Структура корпоративной сети

Корпоративная сеть — это сеть, создаваемая организацией для обеспечения эффективной внутренней и внешней работы.

Она включает локальные сети всех офисов и подразделений компании, объединенные опорной сетью, которая может использовать интернет для связи между удаленными филиалами. 

Пользователями корпоративной сети являются сотрудники компании, которые получают доступ к необходимым данным и ресурсам для работы.

Организация единой корпоративной сети

Связь между локальными сетями филиалов и офисов обеспечивается опорной сетью. Для этого используются следующие варианты организации каналов:

1️⃣Собственные физические каналы: используются физические линии (кабели, радиосвязь). Преимущества — высокая безопасность и контроль, однако такой вариант подходит для небольших расстояний из-за высокой стоимости развертывания и обслуживания на больших дистанциях.

2️⃣ VPN: объединение через интернет с использованием технологий VPN. Здесь есть два метода:
⏺С помощью интернет-провайдера: организация может арендовать выделенные каналы у одного провайдера. Это удобно, но требует высокой платы за аренду и контроля над оборудованием провайдера.
⏺Собственное оборудование: организация устанавливает свои VPN-шлюзы для создания VPN-туннелей между офисами. Это более гибкий и экономичный метод, позволяющий быстро масштабировать сеть.

VPN-технологии

Корпоративные VPN могут использовать протоколы туннелирования:

• PPTP: простой, но уязвимый кибератакам.
• L2TP/IPsec: надежный, но медленный из-за многоэтапной защиты.
• OpenVPN: безопасен, использует сильные алгоритмы шифрования.

В сети также применяется site-to-site VPN, позволяющий соединять локальные сети офисов через VPN-туннели между VPN-шлюзами, что оптимально для корпоративной сети.

Основные элементы корпоративной сети

Корпоративная сеть состоит из:

• Рабочих станций — ПК сотрудников с доступом к корпоративным ресурсам;
• Сетевого оборудования — коммутаторов, маршрутизаторов и другого оборудования;
• Серверов — файловых, почтовых, серверов базы данных и других.

Серверы обеспечивают доступ к данным, управляют сетевой безопасностью, хранят файлы, организуют почту, а также служат для резервного копирования данных.

Схема подключения

Рабочие станции подключаются к коммутаторам, далее через маршрутизатор с фаерволом и VPN-шлюзами происходит соединение всех филиалов. 

Филиалы подключаются к центральному офису по выделенному VPN-туннелю, который дает доступ к серверной инфраструктуре главного офиса.

⚡️Виртуализация позволяет разместить несколько серверов на одной физической машине, оптимизируя использование ресурсов.

N.A. ℹ️ Help

Читать полностью…

Настройка EIGRP на маршрутизаторе Cisco: Часть 2

5️⃣ Настройка метрик и параметров EIGRP

Вы можете настроить различные параметры EIGRP, такие как коэффициенты метрики. Например, чтобы изменить значение по умолчанию для bandwidth:

interface GigabitEthernet0/1
 bandwidth 100000

6️⃣ Настройка таймеров EIGRP

Вы можете настроить таймеры EIGRP для улучшения производительности. Например, чтобы установить таймер hello на 5 секунд и таймер hold на 15 секунд:

interface GigabitEthernet0/1
 ip hello-interval eigrp 10 5
 ip hold-time eigrp 10 15

7️⃣ Проверка конфигурации

После настройки EIGRP вы можете проверить его работу с помощью следующих команд:

⏺Проверка состояния EIGRP:

show ip eigrp neighbors

⏺Проверка таблицы маршрутов:

show ip route eigrp

⏺Проверка конфигурации EIGRP:

show running-config | include router eigrp

8️⃣ Сохранение конфигурации

Не забудьте сохранить изменения в конфигурации маршрутизатора:

end
write memory

Настройка EIGRP может значительно улучшить маршрутизацию в вашей сети благодаря своей способности быстро адаптироваться к изменениям и поддерживать сложные топологии.

Этот протокол отлично подходит для сетей среднего и крупного масштаба, обеспечивая надежность и высокую производительность.

N.A. ℹ️ Help

Читать полностью…

VPLS и MPLS: В чем разница?

Сегодня рассмотрим различия между VPLS и MPLS — двумя технологиями, широко используемыми для глобального подключения клиентских сетей.

Что такое VPLS и MPLS?

⏺VPLS (Virtual Private LAN Service) — это сервис для создания виртуальных частных локальных сетей. VPLS работает на уровне Ethernet (L2) и может быть развернут через IP-сети или MPLS.

Это многоточечное подключение (multipoint-to-multipoint), позволяющее объединить географически распределенные сети так, словно они находятся в одном локальном сегменте.

⏺MPLS (Multiprotocol Label Switching) — это технология для создания сети с коммутируемыми метками. MPLS может работать на уровне L2 или L3 и организует маршрутизацию и передачу данных с использованием меток, что упрощает и ускоряет передачу трафика по глобальным сетям.

Сравнение VPLS и MPLS

Тип технологии

• VPLS — это сервис, использующий технологию Ethernet для подключения на уровне L2.
• MPLS — это технология маршрутизации и коммутации, которая может работать как на L2, так и на L3 уровнях.

2️⃣ Тип соединения

• VPLS создает связь L2 между сетями, предоставляя многоточечное соединение между всеми участниками, как в локальной сети.
• MPLS обеспечивает сетевую топологию через маршрутизацию и коммутируемые метки. Взаимодействие между PE и CE маршрутизаторами может быть как L2, так и L3.

3️⃣ Применение интерфейсов

• VPLS использует Ethernet-интерфейсы для связи между сетями.
• MPLS поддерживает различные типы интерфейсов (например, Frame-Relay, ATM) в зависимости от требований клиента.

4️⃣ Качество обслуживания (QoS)

• MPLS позволяет управлять приоритетом трафика и качеством обслуживания, что делает его идеальным для приложений, требующих высокой надежности и низкой задержки.
• VPLS не поддерживает полный набор QoS-функций, что ограничивает его использование в сетях, где критична стабильность связи.

5️⃣ Тип соединений

• VPLS поддерживает конфигурации point-to-point и multipoint.
• MPLS предоставляет полносвязную топологию, что упрощает масштабирование и управление трафиком между сетями.

6️⃣ Сценарии использования

• VPLS чаще применяется в промышленности для передачи данных L2 через глобальные сети.
• MPLS широко используется для передачи как L2, так и L3 трафика, адаптируясь к различным сетевым требованиям заказчиков.

N.A. ℹ️ Help

Читать полностью…

Внутреннее устройство маршрутизатора Cisco

Сегодня разберем, что внутри маршрутизатора Cisco и как работают его компоненты.

Эти устройства включают несколько типов памяти, интерфейсов и другие элементы, обеспечивающие их работу и настройку.

Основные компоненты маршрутизатора Cisco:

⏺Типы памяти:

• ROM: содержит программу (ROM-monitor) для начальной загрузки и самотестирования.
• FLASH: перезаписываемая память, где хранится операционная система (IOS). При необходимости ее можно обновить.
• RAM: оперативная память, куда загружается IOS и текущая конфигурация устройства. Здесь хранятся таблицы маршрутизации.
• NV-RAM: энергонезависимая память, содержащая файл начальной конфигурации (startup-config). Ее содержимое сохраняется после перезагрузки устройства.

⏺Порты и интерфейсы:

• Интерфейсы: соединяют маршрутизатор с другими сетевыми устройствами (например, FastEthernet0/0, Serial). Интерфейсы бывают модульными, и каждый слот нумеруется, как, например, FastEthernet0/2.
• Линейные порты: специальные порты для управления устройством, такие как Console, Auxiliary, VTY и USB.

⏺CLI (Command Line Interface): Интерфейс командной строки — единственный способ настройки и управления маршрутизатором. К нему можно подключиться через консоль или Telnet-соединение для ввода команд.

Этапы загрузки маршрутизатора:

1️⃣Включение устройства.
2️⃣ ROM: загружается загрузчик и запускает самотестирование (POST).
3️⃣ FLASH: загрузчик пытается загрузить IOS из флэш-памяти. Если ее нет, загружается базовая IOS из ROM.
4️⃣ NVRAM: загрузчик ищет файл конфигурации запуска (startup-config).
• Если его нет, загружается с TFTP-сервера.
• Если нет и на сервере, устройство переходит в режим начальной настройки.
5️⃣ RAM: файл конфигурации из NVRAM переносится в оперативную память и становится рабочей конфигурацией.

N.A. ℹ️ Help

Читать полностью…

Полезные файлы в /proc для сетевых инженеров

/proc — это виртуальная файловая система, содержащая данные, которые помогают мониторить, настраивать и диагностировать сетевые параметры Linux-системы в реальном времени.

Вот базовые и продвинутые параметры, которые могут быть полезны в сетевой диагностике и настройке.

Базовые сетевые настройки и диагностика:

Сетевые интерфейсы: Проверить статистику по всем сетевым интерфейсам:

cat /proc/net/dev

Этот файл показывает трафик, ошибки и состояние интерфейсов, что полезно для диагностики проблем с адаптерами и отслеживания активности.

Маршруты: Показать таблицу маршрутизации:

cat /proc/net/route

Содержит активные маршруты, метрики и шлюзы, позволяя отслеживать текущую конфигурацию маршрутизации.

ARP-таблица: Узнать ARP-таблицу для проверки сопоставлений MAC и IP-адресов:

cat /proc/net/arp

Помогает в диагностике проблем с разрешением IP-адресов в локальной сети.

Активные соединения: Просмотреть активные соединения TCP и UDP:

cat /proc/net/tcp
cat /proc/net/udp

Полезно для наблюдения за текущими подключениями, их статусом и адресами.

Продвинутые параметры и оптимизация:

Контроль перегрузки TCP (Congestion Control): Посмотреть текущий и доступные алгоритмы контроля перегрузок:

cat /proc/sys/net/ipv4/tcp_congestion_control
cat /proc/sys/net/ipv4/tcp_available_congestion_control

Параметр влияет на то, как TCP регулирует трафик при перегрузке сети, что особенно важно для высокоскоростных и загруженных сетей.

Таймауты повторной передачи TCP: Изменить настройки для таймаутов TCP при потерях пакетов:

cat /proc/sys/net/ipv4/tcp_retries2

Позволяет контролировать, как быстро TCP предпринимает попытку повторной передачи, что полезно в условиях нестабильной сети.

Масштабирование TCP-окон (Window Scaling): Просмотреть и настроить масштабирование TCP-окон для повышения производительности на высокоскоростных сетях:

cat /proc/sys/net/ipv4/tcp_window_scaling

Масштабирование окон TCP позволяет эффективно использовать каналы с высокой пропускной способностью.

Буферы TCP и UDP: Настроить размеры буферов для TCP и UDP-соединений:

cat /proc/sys/net/ipv4/tcp_rmem
cat /proc/sys/net/ipv4/udp_rmem_min

Эти параметры позволяют контролировать объем памяти, выделяемой для буферов, что может улучшить пропускную способность при высоких нагрузках.

Анализ SYN-пакетов: Контролировать прием SYN-пакетов и защиту от SYN-флуд-атак:

cat /proc/sys/net/ipv4/tcp_syncookies

При активации позволяет защитить систему от атак на основе флуда SYN-пакетами.

Системные параметры и мониторинг:

Информация о CPU и памяти: Информация о процессоре:

cat /proc/cpuinfo

Информация о памяти:

cat /proc/meminfo

Версия ядра и ОС: Проверить версию ядра Linux и дополнительные метаданные ОС:

cat /proc/version

Партиции и диски: Просмотреть информацию о разделах и дисках:

cat /proc/partitions

Работа с подключенными устройствами:

Информация о SCSI/SATA устройствах: Список всех подключенных SCSI или SATA устройств:

cat /proc/scsi/scsi

Полезно для сетевых устройств, использующих виртуализацию и внешние диски.

N.A. ℹ️ Help

Читать полностью…

Разновидности виртуализации серверов

Виртуализация серверов — это технология, позволяющая разделить один физический сервер на несколько виртуальных, каждый из которых работает с отдельной операционной системой.

Это обеспечивает независимость работы виртуальных серверов и гибкость управления ресурсами. 

Рассмотрим основные виды виртуализации серверов.

1️⃣Гипервизор

Гипервизор (или VMM) — это слой между оборудованием и операционными системами, который обеспечивает одновременную работу нескольких ОС. Он управляет распределением ресурсов и организует виртуальные машины.

• Плюсы: возможность изоляции ОС, надежность работы.
• Минусы: гипервизор может потреблять значительное количество ресурсов.

2️⃣ Паравиртуализация

Этот метод также базируется на гипервизоре, но требует модификации гостевых операционных систем для повышения производительности. Взаимодействие с гипервизором осуществляется напрямую.

• Плюсы: высокая производительность, минимальное потребление ресурсов на эмуляцию.
• Минусы: необходимость модификации гостевой ОС.

3️⃣ Полная виртуализация

Полная виртуализация эмулирует аппаратное обеспечение, позволяя немодифицированным операционным системам работать поверх гипервизора. Этот метод более универсален, но менее эффективен из-за необходимости эмуляции.

• Плюсы: поддержка немодифицированных ОС.
• Минусы: замедление работы из-за эмуляции.

4️⃣ Виртуализация с аппаратной поддержкой

Схожа с полной виртуализацией, но использует аппаратные возможности современных процессоров (например, Intel VT или AMD-V) для уменьшения нагрузки на гипервизор и улучшения производительности.

• Плюсы: высокая производительность, поддержка немодифицированных ОС.
• Минусы: требуется специальное оборудование.

5️⃣ Виртуализация на уровне ядра

В этом случае виртуальные машины рассматриваются как процессы на уровне пользовательского пространства. Для работы требуется аппаратная поддержка.

• Плюсы: низкое потребление ресурсов, отсутствие необходимости в сложном ПО для управления.
• Минусы: ограниченная совместимость, требуется аппаратная поддержка.

6️⃣ Виртуализация на системном уровне (на уровне ОС)

Этот метод позволяет запускать несколько изолированных сред на одном ядре ОС. Виртуальные машины используют одно общее ядро хостовой ОС, что значительно снижает накладные расходы.

• Плюсы: высокая эффективность, возможность динамической миграции, улучшенная безопасность.
• Минусы: все виртуальные серверы должны использовать одну версию операционной системы.

N.A. ℹ️ Help

Читать полностью…

Активация подключения по SSH на устройствах Cisco

Telnet упрощает удаленный доступ к устройствам, но не является безопасным, поскольку данные передаются в незашифрованном виде.

Для обеспечения безопасного удаленного доступа настоятельно рекомендуется использовать протокол SSH. 

Настройка SSH на устройствах Cisco выполняется в несколько этапов.

1️⃣ Настройка уникального имени хоста

Для начала задайте уникальное имя хоста для устройства, чтобы оно отличалось от имени по умолчанию:

Router(config)# hostname R1

2️⃣ Настройка имени IP-домена

Настройте имя IP-домена сети с помощью команды режима глобальной конфигурации:

R1(config)# ip domain name span.com

3️⃣ Генерация ключа для шифрования трафика SSH

SSH шифрует трафик между источником и получателем. Для этого необходимо создать уникальный ключ проверки подлинности:

R1(config)# crypto key generate rsa general-keys modulus 1024

В данном случае, размер ключа составляет 1024 бита. Чем больше значение бит, тем безопаснее ключ, но большее значение также требует больше времени для шифрования и расшифровки информации.

Минимальная рекомендуемая длина модуля — 1024 бит.

4️⃣ Создание записи в локальной базе данных

Создайте учетную запись пользователя в локальной базе данных:

R1(config)# username Bob secret cisco

Параметр secret используется для шифрования пароля с помощью MD5.

5️⃣ Аутентификация против локальной базы данных

Настройте строки vty для проверки подлинности в локальной базе данных:

R1(config)# line vty 0 4
R1(config-line)# login local

6️⃣ Включение входящих SSH-сеансов на линиях vty

Разрешите входящие SSH-сеансы на линиях vty:

R1(config-line)# transport input ssh

Теперь устройство настроено на использование SSH для безопасного удаленного доступа. Ниже представлен полный пример конфигурации:

Router# configure terminal
Router(config)# hostname R1
R1(config)# ip domain name span.com
R1(config)# crypto key generate rsa general-keys modulus 1024
The name for the keys will be: R1.span.com % The key modulus size is 1024 bits
% Generating 1024 bit RSA keys, keys will be non-exportable...[OK]
Dec 13 16:19:12.079: %SSH-5-ENABLED: SSH 1.99 has been enabled
R1(config)#
R1(config)# username Bob secret cisco
R1(config)# line vty 0 4
R1(config-line)# login local
R1(config-line)# transport input ssh
R1(config-line)# exit
R1(config)#

⚡️Эти шаги позволят вам настроить безопасное подключение по SSH на устройстве Cisco, обеспечивая шифрование и надежность передачи данных.

N.A. ℹ️ Help

Читать полностью…

Восстановление образа маршрутизатора Cisco IOS

Что делать если у вас повредился образ операционной системы Cisco IOS вашего роутера?

Из этой неприятной ситуации есть выход, и мы расскажем, что нужно сделать.

Процесс

Вы можете восстановить Cisco IOS, используя TFTP-сервер.

Поскольку IOS находится во флэш-памяти маршрутизатора, поэтому сначала необходимо создать резервную копию флэш-файла IOS на TFTP-сервере, а затем восстановить IOS из флэш-файла, который вы сохранили на TFTP-сервере.

⏺Сначала выполните команду show flash, чтобы проверить имя файла флэш-памяти и скопировать имя файла.

⏺Затем выполните следующие команды, чтобы создать резервную копию флэш-файла на TFTP-сервере.

Router#copy flash tftp
Address or name of remote host []? < type tftp server IP address >
Source filename []? < paste the flash file name >
Destination filename [c2600-i-mz.122-28.bin]? < press enter to accept the default file name >
Do you want to overwrite? [confirm] < press enter to overwrite the file >



Теперь перезагрузите роутер. Когда роутер будет загружаться, нажмите CTRL + Pause Break, чтобы войти в режим ROMMON.

Либо можно стереть flash память командой delete flash: и роутер будет автоматически переведен в режим ROMMON, поскольку флэш-память отсутствует.

Как только вы войдете в режим ROMMON, вы увидите приглашение:

rommon>



В режиме ROMMON выполните следующие команды для восстановления Cisco IOS из режима ROMMON, где нужно указать сетевые настройки роутера, адрес TFTP сервера и имя файла, который вы загружаете как образ IOS. В конце выполните команду tftpdnld.

rommon 1> IP_ADDRESS = 192.168.1.1
rommon 2> IP_SUBNET_MASK = 255.255.255.0
rommon 3> DEFAULT_GATEWAY = 192.168.1.100
rommon 4> TFTP_SERVER = 192.168.1.100
rommon 5> TFTP_FILE = c2600-i-mz.122-28.bin
rommon 6> tftpdnld 



Далее мы получим предупреждение что все данные будут потеряны, и чтобы продолжить нажимаем Y.

Флэш-файл будет загружен на маршрутизатор с TFTP-сервера. После восстановления файла флэш-памяти выполните команду reset, чтобы перезагрузить роутер.

Теперь маршрутизатор загрузится с новым образом IOS.

N.A. ℹ️ Help

Читать полностью…

Режимы передачи данных в сетях

Режим передачи данных — это способ, с помощью которого устройства в сети обмениваются информацией. 

Он определяет, в каком направлении и как именно будут передаваться данные между двумя или более устройствами, связанными по сети.

Основные характеристики:

• Режим передачи также называется режимом связи.
• Он описывает, как осуществляется поток данных между двумя точками.
• Сети и шины данных созданы для обеспечения коммуникации между подключёнными устройствами.

Категории режимов передачи данных:

1️⃣ Симплексный режим
В этом режиме данные передаются только в одном направлении, то есть связь однонаправленная. Одно устройство выступает как передатчик, другое — как приёмник. Обратная связь невозможна.

Пример: клавиатура и монитор. Клавиатура отправляет данные на компьютер, но сама не получает информацию обратно. Другие примеры: телевизионное вещание, радиопередачи, пульт дистанционного управления.

Преимущества:
• Всё доступное каналу пространство (пропускная способность) используется для передачи данных в одном направлении, что позволяет передавать больше информации за единицу времени.

Недостатки:
• В симплексном режиме отсутствует возможность двустороннего обмена данными, что ограничивает функциональность.

2️⃣ Полудуплексный режим

В полудуплексном режиме данные могут передаваться в обоих направлениях, но не одновременно. Устройства чередуют передачу и приём данных: когда одно устройство передаёт, другое должно ждать завершения передачи для начала приёма данных.

• Пример: рация, где сообщения передаются по очереди: одно устройство передаёт, другое — принимает, и наоборот.

Преимущества:
• Возможность отправки данных в обе стороны.
• Применение всей пропускной способности канала для передачи данных в одном направлении.

Недостатки:
• Передача данных занимает больше времени из-за необходимости ожидания каждой из сторон, что может вызывать задержки.
• Ограниченность двусторонней связи: устройства не могут обмениваться данными одновременно.

3️⃣ Полнодуплексный режим

Полнодуплексный режим позволяет одновременную передачу и приём данных между двумя устройствами. Этот режим обеспечивает наиболее быструю и эффективную связь, так как оба устройства могут передавать данные параллельно, не ожидая друг друга.

Пример: телефонный разговор, когда оба человека могут одновременно говорить и слушать друг друга.
Другие примеры: интернет-видеоконференции, обмен данными между компьютером и сервером в режиме реального времени.

Преимущества:
• Обе стороны могут передавать и получать данные одновременно, что увеличивает эффективность передачи информации.
• Высокая скорость обмена данными, так как устройства не требуют ожидания окончания передачи данных.

Недостатки: Если у каналов связи нет выделенной полосы пропускания, она может быть поделена между обоими направлениями, что снижает общую производительность канала.

N.A. ℹ️ Help

Читать полностью…

Настройка QinQ на оборудовании Mikrotik

Для начала стоит напомнить о технологии 802.1q. Она позволяет тегировать трафик на уровне L2 OSI, разделяя его по VLAN. Тег добавляется в заголовок фрейма и состоит из двух частей:

⏺TPID (Tag Protocol Identifier) — определяет тип трафика. Для 802.1q его значение 0x8100, а для 802.1ad (QinQ) — 0x88a8.
⏺TCI (Tag Control Information) — поле размером 16 бит, включающее следующие компоненты:
⏺PCP (Priority) — 3-битное поле для приоритезации трафика.
⏺DEI (Drop Eligible Indicator) — 1 бит для пометки фреймов, которые могут быть отброшены при перегрузке.
⏺VID (VLAN Identifier) — 12-битное поле для указания номера VLAN (от 1 до 4094).
⏺QinQ (802.1ad) решает проблему ограничения числа VLAN (4094), добавляя второй тег, что позволяет увеличить количество VLAN до 16777216.

Практическая часть

Настроим оборудование Mikrotik для работы с технологией QinQ.

Сеть состоит из четырёх устройств Mikrotik:

1️⃣VPC1 и VPC2 будут находиться в одной подсети:

• VPC1: 172.16.20.1/24
• VPC2: 172.16.20.2/24

2️⃣ Первый и четвёртый Mikrotik отвечают за доступ и передачу тегированного трафика:

/interface bridge
add name=bridge vlan-filtering=yes

/interface bridge port
add bridge=bridge interface=ether1 pvid=100
add bridge=bridge interface=ether2

/interface bridge vlan
add bridge=bridge tagged=ether2 vlan-ids=100

Оба устройства работают с VLAN ID 100 и передают тегированный трафик через интерфейс ether2.

3️⃣ Второй Mikrotik добавляет дополнительный тег (QinQ):

/interface bridge
add ether-type=0x88a8 name=bridge vlan-filtering=yes

/interface bridge port
add bridge=bridge interface=ether1 pvid=200 tag-stacking=yes
add bridge=bridge interface=ether2

/interface bridge vlan
add bridge=bridge tagged=ether1 vlan-ids=100
add bridge=bridge tagged=ether2 vlan-ids=200

Здесь добавляем поддержку QinQ с тегированием трафика на уровне 802.1ad (значение ether-type=0x88a8) и включаем двойное тегирование (tag-stacking).

4️⃣ Третий Mikrotik настраивается аналогично:

/interface bridge
add ether-type=0x88a8 name=bridge vlan-filtering=yes

/interface bridge port
add bridge=bridge interface=ether1
add bridge=bridge interface=ether2 pvid=200 tag-stacking=yes

/interface bridge vlan
add bridge=bridge tagged=ether2 vlan-ids=100
add bridge=bridge tagged=ether1 vlan-ids=200

Настройка оборудования завершена. Теперь ваши устройства могут обрабатывать двойные теги QinQ, что позволяет увеличить количество VLAN и обеспечить более гибкую маршрутизацию в сложных сетях.

N.A. ℹ️ Help

Читать полностью…

10 лучших практик использования Windows Server Ч.1

Порой нам важно не только автоматизировать процессы настройки, но и поддерживать системы в рабочем состоянии без сбоев.

Вот несколько ключевых практик, которые помогут вам поддерживать безопасность и производительность серверов на высоком уровне.

1️⃣Аудит политики авторизации
Контролируйте доступ к серверам. Отключите локальный и интерактивный доступ, чтобы никто не мог использовать серверы как обычные рабочие столы. Важно также следить за изменениями прав доступа и авторизациями.

2️⃣ Централизация журналов событий
Настройте сервер для централизованного сбора журналов. Это упростит анализ данных и позволит быстро находить проблемы, например, неудачные попытки входа. Вы также можете интегрировать журналы с системами устранения инцидентов.

3️⃣ Контрольные и базовые показатели производительности
Фиксируйте и анализируйте показатели работы серверов в пиковые и непиковые периоды. Это поможет оптимизировать использование ресурсов и предугадывать атаки или сбои.

4️⃣ Ограничение удаленного доступа
Обеспечьте безопасность удаленных подключений через VPN и настройку брандмауэра. Убедитесь, что доступ к серверам через протоколы удаленного рабочего стола контролируется и защищен.

5️⃣ Настройка сервисов
Отключите ненужные службы, чтобы уменьшить возможности для атак. Регулярно пересматривайте потребности вашей системы и оставляйте активными только те сервисы, которые необходимы.

N.A. ℹ️ Help

Читать полностью…

Как в сетях обнаруживаются соседи? Часть 2

Объявление достижимости и топологии

После того, как сеть изучила информацию о топологии и доступности, плоскость управления должна распространить эти данные по всей сети.

Этот процесс включает объявление достижимости и топологии, что обеспечивает актуальность информации для маршрутизации трафика.

Хотя способ объявления зависит от используемого механизма, решающего задачи без петлевой маршрутизации, есть общие принципы, применимые ко всем системам. 

Основная цель — решить, когда и как передавать информацию о достижимости и топологии, обеспечивая надежную и эффективную передачу данных.

Решение, когда объявлять достижимость и топологию

Когда следует объявлять топологию и доступность? Логичным ответом было бы делать это сразу после изучения топологии, но на практике нужно учитывать баланс между эффективностью сети и объемом информации, удерживаемой в плоскости управления.

Пример:

Предположим, хосты A и F обмениваются данными постоянно, в то время как B, G и H не передают трафик долгое время.

Возникают следующие вопросы:

• Почему маршрутизаторы D и E должны поддерживать информацию о доступности для B, если C ее знает?
• Почему E должен хранить информацию о доступности хоста A?

Сложность состоит в том, что существует компромисс между объемом информации, которую нужно передавать и хранить, и скоростью, с которой сеть может обрабатывать и передавать трафик. В таких ситуациях есть три подхода:

1️⃣Проактивное объявление доступности

Плоскость управления может проактивно изучать топологию и передавать информацию о достижимости. Это минимизирует задержки при передаче новых потоков трафика, так как нужные маршруты уже известны.

2️⃣ Упреждающее обнаружение топологии с реактивной достижимостью

Плоскость управления изучает топологию проактивно, но откладывает объявление достижимости до тех пор, пока не потребуется пересылка трафика. Такой подход снижает нагрузку на сеть, но может приводить к небольшим задержкам при первых попытках передать данные.

3️⃣ Реактивное объявление доступности

Информация о топологии и достижимости объявляется только тогда, когда возникает необходимость в пересылке пакетов. В этом случае, как только первый пакет направляется к хосту, плоскость управления начинает искать оптимальный маршрут. Однако это может вызвать задержки и потерю первых пакетов.

Проактивные и реактивные системы управления

Системы управления делятся на проактивные и реактивные, в зависимости от подхода к объявлению информации:

⏺Проактивные системы

Они заранее объявляют информацию о доступности для всех узлов сети. Это позволяет минимизировать задержки при маршрутизации новых потоков, особенно для трафика, требующего мгновенной обработки. Однако такой подход увеличивает объем состояния плоскости управления, что может усложнять её работу.

⏺Реактивные системы

Эти системы ждут момента, когда информация о пересылке потребуется, реагируя на события в плоскости данных. Они уменьшают количество состояний, передаваемых и хранимых в сети, но могут приводить к задержкам и менее эффективной маршрутизации в случае новых потоков.

Гибридные решения

Можно реализовать плоскость управления, сочетающую элементы как проактивного, так и реактивного подходов.

Например, можно объявлять минимальный объем информации о топологии и достижимости, а затем динамически изучать более оптимальные маршруты при обнаружении потоков, требующих лучшего качества обслуживания.

Таким образом, выбор между проактивным и реактивным подходами — это всегда компромисс между эффективностью сети и сложностью управления топологией.

N.A. ℹ️ Help

Читать полностью…

Знаете, я тоже своего рода спортсмен

Читать полностью…

Разбираемся в преимуществах виртуализации

Перед вами топ-10 преимуществ, которые виртуализация даст вашей организации. 

Нужна помощь, чтобы убедить начальство, что виртуализация — это верное решение? Или, может, нужно убедить себя? Мы все разобрали и делимся результатами!

1️⃣ Аппаратная абстракция

Виртуализация упрощает управление аппаратными ресурсами и снижает время простоя, связанное с заменой оборудования и поломками. Вы больше не зависите от конкретных моделей серверов или поставщиков.

Хотите увеличить оперативную память или добавить места для хранения данных? Это теперь делается быстро и без головной боли. Можно добавить ресурсы по мере необходимости без длительных остановок.

2️⃣ Простота миграции

Благодаря виртуализации, можно с легкостью перенести виртуальную машину на другой физический сервер. Это важное преимущество для балансировки нагрузки и быстрого восстановления после сбоев.

Миграция становится быстрым и простым процессом без риска для работы системы.

3️⃣ Легкость управления дисками

С виртуализацией управление дисками становится проще: перенос хранилищ можно сделать «на лету». Это существенно ускоряет откат системы и Bare Metal Restore — восстановление на «чистое» железо.

Ваша виртуальная машина — это всего лишь набор файлов, который можно быстро восстановить без лишних сложностей.

4️⃣ Снимки (снэпшоты)

Снэпшоты помогают не только при тестировании, но и обеспечивают защиту от ошибок. Если конфигурация системы повреждена на физическом сервере, ремонт может занять часы или дни.

С виртуальной машиной всё проще: восстановите её из снимка в пару кликов. Это преимущество сложно переоценить.

5️⃣ Простота в архивации

С виртуальными машинами архивация становится проще. Завершили работу с системой? Отключите её и перенесите файлы на долговременное хранение, например, в СХД.

Если машина снова понадобится, её можно вернуть за считанные минуты.

N.A. ℹ️ Help

Читать полностью…

Алгоритмы HAProxy и его роль в балансировке нагрузки

Как работает HAProxy?

HAProxy предоставляет возможность распределения трафика между серверами с помощью двух уровней сетевой модели OSI: уровня 4 (транспортного) и уровня 7 (прикладного).

Оба уровня имеют свои особенности в маршрутизации трафика, что позволяет HAProxy быть одновременно быстрым и эффективным решением для разных типов приложений.

⏺Балансировка нагрузки на уровне 4: Здесь HAProxy анализирует только сетевую информацию, такую как IP-адреса и порты, не проверяя содержимое самих пакетов. Это обеспечивает быструю и эффективную маршрутизацию, но не позволяет использовать «умные» стратегии распределения трафика.
⏺Балансировка нагрузки на уровне 7: Этот метод более сложный и требует анализа содержимого сообщений. HAProxy может проверять запросы пользователей, расшифровывать трафик и принимать решения по маршрутизации на основе содержимого, что позволяет использовать кэширование и более точные правила маршрутизации.

Основные алгоритмы балансировки в HAProxy:

HAProxy поддерживает множество алгоритмов для распределения трафика, каждый из которых имеет свои особенности применения:

1️⃣Циклический алгоритм (Round Robin): Это базовый и наиболее популярный алгоритм, при котором запросы распределяются по серверам последовательно. Каждый сервер получает запросы по очереди, что обеспечивает равномерное распределение нагрузки. Можно настраивать веса серверов, что позволит более мощным серверам получать больше трафика.

2️⃣ Алгоритм на основе источника (Source Algorithm): Этот метод использует хэширование IP-адреса пользователя для того, чтобы пользователь всегда попадал на один и тот же сервер при повторном обращении. Это особенно полезно для веб-приложений, где важно сохранять сессии пользователей.

3️⃣ Алгоритм Least Connections: HAProxy отправляет новые запросы на сервер с наименьшим количеством активных соединений. Этот метод отлично подходит для уравновешивания нагрузки в реальном времени, когда разные серверы обрабатывают разные объемы трафика.

4️⃣ Алгоритм First: Запросы направляются на первый сервер в списке доступных серверов, и если он перегружен или не отвечает, запрос передается следующему.

N.A. ℹ️ Help

Читать полностью…

Память физического носителя в сетевых устройствах

При передаче пакета через шину в сетевом устройстве работа с ним не заканчивается. 

Устройство должно обеспечить корректное перемещение пакета через кольцо передачи к физическому носителю. Рассмотрим процесс по шагам.

Как устроена передача пакета?

На рисунке, к которому относится описание, показан процесс передачи пакета через передачу кольцо (Tx Ring). Вот основные шаги:

1️⃣Передача пакета в кольцо передачи.
Пакет попадает на передающую сторону маршрутизатора, где его сначала пытаются разместить прямо на кольце передачи. Если место занято или кольцо переполнено, пакет отправляется в очередь вывода. В этом случае он проходит обработку QoS (управления качеством обслуживания), если она настроена. Если же пакет сразу размещается на кольце, Шаг 2 пропускается, и QoS не применяется.

2️⃣ Очередь вывода.
Если кольцо передачи занято, пакет помещается в очередь вывода, где он ждёт, пока освободится место на кольце передачи. Это позволяет устройству удерживать пакет и обрабатывать его, прежде чем передавать дальше.

3️⃣ Перемещение пакета из очереди на кольцо передачи.
Код передачи периодически перемещает пакеты из очереди вывода в кольцо передачи, учитывая правила QoS. Порядок перемещения зависит от приоритета и настроек QoS, что позволяет устройству управлять приоритетом трафика.

4️⃣ Кодирование пакета для отправки.
После перемещения в кольцо передачи PHY-чип сетевого устройства считывает пакет, кодирует его в нужный формат и отправляет его по физическому носителю. Этот процесс обеспечивает корректную передачу пакета на уровень физической сети.

⚡️Таким образом, передача данных в сетевом устройстве требует оптимальной работы с памятью на всех этапах — от входных очередей до финального кодирования пакетов для физического носителя.

N.A. ℹ️ Help

Читать полностью…

Настройка EIGRP на маршрутизаторе Cisco: Часть 1

EIGRP — это продвинутый протокол маршрутизации, разработанный Cisco, который объединяет характеристики протоколов векторной дистанции и протоколов состояния канала.

Он предоставляет более быстрое и эффективное обновление маршрутов, чем традиционные протоколы.

В этом посте рассмотрим, как настроить EIGRP на маршрутизаторе Cisco.

1️⃣Подключение к маршрутизатору

Подключитесь к маршрутизатору через консольный кабель, SSH или Telnet. Введите свои учетные данные для доступа к командной строке (CLI).

2️⃣ Вход в режим конфигурации

После успешного подключения введите команды для перехода в режим конфигурации:

enable
configure terminal

3️⃣ Включение EIGRP

• Включение EIGRP: Используйте команду router eigrp [AS-number], где AS-number — это номер автономной системы (должен совпадать на всех маршрутизаторах в сети).

router eigrp 10

• Настройка идентификатора маршрутизатора: Задайте уникальный идентификатор маршрутизатора, если он не настроен автоматически.

eigrp router-id 1.1.1.1

4️⃣ Определение сетей для EIGRP

Используйте команду network [ip-address] [wildcard-mask] для определения сетей, которые будут участвовать в EIGRP. Например, чтобы включить сеть 192.168.1.0/24:

network 192.168.1.0 0.0.0.255

N.A. ℹ️ Help

Читать полностью…

Топ-10 полезных команд yum

Сегодня познакомимся с полезными командами пакетного менеджера yum в CentOS.

Он особенно пригодится для установки, обновления и удаления пакетов в FreePBX на базе CentOS. Разберем 10 наиболее полезных команд:

1️⃣Установка пакета

yum install mc

Для автоматического подтверждения используйте флаг -y:

yum -y install mc

2️⃣ Удаление пакета

yum remove mc

Флаг -y также применим для автоматического подтверждения удаления:

yum -y remove mc

3️⃣ Обновление пакета

Для обновления определенного пакета используйте команду:

yum update mysql

4️⃣ Поиск пакета

Чтобы найти пакет в репозиториях:

yum list mysql

5️⃣ Вывод информации о пакете

Узнать детальную информацию о пакете:

yum info mc

6️⃣ Проверка доступных обновлений

Для проверки наличия обновлений у конкретного пакета:

yum check-update mysql

Чтобы получить список всех обновлений, используйте:

yum list updates

7️⃣ Обновление всех пакетов

Обновление всей системы выполняется командой:

yum -y update

8️⃣ Установка группового пакета

Групповые пакеты упрощают установку сразу нескольких связанных приложений. Установка выполняется командой:

yum groupinstall 'Development Tools'

9️⃣ Вывод списка активных репозиториев

Чтобы увидеть все активные репозитории:

yum repolist

А для вывода всех репозиториев, включая неактивные:

yum repolist all

1️⃣0️⃣ История операций

Просмотр истории установок и изменений с пакетами:

yum history

N.A. ℹ️ Help

Читать полностью…

Знаете Terraform? Уверены? 😏 Давайте проверим!

➡️ Заходите в бота и отвечайте на наши вопросы про Terraform.

За прохождение теста без ошибок вас ждёт подарок, а если ошибки всё же будут — наш бот о них расскажет и поможет восполнить знания.

Прокачайте себя и забирайте свой подарок ЗДЕСЬ 👈

Реклама ООО «Слёрм» ИНН 3652901451

Читать полностью…

Прокачай своё настроение с мемами от Хакермена! 😎 Подписывайся, смейся и делись с друзьями! 🔥 Мемы, которые взломают твою смеховую плату — ждут тебя!

RPS Мем-атаки 6 мем/час

Мемы Хакерменна

Читать полностью…

🎉 Приглашаем вас на вебинар по основам мониторинга Linux! 🎉

📅 Когда: 28 октября, 19:00 (мск)
🌐 Где: Онлайн (ссылка на вебинар будет предоставлена после регистрации)
👨‍🏫 Спикер: Николай Лавлинский

Тема: "Основы мониторинга Linux"

На занятии вы:
- Разберете основные вопросы мониторинга системы. Узнайте, какие аспекты и метрики важно отслеживать для обеспечения стабильности и производительности.
- Узнаете отличия между локальным и распределенным мониторингом. Поймете, какие подходы лучше подходят для различных сценариев использования.
- Поймете, как запускать систему мониторинга. Получите рабочий пример визуализации метрик, который поможет вам лучше понять состояние вашей системы.

Преимущества участия:
На уроке вы не только теоретически погрузитесь в принципы использования утилит мониторинга, но и на практике запустите полноценную систему мониторинга. 

📌 Зарегистрируйтесь для участия: https://otus.pw/qYr7Z/?erid=LjN8KD9au

Реклама. ООО "ОТУС ОНЛАЙН-ОБРАЗОВАНИЕ". ИНН 9705100963.

Читать полностью…

Скидка 35% раз, скидка 35% два, ПРОДАНО: аукцион выделенных серверов от Selectel
 
Если вам нужны вычислительные мощности для ваших проектов, сейчас самое время арендовать сервер в Selectel по выгодной цене. Аукцион выделенных серверов — акция от Selectel, когда цена не растет, а снижается каждую секунду.
 
Ежедневно к заказу доступно более десятка готовых конфигураций с отличными скидками. Список серверов на аукционе и размер скидки постоянно обновляются, так что не упустите выгодное предложение, их быстро разбирают.
 
Почему стоит арендовать выделенный сервер в Selectel?
- Серверы на базе процессоров Intel и AMD справятся с любыми нагрузками
- Скидка аукциона закрепляется за вами и сохраняется навсегда
- Безлимитный бесплатный интернет со скоростью 1 Гбит/сек
- Защита от DDos атак входит в стоимость аренды
- Полное соответствие стандартам 152-ФЗ
 
Все конфигурации протестированы и готовы к работе, на их запуск потребуется от 2 минут. Заказать инфраструктуру и управлять ею можно в одном окне браузера — через удобную панель.
 
Арендуйте выделенный сервер от Selectel по выгодной цене, пока это не сделал кто-то другой: https://slc.tl/bwk3u

Реклама АО «Селектел». ИНН: 7810962785 Erid: 2VtzqvBerQT

Читать полностью…

Поговорим про Cisco IOS

Cisco IOS (Internetwork Operating System) — это мультизадачная операционная система, разработанная компанией Cisco для маршрутизаторов и коммутаторов.

IOS интегрирует ключевые сетевые функции, такие как маршрутизация, коммутация, сетевое взаимодействие и телекоммуникации. 

Она широко используется в корпоративных сетях благодаря своей гибкости и многофункциональности.

Основные моменты Cisco IOS:

⏺IOS используется на большинстве сетевых устройств Cisco, таких как маршрутизаторы и коммутаторы. Но не все продукты Cisco используют IOS. Например, устройства безопасности ASA работают на базе Linux, а высокопроизводительные маршрутизаторы — на базе IOS-XR.
⏺Архитектура хранения и загрузки: IOS хранится в энергонезависимой флэш-памяти и загружается в ОЗУ при запуске устройства. Это ускоряет работу системы, но делает данные в оперативной памяти уязвимыми при сбоях питания.
⏺Интерфейс командной строки (CLI) — основной способ взаимодействия с устройствами под управлением Cisco IOS. Он доступен через консольное подключение, Telnet или SSH.

Версии и нумерация IOS

Версия IOS содержит три числа и несколько символов (a.b(c.d)e), которые обозначают:

• a — основная версия,
• b — младшая версия,
• c — номер релиза,
• d — промежуточный номер сборки,
• e — идентификатор последовательности выпуска:
• T — для технологических обновлений,
• E — для корпоративных,
• S — для провайдеров и другие.

Разновидности выпусков:

• Rebuild — быстрые исправления, ориентированные на устранение конкретных уязвимостей.
• Interim release — промежуточные обновления, выпускаемые на регулярной основе для тестирования новых функций.
• Maintenance release — стабильные версии с исправлениями и улучшениями, рекомендованные для продакшена.

Стадии развертывания:

⏺Early Deployment (ED) — новые функции и платформы.
⏺Limited Deployment (LD) — первая ограниченная версия с исправлениями.
⏺General Deployment (GD) — стабильная версия, готовая к использованию на всех платформах.
⏺Maintenance Deployment (MD) — поддерживаемая версия с регулярными обновлениями и исправлениями.

Feature Set

IOS предлагает множество «пакетов» или Feature Set. Например, для коммутаторов Catalyst есть базовые версии для простой IP-маршрутизации и расширенные для поддержки более сложных протоколов и сервисов, таких как:

• IP Base — базовые маршрутизационные функции.
• Data — поддержка BFD, MPLS, SCTP и др.
• Unified Communications — поддержка голосовых сервисов.
• Security — firewall, SSL VPN, IPSec, DMVPN и другие функции безопасности.

N.A. ℹ️ Help

Читать полностью…

Планируешь ремонт или создать дизайн-проект?

👉В нашем канале, ты найдешь самые полезные советы по ремонту и дизайну а также, последние новости о ценах и трендах этого года 🔥

Переходи к нам в канал и получи в подарок дизайн-проект написав в наш чат-бот.Comfort Group реализует комплексные ремонты и уникальные дизайны только для вас!

Перейти в канал 👉  /channel/+GbifOuSfvDVjYzNi

Читать полностью…

10 лучших практик использования Windows Server Ч.2

Сегодня обсудим еще 5 практик.

6️⃣ Периодический контроль состояния
Регулярно проводите проверки серверов, чтобы выявлять любые изменения в их состоянии или работе. Это поможет предотвратить возможные сбои или перегрузки, а также позволит вовремя обновить оборудование или программное обеспечение. Постоянный мониторинг также помогает заранее подготовиться к увеличению нагрузки, чтобы избежать перебоев в предоставлении услуг.

7️⃣ Управление Patch-файлами
Регулярное обновление системы — один из самых простых, но критически важных аспектов управления серверами. Устанавливайте обновления безопасности и исправления, как только они становятся доступными, чтобы закрыть уязвимости и предотвратить потенциальные атаки. Настройте систему для автоматического обновления или организуйте процесс ручного тестирования и внедрения патчей, чтобы избежать несовместимости с другими программами.

8️⃣ Технические средства контроля
Используйте данные мониторинга и базовые показатели для принятия решений о необходимости внедрения дополнительных средств защиты, таких как системы предотвращения вторжений или балансировщики нагрузки. Например, если веб-сервер подвергается частым атакам, можно установить брандмауэр для веб-приложений (WAF) для защиты от атак на веб-интерфейсы, таких как SQL-инъекции или межсайтовый скриптинг.

9️⃣ Блокировка физического доступа
Серверы должны находиться в защищенных помещениях с ограниченным доступом. Это не только помогает защитить их от физического проникновения, но и улучшает условия работы серверов за счет правильной вентиляции и контроля температуры. Обеспечьте, чтобы доступ к серверным помещениям имели только уполномоченные сотрудники.

1️⃣0️⃣ Аварийное восстановление
Регулярное создание резервных копий данных и наличие плана аварийного восстановления — это обязательный элемент любой IT-инфраструктуры. Используйте стратегию 3-2-1: три копии данных, два разных носителя и одну копию за пределами основного офиса. Это обеспечит минимальные потери в случае сбоя или катастрофы и позволит быстро восстановить работу систем.

N.A. ℹ️ Help

Читать полностью…

⚡️ Вся база знаний по IT в одном месте!

🧑‍💻 IT База — краткие разборы самого важного из мира IT. Сотни мастхев-ресурсов, каждый день новые материалы по работе и подготовке к собеседованиям. Подойдёт как новичкам, так и состоявшимся айтишникам;

🖥 Frontend База — всё для фронтенд разработчиков. Готовые решения для проектов, полезные курсы по JS/HTML/CSS, готовые роадмапы для комфортного освоения в профессии и дальнейшего развития;

👣 Backend База — самое важное для бэкендеров. Всё о работе с PHP, MySQL, MongoDB, Golang и Rust в одном месте, плюс полные курсы и лайфхаки для работы на каждый день;

🖥 База Знаний — склад полезных курсов и материалов, где легко найти что-то нужное по хэштегам. Если вам что-то интересно про IT, то оно уже лежит на Базе, проверяйте.

⏲ Успей подписаться, чтобы не потерять!

Читать полностью…

В IT, как и в жизни, успех не всегда приходит с первой попытки

Если есть понятные гайды и инструкции — каждый сможет пройти путь от Junior до Senior

IT-минималист — канал действующих Senior Data Analyst. Здесь бесплатно дают базу знаний, делятся полезными и актуальными фишками и обучают анализу данных без лишней воды.

Забирай в подписки и через месяц будешь наравне с программистами из Microsoft: @it_minimal

Читать полностью…

Как в сетях обнаруживаются соседи?

Обнаружение соседей позволяет плоскости управления сети узнать о ее топологии — какие устройства доступны и как к ним можно добраться.

Однако этого недостаточно для полной картины, так как маршрутизаторам также необходимо узнать, как достичь хостов и какие пути к ним наиболее оптимальны. 

Как же маршрутизатор может узнать о других устройствах и маршрутах?

На примере с маршрутизатором D, который должен обнаружить хосты A, B и C, существуют два ключевых подхода: реактивное и упреждающее обучение.

Эти подходы решают проблему обнаружения достижимых пунктов назначения в сети.

Реактивное изучение

Этот метод основывается на том, что маршрутизатор D узнает о соседях только в тот момент, когда хосты начинают передавать данные.

Это означает, что до момента отправки данных сеть не имеет информации о новых подключениях.

Пример:

На рисунке, если хост A только что включился, а сеть использует динамическое обучение, основанное на передаче трафика, маршрутизатор D узнает о нем лишь тогда, когда A отправит хотя бы один пакет данных.

После получения этого пакета маршрутизатор D может сохранить информацию о хосте в кэше на некоторое время.

Основные аспекты:

1️⃣Динамическое кэширование: информация о хостах хранится в кэше маршрутизатора только до тех пор, пока они активно отправляют данные. Как только активность прекращается, запись может быть удалена через определенный период бездействия.

2️⃣ Возможные проблемы: если хост перестанет отправлять пакеты или изменит свое местоположение в сети (например, хост A перемещается с маршрутизатора D на маршрутизатор E), кэшированная информация может быть устаревшей, что создаст риски безопасности и помешает корректной маршрутизации.

3️⃣ Пример безопасности:
Если злоумышленник подключится к маршрутизатору D и выдаст себя за A, пока устаревшая информация находится в кэше D, это может привести к сетевой атаке. Чем дольше действительна кэшированная запись, тем больше вероятность для атак на основе подмены данных.

Упреждающее изучение

Этот метод предполагает, что маршрутизатор заранее узнает о доступности хостов, даже если они еще не начали передавать трафик. 

Это решение особенно важно для сетей, где устройства часто перемещаются, как, например, в центрах обработки данных с виртуальными машинами или в мобильных сетях.

Способы упреждающего обнаружения:

⏺Протоколы обнаружения соседей (NDP, LLDP):
Эти протоколы работают на уровне канала связи и позволяют маршрутизаторам собирать информацию о соседних устройствах. Однако полученная информация редко используется для передачи данных на плоскость управления.

⏺Статическая конфигурация устройства:
Большинство маршрутизаторов и сетевых устройств имеют статически настроенные адреса на своих интерфейсах. Эти адреса объявляются как доступные, и маршрутизаторы могут использовать их для маршрутизации.

⏺Регистрация хостов в службах идентификации:
В некоторых системах, особенно в мобильных и виртуализированных сетях, существует централизованная служба, отслеживающая местоположение хостов и их маршрутизаторов первого прыжка.

⏺Извлечение данных из систем управления адресами:
В некоторых сложных сетях маршрутизаторы могут взаимодействовать с системами управления адресами для получения информации о доступных устройствах.

N.A. ℹ️ Help

Читать полностью…

Как компаниям защитить привилегированные учетные записи

Количество пользователей с расширенными полномочиями постоянно растет, а контролировать их действия вручную становится просто невозможно. Решений этой проблемы множество, но как выбрать оптимальное и учесть все подводные камни?

Компания BI.ZONE представляет новый продукт — BI.ZONE PAM. Он помогает выстроить эффективную защиту привилегированного доступа и минимизировать риски для инфраструктуры компании.

16 октября пройдет онлайн-релиз BI.ZONE PAM, где каждый сможет увидеть платформу в действии и узнать, что думают ее клиенты. А еще среди участников разыграют гири в виде головы бизона и другие призы.

Встречаемся 16 октября, в среду, в 11:00 (мск).

Зарегистрироваться

*Реклама

Читать полностью…

HAProxy: как работает балансировщик нагрузки?

Балансировщик нагрузки — это своеобразный распределитель трафика, который помогает обеспечить бесперебойную работу приложений и серверов, а также оптимизировать их производительность.

Вместо того чтобы направлять все запросы пользователей на один сервер, балансировщик распределяет их между несколькими серверами. 

Таким образом, даже при сильной нагрузке, система продолжает работать эффективно, а пользователи не замечают проблем.

Основная задача балансировщика — равномерно распределить нагрузку между серверами, предотвращая ситуации, когда один сервер перегружен, а другой простаивает.

Он также позволяет автоматически переключаться на резервный сервер в случае, если один из серверов выходит из строя, что обеспечивает высокую доступность (high availability) ресурсов.

Типы балансировщиков нагрузки

Существует несколько методов, с помощью которых осуществляется балансировка нагрузки:

1️⃣Аппаратная балансировка нагрузки: Это специальные устройства, настроенные для распределения трафика между серверами. Аппаратные балансировщики высоконадежны, но дорогостоящи.
2️⃣ DNS-балансировка: Этот метод использует политику DNS для равномерного распределения трафика, но его недостатком является отсутствие отслеживания ошибок.
3️⃣ Программная балансировка нагрузки: Программные решения, такие как HAProxy, более гибки и экономически выгодны. Программные балансировщики могут работать на существующих серверах и легко интегрироваться в архитектуру сети.

Почему HAProxy?

HAProxy (High Availability Proxy) – это мощное программное обеспечение для балансировки нагрузки, которое поддерживает как уровень 4 (транспортный уровень), так и уровень 7 (прикладной уровень) сетевой модели OSI.

Это позволяет балансировать трафик как на основе сетевых протоколов и IP-адресов, так и на основе содержимого запросов. 

Благодаря своей надежности и производительности, HAProxy завоевал признание среди крупных компаний и является важным инструментом для распределения трафика в условиях высокой нагрузки.

Основные преимущества HAProxy:

⏺Бесплатное решение с открытым исходным кодом.
⏺Поддержка различных алгоритмов балансировки нагрузки.
⏺Высокая производительность даже при больших объемах трафика.
⏺Легкость настройки и гибкость в интеграции с различными системами.

N.A. ℹ️ Help

Читать полностью…