Настройка NAT для сложных сценариев: доступ извне

В современных сетях NAT (Network Address Translation) применяется не только для базовой трансляции адресов, но и для сложных сценариев, таких как настройка доступа к внутренним ресурсам извне, использование нескольких провайдеров, или интеграция с VPN.

В этом посте мы рассмотрим продвинутую настройку NAT на примере двух ключевых сценариев.

Доступ извне через NAT с использованием Static NAT и Port Forwarding

В этом примере сервер внутри локальной сети должен быть доступен извне по конкретному порту.

Например, веб-сервер (HTTP) с IP-адресом 192.168.1.100 должен быть доступен по порту 80 через публичный IP-адрес маршрутизатора.

Сетевая топология:
• Внутренняя сеть: 192.168.1.0/24
• IP-адрес веб-сервера: 192.168.1.100
• Публичный IP-адрес маршрутизатора: 203.0.113.2

Шаги настройки:

1️⃣Объявление NAT-зон:

R1(config)# interface G0/0  
R1(config-if)# ip nat inside  
R1(config)# interface G0/1  
R1(config-if)# ip nat outside  

2️⃣ Настройка Static NAT для веб-сервера:

R1(config)# ip nat inside source static tcp 192.168.1.100 80 203.0.113.2 80  

Этот пример настраивает трансляцию для входящих запросов по порту 80 к серверу с внутренним адресом 192.168.1.100.

3️⃣ Проверка настройки:

R1# show ip nat translations  
Pro Inside global      Inside local       Outside local      Outside global  
tcp 203.0.113.2:80     192.168.1.100:80   ---                ---  

N.A. ℹ️ Help

Читать полностью…

Применяем RIP на практике

Чтобы настроить RIPv2 на маршрутизаторе Cisco, сначала нужно войти в режим глобальной конфигурации. Для этого выполняется команда:

R1# configure terminal  

Далее необходимо включить RIP и выбрать его вторую версию:

R1(config)# router rip  
R1(config-router)# version 2  

После этого администратор указывает, какие сети будут объявляться:

R1(config-router)# network 192.168.1.0  
R1(config-router)# network 10.0.0.0  

Не забудьте сохранить конфигурацию с помощью команды:

R1# write memory  

Для проверки состояния маршрутов, изученных через RIP, используется команда:

R1# show ip route rip  

Результаты отображают маршруты с кодом R, что указывает на их получение через RIP:

R    10.1.1.0/24 [120/1] via 192.168.1.2, 00:00:15, FastEthernet0/0  

Преимущества и ограничения RIP

Одно из главных преимуществ RIP — простота настройки и управления. Этот протокол идеально подходит для небольших и средних сетей, где нет сложной топологии.

Однако у RIP есть и свои ограничения. Протокол поддерживает маршруты с максимальным числом хопов до 15, что делает его неприменимым в крупных сетях. 

Также он имеет сравнительно медленную сходимость при изменении топологии, что может вызвать временные проблемы в маршрутизации.

Когда использовать RIP?

RIP лучше всего подходит для небольших организаций или лабораторных стендов, где требуется простой и надежный протокол маршрутизации.

В более сложных и крупных сетях рекомендуется использовать современные протоколы, такие как OSPF или EIGRP.

N.A. ℹ️ Help

Читать полностью…

Введение в таблицу маршрутизации IPv4

Для сетевых администраторов понимание таблицы маршрутизации IPv4 является ключевым навыком. 

В посте мы разберем, как интерпретировать данные из таблицы маршрутизации и что означают различные типы маршрутов.

Сценарий сети

На рисунке представлена сеть, где маршрутизатор R2 подключен к Интернету. Для связи с ним администратор настроил на R1 статический маршрут, который перенаправляет пакеты через R2, если в таблице маршрутизации отсутствует запись для IP-адреса назначения.

R1 и R2 также используют OSPF для обмена информацией о своих подключенных сетях.

Подключения:
⏺PC1 (192.168.10.10) подключен к сети 192.168.10.0/24 через интерфейс G0/0/0 маршрутизатора R1 (192.168.10.1).
⏺R1 (209.165.200.225) подключен к R2 (209.165.200.226) через сеть 209.165.200.224/30.
⏺R2 связан с сетью 10.1.1.0/24, к которой подключен PC2 (10.1.1.10).

Анализ таблицы маршрутизации

Команда show ip route позволяет просмотреть таблицу маршрутизации маршрутизатора Cisco IOS. Пример вывода команды для R1:

R1# show ip route  
Codes: L - local, C - connected, S - static, O - OSPF, D - EIGRP  
Gateway of last resort is 209.165.200.226 to network 0.0.0.0  
S*    0.0.0.0/0 [1/0] via 209.165.200.226, GigabitEthernet0/0/1  
O     10.1.1.0 [110/2] via 209.165.200.226, 00:02:45, GigabitEthernet0/0/1  
C     192.168.10.0/24 is directly connected, GigabitEthernet0/0/0  
L     192.168.10.1/32 is directly connected, GigabitEthernet0/0/0  
C     209.165.200.224/30 is directly connected, GigabitEthernet0/0/1  
L     209.165.200.225/32 is directly connected, GigabitEthernet0/0/1  

Объяснение кодов маршрутов:
• L: Локальный IP-адрес интерфейса.
• C: Прямо подключенная сеть.
• S: Статический маршрут, настроенный администратором.
• O: OSPF, динамически изученный маршрут.

Особенности маршрутов

1️⃣Прямое подключение:
Когда интерфейс маршрутизатора активен и настроен с IP-адресом, автоматически создаются маршруты с кодами C и L. В данном случае:
• C: 192.168.10.0/24 (сеть PC1).
• C: 209.165.200.224/30 (связь между R1 и R2).

2️⃣ OSPF:
Маршрут для сети 10.1.1.0/24 был автоматически изучен через OSPF от R2.

3️⃣ Маршрут по умолчанию (Default Route):
Сетевой адрес 0.0.0.0/0 указывает на шлюз последней надежды (next hop), через который передаются все пакеты, если нет точного совпадения в таблице маршрутизации.

N.A. ℹ️ Help

Читать полностью…

Расчет сети с помощью ipcalc

Работа с подсетями — неотъемлемая часть управления сетевой инфраструктурой. 

Вместо ручных двоичных расчетов, ipcalc автоматически вычисляет:

• адрес сети,
• широковещательный адрес,
• минимальный и максимальный хост,
• маску подсети,
• и общее количество доступных хостов.

ipcalc также помогает визуализировать двоичные значения подсетей, что особенно полезно для обучения.

Ключевые возможности ipcalc:
⏺Проверка IP-адреса.
⏺Определение широковещательного адреса.
⏺Получение сетевого адреса и префикса.
⏺Отображение имени хоста через DNS.

Установка ipcalc в Linux

Для различных дистрибутивов используйте следующие команды:

Debian/Ubuntu:

sudo apt install ipcalc  

CentOS/RHEL/Fedora:

# RHEL/CentOS  
yum install initscripts  
# Fedora  
dnf install initscripts  



Дальше разберем подробнее на практике

N.A. ℹ️ Help

Читать полностью…

PBR (Policy-Based Routing): Управление трафиком на уровне политики

Policy-Based Routing (PBR) — это техника, которая позволяет администратору управлять маршрутизацией трафика на основе заранее заданных правил, а не только таблиц маршрутизации.

Это особенно полезно для сложных сетевых архитектур и нестандартных сценариев.

Когда применять PBR?

1️⃣Разделение трафика по типу
Например, вы можете отправлять VoIP-трафик по одному маршруту, а обычный HTTP-трафик — по другому.

2️⃣ Управление QoS (Quality of Service)
Маршрутизация трафика с высоким приоритетом по наименее загруженным каналам.

3️⃣ Перенаправление трафика через прокси-серверы
Отправка определенного трафика через фильтрующие или логирующие серверы.

N.A. ℹ️ Help

Читать полностью…

Ключевые особенности и настройка FabricPath

Ключевые особенности FabricPath

⏺TRILL (Transparent Interconnection of Lots of Links) — основа технологии, заменяющая STP.
⏺Многоуровневая адресация: узлы автоматически обмениваются топологической информацией.
⏺Простота настройки: FabricPath минимизирует ручное управление благодаря автоматическому обнаружению соседей.

Пример настройки FabricPath на Cisco Nexus

Активация FabricPath

feature fabricpath  

Настройка интерфейсов

interface Ethernet1/1  
 switchport mode fabricpath  

Создание VLAN для FabricPath

vlan 10  
 mode fabricpath  

Настройка ECMP

fabricpath load-balance unicast layer3  

Преимущества FabricPath перед традиционными решениями
• Быстрое время восстановления сети: при сбое пути восстанавливаются за миллисекунды.
• Гибкость в развертывании: позволяет добавлять устройства без необходимости кардинальных изменений в конфигурации.
• Высокая производительность: обеспечивает максимальное использование всех доступных линков.

N.A. ℹ️ Help

Читать полностью…

Что такое FabricPath и зачем он нужен?

FabricPath — это технология от Cisco, которая объединяет преимущества традиционных Ethernet-сетей и протоколов маршрутизации.

Она решает ключевые проблемы масштабирования и производительности в крупных дата-центрах, предоставляя надежную и гибкую инфраструктуру.

1️⃣Масштабируемость L2-сетей

Традиционные Ethernet-сети с протоколом Spanning Tree (STP) имеют ограничения по числу подключений и узлов. FabricPath заменяет STP на более эффективный механизм маршрутизации, позволяя создать плоскую L2-сеть, способную поддерживать тысячи устройств.

2️⃣ Устранение петель

FabricPath устраняет проблемы петель в сети без необходимости отключения резервных путей, что повышает надежность и производительность.

3️⃣ Балансировка нагрузки

Использование протокола ECMP (Equal-Cost Multi-Path) обеспечивает эффективное распределение трафика между несколькими путями, улучшая пропускную способность.

Что дает FabricPath?
• Масштабируемость: увеличение числа узлов без потери производительности.
• Надежность: отказоустойчивость без использования сложных конфигураций.
• Оптимизация трафика: эффективное распределение нагрузки между несколькими путями.

N.A. ℹ️ Help

Читать полностью…

Как правильно организовать серверный шкаф?

Серверный шкаф — это не просто место для хранения оборудования, а настоящий “мозг” всей инфраструктуры. 

Правильная организация шкафа влияет на надежность работы, скорость обслуживания и даже энергоэффективность.

Чтобы шкаф стал действительно удобным и функциональным, начинать стоит с размещения.

Тяжелое оборудование, вроде ИБП, должно находиться внизу, чтобы обеспечить стабильность конструкции, а серверы и коммутаторы лучше разместить ближе к воздуху охлаждения.

Но не только оборудование важно — ключевым моментом становится управление кабелями. Если кабели укладываются аккуратно, вдоль вертикальных и горизонтальных органайзеров, это не только предотвращает “кабельный хаос”, но и улучшает вентиляцию.

Разделение горячих и холодных зон значительно увеличивает эффективность охлаждения.

Не забудьте про маркировку — она сэкономит часы в будущем.

Даже если вы знаете, какой кабель куда идет, при необходимости быстрой диагностики или замены это станет настоящим спасением.

Резервирование — не просто опция, а необходимость. Избыточные источники питания и дополнительные PDU дают уверенность в том, что даже при сбоях система останется на плаву. 

⚡️И, конечно, не забывайте об изоляции пустых слотов — это улучшает циркуляцию воздуха и поддерживает оптимальный температурный режим.

N.A. ℹ️ Help

Читать полностью…

❄️❄️❄️❄️❄️ 🍷

Читать полностью…

⏺Используй новогодние выходные наилучшим образом!

Изучай новые технологии или закрой пробелы в знаниях по своему стеку.

🤩 Admin Books – техническая литература для сетевых и системных администраторов и ИБ специалистов.

Ссылка для своих: /channel/+J8c3i4oWlLNmODNi

Читать полностью…

Организация кроссировочных панелей в серверной: как избежать хаоса

Кроссировочные панели (patch panels) — это сердце физической инфраструктуры сети.

Правильная организация панели упрощает администрирование, минимизирует ошибки и делает диагностику быстрее. Разберем, как сделать кроссировку правильно.

Почему важно уделять внимание кроссировке?

1️⃣Удобство обслуживания: четкая структура кабелей ускоряет любые работы.
2️⃣ Снижение ошибок: правильно размеченные порты исключают путаницу.
3️⃣ Повышение надежности: уменьшение натяжения кабелей снижает риск повреждений.

Шаги по правильной организации кроссировки

1️⃣Выбор правильной панели
• Тип: Используйте панели на 24, 48 портов или модульные, в зависимости от масштаба сети.
• Категория кабеля: Панель должна соответствовать категории кабелей (Cat5e, Cat6, Cat6a и т.д.).
• Экран: Если сеть работает в условиях сильных помех, выбирайте экранированные панели (STP).

2️⃣Маркировка портов
• Пронумеруйте порты на панели.
• Используйте ярлыки или наклейки для обозначения, к какому устройству или зоне подключен каждый порт.
• Поддерживайте документацию: создайте карту сети с указанием соответствий портов и подключенных устройств.

3️⃣Кабель-менеджмент
• Используйте кабельные органайзеры (горизонтальные и вертикальные).
• Укладывайте кабели ровно, без перекрутов и натяжения.
• Удерживайте кабели с помощью липучек, а не пластиковых стяжек — их проще заменить.

4️⃣Стандарты подключения
• Придерживайтесь стандарта T568A или T568B для обжатия кабелей.
• Используйте одинаковый стандарт по всей сети.

N.A. ℹ️ Help

Читать полностью…

VLAN Hopping: как защитить сеть от межвлановых атак

VLAN Hopping — это метод атаки, позволяющий злоумышленнику обходить ограничения VLAN и получать доступ к трафику других VLAN.

Это угроза для сетей, где VLAN используются для сегментации и изоляции.

Основные методы VLAN Hopping:
• Switch Spoofing — злоумышленник настраивает своё устройство как коммутатор, убеждая реальный коммутатор установить транковое соединение. Это даёт доступ ко всем VLAN.
• Double Tagging — злоумышленник добавляет два VLAN-тега к пакетам. Один тег удаляется на первом коммутаторе, второй используется для маршрутизации в целевую VLAN.

Защита от VLAN Hopping

⏺Отключение автоматического формирования транков (Switch Spoofing):

На коммутаторах Cisco транки по умолчанию могут устанавливаться автоматически с использованием протокола DTP. Чтобы этого избежать, отключите DTP на всех портах, которые не используются как транковые:

Switch(config)#interface range gi1/0/1-48
Switch(config-if-range)#switchport mode access
Switch(config-if-range)#switchport nonegotiate

Что происходит?
• Порты переводятся в режим Access, исключая возможность создания транков.
• Отключается протокол DTP.

⏺Настройка Native VLAN:

Убедитесь, что Native VLAN используется только для служебного трафика, и она отличается от VLAN конечных пользователей. Например, перенесём Native VLAN в VLAN 999:

Switch(config)#vlan 999
Switch(config-vlan)#name Native_VLAN
Switch(config)#interface range gi1/0/1-48
Switch(config-if-range)#switchport trunk native vlan 999
Switch(config-if-range)#switchport trunk allowed vlan 10,20,30

⏺Фильтрация VLAN-тегов (Double Tagging):

На транковых портах разрешите только те VLAN, которые действительно используются:

Switch(config)#interface range gi1/0/1-48
Switch(config-if-range)#switchport trunk allowed vlan 10,20,30

Почему это важно?
Злоумышленник не сможет использовать запрещённые VLAN для атаки.

⏺Включение BPDU Guard:

Это дополнительная мера, предотвращающая добавление несанкционированных устройств. Если злоумышленник пытается подключить свой коммутатор, порт блокируется:

Switch(config)#interface range gi1/0/1-48
Switch(config-if-range)#spanning-tree bpduguard enable

⏺Защита от MAC Flooding:

MAC Flooding используется для атаки, направленной на заполнение таблицы MAC-адресов коммутатора, что может привести к пересылке трафика на все порты. Настройте ограничение на количество MAC-адресов для каждого порта:

Switch(config)#interface range gi1/0/1-48
Switch(config-if-range)#switchport port-security
Switch(config-if-range)#switchport port-security maximum 3
Switch(config-if-range)#switchport port-security violation restrict

N.A. ℹ️ Help

Читать полностью…

Правильная елка 🎄

Читать полностью…

Zero Trust Architecture (ZTA): Будущее кибербезопасности

Zero Trust Architecture (ZTA) — это современный подход к кибербезопасности, который полностью отказывается от традиционного доверия внутри сети.

Вместо этого ZTA базируется на принципе: «Никому не доверяй, всё проверяй».

Ключевые принципы Zero Trust

1️⃣Минимизация доверия
Все пользователи, устройства и приложения рассматриваются как потенциально небезопасные, независимо от их местоположения — внутри или вне корпоративной сети.
2️⃣ Микросегментация
Сеть делится на изолированные сегменты, чтобы минимизировать риск lateral movement (распространение угроз внутри сети).
3️⃣ Аутентификация и авторизация
Доступ предоставляется на основе строгой проверки личности (MFA, сертификаты) и контекста (местоположение, время, устройство).
4️⃣ Least Privilege (Принцип минимальных привилегий)
Каждый пользователь или система получают только те права, которые необходимы для выполнения их задач.
5️⃣ Непрерывный мониторинг
Все действия внутри сети постоянно анализируются для выявления аномалий и подозрительного поведения.

Технологии в основе Zero Trust
1️⃣Identity and Access Management (IAM)
Управление цифровыми идентификациями пользователей и устройств для строгой проверки доступа.
2️⃣Secure Access Service Edge (SASE)
Интеграция сетевой безопасности (например, SWG, CASB) с WAN в облачной архитектуре.
3️⃣Endpoint Detection and Response (EDR)
Постоянный мониторинг конечных устройств для выявления угроз.
4️⃣Data Loss Prevention (DLP)
Контроль за утечкой данных, независимо от их местоположения.
5️⃣Зашифрованные каналы связи
Использование TLS/SSL для защиты данных в движении.

N.A. ℹ️ Help

Читать полностью…

Визы для граждан РФ продолжают активно выдаваться. США, Франция и Италия в декабре улучшили статистику положительных решений.

Несмотря на негативный информационный фон, полететь в Штаты и Европейские страны очень просто.

Испания упростила получение виз для граждан России, а в США рассматривают возобновление выдачи виз россиянам в Москве!

Ребята на канале Travelers
постоянно путешествуют и рассказывают, как:

- получить визу во Францию на 5 лет
- оформить Шенген за десять дней
- получить визу в США за неделю
- быстро сделать карту иностранного банка без доверенности
- оформить Китайскую визу без посещения консульства
- сделать визу Великобритании

📰 А еще здесь публикуют важные новости о путешествиях, разыгрывают бесплатные визы! и оперативно отвечают на вопросы в комментариях.

Подпишитесь прямо сейчас, чтобы не потерять - Travelers

Читать полностью…

Готовишься к собеседованию?

Разбираем для тебя самые актуальные вопросы для подготовки

Выбирай направление:

👩‍💻 Frontend
🖥 Backend
👩‍💻 JS
👩‍💻 Python
👩‍💻 Go
👩‍💻 Java
👩‍💻 C/C++
👩‍💻 C#
👩‍💻 PHP
👩‍💻 QA
📊 SQL
👩‍💻 Git

Читать полностью…

Типы протокола RIP

Routing Information Protocol (RIP) — один из старейших протоколов динамической маршрутизации, основанный на алгоритме дистанционно-векторной маршрутизации.

Несмотря на возраст, RIP до сих пор используется в небольших сетях благодаря своей простоте и удобству настройки.

Основные типы RIP

⏺Первый тип — RIP версии 1 (RIPv1). Этот протокол работает на основе классовой маршрутизации (classful) и не поддерживает подсети с разными масками (VLSM).

Для передачи маршрутов используется широковещание (broadcast). Одно из главных ограничений RIPv1 — максимальное число хопов в маршруте не должно превышать 15.

Этот тип RIP подходит для небольших локальных сетей, где все подсети имеют одинаковую маску.

⏺Второй тип — RIP версии 2 (RIPv2). В отличие от RIPv1, он поддерживает безклассовую маршрутизацию (classless) и VLSM, что делает его более гибким.

RIPv2 использует мультикаст-адрес 

224.0.0.9

 для передачи обновлений маршрутов и поддерживает аутентификацию, что улучшает безопасность. 

Такой тип RIP применяется в сетях, где требуется разная длина масок и повышенная безопасность.

⏺Третий тип — RIPng (RIP Next Generation). Этот протокол разработан специально для IPv6-сетей. Для обмена маршрутной информацией он использует мультикаст-адрес FF02::9.

RIPng также поддерживает автоконфигурацию маршрутов. Он применяется в сетях, полностью переведенных на IPv6, с простой и предсказуемой топологией.

Дальше расскажем о том, как это работает на практике.

N.A. ℹ️ Help

Читать полностью…

💻 Настоящие читы для программистов/разработчиков!

Hacking & InfoSec Base — Самая большая в телеграме библиотека книг по хакингу и ИБ;

Программистика — Лучший канал про Python;

Coding Base — огромное количество полезных ресурсов, репозиториев статей для разработчиков;

GameDev Base — Множество крутых приёмов и лайвхаков для геймдев разработчиков;

IT библиотека — самая крупная коллекция книг по программированию;

🫵 Подпишись и прокачивай свои навыки с невиданной скоростью!

Читать полностью…

Пример настройки PBR на Cisco

1️⃣Создайте список доступа, чтобы определить, какой трафик подлежит перенаправлению:

access-list 101 permit ip 192.168.1.0 0.0.0.255 any  

2️⃣ Создайте route-map с правилами:

route-map PBR permit 10  
 match ip address 101  
 set ip next-hop 10.0.0.1  

3️⃣ Примените PBR к интерфейсу:

interface GigabitEthernet0/1  
 ip policy route-map PBR  

Теперь весь трафик из сети 192.168.1.0/24 будет перенаправляться на следующий хоп 10.0.0.1.

Преимущества и ограничения

Преимущества:
• Тонкий контроль над маршрутизацией.
• Возможность настроить маршруты для определенных приложений или пользователей.

Ограничения:
• Увеличение сложности управления сетью.
• Более высокая нагрузка на процессор маршрутизатора.

N.A. ℹ️ Help

Читать полностью…

⚡️ В сети начали массово сливать курсы и книги известных онлайн школ

Вот отсортированная база с тонной материала(постепенно пополняется):

БАЗА (4687 видео/книг):

(363 видео, 87 книги) — Python
(415 видео, 68 книги) — Frontend
(143 видео, 33 книги) — ИБ/Хакинг
(352 видео, 89 книги) — С/С++
(343 видео, 87 книги) — Java
(176 видео, 32 книги) — Git
(293 видео, 63 книги) — C#
(174 видео, 91 книги) — DevOps
(167 видео, 53 книги) — PHP
(227 видео, 83 книги) — SQL/БД
(163 видео, 29 книги) — Linux
(107 видео, 43 книги) — СисАналз
(181 видео, 32 книги) — Go
(167 видео, 43 книги) — Kotlin/Swift
(112 видео, 24 книги) — Flutter
(137 видео, 93 книги) — DS/ML
(113 видео, 82 книги) — GameDev
(183 видео, 37 книги) — UI/UX
(129 видео, 73 книги) — QA
(213 видео, 63 книги) — Rust
(121 видео, 24 книги) — Ruby

Скачивать ничего не нужно — все выложили в Telegram

Читать полностью…

🚨 Готова ли ваша конфигурация фаервола Windows к аудиту?

Фаервол Windows — это ключевой слой безопасности, защищающий ваши системы от несанкционированного доступа и вредоносного трафика. Но когда вы в последний раз проводили аудит его настроек?

В нашем новом посте мы разбираем основные шаги по проведению аудита конфигурации фаервола Windows — от выявления устаревших правил и проверки исключений до обеспечения непрерывного соответствия требованиям безопасности.

Если безопасность и соответствие стандартам важны для вашей организации, обязательно ознакомьтесь с этим руководством!

👉 Читайте больше и улучшайте аудит настроек фаервола!

/channel/IT_Audit/400

#ИТАудит #Кибербезопасность #ФаерволWindows

Читать полностью…

Мониторинг и логирование инфраструктуры в Kubernetes с нуля до продвинутого уровня 🔥

Разберитесь с Kubernetes на курсе «Мониторинг и логирование инфраструктуры в Kubernetes». 

Кому подойдёт:

🔹 разработчикам: будете разбираться в логах и алертах, понимать, как быстро найти и устранить проблему в кластере;
🔹 сисадминам: научитесь правильно выбирать метрики для мониторинга и стек технологий для логирования;
🔹 DevOps-инженерам: получите best practices по широкому стеку инструментов мониторинга и логирования.

➡️ Доступ к курсу — сразу после оплаты, стартовать можно в любой момент. Вы сами выбираете, где и когда смотреть занятия. 

Есть возможность бесплатно протестировать курс и понять, насколько он вам подходит. 

🎁 Каждый, кто решит пройти обучение, получит видеокурс по Prometheus в подарок. 

➡️ Все подробности по ссылке.

#реклама
О рекламодателе

Читать полностью…

🥂 Кто из вас под бой курантов тоже загадал найти работу по душе?

Праздники подходят к концу — пора воплощать задуманное. Если вы настроены решительно и начинаете готовиться к собеседованиям на системного администратора, Слёрм спешит на помощь — делимся журналом с мастхевами для успешного старта в Linux🔝

➡️ Внутри журнала часто задаваемые вопросы на собеседовании в формате загадок и кроссворда — проверять знания будет полезно и не скучно. 

Материалы предоставил Кирилл Казарин — DevOps and SRE global manager в LLC RingСentral Spain и спикер курса «Администрирование Linux». 

А для лучшего результата в боте можно пройти тест на текущий уровень знаний Linux — так вы точно будете готовы к собеседованию на 100%. 

📍Забрать журнал в боте

#реклама
О рекламодателе
erid: 2W5zFJodtMn

Читать полностью…

🎄 С наступающим, сетевые мастера! 🎄

В этот праздничный момент давайте пинганем 2024:

ping -c 1 2024
64 bytes from past.year: time=365ms

Пакет успешно доставлен, а это значит, что пора подключиться к новому узлу - 2025!

Настраиваем маршруты:

ip route add 2025/24 dev eth0 proto static

И пусть в вашем 2025 году:

🔥 Пакеты успеха достигают цели без потерь (0% packet loss).
🛷 Скорость ваших достижений превышает все лимиты (10 Gbps, no throttling).
📩 Конфигурации жизни обновляются автоматически и без ошибок (autoupdate enabled).
🥮 А ваши фаерволы фильтруют весь негатив (-j DROP).

Помните: сетевые технологии объединяют не только машины, но и людей. Пусть каждый из вас в новом году будет связан только с теми, кто усиливает ваш сигнал и расширяет вашу пропускную способность! 🍷

Вперед к стабильным соединениям, низкой задержке и высоким пикам счастья! 🎊

Читать полностью…

Заземление сетевого оборудования: зачем это нужно и как правильно выполнить?

Заземление — это критически важный аспект установки и эксплуатации сетевого оборудования. 

Оно обеспечивает безопасность, защищает оборудование от повреждений и устраняет помехи в работе сети. Разберем основные моменты, которые нужно учитывать.

Почему заземление важно?

⏺Защита от скачков напряжения:
Молния, статическое электричество или аварии в электросети могут вызвать скачки напряжения. Заземление помогает отвести избыточный ток и защитить устройства.

⏺Предотвращение электромагнитных помех:
Заземление снижает уровень помех, которые могут влиять на качество передачи данных. Особенно важно для серверных с большим количеством кабелей и оборудования.

⏺Безопасность персонала:
Заземление исключает риск поражения электрическим током при неисправности устройства.

Как правильно заземлить оборудование?

1️⃣Используйте контур заземления
• Подключите сетевое оборудование (серверы, коммутаторы, маршрутизаторы) к общему заземляющему контуру здания.
• Убедитесь, что сопротивление контура не превышает 4 Ом (рекомендуемое значение).

2️⃣ Проверьте заземляющие клеммы
• Большинство стоек, серверов и источников бесперебойного питания (ИБП) имеют специальные клеммы для заземления.
• Подключите медный провод к клемме и проведите его до шины заземления.

3️⃣ Используйте заземленные розетки
• Подключайте оборудование только к розеткам с заземляющим контактом.
• Проверьте качество заземления с помощью тестера.

4️⃣ Экранирование кабелей: Если вы используете экранированные кабели (STP/FTP), подключите экран к заземлению на стороне патч-панели. Это поможет уменьшить электромагнитные помехи.

5️⃣ ИБП с функцией заземления: Используйте ИБП, которые поддерживают распределение заземления на подключенные устройства.

Ошибки, которых стоит избегать

⏺Отсутствие единого контура:
Нельзя подключать оборудование к разным заземляющим контурам — это создаст разность потенциалов и увеличит риск повреждений.
⏺Использование водопроводных труб:
Такие решения временные и небезопасные. Используйте специально подготовленный контур.
⏺Пренебрежение проверкой:
Регулярно проверяйте качество заземления мультиметром. Плохое соединение может быть опасным.

N.A. ℹ️ Help

Читать полностью…

Хватит выполнять скучную рутину руками ✋

Ansible придумали, чтобы вы вместо возни с однотипными задачами по настройке конфигов:

✅ писали плейбуки и роли,
✅ деплоили Flask-приложения,
✅ настраивали IaC в Gitlab,
✅ автоматизировали процесс управления IT-инфраструктурой,
✅ наводили в ней порядок.

Для всех, кто только начинает свой путь, мы подготовили бесплатный чек-лист по основам Ansible. Он поможет сформировать необходимые навыки для решения реальных задач в короткий срок.

А если вы уже знакомы с Ansible, чек-лист тоже будет полезен — для самопроверки и подготовки к собеседованиям, ведь эти умения точно будут в требованиях к вакансиям 👌

👉 Забрать чек-лист можно бесплатно прямо сейчас в боте.

erid: 2W5zFHg1vme

Читать полностью…

😎 Альберт Маннанов, «Солар»: Уменьшить производительность NGFW всегда проще, чем наращивать ее, поэтому мы стартовали с высокопроизводительных платформ

Альберт Маннанов, руководитель продукта Solar NGFW ГК «Солар», в эксклюзивном интервью в рамках совместного проекта с Global Digital Space рассказал порталу Cyber Media о том, какие тенденции и вызовы ожидают рынок NGFW в 2025 году.

⏺Он поделился множеством интересных прогнозов, включая перспективы улучшения производительности и функциональности, а также рассказал, как компания адаптирует свои решения для различных уровней бизнеса.

➡️ Интервью уже доступно на нашем сайте по этой ссылке. Приятного чтения!

Читать полностью…

Настройка DHCP Snooping и Dynamic ARP Inspection на Cisco

DHCP Snooping и Dynamic ARP Inspection (DAI) — это функции безопасности, которые защищают вашу сеть от атак, таких как подмена DHCP-сервера и Man-in-The-Middle атаки.

Кратко о том, что используем:

• DHCP Snooping защищает от подмены DHCP-сервера, разрешая только доверенным портам передавать DHCP-ответы.
• DAI предотвращает атаки, где злоумышленник подделывает ARP-запросы и может перенаправлять трафик через своё устройство.

Настройка DHCP Snooping и DAI:

1️⃣Настройка интерфейсов с ограничением скорости пакетов: Устанавливаем лимиты пакетов для недоверенных интерфейсов:

AccSwitch#conf t
AccSwitch(config)#int ra gi1/0/1-46
AccSwitch(config-if-range)#ip dhcp snooping limit rate 15
AccSwitch(config-if-range)#ip arp inspection limit rate 100

2️⃣ Настройка доверенных интерфейсов:
Указываем интерфейсы, которые будут доверенными, например, порты, подключенные к маршрутизатору или DHCP серверу:

AccSwitch(config)#int ra gi1/0/47-48
AccSwitch(config-if-range)#ip dhcp snooping trust
AccSwitch(config-if-range)#ip arp inspection trust

3️⃣ Включаем DHCP Snooping для VLAN:
Включаем функцию DHCP Snooping и задаем VLAN для мониторинга:

AccSwitch(config)#ip dhcp snooping
AccSwitch(config)#ip dhcp snooping vlan 200
AccSwitch(config)#no ip dhcp snooping information option

4️⃣ Настройка ARP Access List для статических IP:
Для устройств с статическими IP необходимо создать ARP списки доступа:

AccSwitch(config)# arp access-list DAI
AccSwitch(config-arp-nacl)# permit ip host 192.168.200.25 mac host 0017.6111.a309

5️⃣ Настройка Source Guard для привязки устройства к порту:
Чтобы гарантировать, что только определённое устройство может работать на конкретном порту:

AccSwitch(config)#ip source binding 0017.6111.a309 vlan 200 192.168.200.14 interface Gi1/0/5

6️⃣ Проверка исходных запросов на недоверенных интерфейсах: Включаем проверку источника на портах с недоверенными устройствами:

AccSwitch(config)#ip verify source

7️⃣ Включение ARP Inspection после заполнения таблицы: После того как таблица DHCP Snooping будет заполнена (приблизительно через 1-2 дня), включаем ARP Inspection:

AccSwitch(config)#ip arp inspection vlan 200

N.A. ℹ️ Help

Читать полностью…

Time-Sensitive Networking (TSN): основы детерминированных сетей

Time-Sensitive Networking (TSN) — это технология, которая трансформирует традиционные сети Ethernet в детерминированные.

TSN обеспечивает передачу данных с минимальной задержкой и высокой точностью, что делает её критически важной для промышленности, транспорта и других областей с высокими требованиями к надежности.

Что в нем особенного?

1️⃣Синхронизация времени: Все устройства в сети TSN работают в одном временном домене благодаря протоколам вроде gPTP (generalized Precision Time Protocol). Это позволяет точно координировать передачу данных.

2️⃣ Управление потоками: TSN использует механизм Time-Aware Shaper для определения строгих временных окон, когда данные могут быть отправлены, что минимизирует задержки для приоритетного трафика.

3️⃣ Резервирование ресурсов: Механизмы стандарта IEEE 802.1Qcc позволяют выделить определенные ресурсы сети (пропускную способность, время) для критически важных данных, изолируя их от некритичных потоков.

4️⃣Предотвращение конфликтов: Технология Frame Preemption позволяет прерывать передачу некритичных данных в пользу приоритетных пакетов, избегая задержек в критических сценариях.

N.A. ℹ️ Help

Читать полностью…

Настройка ERSPAN и полезные команды

Расширенные возможности с ERSPAN

ERSPAN (Encapsulated Remote SPAN) используется для мониторинга трафика в L3-сетях через GRE-туннель.

Отличное решение для сложных сетей, где устройства находятся в разных подсетях.

Пример конфигурации ERSPAN

Копируем трафик с порта fa 0/1 коммутатора-источника на порт fa 0/5 коммутатора-получателя через GRE-туннель.

Настройка источника:

switch_source(config)# monitor session 1 type erspan-source  
switch_source(config-mon-erspan-src)# source interface fa0/1  
switch_source(config-mon-erspan-src)# destination  
switch_source(config-mon-erspan-src-dst)# erspan-id 111  
switch_source(config-mon-erspan-src-dst)# ip address 192.168.1.5  
switch_source(config-mon-erspan-src-dst)# origin ip address 192.168.2.5  

Настройка получателя:

switch_remote(config)# monitor session 1 type erspan-destination  
switch_remote(config-mon-erspan-dst)# destination interface fa0/5  
switch_remote(config-mon-erspan-dst)# source  
switch_remote(config-mon-erspan-dst-src)# erspan-id 111  
switch_remote(config-mon-erspan-dst-src)# ip address 192.168.1.5  

Теперь данные инкапсулируются через GRE и передаются между устройствами.

Полезные команды для мониторинга
Проверка конфигурации сессии:

show monitor session 1  

Мониторинг трафика в определённом VLAN:

monitor session 1 source vlan 13  

Указание направления трафика:

monitor session 1 source vlan 13 rx/tx  

N.A. ℹ️ Help

Читать полностью…