12610
Обучающий канал по сетевому и системному администрированию. Сотрудничество: @dad_admin Биржа: https://telega.in/c/networkadm РКН: https://bit.ly/4ioc61C
Основные причины ошибки «SSH Connection Refused»
Ошибка «SSH Connection Refused» возникает, когда удаленный сервер отклоняет запрос на соединение.
Это может быть вызвано различными причинами, от отсутствия клиента или сервера SSH до неправильных настроек. Вот основные причины и их решения:
1️⃣SSH-клиент не установлен
Если на локальной машине отсутствует SSH-клиент, подключение к серверу невозможно. Проверьте, установлен ли SSH-клиент, командой:
ssh
sudo apt install openssh-client
sudo yum install openssh-client
ssh localhost
sudo apt install openssh-server
sudo yum install openssh-server
grep Port /etc/ssh/sshd_configsudo service ssh status
sudo systemctl start sshd
sudo systemctl enable sshd
SNMPv3 - безопасный мониторинг сети
SNMPv3 — это апгрейд старых SNMPv1/v2c.
snmp-server view MyView iso included
snmp-server group SNMPv3Group v3 auth read MyView
snmp-server user snmpuser SNMPv3Group v3 auth sha MyAuthPass priv aes 128 MyPrivPass
show snmp user
show snmp group
Подсчёт уникальных MAC на порту для диагностики L2
В крупных сетях иногда важно быстро понять, сколько разных устройств «сидят» на порту коммутатора или виртуальном интерфейсе.
Это помогает выявлять ARP‑спуфинг, дубликаты MAC или неожиданные источники трафика.
bridge fdb show | awk '{print $3}' | sort | uniq -c | sort -nrbridge fdb show | awk '$3=="eth2"{print $1}' | sort | uniq | wc -lTHRESH=10
bridge fdb show | awk '{print $3}' | sort | uniq -c | while read cnt port; do
if [ "$cnt" -gt "$THRESH" ]; then
echo "ALERT: $port has $cnt MACs"
fi
done
show mac address-table interface Gi1/0/1
show mac address-table interface Gi1/0/1 | include - | wc -l
Проверяем реальный UDP throughput и jitter
Когда запускаешь VoIP или стриминг, важно не только знать скорость канала, но и понять, как стабильно он работает.
UDP не подтверждает доставку пакетов, поэтому packet loss и jitter сразу отражаются на качестве звонка или видео.
⏺Throughput показывает, сколько реально проходит данных между хостами, а ⏺jitter — насколько разняются задержки между пакетами.
Для проверки используем iperf3.
На сервере запускаем:
iperf3 -s
iperf3 -c <IP_сервера> -u -b 0
iperf3 -c <IP_сервера> -u -b 1M -t 30
Как проверить ARP-флуд на L2
Проверка ARP-флуда на L2 - важный этап для диагностики проблем с сетью, особенно когда клиенты теряют связь или наблюдаются странные задержки.
ip -s neigh
arping -c 10 192.168.1.50
watch -n 1 "ip -s neigh"
tcpdump -i eth0 arp
Как протестировать VLAN на линковом уровне
Нужно убедиться, что трафик правильно сегментирован и пакеты из одной VLAN не «пробиваются» в другую.
VLAN (Virtual LAN) — это логическая сегментация сети на канальном уровне.
# VLAN 10
sudo ip link add link eth0 name eth0.10 type vlan id 10
sudo ip addr add 192.168.10.1/24 dev eth0.10
sudo ip link set eth0.10 up
# VLAN 20
sudo ip link add link eth0 name eth0.20 type vlan id 20
sudo ip addr add 192.168.20.1/24 dev eth0.20
sudo ip link set eth0.20 up
ip -d link show eth0.10
ip -d link show eth0.20
ping 192.168.10.2 -I eth0.10 # должно проходить
ping 192.168.20.2 -I eth0.10 # не должно проходить
sudo tcpdump -i eth0.10
sudo tcpdump -i eth0.20
👩💻 Всем программистам посвящается!
Вот 17 авторских обучающих IT каналов по самым востребованным областям программирования:
Выбирай своё направление:
🤔 InfoSec & Хакинг — t.me/hacking_ready
👩💻 Python — t.me/python_ready
👩💻 Linux — t.me/linux_ready
🖼️ DevOps — t.me/devops_ready
👩💻 Bash & Shell — t.me/bash_ready
🖥 Data Science — t.me/data_ready
🖥 SQL & Базы Данных — t.me/sql_ready
🤖 Нейросети — t.me/neuro_ready
👩💻 C/C++ — /channel/cpp_ready
👩💻 C# & Unity — t.me/csharp_ready
📱 GameDev — t.me/csharp_ready
👩💻 IT Новости — t.me/it_ready
👩💻 Java — t.me/java_ready
🐞 QA-тестирование — t.me/qa_ready
📖 IT Книги — t.me/books_ready
👩💻 Frontend — t.me/frontend_ready
📱 JavaScript — t.me/javascript_ready
👩💻 Backend — t.me/backend_ready
📱 GitHub & Git — t.me/github_ready
📁 IT Факты — t.me/it_facts
🖥 Design — t.me/design_ready
📌 Гайды, шпаргалки, задачи, ресурсы и фишки для каждого языка программирования!
⚡️ Запускаем крупный розыгрыш призов, где можно выиграть iPhone 17, игровые наушники, клавиатуру и мышь!
Без лишних слов, условия:
1. Подписка на:
— бизнестрендс
— Технотренды
— Блумберг
2. Нажать кнопку «Участвовать» снизу
Итоги будут опубликованы 15 ноября в 18:00 на наших каналах, желаем удачи!
Сеть тормозит? Подозреваешь утечку или атаку? Wireshark - это инструмент, который «видит» всё внутри сети.
🦈 Уже завтра на бесплатном вебинаре «Анализ дампа трафика с помощью Wireshark» наш эксперт покажет, как правильно читать дампы трафика и находить аномалии с помощью Wireshark на реальных примерах!
🔍 Что будет:
• познакомимся с графическим интерфейсом Wireshark
• рассмотрим настройку фильтров отображения (Display filter)
• рассмотрим настройку маркировки пакетов (Coloring rules)
• сделаем практический анализ дампа трафика и проанализируем аномалии в сети.
👨💻 Кому будет полезно:
• Сетевым администраторам
• Специалистам по ИБ
🗓 Завтра 12:00 (мск)
⚡️ Мест немного - успей зарегистрироваться.
📡 Узнайте, что на самом деле происходит в вашей сети - атаки, перегрузка протоколов или ошибки конфигураций. Разберём всё на практике!
Реклама. ООО "ФАСТ ЛЕЙН СТОЛИЦА". ИНН 7720787779.
🎥 Вебинар по сетям: Основные протоколы сети Интернет
🧠 Что будет на занятии:
- От битов до браузера: что такое сетевой протокол и зачем нужна модель osi/tcp-ip. Простое объяснение сложной концепции.
- Фундамент Интернета: детальный разбор ip, tcp и udp. Узнаем, кто отвечает за адресацию, а кто — за надежность доставки.
- Протоколы прикладного уровня: как работают знакомые всем http, https и dns, когда вы открываете сайт.
- Ответы на ваши вопросы: живая сессия с экспертом, где можно спросить о любых нюансах, связанных с сетевыми технологиями.
💪 В результате :
Систематизируете знания о ключевых протоколах и сможете увереннее разбираться в сетевых вопросах.
🎁 Проходит в преддверии старта курса «Network engineer. Basic». Все участники вебинара получат специальные условия на полное обучение курса.
👉 Регистрируйтесь для участия https://otus.pw/w2Qp/
Реклама. ООО «Отус онлайн-образование», ОГРН 1177746618576
MPLS vs VXLAN: что выбрать для сети?
Когда сеть растёт, часто встаёт вопрос, как объединить филиалы, виртуальные машины и контейнеры в единый L2/L3 слой без перегрузки маршрутизаторов.
Две популярные технологии — MPLS и VXLAN.
⏺MPLS (Multiprotocol Label Switching) работает на уровне L2.5: пакеты маркируются метками для маршрутизации. Это даёт высокую производительность и низкую задержку. Технология широко используется в провайдерских сетях и больших дата-центрах, но её сложнее настраивать и поддерживать, требуется LDP или RSVP.
⏺VXLAN создаёт overlay-сеть поверх IP (L3), каждый сегмент имеет 24-битный идентификатор VNI. Она легко масштабируется и подходит для виртуальных машин и контейнеров. Можно использовать VXLAN на обычных Linux-серверах или через Open vSwitch. Гибкость выше, но есть небольшие накладные расходы на инкапсуляцию.
Ключевое отличие в том, что MPLS ориентирован на производительность и операторские сети, а VXLAN на гибкость и динамические инфраструктуры.
Пример проверки overlay VXLAN на Linux:
ip link add vxlan10 type vxlan id 10 dev eth0 dstport 4789
ip addr add 10.10.10.1/24 dev vxlan10
ip link set vxlan10 up
ping 10.10.10.2
HSRP (Hot Standby Router Protocol) для резервирования шлюза
Когда в сети есть несколько маршрутизаторов, важно, чтобы у клиентов всегда был доступ к шлюзу, даже если один из маршрутизаторов падает.
HSRP создаёт виртуальный IP-адрес и один «активный» маршрутизатор, а остальные остаются в режиме ожидания.
Если активный падает — резервный автоматически поднимается.
На Cisco настройка выглядит так:
interface GigabitEthernet0/1
ip address 192.168.1.2 255.255.255.0
standby 1 ip 192.168.1.1
standby 1 priority 110
standby 1 preempt
show standby brief
/interface vrrp add interface=ether1 vrid=1 priority=100 \
virtual-address=192.168.1.1
Произошла классика: щас по быстрому сделаем, а потом переделаем
N.A. ℹ️ Help
Настройка OSPF Passive Interface: оставляем маршруты там, где они нужны
Иногда хочется, чтобы OSPF работал только на нужных сегментах сети, а на остальных интерфейсах «молчал» — не слал hello-пакеты и не анонсировал маршруты.
Passive Interface как раз для этого. Он отключает OSPF на выбранном интерфейсе, но маршруты из этой подсети по-прежнему будут анонсироваться в остальную сеть.
На Cisco это делается просто:
router ospf 1
passive-interface GigabitEthernet0/1
router ospf 1
passive-interface default
no passive-interface GigabitEthernet0/0
/routing ospf interface
set [ find interface="ether1" ] passive=yes
Настройка Simple Queue на MikroTik
Ограничение скорости для конкретного устройства
Предположим, нужно ограничить скорость для IP 192.168.88.50 до 10 Мбит/с входящего и исходящего трафика:
/queue simple add name="Limit-10M" target=192.168.88.50/32 max-limit=10M/10M
/queue simple add name="Interface-Limit" target=ether1 max-limit=100M/100M
/queue simple add name="Subnet-Limit" target=192.168.88.0/24 max-limit=50M/50M
192.168.88.0/24 будут ограничены до 50 Мбит/с./queue simple print stats
MikroTik: NAT Hairpin
Сделать так, чтобы устройства внутри локальной сети могли обращаться к публичному IP ресурса (например, веб-серверу) так же, как внешние клиенты.
/ip firewall nat add chain=srcnat \
src-address=192.168.88.0/24 \
dst-address=192.168.88.10 \
action=masquerade
ping <внешний_IP_сервера>
/ip firewall connection print where dst-address=192.168.88.10
Настроим BPDU Guard для защиты от петель
В сетях с активным STP (Spanning Tree Protocol) важно защитить порты, где подключены только хосты, от случайного подключения коммутаторов или появления петель.
⭐️Если на таком порту появятся BPDUs, это может привести к нарушению топологии и отключению сегмента сети.
BPDU Guard — функция Cisco, которая сразу же блокирует порт при получении BPDU, тем самым предотвращая возникновение петли.
✅Когда используем:
⏺Access-порты, где подключены только ПК, принтеры, камеры и другие конечные устройства.
⏺В сетях с PortFast для ускоренного включения порта.
Настройка на интерфейсе:
interface Gi1/0/10
switchport mode access
spanning-tree portfast
spanning-tree bpduguard enable
show spanning-tree interface Gi1/0/10
shutdown
no shutdown
😊ПРИВЕТ, КОЛЛЕГИ!
Знакомьтесь — «В моём VLAN’е тихо!»
Это не просто канал, это мой путь становления сетевым инженером. Здесь я делюсь всем, что узнаю, пробую и тестирую в мире Cisco и сетевых технологий.😍😍
Что вы найдёте в канале?
- Подробные инструкции по настройке оборудования Cisco
- Пошаговые руководства с реальными примерами
- Разбор ошибок и их решений
- Полезные команды и конфигурации
- Опыт работы с реальным оборудованием
Почему стоит подписаться?
- Честный подход. Я открыто делюсь своим опытом.
- Практические знания.
- Доступность. Объясняю сложные вещи простым языком.
- Регулярные обновления. Новые материалы каждую неделю.
Мой путь:
- Собственная лаборатория с реальным оборудованием Cisco
- Активное обучение и практика
- Создание подробных руководств
- Обмен опытом с коллегами
Присоединяйтесь к каналу!
Вместе мы сможем создать активное сообщество, где каждый сможет делиться опытом и помогать друг другу.
👉 Подписывайтесь: @inMyVlan
Как проследить путь пакетов на L2 (MAC-level)
Отслеживание пути пакетов на L2 полезно, когда проблемы не видны на уровне IP, например, при «пропавшем» трафике между коммутаторами или подозрении на неправильную VLAN-конфигурацию.
Для этого удобно использовать arping и tcpdump.
Простейший способ — отправить ARP-запрос и посмотреть, кто отвечает:
arping -I eth0 -f 192.168.1.10
tcpdump -i eth0 -e arp
18 ноября в Москве пройдёт Deckhouse User Community meetup #3
Ключевые темы: виртуализация в небольших инсталляциях, управление Open Source-операторами и оптимизация ядра хранения данных в Deckhouse Prom++
Если вы решаете инфраструктурные задачи и работаете с кубером, рекомендуем зарегистрироваться прямо сейчас.
Как измерить jitter и packet loss для UDP
В сетях, где важна стабильность потоков — VoIP, видео или онлайн-игры — ключевыми метриками являются jitter и packet loss.
iperf3 -s -p 5201 -i 1
iperf3 -c <IP_сервера> -u -b 10M -t 30 -i 1
ping -i 0.1 -c 50 <IP_сервера>
Как измерить реальный PPS (Packets Per Second) на интерфейсе
Зачем это нужно?
Не всегда важен только общий объём трафика. Даже при невысокой пропускной способности интерфейса большой PPS может перегрузить CPU, сетевой стек или firewall.
Отслеживание PPS полезно для:
⏺Планирования ресурсов сервера или коммутатора
⏺Диагностики аномального трафика или DDoS
⏺Оптимизации работы IDS/IPS
Linux позволяет собирать статистику интерфейсов и вычислять PPS с помощью стандартных инструментов.
1️⃣EtHTool
Смотрим статистику RX/TX:
sudo ethtool -S eth0 | grep -i packets
#!/bin/bash
INTERFACE=eth0
RX_PREV=0
TX_PREV=0
while true; do
RX=$(ethtool -S $INTERFACE | grep 'rx_packets:' | awk '{print $2}')
TX=$(ethtool -S $INTERFACE | grep 'tx_packets:' | awk '{print $2}')
RX_PPS=$((RX - RX_PREV))
TX_PPS=$((TX - TX_PREV))
echo "RX: $RX_PPS pps | TX: $TX_PPS pps"
RX_PREV=$RX
TX_PREV=$TX
sleep 1
done
ip -s link show eth0
RX_PPS=$((RX - RX_PREV))
echo "$(date +%s),$RX_PPS" >> pps.csv
Многоуровневая фильтрация трафика с iptables и nftables
iptables и nftables — два подхода к фильтрации трафика в Linux.
⏺iptables — классика, знакомая большинству системных администраторов, работает через цепочки INPUT, OUTPUT, FORWARD.
⏺nftables — современный инструмент, который объединяет IPv4, IPv6 и L2 фильтрацию в единой структуре, с более компактным синтаксисом и улучшенной производительностью.
С помощью них можно: ограничивать доступ по IP, блокировать конкретные порты, фильтровать трафик между VLAN, логировать подозрительные соединения и создавать сложные правила с условием источника, назначения и интерфейса.
Создадим простое ограничение трафика через nftables:
sudo nft add table inet filter
sudo nft add chain inet filter input { type filter hook input priority 0; }
sudo nft add rule inet filter input ip saddr 192.168.1.0/24 accept
sudo nft add rule inet filter input tcp dport 22 accept
sudo nft add rule inet filter input drop
sudo nft add rule inet filter input tcp dport 22 log prefix "SSH DROP: " counter drop
sudo nft list ruleset
DNS over TLS (DoT) для защиты локальной сети
DNS over TLS шифрует стандартные DNS-запросы через TLS (порт 853), аналогично HTTPS.
Это защищает от прослушивания и MITM в локальной сети, позволяет централизованно контролировать и кэшировать запросы, при этом совместимо с существующими резолверами, такими как BIND, Unbound или Knot Resolver.
⏺Минусом является небольшое увеличение задержки из-за TLS handshake и необходимость поддержки на клиенте или промежуточном резолвере.
Практика на Linux
Установим Unbound с поддержкой DoT:
sudo apt install unbound
server:
interface: 0.0.0.0@853
tls-cert-bundle: /etc/ssl/certs/ca-certificates.crt
access-control: 192.168.1.0/24 allow
sudo systemctl restart unbound
dig @192.168.1.10 example.com +tls=853
Сравнение MPLS и VXLAN на Linux на практике
В чем тут цель вообще: создать тестовую сеть между двумя Linux-хостами и наглядно увидеть, как работают MPLS и VXLAN, чтобы понять плюсы и минусы каждого подхода для L2/L3 инкапсуляции.
1️⃣Настройка VXLAN
На обоих хостах создаём overlay-интерфейс:
# На хосте A
ip link add vxlan10 type vxlan id 10 dev eth0 dstport 4789
ip addr add 10.10.10.1/24 dev vxlan10
ip link set vxlan10 up
# На хосте B
ip link add vxlan10 type vxlan id 10 dev eth0 dstport 4789
ip addr add 10.10.10.2/24 dev vxlan10
ip link set vxlan10 up
ping 10.10.10.2
tcpdump -i vxlan10
# На обоих хостах
modprobe mpls_router
echo 1 > /proc/sys/net/mpls/conf/eth0/input
# На хосте A
ip link add name mpls0 type mpls
ip addr add 192.168.100.1/24 dev mpls0
ip link set mpls0 up
mpls label add 100 dev eth0
ip -f mpls route
ping 192.168.100.2
Хочешь ворваться в DevOps и наконец понять, как работают Kubernetes, Docker и CI/CD?
Ребята из Merion Academy (того самого Youtube-канала про IT), создали курс, который помогает не просто смотреть уроки, а реально учиться:
✔️ Грамотно подобранная программа курса.
✔️ Много практики.
✔️ Помогают разобраться с затыками.
✔️ Отдельно помогут с карьерой: как составить резюме, пройти собеседования и найти работу.
Что интересного в программе:
1. Построение CI/CD пайплайнов в GitLabCI и Jenkins
2. Настройка мониторинга с Zabbix, Prometheus и Grafana
3. Понимание DevSecOps, ZTNA, SASE, Defense in Depth
4. Работа с Docker, включая Docker Compose и Multistaging
5. Infrastructure-as-Code: Terraform и Ansible
5. Работа с хранилищем данных Redis
Какие технологии освоишь: Docker, Ansible, Grafana, Kubernetes, Terraform, Zabbix, ELK, Jenkins, Prometheus
Какие еще есть плюшки: у ребят очень доступные цены за счет того, что курс хоть и с ментором, но рассчитан на самостоятельное обучение – т.е. учишься в любое время, когда тебе удобно в образовательной платформе.
❇️ Первые 2 урока бесплатные — попробуй и реши, твое ли это.
Подробнее о курсе
Можно ли такое выпускать в прод?
От создателей: "Это, вообще, правильно? А у других как?”
Работа с Kubernetes — она такая. Вроде бы знаешь, как решить конкретную задачу, но когда возникают смежные проблемы с кучей нюансов — опереться не на что.
👉Именно для тех, кто увидел себя в этом — есть курс «Kubernetes Мега» от Слёрма.
После курса:
1️⃣Повысите экспертность в поддержке K8s кластеров
2️⃣Сможете уверенно перевести продукты компании на K8s
3️⃣Сможете претендовать на грейд выше, а зарплату бОООльше
8 недель углубленного администрирования Kubernetes, чтобы уверенно управлять кластерами, настраивать сеть, разруливать инциденты и держать инфраструктуру под контролем.
Старт – 27 октября
Подробности — по ссылке⬅️
OSPF Cost для балансировки нагрузки между несколькими линками
Иногда в сети есть несколько путей к одному и тому же префиксу, и хочется, чтобы трафик распределялся правильно.
interface GigabitEthernet0/1
ip ospf cost 10
interface GigabitEthernet0/2
ip ospf cost 20
/routing ospf interface
set [ find interface="ether1" ] cost=10
set [ find interface="ether2" ] cost=20
Ты сказал, что ты шаришь в этой теме! 🐧
А за Ansible шаришь? 😏
Один пропущенный шаг — и конфигурация ломается. Члены команды выполняют задачи по-своему, документация не помогает. Добавление новых серверов — это боль и часы работы 👎
Ограничиваем скорость на MikroTik
В сетях часто требуется контролировать пропускную способность отдельных устройств или сервисов. Это важно для:
⏺Предотвращения перегрузки сети.
⏺Тестирования сетевых приложений.
⏺Реализации базового QoS без сложных схем.
На MikroTik для этих целей используется система Queue, которая позволяет ограничивать скорость по IP, диапазону адресов или на уровне интерфейса.