ Help

Читать полностью…

Анализ протоколов

По мере роста сети становится важным определить, как управлять сетевым трафиком. 

Понимание типа и потока трафика, проходящего по сети, является ключевым для ее эффективного функционирования.

Для этого можно использовать различные инструменты управления сетью, одним из которых является анализатор протоколов, такой как Wireshark.

Пример использования Wireshark

Запуск Wireshark на нескольких ключевых узлах может выявить типы сетевого трафика, проходящего через сеть.

Например, статистика иерархии протоколов Wireshark для узла Windows в небольшой сети показывает, что хост использует протоколы IPv6 и IPv4.

В данных IPv4 видно, что хост использовал DNS, SSL, HTTP, ICMP и другие протоколы.

Рекомендации по захвату трафика

Чтобы определить характерные потоки трафика, важно:

Захватывать трафик в периоды пиковой нагрузки для получения надлежащего представления о различных типах трафика.

Выполнять захват в различных сегментах сети, так как некоторые типы трафика могут быть ограничены определенными сегментами.

Анализ и использование данных

Информация, собранная анализатором протоколов, оценивается на основе данных об источнике и получателе трафика, а также типа отправляемого трафика.

Результаты анализа можно использовать для принятия решений об эффективном управлении трафиком, например, путем уменьшения ненужных потоков или изменения режима потоков, перемещая сервер или службу в другой сегмент сети.

В отдельных случаях достаточно просто переместить сервер или службу, чтобы повысить производительность сети. 

🔥 В других случаях для оптимизации производительности может потребоваться серьезное вмешательство и перепроектирование сети.

N.A. ℹ️ Help

Читать полностью…

Базовый уровень сети

Одним из наиболее эффективных инструментов мониторинга и устранения неполадок с производительностью сети является определение базового уровня сети.

Эффективный базовый уровень производительности сети создается за определенный период времени.

Измерение производительности за различные периоды и с изменяемыми нагрузками позволяет составить более точную картину общей производительности сети.

Создание базового уровня

Выходные данные, полученные в результате использования сетевых команд, предоставляют данные для внесения в базовый уровень сети. 

Одним из способов создания базового уровня является копирование и вставка результатов выполнения команды ping, trace или любой другой соответствующей команды в текстовый файл.

В такие текстовые файлы можно добавить метку времени и дату, а затем сохранить их в архив для дальнейшего использования и сравнения.

Ключевые показатели

При создании базового уровня следует рассмотреть такие объекты, как сообщения об ошибках и значения времени отклика между узлами.

В случае значительного увеличения времени отклика может возникнуть проблема, связанная с задержкой.

👀 В следующем посте разберем на примерах

N.A. ℹ️ Help

Читать полностью…

Расширенная команда ping в Cisco IOS

Команда ping — это основной инструмент для проверки сетевой связи. 

В стандартном режиме она использует ближайший к цели интерфейс в качестве источника, что подходит для простых проверок.

Но что делать, если требуется более точная диагностика?

Стандартный ping

Когда вы выполняете стандартный ping, устройство использует IP-адрес ближайшего к цели интерфейса в качестве источника.

Например, если маршрутизатор R1 имеет интерфейсы G0/0/0 с IP-адресом 209.165.200.225 и G0/0/1 с IP-адресом 192.168.10.1, при выполнении команды ping 10.1.1.10 на R1 будет использоваться IP-адрес 209.165.200.225 в качестве источника пакетов.

Это удобно для большинства базовых проверок, но иногда нужно больше гибкости.

Расширенный ping

В Cisco IOS существует возможность использовать команду ping в расширенном режиме.

Этот режим позволяет настраивать различные параметры команды для создания специализированных запросов ping. 

Для перехода в этот режим введите команду ping в привилегированном режиме EXEC без указания IP-адреса назначения.

Далее вам будет предложено несколько подсказок для настройки расширенного режима ping.

Вот как это работает:

1️⃣ Введите ping в привилегированном режиме EXEC.

2️⃣ Система предложит ввести различные параметры, такие как целевой IP-адрес, количество повторений, размер датаграммы и другие.

3️⃣ Один из ключевых параметров — это IP-адрес источника. Вы можете указать конкретный IP-адрес или интерфейс, который будет использоваться для отправки ICMP эхо-запросов.

Пример настройки расширенного ping:

R1# ping
Protocol [ip]:
Target IP address: 10.1.1.10
Repeat count [5]:
Datagram size [100]:
Timeout in seconds [2]:
Extended commands [n]: y
Ingress ping [n]:
Source address or interface: 192.168.10.1
DSCP Value [0]:
Type of service [0]:
Set DF bit in IP header? [no]:
Validate reply data? [no]:
Data pattern [0x0000ABCD]:
Loose, Strict, Record, Timestamp, Verbose[none]:
Sweep range of sizes [n]:
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.1.1.10, timeout is 2 seconds:
Packet sent with a source address of 192.168.10.1
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/1 ms
R1#

Этот пример показывает, как можно настроить расширенный ping для использования IP-адреса источника 192.168.10.1.

🔥 Расширенный ping предоставляет более точную диагностику и помогает в выявлении проблем в сети, которые стандартный ping может пропустить.

N.A. ℹ️ Help

Читать полностью…

Протокол IS-IS

IS-IS (Intermediate System to Intermediate System) — это протокол внутренней маршрутизации (IGP), используемый для передачи маршрутов между маршрутизаторами в пределах одной автономной системы.

Он был разработан в 1980-х годах и является одним из ключевых протоколов в сетях больших операторов и провайдеров.

Преимущества IS-IS по сравнению с другими маршрутизирующими протоколами, такими как OSPF:

⏺Масштабируемость: IS-IS лучше справляется с масштабируемостью в больших сетях. Он способен поддерживать более крупные топологии с меньшим количеством проблем по сравнению с OSPF.

⏺Простота расширения для IPv6: В отличие от OSPF, который имеет отдельные версии для IPv4 и IPv6, IS-IS легко расширяется для поддержки IPv6 без необходимости создавать отдельный протокол.

⏺Отсутствие зависимости от IP-адресов: IS-IS работает на канальном уровне (L2) и не зависит от IP-адресов, что упрощает управление и конфигурирование в некоторых случаях.

⏺Гибкость в структуре сети: IS-IS может быть легко интегрирован в любые сетевые архитектуры, что делает его более универсальным в использовании.

Настройка IS-IS на маршрутизаторах и коммутаторах

Для настройки IS-IS на маршрутизаторах и коммутаторах Cisco следует выполнить следующие шаги

Активировать IS-IS и задать имя процесса:

Router(config)# router isis
Router(config-router)# net 49.0001.1921.6800.1001.00

Настроить IS-IS на интерфейсах:

Router(config)# interface GigabitEthernet0/0
Router(config-if)# ip router isis
Router(config-if)# isis network point-to-point

Установить метрику для интерфейсов (по желанию):

Router(config-if)# isis metric 10

Активировать IS-IS для IPv6 (если необходимо):

Router(config)# interface GigabitEthernet0/0
Router(config-if)# ipv6 router isis

Пример конфигурации для маршрутизатора R1:

Router# configure terminal
Router(config)# hostname R1
R1(config)# router isis
R1(config-router)# net 49.0001.1921.6800.1001.00
R1(config)# interface GigabitEthernet0/0
R1(config-if)# ip router isis
R1(config-if)# isis network point-to-point
R1(config-if)# exit
R1(config)# interface GigabitEthernet0/1
R1(config-if)# ip router isis
R1(config-if)# isis network point-to-point
R1(config-if)# exit

Проверка работы IS-IS

Для проверки корректной работы протокола IS-IS можно использовать следующие команды

Проверка таблицы маршрутизации IS-IS:

Router# show isis route

Просмотр соседей IS-IS:

Router# show isis neighbors

Просмотр базы данных IS-IS:

Router# show isis database

⚡️ Эти команды помогут убедиться, что IS-IS настроен правильно и работает в соответствии с ожиданиями, обеспечивая маршрутизацию в вашей сети.

Читать полностью…

Резервирование в небольшой сети

Обеспечение надежности сети — важный аспект при ее проектировании, особенно для малых предприятий, где сбой в работе сети может привести к значительным затратам.

Чтобы минимизировать риски и повысить надежность, необходимо предусмотреть резервирование, которое позволяет устранить единые точки отказа.

Способы резервирования

Резервирование в сети может осуществляться различными способами, включая резервное оборудование и резервные сетевые каналы на критически важных участках.

На схеме показаны следующие уровни резервирования:

⏺Резервные серверы: В случае сбоя сервера доступны резервные серверы, обеспечивающие непрерывность работы приложений и служб.

⏺Резервные связи: Каждый сервер имеет два подключения, ведущих к двум коммутаторам, что обеспечивает альтернативные пути в случае сбоя основного канала.

⏺Резервные коммутаторы: Два коммутатора подключены друг к другу и к серверам, обеспечивая резервирование на уровне коммутации.

⏺Резервные маршрутизаторы: Два маршрутизатора соединены друг с другом и с коммутаторами, предоставляя резервные маршруты и защищая сеть от сбоев маршрутизаторов.

Рекомендации для малых сетей

В небольших сетях часто имеется единая точка выхода в Интернет через один или несколько шлюзов по умолчанию.

Однако сбой в работе маршрутизатора может оставить всю сеть без подключения к Интернету. 

Для повышения надежности малым предприятиям рекомендуется приобрести пакет услуг у другого провайдера в качестве резервного соединения.

☄️ Это обеспечит дополнительный уровень безопасности и позволит сохранить доступ к критически важным ресурсам в случае сбоя основного провайдера.

N.A. ℹ️ Help

Читать полностью…

📺 Шестой эпизод реалити «PT NGFW за стеклом»
|4 июля в 14:00|

Продолжаем развенчивать мифы вокруг IPS. Сегодня затронем тему экспертизы — той, о которой говорят все, но никто не знает, что скрывается за этим словом.

Алексей Леднев, руководитель отдела обнаружения атак PT ESC:
📍 Расскажет о нашем подходе к созданию сигнатур IPS
📍 Научит, как проверять качество выявления сетевых атак
📍 И ответит, так ли важно количество сигнатур, которыми хвастаются производители NGFW

Не переставайте задавать вопросы и пытаться загнать нас в тупик — это помогает нам создавать классный продукт.

Читать полностью…

Физическая защита

Не меньшее значение имеет физическая безопасность устройств. 

Злоумышленник может блокировать доступ к сетевым ресурсам, если их можно повредить на физическом уровне.

Имеется четыре класса угроз:

1️⃣ Угрозы для аппаратного обеспечения — физическое повреждение серверов, маршрутизаторов, коммутаторов, кабельных линий и рабочих станций.

2️⃣ Угрозы со стороны окружающей среды — предельные температуры (слишком высокие или слишком низкие) или крайние значения влажности (слишком низкая или слишком высокая).

3️⃣ Электрические угрозы — всплески напряжения, недостаточное напряжение в электрической сети (провалы напряжения), колебания напряжения (шум) и полное отключение электропитания.

4️⃣ Эксплуатационные угрозы — ненадлежащее обращение с ключевыми электрическими компонентами (электростатический разряд), нехватка важных запасных деталей, неправильная прокладка кабелей и ненадлежащая маркировка.

Хороший план физической безопасности должен быть создан и реализован для решения этих проблем.
Планирование физической системы безопасности в целях ограничения ущерба для оборудования.

⏺Поэтажный план безопасного компьютерного зала
⏺Планирование физической системы безопасности в целях ограничения ущерба для оборудования

Шаг 1. Блокирование оборудования и предотвращение несанкционированного доступа через двери, потолок, съемный пол, окна, вентиляционные и канализационные шахты
Шаг 2. Мониторинг и управление доступом к серверному шкафу с помощью электронной системы учета
Шаг 3. Использование камер системы безопасности

N.A. ℹ️ Help

Читать полностью…

Как мониторить SD-WAN

Реализация SD-WAN требует тщательного мониторинга сети. 

В этом посте мы рассмотрим ключевые проблемы SD-WAN и как мониторинг сети может помочь их преодолеть.

Исправление пути и аварийное переключение

SD-WAN автоматически корректирует пути и переключает трафик в случае аварии.

При наличии нескольких соединений (MPLS, широкополосное, LTE) маршрутизатор может перенаправлять трафик, обеспечивая надежность и качество.

Например, если один канал испытывает высокие задержки, маршрутизатор может использовать другой канал. 

Однако это может снизить общую производительность, особенно при дублировании пакетов.

Мониторинг помогает выявлять такие проблемы, предоставляя информацию о задержках, потере пакетов и полосе пропускания.

Сквозные сетевые тесты

Для эффективного устранения проблем важны сквозные сетевые тесты, которые включают:

• Задержка и потеря пакетов (пинг по ICMP или TCP)
• Джиттер для голосовой и видеосвязи (UDP iperf)
• Количество сетевых скачков и изменений пути (traceroute)
• Пропускная способность (iperf, NDT, speedtest)

Инструмент мониторинга должен учитывать весь путь трафика от пользователя до конечного пункта.

Решение включает активные агенты мониторинга, которые устанавливаются на периферии и собирают данные в реальном времени для анализа.

Мониторинг взаимодействия с конечным пользователем

Мониторинг взаимодействия с конечным пользователем включает:

• Время разрешения DNS
• Время загрузки HTTP
• Средняя оценка мнения (MOS) для VoIP
• Показатели производительности WiFi

Объединение активных и пассивных данных позволяет получить полное представление о производительности сети. 

Активные данные полезны для упреждающих предупреждений, а пассивные данные показывают использование полосы пропускания и производительность приложений.

⚡️Это помогает быстро решать проблемы, повышать производительность и удовлетворенность пользователей.

N.A. ℹ️ Help

Читать полностью…

Протокол VXLAN (Virtual Extensible LAN)

Virtual Extensible LAN (VXLAN) — это сетевой туннельный протокол, разработанный для создания логически изолированных виртуальных сетей поверх существующей физической инфраструктуры.

Основные особенности и применение

⏺Расширение пространства VLAN: Традиционные VLAN ограничены 4096 уникальными идентификаторами (VLAN ID). VXLAN расширяет это пространство до 16 миллионов уникальных сегментов, что делает его подходящим для масштабных сетей и облачных сред, где требуется большое количество изолированных виртуальных сетей.

⏺Масштабируемость и гибкость: VXLAN использует туннельный механизм поверх существующей IP-сети (обычно IPv4), что позволяет легко масштабировать сеть без изменения физической инфраструктуры. Это особенно полезно для дата-центров, где требуется быстрое и гибкое развертывание виртуальных сетей.

⏺Поддержка мультикаста и широковещания: VXLAN поддерживает передачу мультикастового и широковещательного трафика, что необходимо для многих сетевых служб и протоколов. Это делает VXLAN подходящим выбором для виртуализованных сред, требующих передачи таких типов трафика.

Пример настройки VXLAN:

Рассмотрим пример настройки VXLAN-туннеля между двумя коммутаторами.

На коммутаторе A:

interface nve1
  no shutdown
  source-interface loopback0
  member vni 5000
    ingress-replication protocol static
    peer-ip 192.168.1.2

На коммутаторе B:

interface nve1
  no shutdown
  source-interface loopback0
  member vni 5000
    ingress-replication protocol static
    peer-ip 192.168.1.1

В этом примере IP-адреса 192.168.1.1 и 192.168.1.2 являются адресами исходных интерфейсов коммутаторов.

⚡️Используемый VNI (VXLAN Network Identifier) равен 5000, что позволяет идентифицировать виртуальную сеть.

Читать полностью…

Не спешите покупать новый iPad Pro. Для начала проверьте свою удачу и попробуйте его выиграть в розыгрыше от Ситилинк.

Всё просто: нужно подписаться на телеграм-канал и нажать на кнопку под конкурсным постом. Итоги уже 24 июня.

Да, так легко можно стать обладателем свежего «яблока» 2024. Повезёт же кому-то!

erid: LjN8Juh9E

Читать полностью…

💣 Хардкорный тест для сетевых инженеров!
 
➡️Пройдите тест из 22 вопросов и получите скидку на онлайн-курс «Network Engineer» от OTUS! 10% скидка до 23 июня. 5% скидка до 30 июня. Спешите!
 
💻 В программе курса — все актуальные инструменты, необходимые сетевому инженеру. Возможна рассрочка.
 
➡️ ПРОЙТИ ТЕСТ: https://otus.pw/GHZCU/?erid=LjN8K4Kt1

Реклама. ООО "ОТУС ОНЛАЙН-ОБРАЗОВАНИЕ". ИНН 9705100963.

Читать полностью…

Основы IPv4 Access Control Lists

⏺Списки управления доступом IPv4 (ACL):

IPv4 Access Control Lists (ACL) позволяют сетевым администраторам задавать правила фильтрации трафика на маршрутизаторах.

Эти списки используются для определения, какие пакеты разрешены к прохождению через маршрутизатор, а какие должны быть отброшены.

ACL могут применяться как к входящим, так и к исходящим потокам данных на каждом интерфейсе маршрутизатора.

⏺Стандартные нумерованные списки ACL

Стандартные нумерованные списки ACL используют простую логику: они сопоставляют пакеты только по IP-адресу источника. 

Этот тип ACL является базовым и используется для фильтрации трафика на основе IP-адресов.

Нумерованные списки ACL ссылаются на правила с помощью номера, что упрощает их конфигурацию и управление.

⏺Основные функции Access Control Lists IPv4

1️⃣ Идентификация пакетов: ACL позволяют системным администраторам идентифицировать различные типы пакетов на основе значений, содержащихся в заголовках IP, TCP, UDP и других протоколов. Например, ACL могут фильтровать пакеты с определенными исходными или целевыми IP-адресами или портами назначения.

2️⃣ Фильтрация пакетов: Основное использование ACL в маршрутизаторах Cisco – это фильтрация пакетов. Маршрутизатор анализирует каждый входящий или исходящий пакет, сравнивая его с правилами ACL, чтобы определить, должен ли пакет быть пропущен или отброшен.

3️⃣ Качество обслуживания (QoS): ACL также могут использоваться для применения функций качества обслуживания. QoS позволяет маршрутизатору предоставлять различным типам трафика приоритетное обслуживание, что особенно важно для чувствительных к задержке приложений, таких как голосовые и видеопотоки.

⏺Размещение и направление ACL

Маршрутизаторы Cisco могут применять ACL к пакетам в точках входа или выхода из интерфейсов.

Это позволяет настраивать фильтрацию трафика на различных этапах его прохождения через сеть.

Например, ACL могут применяться к входящему трафику до того, как маршрутизатор примет решение о его пересылке, или к исходящему трафику после принятия решения о пересылке.

⏺Пример настройки ACL

Представьте ситуацию, в которой нужно разрешить отправку пакетов от одного хоста (A) к серверу (S1), но заблокировать отправку пакетов от другого хоста (B) к тому же серверу.

Для этого необходимо настроить ACL на интерфейсах маршрутизаторов, через которые проходит трафик от хоста B к серверу S1. 

Включение ACL на правильных интерфейсах и в правильном направлении позволяет эффективно управлять трафиком и защищать сеть от нежелательных пакетов.

N.A. ℹ️ Help

Читать полностью…

Локальный IPv6-адрес канала

Локальный IPv6-адрес канала (LLA) позволяет устройствам обмениваться данными с другими устройствами с поддержкой IPv6 в той же подсети (канале).

Пакеты с локальным адресом канала источника или назначения не могут быть направлены за пределы канала, в котором они создаются. 

GUA (глобальный уникальный адрес) не является обязательным, однако каждый сетевой интерфейс с поддержкой IPv6 должен иметь LLA.

Если локальный адрес канала не настроен вручную, устройство автоматически создает его самостоятельно, без обращения к DHCP-серверу.

Узлы под управлением IPv6 создают локальный IPv6-адрес канала даже при отсутствии глобального индивидуального IPv6-адреса, что позволяет им обмениваться данными с другими устройствами в той же подсети, включая шлюз по умолчанию (маршрутизатор).

Диапазон локальных IPv6-адресов канала — fe80::/10. Значение первого гекстета варьируется от fe80 до febf.

Обмен данными между локальными IPv6-адресами канала

На следующем рисунке показаны примеры использования локальных IPv6-адресов канала (LLA) для связи.

Компьютер может напрямую взаимодействовать с принтером с помощью LLA:

⏺fe80::bbbb/64
⏺fe80::cccc/64
⏺fe80::dddd/64
⏺fe80::1/64
⏺fe80::aaaa/64

Обмен данными между локальными IPv6-адресами канала не маршрутизируется за пределы сети.

Маршрутизаторы используют LLA соседних маршрутизаторов для отправки обновлений маршрутизации, а узлы используют LLA локального маршрутизатора в качестве шлюза по умолчанию.

В качестве шлюза по умолчанию для других устройств в канале обычно используется локальный адрес канала маршрутизатора.

Способы получения локальных IPv6-адресов канала:

⏺Статически — устройство настраивается вручную.
⏺Динамически — устройство создает свой собственный идентификатор интерфейса, используя случайно сгенерированные значения или метод Extended Unique Identifier (EUI), который использует MAC-адрес клиента вместе с дополнительными битами.

🔥 LLA обеспечивает критически важную возможность взаимодействия устройств внутри одной подсети, что является основой эффективного сетевого взаимодействия и управления.

N.A. ℹ️ Help

Читать полностью…

Минимизация неиспользуемых адресов IPv4 узлов и максимизация подсетей

Чтобы свести к минимуму число неиспользуемых адресов IPv4 узлов и максимизировать количество доступных подсетей, при планировании подсетей необходимо учитывать два фактора: количество адресов узлов, необходимых для каждой сети, и количество необходимых отдельных подсетей.

Основные шаги:

1️⃣ Определите количество устройств (узлов) и подсетей.

2️⃣ Выберите соответствующую маску подсети на основании количества узлов и подсетей.

3️⃣ Рассчитайте количество доступных адресов узлов в каждой подсети (2^n-2).

4️⃣ Назначьте диапазоны адресов для каждой подсети, избегая пересечений и неиспользуемых адресов.

Пример: Если у вас сеть с префиксом /24 и нужно создать 4 подсети, заимствуйте 2 бита для подсетей (4 = 2^2), оставив 6 бит для узлов (8 - 2 = 6).

• Маска подсети: /26 (255.255.255.192)
• Количество подсетей: 4
• Количество узлов на подсеть: 62 (2^6 - 2)

Подсчет адресов в подсетях /24:

/25: Маска подсети 255.255.255.128
Подсетей: 2
Узлов в подсети: 126

/26: Маска подсети 255.255.255.192
Подсетей: 4
Узлов в подсети: 62

/27: Маска подсети 255.255.255.224
Подсетей: 8
Узлов в подсети: 30

/28: Маска подсети 255.255.255.240
Подсетей: 16
Узлов в подсети: 14

/29: Маска подсети 255.255.255.248
Подсетей: 32
Узлов в подсети: 6

/30: Маска подсети 255.255.255.252
Подсетей: 64
Узлов в подсети: 2

⚡️ Правильное планирование сетевой адресации позволяет эффективно использовать доступные IPv4 адреса, минимизируя неиспользуемые адреса узлов и максимизируя количество доступных подсетей.

N.A. ℹ️ Help

Читать полностью…

Команда arp

Команда arp выполняется из командной строки Windows, Linux или Mac. 

Команда arp –a позволяет получить список всех устройств, которые в данный момент представлены в ARP-кэше узла, а также IPv4-адрес, физический адрес и тип адресации (статическая/динамическая) для каждого из устройств.

Например, обратимся к топологии на фото выше.

Вывод команды arp -a на узле Windows PC-A.

C:\Users\PC-A> 

arp -a

Interface: 192.168.93.175 --- 0xc
  Internet Address      Physical Address      Type
  10.0.0.2              d0-67-e5-b6-56-4b     dynamic
  10.0.0.3              78-48-59-e3-b4-01     dynamic
  10.0.0.4              00-21-b6-00-16-97     dynamic
  10.0.0.254            00-15-99-cd-38-d9     dynamic



Команда arp -a отображает связку известных IP-адресов и MAC-адресов. Обратите внимание, что IP-адрес 10.0.0.5 не включен в список.

Это связано с тем, что кэш ARP отображает информацию только с устройств, к которым недавно обращались.

Чтобы проверить заполнение кэша ARP, выполните команду ping для проверки связи с устройством, чтобы для него была создана запись в таблице ARP.

Например, если PC-A посылает запрос 10.0.0.5, то кэш ARP будет содержать запись для этого IP-адреса.

Если администратору сети необходимо повторно заполнить кэш обновленными данными, можно выполнить команду netsh interface ip delete arpcache для очистки кэша.

⚡️ Для использования команды netsh interface ip delete arpcache может потребоваться доступ администратора на хосте.

N.A. ℹ️ Help

Читать полностью…

Базовый уровень сети на практике

Продолжаем разбирать понятие базового уровня сети и сегодня разберем задержки.

Пример анализа данных ping

Например, следующий ping вывод был захвачен и вставлен в текстовый файл.

August 19, 2019 at 08:14:43

C:\Users\PC-A> ping 10.1.1.10
Pinging 10.1.1.10 with 32 bytes of data:
Reply from 10.1.1.10: bytes=32 time<1ms TTL=64
Reply from 10.1.1.10: bytes=32 time<1ms TTL=64
Reply from 10.1.1.10: bytes=32 time<1ms TTL=64
Reply from 10.1.1.10: bytes=32 time<1ms TTL=64
Ping statistics for 10.1.1.10:
    Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
    Minimum = 0ms, Maximum = 0ms, Average = 0ms
C:\Users\PC-A>

Обратите внимание, что время ping передачи в оба конца меньше 1 мс.

Через месяц пинг повторяется и захватывается.

September 19, 2019 at 10:18:21

C:\Users\PC-A> ping 10.1.1.10
Pinging 10.1.1.10 with 32 bytes of data:
Reply from 10.1.1.10: bytes=32 time=50ms TTL=64
Reply from 10.1.1.10: bytes=32 time=49ms TTL=64
Reply from 10.1.1.10: bytes=32 time=46ms TTL=64
Reply from 10.1.1.10: bytes=32 time=47ms TTL=64
Ping statistics for 10.1.1.10:
    Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
    Minimum = 46ms, Maximum = 50ms, Average = 48ms
C:\Users\PC-A>

⚡️ Обратите внимание на этот раз, что в команде ping время передачи в оба конца намного больше, что указывает на потенциальную проблему.

N.A. ℹ️ Help

Читать полностью…

Каждому айтишнику по квартире

Такой девиз сейчас у застройщиков Петербурга. Пока одни выбирают квартиры в человейниках, работники IT-сектора массово заселяют Петроградку и живут в домах бизнес-класса, хотя платят столько же

Почему так? Благодаря IT-ипотеке со ставкой 5% вместо рыночной 19%. Причем воспользоваться ей могут любые сотрудники аккредитованных компаний. На выбор сотни жилых комплексов: у берега Финского залива, с видовыми квартирами в центре или наоборот малоэтажная застройка в зелёных районах

Каждый день выгодные варианты с готовыми расчетами публикуются на канале ⚓️ Новостройки Питера. Подписывайтесь и уже в этом году сможете купить квартиру в лучшем городе страны

Читать полностью…

erid: LjN8KUJNr

Хорошего контента про ЦОД много не бывает, а про сетевую и инженерную инфраструктуру ЦОД тем более.
 
Собрали подборку материалов о нюансах строительства дата-центров и неочевидных решениях:
 
· Как мигрировать сеть. Специфика миграции сетевых фабрик  
· Принципы проектирования инженерных систем (в вечной мерзлоте!)      
· Зачем агропрому нужны ЦОД?    
· Нагреваем ЦОД и экономим. Прием реально работает, но есть нюансы  
· Можно ли доверить ИИ управление инфраструктурой ЦОД?
 
За другими интересными постами про сетевые решения, дата-центры, мультимедиа и телеком-направление — в канал Jet Network Team. Там много нужного и важного, чего нигде не найдете.

Читать полностью…

🚀 likeabus channel 🚀

Вас интересуют сетевые технологии и реальный опыт работы в этой сфере? Подписывайтесь на мой канал!

🔧 Что вас ждет:

• Личный опыт сертифицированного инженера CCIE
• Обучающие материалы и полезные ресурсы
• Результаты тестирования сетевых продуктов
• Архитектурные решения и практические советы
• Импортозамещение в сетях для ЦОД и MPLS
• Работа с Linux и виртуальными машинами
• Скрипты и автоматизация на Python

👥 Для кого:

Инженеры, архитекторы, администраторы и все, кто связан с сетевыми технологиями

Подписывайтесь на likeabus channel и получите доступ к ценному опыту и знаниям!

Становитесь частью сообщества профессионалов!

Читать полностью…

Отключите неиспользуемые службы

Маршрутизаторы и коммутаторы Cisco запускаются с большим списком активных служб, которые могут потребоваться или не потребоваться при работе в сети.

Отключите все неиспользуемые службы, чтобы сохранить системные ресурсы, такие как ЦП и ОЗУ, и предотвратить использование этих служб злоумышленниками.

Тип служб, которые по умолчанию включен, зависит от версии IOS. Например, IOS-XE обычно имеет открытые только порты HTTPS и DHCP.

Это можно проверить с помощью команды show ip ports all, как показано в примере.

Router# show ip ports all
Proto Local Address               Foreign Address             State       PID/Program Name
TCB       Local Address               Foreign Address             (state)
tcp   :::443                     :::*                        LISTEN      309/[IOS]HTTP CORE
tcp   *:443                      *:*                         LISTEN      309/[IOS]HTTP CORE
udp   *:67                        0.0.0.0:0                               387/[IOS]DHCPD Receive
Router#



В версиях IOS, предшествующих IOS-XE, используется команда show control-plane host open-ports.

Мы упоминаем эту команду, потому что вы можете увидеть ее на старых устройствах. Выходные данные аналогичны.

Однако, обратите внимание, что этот старый маршрутизатор имеет небезопасный HTTP-сервер и работает Telnet.

Обе эти службы должны быть отключены. Как показано в примере, отключите HTTP командой no ip http server в режиме глобальной конфигурации.

Отключите Telnet, указав только SSH в команде конфигурации строки transport input ssh.

Router# 

show control-plane host open-ports

Active internet connections (servers and established)
Prot        Local Address      Foreign Address                  Service    State
 tcp                 *:23                  *:0                   Telnet   LISTEN
 tcp                 *:80                  *:0                HTTP CORE   LISTEN
 udp                 *:67                  *:0            DHCPD Receive   LISTEN
Router# configure terminal
Router(config)# 

no ip http server

Router(config)# 

line vty 0 15

Router(config-line)# 

transport input ssh

N.A. ℹ️ Help

Читать полностью…

Активация подключения по SSH на устройствах Cisco

Telnet упрощает удаленный доступ к устройствам, но не является безопасным, поскольку данные передаются в незашифрованном виде.

Для обеспечения безопасного удаленного доступа настоятельно рекомендуется использовать протокол SSH. 

Настройка SSH на устройствах Cisco выполняется в несколько этапов.

1️⃣ Настройка уникального имени хоста

Для начала задайте уникальное имя хоста для устройства, чтобы оно отличалось от имени по умолчанию:

Router(config)# hostname R1

2️⃣ Настройка имени IP-домена

Настройте имя IP-домена сети с помощью команды режима глобальной конфигурации:

R1(config)# ip domain name span.com

3️⃣ Генерация ключа для шифрования трафика SSH

SSH шифрует трафик между источником и получателем. Для этого необходимо создать уникальный ключ проверки подлинности:

R1(config)# crypto key generate rsa general-keys modulus 1024

В данном случае, размер ключа составляет 1024 бита. Чем больше значение бит, тем безопаснее ключ, но большее значение также требует больше времени для шифрования и расшифровки информации.

Минимальная рекомендуемая длина модуля — 1024 бит.

4️⃣ Создание записи в локальной базе данных

Создайте учетную запись пользователя в локальной базе данных:

R1(config)# username Bob secret cisco

Параметр secret используется для шифрования пароля с помощью MD5.

5️⃣ Аутентификация против локальной базы данных

Настройте строки vty для проверки подлинности в локальной базе данных:

R1(config)# line vty 0 4
R1(config-line)# login local

6️⃣ Включение входящих SSH-сеансов на линиях vty

Разрешите входящие SSH-сеансы на линиях vty:

R1(config-line)# transport input ssh

Теперь устройство настроено на использование SSH для безопасного удаленного доступа. Ниже представлен полный пример конфигурации:

Router# configure terminal
Router(config)# hostname R1
R1(config)# ip domain name span.com
R1(config)# crypto key generate rsa general-keys modulus 1024
The name for the keys will be: R1.span.com % The key modulus size is 1024 bits
% Generating 1024 bit RSA keys, keys will be non-exportable...[OK]
Dec 13 16:19:12.079: %SSH-5-ENABLED: SSH 1.99 has been enabled
R1(config)#
R1(config)# username Bob secret cisco
R1(config)# line vty 0 4
R1(config-line)# login local
R1(config-line)# transport input ssh
R1(config-line)# exit
R1(config)#

⚡️Эти шаги позволят вам настроить безопасное подключение по SSH на устройстве Cisco, обеспечивая шифрование и надежность передачи данных.

N.A. ℹ️ Help

Читать полностью…

🧐 Увлекательный тест по сетевому инженеру💯

Ответьте на 22 вопроса и проверьте, насколько вы готовы к обучению на курсе - Network engineer.

📚Курс ориентирован на специалистов и системных администраторов, которые: 
- стремятся к более масштабным и крупным проектам;
- хотят получить более глубокое представление о своей работе и брать более сложные задачи;
- желают добавить к своим компетенциям навыки работы с сетями.

⏱Время прохождения теста ограниченно 30 минут.

ПРОЙТИ ТЕСТ: https://clck.ru/3BUVtq 

Пройдете тест и получите несколько уроков курса в подарок, а также спец. цену на курс! 😋

Реклама. ООО "ОТУС ОНЛАЙН-ОБРАЗОВАНИЕ". ИНН 9705100963.

Читать полностью…

Промпт-инженеринг — новый хайп или перспективная профессия? 🤔

Рассказываем про направление с большим потенциалом и маленькой конкуренцией на рынке на нашей бесплатной лекции.

По итогам эфира вы узнаете:
— Кто такой промт-инженер и чем он занимается;
— Как интегрировать скиллы промт-инжинеринга в работу, если вы работаете в IT;
— Кому в действительности нужны его услуги и какие результаты это даст;
— Сколько платят промт-инженеру в России и мире;
— Кто может стать промт-инженером и какой порог входа;

Кликай на ссылку и забирай подробную информацию вместе с классными бонусами 👈🏼

erid: LjN8KYrDU
ООО Зерокодер, ИНН 9715401631

Читать полностью…

Конфигурация VCP вручную

Первый пост из серии тут

Включите все коммутаторы, также вам понадобятся их заводская маркировка, которую следует записать.

Для примера используем следующие:

CT0216330172
CV0216450257



Включите коммутатор, который будет выполнять функцию master switch, после чего сделайте сброс настройка с помощью следующей строки кода:

request system zeroize



Перезагрузив систему, выполните следующие строки:

ezsetup
set system host-name sw_master
set system domain-name metholding.int
set system domain-search metholding.int
set system time-zone Europe/Moscow
set system root-authentication plain-text-password
set system name-server 10.10.6.26
set system name-server 10.10.6.28
set system services ssh protocol-version v2
set system ntp server 10.10.1.130 version 4
set system ntp server 10.10.1.130 prefer
set vlans Management description 10.10.45.0/24
set vlans Management vlan-id 100
set vlans Management l3-interface vlan.1
set interfaces vlan unit 1 family inet address 10.10.45.100/24
set routing-options static route 0.0.0.0/0 next-hop 10.10.45.1
set interfaces ge-0/0/47 unit 0 family ethernet-switching port-mode trunk
set interfaces ge-0/0/47 unit 0 family ethernet-switching vlan members Management



Активируем preprovisioned configuration mode:

set virtual-chassis preprovisioned



Вносим серийные номера оборудования:

set virtual-chassis member 0 serial-number CT02/16330172 role routing-engine
set virtual-chassis member 1 serial-number CV0216450257 role routing-engine
set virtual-chassis no-split-detection



Проверьте результат, с помощью следующей строки:

root@sw-master> show virtual-chassis status



Обнулите конфигурацию и включайте остальные коммутаторы:

request system zeroize



Раздел virtual-chassis в конфигурации должен быть пустой, а для подстраховки, используйте команду:

delete virtual-chassis



Настроим порты VCP для каждого коммутатора. Для данного примера, соедините коммутаторы портами ge-0/0/0 и ge-0/0/1 соответственно.

Теперь задайте эти строки кода на каждом из коммутаторов:

request virtual-chassis vc-port set pic-slot 0 port 0
request virtual-chassis vc-port set pic-slot 0 port 1
--------------------ВЫВОД----------------------------
root> show interfaces terse
Interface Admin Link Proto Local Remote
vcp-255/0/0 up up
vcp-255/0/0.32768 up up
vcp-255/0/1 up up
vcp-255/0/1.32768 up up
ge-0/0/2 up down
ge-0/0/2.0 up down eth-switch



Теперь два коммутатора объединились, проверить можно с помощью команды:

show virtual-chassis status
show virtual-chassis vc-port



Если вы захотите добавить дополнительных участников к virtual-chassis, вам будет необходимо очистить конфигурацию нового коммутатора:

show interfaces terse | match vcp



Если есть, их надо удалить с командой:

request virtual-chassis vc-port delete pic-slot 0 port 0



Внесите серийный номер дополнительного устройства:

set virtual-chassis member 2 serial-number CT0217190258 role line-card



Настройка портов VCP в новом коммутаторе, в котором мы соединяем следующими портами - ge-0/0/0 и ge-0/0/1:

request virtual-chassis vc-port set pic-slot 0 port 0
request virtual-chassis vc-port set pic-slot 0 port 1



Теперь проверьте их наличие:

show interfaces terse | match vcp

Читать полностью…

Протоколы группы FHRP (First Hop Redundancy Protocols)

Протоколы группы FHRP предназначены для обеспечения высокой доступности и отказоустойчивости первого шага (first hop) в сетях, использующих маршрутизацию по умолчанию.

Они обеспечивают управление виртуальным IP-адресом, который может переходить с одного активного маршрутизатора на другой в случае отказа.

Рассмотрим основные протоколы этой группы: HSRP, VRRP и GLBP.

1️⃣ HSRP (Hot Standby Router Protocol)

HSRP является протоколом Cisco, предназначенным для обеспечения резервирования первого шага. 

Он позволяет группе маршрутизаторов выбрать один активный маршрутизатор и несколько резервных (standby) маршрутизаторов.

Активный маршрутизатор выполняет пересылку пакетов для виртуального IP-адреса, в то время как резервные маршрутизаторы остаются в готовности, ожидая перехода в активное состояние при отказе текущего активного маршрутизатора.

⏺Используется в средах Cisco для обеспечения отказоустойчивости шлюза по умолчанию.

⏺Поддерживает только один активный маршрутизатор, что может быть недостаточно для некоторых требований масштабируемости.

2️⃣ VRRP (Virtual Router Redundancy Protocol)

VRRP — это открытый стандартный протокол, который выполняет функции, аналогичные HSRP. 

Он позволяет нескольким маршрутизаторам объединиться в группу и выбрать один из них в качестве виртуального маршрутизатора.

Виртуальный маршрутизатор имеет свой собственный виртуальный IP-адрес, который перенаправляется на текущий активный маршрутизатор в группе.

⏺Широко используется в различных сетевых устройствах и операционных системах для обеспечения отказоустойчивости шлюза.

⏺Поддерживает концепцию мастер-соединения (master election), что позволяет легко масштабировать сеть с большим количеством маршрутизаторов.

3️⃣ GLBP (Gateway Load Balancing Protocol)

GLBP является проприетарным протоколом Cisco, который расширяет функциональность HSRP и VRRP.

Тем самым протокол позволяет активным маршрутизаторам распределять нагрузку между собой.

В GLBP несколько маршрутизаторов могут быть активными и выполнять балансировку нагрузки между собой, обеспечивая высокую доступность и использование ресурсов.

⏺Идеально подходит для сетей с высокой нагрузкой, где требуется равномерное распределение трафика между несколькими шлюзами.

⏺Поддерживает не только отказоустойчивость, но и улучшенную производительность сети за счет балансировки нагрузки.

N.A. ℹ️ Help

Читать полностью…

Типы уязвимостей

Уязвимость — степень незащищенности, присущая каждой сети и устройству, включая маршрутизаторы, коммутаторы, настольные компьютеры, серверы и устройства безопасности.

Три основных типа уязвимостей: технологические, конфигурационные и уязвимости политики безопасности.

⏺Технологические уязвимости

• Уязвимости протоколов TCP/IP: Протоколы HTTP, FTP и ICMP ненадежны. SNMP и SMTP имеют небезопасную структуру.

• Уязвимости операционных систем: Все операционные системы, такие как UNIX, Linux, Mac OS, Windows Server 2012, Windows 7, Windows 8, имеют проблемы безопасности, задокументированные в архивах CERT.

• Уязвимости сетевого оборудования: Маршрутизаторы, брандмауэры и коммутаторы имеют недостатки безопасности, такие как слабая защита паролем и отсутствие аутентификации.

⏺Конфигурационные уязвимости

• Незащищенные учетные записи пользователей: Информация может передаваться небезопасно, подвергая риску имена пользователей и пароли.

• Пароли, которые легко подобрать: Неграмотно выбранные пароли легко взломать.

• Ошибки в конфигурации интернет-служб: Неправильные настройки JavaScript, терминальных служб, FTP или веб-серверов создают уязвимости.

• Незащищенные настройки по умолчанию: Настройки по умолчанию могут стать источником проблем с безопасностью.

• Ошибки в конфигурации сетевого оборудования: Неправильные списки доступа, протоколы маршрутизации или пароли SNMP создают дыры в безопасности.

⏺Уязвимости политики безопасности

• Отсутствие утвержденной политики безопасности: Без утвержденной политики невозможно обеспечить ее соблюдение.

• Конфликты политик безопасности: Сложности в согласованном применении политик.

• Отсутствие непрерывной аутентификации: Слабые пароли или использование паролей по умолчанию приводят к несанкционированному доступу.

• Не применяются логические элементы управления доступом: Плохой мониторинг и учет позволяют атаки и несанкционированное использование ресурсов.

• Несоответствие установки и модификации оборудования политике безопасности: Несанкционированные изменения топологии сети создают проблемы безопасности.

• Отсутствие плана аварийного восстановления: Атаки без плана восстановления приводят к хаосу и панике.

N.A. ℹ️ Help

Читать полностью…