Настройка QinQ на оборудовании Mikrotik

Для начала стоит напомнить о технологии 802.1q. Она позволяет тегировать трафик на уровне L2 OSI, разделяя его по VLAN. Тег добавляется в заголовок фрейма и состоит из двух частей:

⏺TPID (Tag Protocol Identifier) — определяет тип трафика. Для 802.1q его значение 0x8100, а для 802.1ad (QinQ) — 0x88a8.
⏺TCI (Tag Control Information) — поле размером 16 бит, включающее следующие компоненты:
⏺PCP (Priority) — 3-битное поле для приоритезации трафика.
⏺DEI (Drop Eligible Indicator) — 1 бит для пометки фреймов, которые могут быть отброшены при перегрузке.
⏺VID (VLAN Identifier) — 12-битное поле для указания номера VLAN (от 1 до 4094).
⏺QinQ (802.1ad) решает проблему ограничения числа VLAN (4094), добавляя второй тег, что позволяет увеличить количество VLAN до 16777216.

Практическая часть

Настроим оборудование Mikrotik для работы с технологией QinQ.

Сеть состоит из четырёх устройств Mikrotik:

1️⃣VPC1 и VPC2 будут находиться в одной подсети:

• VPC1: 172.16.20.1/24
• VPC2: 172.16.20.2/24

2️⃣ Первый и четвёртый Mikrotik отвечают за доступ и передачу тегированного трафика:

/interface bridge
add name=bridge vlan-filtering=yes

/interface bridge port
add bridge=bridge interface=ether1 pvid=100
add bridge=bridge interface=ether2

/interface bridge vlan
add bridge=bridge tagged=ether2 vlan-ids=100

Оба устройства работают с VLAN ID 100 и передают тегированный трафик через интерфейс ether2.

3️⃣ Второй Mikrotik добавляет дополнительный тег (QinQ):

/interface bridge
add ether-type=0x88a8 name=bridge vlan-filtering=yes

/interface bridge port
add bridge=bridge interface=ether1 pvid=200 tag-stacking=yes
add bridge=bridge interface=ether2

/interface bridge vlan
add bridge=bridge tagged=ether1 vlan-ids=100
add bridge=bridge tagged=ether2 vlan-ids=200

Здесь добавляем поддержку QinQ с тегированием трафика на уровне 802.1ad (значение ether-type=0x88a8) и включаем двойное тегирование (tag-stacking).

4️⃣ Третий Mikrotik настраивается аналогично:

/interface bridge
add ether-type=0x88a8 name=bridge vlan-filtering=yes

/interface bridge port
add bridge=bridge interface=ether1
add bridge=bridge interface=ether2 pvid=200 tag-stacking=yes

/interface bridge vlan
add bridge=bridge tagged=ether2 vlan-ids=100
add bridge=bridge tagged=ether1 vlan-ids=200

Настройка оборудования завершена. Теперь ваши устройства могут обрабатывать двойные теги QinQ, что позволяет увеличить количество VLAN и обеспечить более гибкую маршрутизацию в сложных сетях.

N.A. ℹ️ Help

Читать полностью…

10 лучших практик использования Windows Server Ч.1

Порой нам важно не только автоматизировать процессы настройки, но и поддерживать системы в рабочем состоянии без сбоев.

Вот несколько ключевых практик, которые помогут вам поддерживать безопасность и производительность серверов на высоком уровне.

1️⃣Аудит политики авторизации
Контролируйте доступ к серверам. Отключите локальный и интерактивный доступ, чтобы никто не мог использовать серверы как обычные рабочие столы. Важно также следить за изменениями прав доступа и авторизациями.

2️⃣ Централизация журналов событий
Настройте сервер для централизованного сбора журналов. Это упростит анализ данных и позволит быстро находить проблемы, например, неудачные попытки входа. Вы также можете интегрировать журналы с системами устранения инцидентов.

3️⃣ Контрольные и базовые показатели производительности
Фиксируйте и анализируйте показатели работы серверов в пиковые и непиковые периоды. Это поможет оптимизировать использование ресурсов и предугадывать атаки или сбои.

4️⃣ Ограничение удаленного доступа
Обеспечьте безопасность удаленных подключений через VPN и настройку брандмауэра. Убедитесь, что доступ к серверам через протоколы удаленного рабочего стола контролируется и защищен.

5️⃣ Настройка сервисов
Отключите ненужные службы, чтобы уменьшить возможности для атак. Регулярно пересматривайте потребности вашей системы и оставляйте активными только те сервисы, которые необходимы.

N.A. ℹ️ Help

Читать полностью…

Как в сетях обнаруживаются соседи? Часть 2

Объявление достижимости и топологии

После того, как сеть изучила информацию о топологии и доступности, плоскость управления должна распространить эти данные по всей сети.

Этот процесс включает объявление достижимости и топологии, что обеспечивает актуальность информации для маршрутизации трафика.

Хотя способ объявления зависит от используемого механизма, решающего задачи без петлевой маршрутизации, есть общие принципы, применимые ко всем системам. 

Основная цель — решить, когда и как передавать информацию о достижимости и топологии, обеспечивая надежную и эффективную передачу данных.

Решение, когда объявлять достижимость и топологию

Когда следует объявлять топологию и доступность? Логичным ответом было бы делать это сразу после изучения топологии, но на практике нужно учитывать баланс между эффективностью сети и объемом информации, удерживаемой в плоскости управления.

Пример:

Предположим, хосты A и F обмениваются данными постоянно, в то время как B, G и H не передают трафик долгое время.

Возникают следующие вопросы:

• Почему маршрутизаторы D и E должны поддерживать информацию о доступности для B, если C ее знает?
• Почему E должен хранить информацию о доступности хоста A?

Сложность состоит в том, что существует компромисс между объемом информации, которую нужно передавать и хранить, и скоростью, с которой сеть может обрабатывать и передавать трафик. В таких ситуациях есть три подхода:

1️⃣Проактивное объявление доступности

Плоскость управления может проактивно изучать топологию и передавать информацию о достижимости. Это минимизирует задержки при передаче новых потоков трафика, так как нужные маршруты уже известны.

2️⃣ Упреждающее обнаружение топологии с реактивной достижимостью

Плоскость управления изучает топологию проактивно, но откладывает объявление достижимости до тех пор, пока не потребуется пересылка трафика. Такой подход снижает нагрузку на сеть, но может приводить к небольшим задержкам при первых попытках передать данные.

3️⃣ Реактивное объявление доступности

Информация о топологии и достижимости объявляется только тогда, когда возникает необходимость в пересылке пакетов. В этом случае, как только первый пакет направляется к хосту, плоскость управления начинает искать оптимальный маршрут. Однако это может вызвать задержки и потерю первых пакетов.

Проактивные и реактивные системы управления

Системы управления делятся на проактивные и реактивные, в зависимости от подхода к объявлению информации:

⏺Проактивные системы

Они заранее объявляют информацию о доступности для всех узлов сети. Это позволяет минимизировать задержки при маршрутизации новых потоков, особенно для трафика, требующего мгновенной обработки. Однако такой подход увеличивает объем состояния плоскости управления, что может усложнять её работу.

⏺Реактивные системы

Эти системы ждут момента, когда информация о пересылке потребуется, реагируя на события в плоскости данных. Они уменьшают количество состояний, передаваемых и хранимых в сети, но могут приводить к задержкам и менее эффективной маршрутизации в случае новых потоков.

Гибридные решения

Можно реализовать плоскость управления, сочетающую элементы как проактивного, так и реактивного подходов.

Например, можно объявлять минимальный объем информации о топологии и достижимости, а затем динамически изучать более оптимальные маршруты при обнаружении потоков, требующих лучшего качества обслуживания.

Таким образом, выбор между проактивным и реактивным подходами — это всегда компромисс между эффективностью сети и сложностью управления топологией.

N.A. ℹ️ Help

Читать полностью…

Знаете, я тоже своего рода спортсмен

Читать полностью…

Разбираемся в преимуществах виртуализации

Перед вами топ-10 преимуществ, которые виртуализация даст вашей организации. 

Нужна помощь, чтобы убедить начальство, что виртуализация — это верное решение? Или, может, нужно убедить себя? Мы все разобрали и делимся результатами!

1️⃣ Аппаратная абстракция

Виртуализация упрощает управление аппаратными ресурсами и снижает время простоя, связанное с заменой оборудования и поломками. Вы больше не зависите от конкретных моделей серверов или поставщиков.

Хотите увеличить оперативную память или добавить места для хранения данных? Это теперь делается быстро и без головной боли. Можно добавить ресурсы по мере необходимости без длительных остановок.

2️⃣ Простота миграции

Благодаря виртуализации, можно с легкостью перенести виртуальную машину на другой физический сервер. Это важное преимущество для балансировки нагрузки и быстрого восстановления после сбоев.

Миграция становится быстрым и простым процессом без риска для работы системы.

3️⃣ Легкость управления дисками

С виртуализацией управление дисками становится проще: перенос хранилищ можно сделать «на лету». Это существенно ускоряет откат системы и Bare Metal Restore — восстановление на «чистое» железо.

Ваша виртуальная машина — это всего лишь набор файлов, который можно быстро восстановить без лишних сложностей.

4️⃣ Снимки (снэпшоты)

Снэпшоты помогают не только при тестировании, но и обеспечивают защиту от ошибок. Если конфигурация системы повреждена на физическом сервере, ремонт может занять часы или дни.

С виртуальной машиной всё проще: восстановите её из снимка в пару кликов. Это преимущество сложно переоценить.

5️⃣ Простота в архивации

С виртуальными машинами архивация становится проще. Завершили работу с системой? Отключите её и перенесите файлы на долговременное хранение, например, в СХД.

Если машина снова понадобится, её можно вернуть за считанные минуты.

N.A. ℹ️ Help

Читать полностью…

Алгоритмы HAProxy и его роль в балансировке нагрузки

Как работает HAProxy?

HAProxy предоставляет возможность распределения трафика между серверами с помощью двух уровней сетевой модели OSI: уровня 4 (транспортного) и уровня 7 (прикладного).

Оба уровня имеют свои особенности в маршрутизации трафика, что позволяет HAProxy быть одновременно быстрым и эффективным решением для разных типов приложений.

⏺Балансировка нагрузки на уровне 4: Здесь HAProxy анализирует только сетевую информацию, такую как IP-адреса и порты, не проверяя содержимое самих пакетов. Это обеспечивает быструю и эффективную маршрутизацию, но не позволяет использовать «умные» стратегии распределения трафика.
⏺Балансировка нагрузки на уровне 7: Этот метод более сложный и требует анализа содержимого сообщений. HAProxy может проверять запросы пользователей, расшифровывать трафик и принимать решения по маршрутизации на основе содержимого, что позволяет использовать кэширование и более точные правила маршрутизации.

Основные алгоритмы балансировки в HAProxy:

HAProxy поддерживает множество алгоритмов для распределения трафика, каждый из которых имеет свои особенности применения:

1️⃣Циклический алгоритм (Round Robin): Это базовый и наиболее популярный алгоритм, при котором запросы распределяются по серверам последовательно. Каждый сервер получает запросы по очереди, что обеспечивает равномерное распределение нагрузки. Можно настраивать веса серверов, что позволит более мощным серверам получать больше трафика.

2️⃣ Алгоритм на основе источника (Source Algorithm): Этот метод использует хэширование IP-адреса пользователя для того, чтобы пользователь всегда попадал на один и тот же сервер при повторном обращении. Это особенно полезно для веб-приложений, где важно сохранять сессии пользователей.

3️⃣ Алгоритм Least Connections: HAProxy отправляет новые запросы на сервер с наименьшим количеством активных соединений. Этот метод отлично подходит для уравновешивания нагрузки в реальном времени, когда разные серверы обрабатывают разные объемы трафика.

4️⃣ Алгоритм First: Запросы направляются на первый сервер в списке доступных серверов, и если он перегружен или не отвечает, запрос передается следующему.

N.A. ℹ️ Help

Читать полностью…

✈️ В Telegram появился канал от web-ресурса NetworkAdmin.ru

В нем — автор делится полезной информацией про Windows/Linux, актуальными уязвимостями, а также историями основанными на личном опыте в IT.

🧑‍💻 Подпишись @networkadminru

Читать полностью…

Как установить сервер в стойку: полезные советы

Основы и подготовка

Серверная стойка — это важная часть инфраструктуры любой компании, которая помогает организовать и защитить оборудование.

Она упрощает управление серверами, сетевыми устройствами и хранилищами данных, улучшает циркуляцию воздуха и снижает риск перегрева. 

Однако неправильная установка оборудования в стойку может привести к проблемам с охлаждением, ограничению доступа и даже повреждению устройств.

Виды серверных стоек

Прежде чем приступить к установке, важно выбрать правильную серверную стойку, которая подходит вашему оборудованию и условиям эксплуатации.

Типы серверных стоек:

⏺Готовые серверные стойки – стандартные стойки, которые можно сразу использовать для большинства серверных решений.
⏺Индивидуальные стойки – делаются на заказ, если у вас нестандартное оборудование или особые требования по пространству.

Если у вас типовые задачи и оборудование, лучше выбрать готовую стойку, так как они обычно быстрее монтируются и обеспечивают оптимальные условия охлаждения и защиты.

Индивидуальные стойки могут быть оправданы, если вы работаете с нестандартными решениями.

1️⃣Подготовка и регулировка глубины стойки

Прежде чем устанавливать оборудование, важно правильно настроить серверную стойку. Если стойка позволяет изменять глубину, настройте её под размер вашего оборудования.

Это делается с помощью передних и задних направляющих, которые можно перемещать и фиксировать на нужной длине.

2️⃣ Установка направляющих для серверов

Для установки серверов и других устройств в стойку, вам потребуются направляющие (рейки). Некоторые стойки уже поставляются с направляющими, а для других может понадобиться установка клетевых гаек для крепления рейков к стойке.

Как это сделать:

⏺Убедитесь, что направляющие соответствуют весу и размерам сервера.
⏺Закрепите их в стойке, следуя инструкциям производителя.
⏺Проверьте, что направляющие установлены ровно и надежно, чтобы они могли выдержать нагрузку.

3️⃣ Крепление внутренней части направляющих к серверу

После того как внешние направляющие установлены, необходимо прикрепить внутренние рейки к корпусу сервера. Это обеспечит надежную фиксацию оборудования в стойке. Используйте соответствующие крепежные элементы и следите, чтобы все было прочно зафиксировано.

Полезные советы:

— Проверьте размеры сервера и стойки, чтобы оборудование легко вставлялось и не касалось других устройств.
— Убедитесь, что направляющие выдержат вес вашего оборудования — это важный момент для предотвращения аварий.

Делаем продолжение? 🤫

N.A. ℹ️ Help

Читать полностью…

3 лучших решений для управления сетью

Когда сеть включает облачные инфраструктуры, Интернет вещей (IoT), программно-определяемые сети и многочисленные устройства, традиционные методы управления уже не справляются.

Именно поэтому организации нуждаются в специализированных инструментах для управления сетями, которые автоматизируют задачи, отслеживают изменения и обеспечивают безопасность.

1️⃣Batfish — это инструмент анализа сетевых конфигураций с открытым исходным кодом. Он позволяет администраторам тестировать изменения конфигурации до их фактического применения. Это может предотвратить ошибки, которые могут привести к нарушению безопасности или сбоям сети.

Основные функции:

• Анализирует конфигурации сетей до их развертывания.
• Моделирует поведение сети в реальном времени.
• Помогает находить проблемы с доступностью, безопасностью и производительностью до их появления в рабочей среде.
• Поддерживает облачные, локальные и гибридные сети.

2️⃣ TrueSight
TrueSight Automation for Networks от BMC предлагает средства для автоматизации управления конфигурацией и безопасности сетевых устройств.

Он обладает мощными функциями, которые позволяют администраторам оперативно реагировать на уязвимости и контролировать конфигурации устройств.

Основные функции:

• Мониторинг и автоматическое устранение уязвимостей на сетевых устройствах.
• Восстановление настроек при возникновении проблем.
• Поддержка аудита для соблюдения стандартов безопасности, таких как PCI, SOX, HIPAA.
• Позволяет обновлять сетевые устройства без простоя.

3️⃣ Netline LineDancer (NetLD) — это интуитивный и удобный инструмент управления конфигурацией с широкими возможностями. Он поддерживает автоматическое обнаружение изменений конфигураций и масштабируется под разные размеры сетей.

Основные функции:

• Интуитивный веб-интерфейс для удобного управления сетевыми устройствами.
• Массовое внесение изменений в конфигурации.
• Автоматическое обнаружение и регистрация изменений на устройствах.
• Хорошие возможности по отчетности и мониторингу сети.

N.A. ℹ️ Help

Читать полностью…

Архитектура XMPP

Основой XMPP является децентрализованная архитектура. 

Это означает, что пользователи не обязаны подключаться к единому серверу для обмена данными — они могут взаимодействовать между собой через разные серверы, что делает XMPP максимально гибким и независимым от конкретных сервисов.

Такой подход напоминает архитектуру электронной почты, где пользователь одного почтового сервера может отправить письмо пользователю другого сервера.

Клиент-серверная модель

XMPP использует клиент-серверную модель, где каждый участник сети подключается к своему серверу, а серверы взаимодействуют друг с другом для передачи данных.

Это обеспечивает устойчивость системы, поскольку даже если один сервер выйдет из строя, остальные смогут продолжить работу.

Взаимодействие в XMPP строится на трех уровнях:

1️⃣Клиенты: Это программы или приложения, через которые пользователи отправляют и получают сообщения. Например, это может быть чат-клиент, установленный на смартфоне или компьютере.
2️⃣ Серверы: Серверы XMPP принимают сообщения от клиентов и передают их на другие серверы или клиентам в зависимости от назначения. Каждый сервер отвечает за управление данными своих пользователей и их безопасную передачу.
3️⃣ Сервисы и модули: Это дополнительные функции, которые могут быть внедрены в архитектуру сервера. Например, сервисы для хранения истории сообщений, модули для работы с группами или интеграции с другими системами.

Ключевые компоненты архитектуры:

⏺Jabber ID (JID): Уникальный идентификатор пользователя в XMPP, состоящий из имени пользователя, домена и ресурса. Пример: user@domain/resource. "Ресурс" помогает идентифицировать конкретное устройство или приложение, с которого пользователь подключен, что позволяет поддерживать несколько сессий с одного аккаунта.

⏺Серверы и федерация: В XMPP серверы могут взаимодействовать друг с другом, создавая своего рода федерацию. Это похоже на работу почтовых серверов: например, пользователи сервера A могут отправлять сообщения пользователям на сервере B. Серверы устанавливают между собой защищенные соединения и обмениваются сообщениями по установленным маршрутам.

⏺Стримы (Streams): Все сообщения, команды и данные между клиентом и сервером передаются через поток XML-данных, называемый "stream". Это постоянное двустороннее соединение между клиентом и сервером, через которое идет вся передача данных. Сервер поддерживает этот поток активным до тех пор, пока клиент не отключится.

⏺Станзы (Stanzas): Основные элементы, из которых состоит XML-структура сообщений XMPP. Есть три типа станз: message (для отправки сообщений), presence (для уведомления о статусе пользователя, например, "доступен", "не в сети") и iq (информационные запросы, для обмена управляемыми данными между клиентом и сервером).

N.A. ℹ️ Help

Читать полностью…

Что такое XMPP и зачем он нужен?

Если ты когда-нибудь пользовался мессенджерами вроде Google Talk, WhatsApp или даже корпоративными чатами, то, возможно, даже не догадывался, что за кулисами их работы стоит протокол XMPP.

В этом посте я расскажу, что это за протокол и чем он интересен.

Что такое XMPP?

XMPP (Extensible Messaging and Presence Protocol) — это открытый и расширяемый протокол для обмена сообщениями в реальном времени.

Изначально он был известен как Jabber и разрабатывался для создания мессенджеров.

Его основная задача — передача сообщений, обновлений о присутствии (например, онлайн/оффлайн статусов) и данных между клиентами через сеть.

XMPP работает по принципу децентрализации, что значит, что каждый пользователь может подключаться к любому серверу, поддерживающему протокол, и взаимодействовать с другими, даже если те находятся на другом сервере. Этот принцип напоминает работу электронной почты.

Где используется XMPP?

Хотя XMPP изначально создавался для мессенджеров, его гибкость позволила использовать протокол в других областях:

⏺Мгновенные сообщения: Именно здесь XMPP проявил себя наилучшим образом — мессенджеры, чаты в реальном времени и системы обмена данными активно применяют его.
⏺Голосовая и видеосвязь: Через расширения XMPP поддерживает передачу аудио и видео, что делает его важным элементом для реализации VoIP-приложений (например, Google Hangouts).
⏺Интернет вещей (IoT): Протокол нашел себя в управлении устройствами и сенсорами в сети IoT благодаря своим возможностям для масштабирования и надежности.
⏺Корпоративные системы: Внутри корпоративных сетей XMPP может использоваться для организации обмена данными между системами, приложения и сотрудниками.

Основные принципы работы XMPP

Одной из ключевых особенностей XMPP является его использование XML для передачи данных.

Сообщения, статусы и другая информация кодируются в виде XML-станз (stanzas) — структурированных элементов, передаваемых между клиентом и сервером.

XMPP поддерживает:

1️⃣Обмен сообщениями в реальном времени: Отправка и получение текстовых сообщений практически мгновенно.
2️⃣ Обновления о присутствии: Возможность уведомлять других пользователей о своем статусе (например, доступен, занят, офлайн).
3️⃣ Расширяемость через XEP (XMPP Extension Protocols): Это модули, которые добавляют функциональность протоколу, такие как поддержка групповых чатов, шифрование, голосовая связь и многое другое.

N.A. ℹ️ Help

Читать полностью…

Сброс пароля на коммутаторах Cisco Catalyst

Если вы столкнулись с проблемой забытого пароля на коммутаторе Cisco Catalyst, процесс его восстановления похож на работу с маршрутизаторами.

Для сброса пароля также потребуется физический доступ к оборудованию через консольный кабель. Вот как это сделать.

1️⃣Подключение к коммутатору и перезагрузка

Для начала подключитесь к коммутатору с помощью консольного кабеля и отключите его питание.

Затем снова включите устройство, удерживая кнопку Mode на передней панели. Это позволит прервать процесс загрузки и войти в специальный режим восстановления.

2️⃣ Инициализация Flash

После прерывания загрузки вам потребуется инициализировать файловую систему коммутатора. Для этого введите команды:

switch: flash_init
switch: load_helper

Эти команды подготовят файловую систему для дальнейшей работы.

3️⃣ Переименование конфигурационного файла

Теперь вы можете просмотреть содержимое Flash с помощью команды:

switch: dir flash:

Найдите файл config.text – это файл с конфигурацией коммутатора, который нам нужно временно переименовать. Сделайте это командой:

switch: rename flash:config.text flash:config.old

4️⃣ Возобновление загрузки

После переименования файла перезапустите процесс загрузки коммутатора командой:

switch: boot

Коммутатор загрузится без конфигурационного файла, и вы сможете войти в привилегированный режим.

5️⃣ Восстановление конфигурации

Когда коммутатор загрузится, войдите в привилегированный режим, и переименуйте файл config.old обратно в config.text:

Switch#rename flash:config.old flash:config.text

Загрузите его командой:

Switch#copy flash:config.text system:running-config

6️⃣ Смена паролей

Теперь, когда старая конфигурация загружена, вы можете задать новый пароль:

Switch1#conf t
Switch1(config)#enable secret NewPassword
Switch1(config)#line vty 0 4
Switch1(config-line)#password NewPassword
Switch1(config-line)#login
Switch1(config)#line console 0
Switch1(config-line)#password NewPassword
Switch1(config-line)#login

7️⃣ Сохранение новой конфигурации

После изменения паролей сохраните новую конфигурацию, чтобы она применялась после перезагрузки:

Switch1#copy running-config startup-config

N.A. ℹ️ Help

Читать полностью…

Вам нравится читать контент на этом канале?

Возможно, вы задумывались о том, чтобы купить на нем интеграцию?

Следуйте 3 простым шагам, чтобы сделать это:

1) Регистрируйтесь по ссылке: https://telega.in/n/networkadm
2) Пополняйтесь удобным способом
3) Размещайте публикацию

Если тематика вашего поста подойдет нашему каналу, мы с удовольствием опубликуем его.

Читать полностью…

Ethernet VPN (EVPN): решение для гибридных сетей

Сети становятся всё более сложными, и особенно крупные компании нуждаются в гибких и масштабируемых решениях для управления своими ресурсами. 

Ethernet VPN (EVPN) — это современная технология, которая обеспечивает высокий уровень гибкости при развертывании сетей и позволяет лучше управлять трафиком в сложных мульти-датацентровых и гибридных сетях.

Что такое EVPN?

Ethernet VPN (EVPN) — это новый стандарт для сетевых VPN, который использует протокол BGP (Border Gateway Protocol) для обмена информацией о маршрутизации в Layer 2 и Layer 3 VPN.

В отличие от традиционных решений, таких как VPLS (Virtual Private LAN Service), EVPN обеспечивает более эффективную маршрутизацию, балансировку нагрузки и отказоустойчивость.

EVPN поддерживает связность на втором уровне (Layer 2) для различных удалённых участков сети и предоставляет более интеллектуальный способ маршрутизации с использованием механизмов, аналогичных Layer 3.

Как работает EVPN?

EVPN использует BGP для обмена маршрутной информацией между маршрутизаторами. Основные элементы EVPN:

• Ethernet сегменты: уникальные участки сети, представляющие одно или несколько подключений.
• MAC маршруты: передача MAC-адресов через BGP для управления Layer 2 трафиком.
• IP маршруты: обмен IP-адресами, что позволяет работать на Layer 3.

N.A. ℹ️ Help

Читать полностью…

Был бы у меня такой сервер…Я б может и с работы не уходил бы

Читать полностью…

10 лучших практик использования Windows Server Ч.2

Сегодня обсудим еще 5 практик.

6️⃣ Периодический контроль состояния
Регулярно проводите проверки серверов, чтобы выявлять любые изменения в их состоянии или работе. Это поможет предотвратить возможные сбои или перегрузки, а также позволит вовремя обновить оборудование или программное обеспечение. Постоянный мониторинг также помогает заранее подготовиться к увеличению нагрузки, чтобы избежать перебоев в предоставлении услуг.

7️⃣ Управление Patch-файлами
Регулярное обновление системы — один из самых простых, но критически важных аспектов управления серверами. Устанавливайте обновления безопасности и исправления, как только они становятся доступными, чтобы закрыть уязвимости и предотвратить потенциальные атаки. Настройте систему для автоматического обновления или организуйте процесс ручного тестирования и внедрения патчей, чтобы избежать несовместимости с другими программами.

8️⃣ Технические средства контроля
Используйте данные мониторинга и базовые показатели для принятия решений о необходимости внедрения дополнительных средств защиты, таких как системы предотвращения вторжений или балансировщики нагрузки. Например, если веб-сервер подвергается частым атакам, можно установить брандмауэр для веб-приложений (WAF) для защиты от атак на веб-интерфейсы, таких как SQL-инъекции или межсайтовый скриптинг.

9️⃣ Блокировка физического доступа
Серверы должны находиться в защищенных помещениях с ограниченным доступом. Это не только помогает защитить их от физического проникновения, но и улучшает условия работы серверов за счет правильной вентиляции и контроля температуры. Обеспечьте, чтобы доступ к серверным помещениям имели только уполномоченные сотрудники.

1️⃣0️⃣ Аварийное восстановление
Регулярное создание резервных копий данных и наличие плана аварийного восстановления — это обязательный элемент любой IT-инфраструктуры. Используйте стратегию 3-2-1: три копии данных, два разных носителя и одну копию за пределами основного офиса. Это обеспечит минимальные потери в случае сбоя или катастрофы и позволит быстро восстановить работу систем.

N.A. ℹ️ Help

Читать полностью…

⚡️ Вся база знаний по IT в одном месте!

🧑‍💻 IT База — краткие разборы самого важного из мира IT. Сотни мастхев-ресурсов, каждый день новые материалы по работе и подготовке к собеседованиям. Подойдёт как новичкам, так и состоявшимся айтишникам;

🖥 Frontend База — всё для фронтенд разработчиков. Готовые решения для проектов, полезные курсы по JS/HTML/CSS, готовые роадмапы для комфортного освоения в профессии и дальнейшего развития;

👣 Backend База — самое важное для бэкендеров. Всё о работе с PHP, MySQL, MongoDB, Golang и Rust в одном месте, плюс полные курсы и лайфхаки для работы на каждый день;

🖥 База Знаний — склад полезных курсов и материалов, где легко найти что-то нужное по хэштегам. Если вам что-то интересно про IT, то оно уже лежит на Базе, проверяйте.

⏲ Успей подписаться, чтобы не потерять!

Читать полностью…

В IT, как и в жизни, успех не всегда приходит с первой попытки

Если есть понятные гайды и инструкции — каждый сможет пройти путь от Junior до Senior

IT-минималист — канал действующих Senior Data Analyst. Здесь бесплатно дают базу знаний, делятся полезными и актуальными фишками и обучают анализу данных без лишней воды.

Забирай в подписки и через месяц будешь наравне с программистами из Microsoft: @it_minimal

Читать полностью…

Как в сетях обнаруживаются соседи?

Обнаружение соседей позволяет плоскости управления сети узнать о ее топологии — какие устройства доступны и как к ним можно добраться.

Однако этого недостаточно для полной картины, так как маршрутизаторам также необходимо узнать, как достичь хостов и какие пути к ним наиболее оптимальны. 

Как же маршрутизатор может узнать о других устройствах и маршрутах?

На примере с маршрутизатором D, который должен обнаружить хосты A, B и C, существуют два ключевых подхода: реактивное и упреждающее обучение.

Эти подходы решают проблему обнаружения достижимых пунктов назначения в сети.

Реактивное изучение

Этот метод основывается на том, что маршрутизатор D узнает о соседях только в тот момент, когда хосты начинают передавать данные.

Это означает, что до момента отправки данных сеть не имеет информации о новых подключениях.

Пример:

На рисунке, если хост A только что включился, а сеть использует динамическое обучение, основанное на передаче трафика, маршрутизатор D узнает о нем лишь тогда, когда A отправит хотя бы один пакет данных.

После получения этого пакета маршрутизатор D может сохранить информацию о хосте в кэше на некоторое время.

Основные аспекты:

1️⃣Динамическое кэширование: информация о хостах хранится в кэше маршрутизатора только до тех пор, пока они активно отправляют данные. Как только активность прекращается, запись может быть удалена через определенный период бездействия.

2️⃣ Возможные проблемы: если хост перестанет отправлять пакеты или изменит свое местоположение в сети (например, хост A перемещается с маршрутизатора D на маршрутизатор E), кэшированная информация может быть устаревшей, что создаст риски безопасности и помешает корректной маршрутизации.

3️⃣ Пример безопасности:
Если злоумышленник подключится к маршрутизатору D и выдаст себя за A, пока устаревшая информация находится в кэше D, это может привести к сетевой атаке. Чем дольше действительна кэшированная запись, тем больше вероятность для атак на основе подмены данных.

Упреждающее изучение

Этот метод предполагает, что маршрутизатор заранее узнает о доступности хостов, даже если они еще не начали передавать трафик. 

Это решение особенно важно для сетей, где устройства часто перемещаются, как, например, в центрах обработки данных с виртуальными машинами или в мобильных сетях.

Способы упреждающего обнаружения:

⏺Протоколы обнаружения соседей (NDP, LLDP):
Эти протоколы работают на уровне канала связи и позволяют маршрутизаторам собирать информацию о соседних устройствах. Однако полученная информация редко используется для передачи данных на плоскость управления.

⏺Статическая конфигурация устройства:
Большинство маршрутизаторов и сетевых устройств имеют статически настроенные адреса на своих интерфейсах. Эти адреса объявляются как доступные, и маршрутизаторы могут использовать их для маршрутизации.

⏺Регистрация хостов в службах идентификации:
В некоторых системах, особенно в мобильных и виртуализированных сетях, существует централизованная служба, отслеживающая местоположение хостов и их маршрутизаторов первого прыжка.

⏺Извлечение данных из систем управления адресами:
В некоторых сложных сетях маршрутизаторы могут взаимодействовать с системами управления адресами для получения информации о доступных устройствах.

N.A. ℹ️ Help

Читать полностью…

Как компаниям защитить привилегированные учетные записи

Количество пользователей с расширенными полномочиями постоянно растет, а контролировать их действия вручную становится просто невозможно. Решений этой проблемы множество, но как выбрать оптимальное и учесть все подводные камни?

Компания BI.ZONE представляет новый продукт — BI.ZONE PAM. Он помогает выстроить эффективную защиту привилегированного доступа и минимизировать риски для инфраструктуры компании.

16 октября пройдет онлайн-релиз BI.ZONE PAM, где каждый сможет увидеть платформу в действии и узнать, что думают ее клиенты. А еще среди участников разыграют гири в виде головы бизона и другие призы.

Встречаемся 16 октября, в среду, в 11:00 (мск).

Зарегистрироваться

*Реклама

Читать полностью…

HAProxy: как работает балансировщик нагрузки?

Балансировщик нагрузки — это своеобразный распределитель трафика, который помогает обеспечить бесперебойную работу приложений и серверов, а также оптимизировать их производительность.

Вместо того чтобы направлять все запросы пользователей на один сервер, балансировщик распределяет их между несколькими серверами. 

Таким образом, даже при сильной нагрузке, система продолжает работать эффективно, а пользователи не замечают проблем.

Основная задача балансировщика — равномерно распределить нагрузку между серверами, предотвращая ситуации, когда один сервер перегружен, а другой простаивает.

Он также позволяет автоматически переключаться на резервный сервер в случае, если один из серверов выходит из строя, что обеспечивает высокую доступность (high availability) ресурсов.

Типы балансировщиков нагрузки

Существует несколько методов, с помощью которых осуществляется балансировка нагрузки:

1️⃣Аппаратная балансировка нагрузки: Это специальные устройства, настроенные для распределения трафика между серверами. Аппаратные балансировщики высоконадежны, но дорогостоящи.
2️⃣ DNS-балансировка: Этот метод использует политику DNS для равномерного распределения трафика, но его недостатком является отсутствие отслеживания ошибок.
3️⃣ Программная балансировка нагрузки: Программные решения, такие как HAProxy, более гибки и экономически выгодны. Программные балансировщики могут работать на существующих серверах и легко интегрироваться в архитектуру сети.

Почему HAProxy?

HAProxy (High Availability Proxy) – это мощное программное обеспечение для балансировки нагрузки, которое поддерживает как уровень 4 (транспортный уровень), так и уровень 7 (прикладной уровень) сетевой модели OSI.

Это позволяет балансировать трафик как на основе сетевых протоколов и IP-адресов, так и на основе содержимого запросов. 

Благодаря своей надежности и производительности, HAProxy завоевал признание среди крупных компаний и является важным инструментом для распределения трафика в условиях высокой нагрузки.

Основные преимущества HAProxy:

⏺Бесплатное решение с открытым исходным кодом.
⏺Поддержка различных алгоритмов балансировки нагрузки.
⏺Высокая производительность даже при больших объемах трафика.
⏺Легкость настройки и гибкость в интеграции с различными системами.

N.A. ℹ️ Help

Читать полностью…

Как установить сервер в стойку: полезные советы. Часть 2

4️⃣ Установка сервера в стойку

Когда направляющие установлены, можно переходить к размещению сервера в стойке. Для этого:

⏺Поместите сервер на внутренние направляющие и аккуратно вставьте его в стойку.
⏺Закрепите сервер с помощью монтажных кронштейнов, чтобы оборудование не двигалось.
⏺Если сервер оснащён системой быстрого монтажа, используйте её для фиксации.

Примечание: Следите за тем, чтобы не повредить кабели и не перегрузить стойку, особенно если она уже заполнена другим оборудованием.

5️⃣ Организация кабелей

Хорошая организация кабелей не только улучшает внешний вид стойки, но и упрощает обслуживание и уменьшает риск случайных отключений.

Рекомендации:

⏺Используйте кабельные стяжки или специальные кабельные организаторы.
⏺Прокладывайте кабели так, чтобы они не перекрывали доступ к оборудованию и не мешали охлаждению.
⏺Подпишите кабели для быстрой идентификации.

Охлаждение и вентиляция

Серверы выделяют много тепла, поэтому важно правильно организовать систему охлаждения. Хорошая вентиляция и распределение воздуха предотвращают перегрев и продлевают срок службы оборудования.

Советы по улучшению охлаждения:

• Оставляйте свободное пространство между серверами для циркуляции воздуха.
• Используйте дополнительные вентиляторы, если стойка перегревается.
• Следите за температурой внутри серверной стойки с помощью датчиков или специализированных систем мониторинга.

Распределение оборудования в стойке

Правильное распределение серверов и другого оборудования в стойке поможет оптимизировать пространство и упростить обслуживание.

💬 Тяжелое оборудование (ИБП, сетевые устройства) устанавливайте внизу, чтобы предотвратить перевешивание и случайное опрокидывание стойки.
💬 Часто используемое оборудование (серверы, дисковые хранилища) расположите на уровне глаз для легкого доступа.
💬 Менее важное оборудование устанавливайте выше, но следите, чтобы к нему был доступ при необходимости.

Электропитание

При установке серверной стойки обязательно продумайте систему электропитания. Серверы потребляют много электроэнергии, поэтому важно обеспечить устойчивое и безопасное питание.

Советы по питанию:

• Используйте источники бесперебойного питания (UPS), чтобы избежать потери данных в случае отключения электричества.
• Убедитесь, что у вас достаточно розеток для подключения всего оборудования.
• Планируйте кабельные трассы, чтобы избежать путаницы и перегрузок.

N.A. ℹ️ Help

Читать полностью…

❓ Хотите узнать, как контейнеризация может изменить ваш подход к разработке и администрированию?

👉 Ждем вас на открытом вебинаре 10 октября в 19:00 мск, где мы разберем:

- концепцию контейнеров и их отличия от виртуализации;
- основные принципы применения контейнеризации;
- особенности файловой системы в Docker;
- принцип работы Docker на практике: запуск приложения в контейнере со всеми необходимыми настройками.

=======
👉 Регистрируйтесь прямо сейчас: https://otus.pw/W3OA/?erid=LjN8KXWkf
=======

🔆 Спикер Николай Лавлинский — технический директор в Метод Лаб, PhD Economic Science, опытный руководитель разработки и преподаватель.

Встречаемся в преддверии старта курса «Administrator Linux. Basic». Все участники вебинара получат специальную цену на обучение! 

Реклама. ООО "ОТУС ОНЛАЙН-ОБРАЗОВАНИЕ". ИНН 9705100963.

Читать полностью…

😎 PyLinux - канал для тех, кто изучает Python и хочет начать разбираться в Linux!

➡️ Почему не стоит упустить:

- удобные инструменты Linux
- библиотеки и полезные материалы по Python
- bash скрипты и гайды
- а также, многое другое!

🔥 Заходи прямо сейчас, чтобы не потерять - PyLinux!

Читать полностью…

Senior-разработчик создал крутейший канал про SQL

Благодаря простым картинкам даже новичок научится разрабатывать приложения с использованием баз данных.

Присоединяйтесь: @SQL

Читать полностью…

Есть ли жизнь DevOps после 40? 🚩

Признайтесь, кто тоже боится войти в новую профессию, потому что думает, что возраст — помеха?

В Слёрме знают, как избавиться от этого страха.

До 6 октября приглашаем вас присоединиться к курсу-профессии «DevOps Upgrade» с карьерной поддержкой.

Внутри:
→ 275 часов интенсивной практики
→ видеолекции и живые встречи с экспертами курса
→ 2 сертификации и 1 большой финальный проект (можно добавить в портфолио!)
→ диплом государственного образца

🔗 карьерная консультация от наставника
🔗 подготовка к собеседованию
🔗 рекомендательное письмо

Вы сможете не только освоить новую профессию, но и подготовиться к старту в ней и выгодно подсветить своё резюме.

Переходите на сайт, выбирайте тариф «Комфорт Карьера», и начните учиться уже сегодня 🏃‍♂️

Читать полностью…

Сброс пароля на маршрутизаторах Cisco

Потеря пароля к оборудованию – ситуация, с которой может столкнуться любой админ.

Но если у вас есть доступ через консольный кабель, сброс пароля на маршрутизаторах Cisco вполне выполнимая задача.

1️⃣Подключение к маршрутизатору

Для начала вам потребуется физически подключиться к маршрутизатору с помощью консольного кабеля (Rollover). Этот шаг необходим, так как сброс пароля выполняется напрямую через консоль.

2️⃣ Перезагрузка устройства и вход в режим ROMMON

После подключения перезагрузите маршрутизатор. Во время загрузки операционной системы IOS, когда на экране пойдут системные сообщения, прервите процесс загрузки с помощью сочетания клавиш [Ctrl]+[Break].

Это позволит вам войти в режим ROMMON.

3️⃣ Изменение конфигурационного регистра

В режиме ROMMON введите команду:

rommon 1 > confreg 0x2142

Эта команда изменит конфигурацию регистра, что позволит маршрутизатору загрузиться без применения конфигурационного файла, в котором содержится забытый пароль.

4️⃣ Перезапуск маршрутизатора

Теперь перезагрузите устройство с помощью команды:

rommon 2 > reset

После этого маршрутизатор запустится без конфигурационного файла, и вы сможете внести нужные изменения.

5️⃣ Загрузка старого конфигурационного файла

После загрузки войдите в привилегированный режим, набрав:

Router>en

Затем загрузите конфигурационный файл с помощью команды:

Router#copy startup-config running-config

Теперь вы сможете изменить пароли.

6️⃣ Смена паролей

Задайте новые пароли для привилегированного режима и других интерфейсов (например, для Telnet и консоли):

Router1(config)#enable password NewPassword 
Router1(config)#enable secret NewPassword 
Router1(config)#line vty 0 4
Router1(config-line)#password NewPassword
Router1(config-line)#login
Router1(config)#line console 0
Router1(config-line)#password NewPassword
Router1(config-line)#login

7️⃣ Восстановление конфигурационного регистра и перезапуск

Верните конфигурационный регистр в исходное состояние с помощью команды:

Router1(config)# config-register 0x2102

После этого сохраните изменения и перезагрузите устройство:

Router1#copy running-config startup-config
Router1#reload

Теперь маршрутизатор загрузится с обновлёнными паролями.

N.A. ℹ️ Help

Читать полностью…

Настройка и работа с EVPN

Ethernet VPN (EVPN) на практике представляет собой мощное решение для управления сложными сетями.

Рассмотрим, как можно настроить и эффективно работать с EVPN на базе BGP.

Основные шаги настройки EVPN:

💬 Конфигурация BGP и MPLS

EVPN использует BGP как основной протокол для обмена маршрутами и MPLS для доставки пакетов через сеть. Начнем с настройки BGP.

Router#conf t
Router(config)#router bgp <ASN>
Router(config-router)#address-family l2vpn evpn

💬 Настройка VTEP (Virtual Tunnel Endpoint)

VTEP отвечает за туннелирование трафика между маршрутизаторами.

Этот этап включает настройку Loopback интерфейсов для идентификации VTEP.

Router(config)#interface loopback0
Router(config-if)#ip address 10.0.0.1 255.255.255.255
Router(config-if)#exit

💬 Создание VLAN и привязка к VNI (VXLAN Network Identifier)

Следующий шаг – привязать VLAN к уникальному VNI. Это связывает ваши Layer 2 сегменты с VXLAN.

Router(config)#vlan 10
Router(config-vlan)#vn-segment 10010

💬 Настройка EVPN Instance (EVI)

Далее, создаем EVPN-инстанс для конкретного VPN-сегмента, который будет управлять обменом маршрутами.

Router(config)#l2vpn evpn
Router(config-l2vpn)#instance 1
Router(config-l2vpn-instance)#vpn-id 10

Управление EVPN

⏺Мониторинг маршрутов EVPN

Для проверки работы EVPN можно использовать команды BGP, которые показывают актуальные маршруты MAC и IP-адресов.

Router#show bgp l2vpn evpn summary
Router#show bgp l2vpn evpn route

⏺Проверка состояния VTEP

VTEP является критическим элементом EVPN, поэтому важно регулярно проверять его состояние.

Router#show nve peers
Router#show nve vni

⏺Отказоустойчивость

EVPN поддерживает балансировку нагрузки и автоматическое восстановление в случае отказа.

Вы можете настроить резервные пути для трафика с помощью ECMP (Equal-Cost Multi-Path).

Router(config)#router bgp <ASN>
Router(config-router)#address-family l2vpn evpn
Router(config-router-af)#bgp bestpath as-path multipath-relax

N.A. ℹ️ Help

Читать полностью…

💸 Вакансии для IT'шников
Выбери своё направление ⤵

1. Frontend
2. Python
3. Java
4. Тестировщик QA
5. Data Science
6. DevOps
7. C#
8. С/C++
9. Golang
10. PHP
11. Kotlin
12. Swift

Читать полностью…

3 способа убрать «Translating Domain Server» в Cisco IOS

В этой статье мы покажем 3 способа избавиться от этой проблемы и сократить время ожидания.

По умолчанию, на маршрутизаторах Cisco IOS включено разрешение имен (domain lookup). 

Это приводит к тому, что роутер пытается интерпретировать каждую неправильную команду как имя хоста для подключения по Telnet и разрешить его в IP-адрес.

В итоге маршрутизатор обращается к DNS серверу, что вызывает ненужные задержки и сбивает с толку.

Пример проблемы:

Router>en  
Router#wiki.meironet.ru  
Translating "wiki.meironet.ru"...domain server (255.255.255.255)  
% Unknown command or computer name, or unable to find computer address

⏺Способ №1: Выключаем разрешение имен

Если вашему маршрутизатору не нужно разрешать доменные имена, лучше просто отключить доменный лукап.

Это самый простой и эффективный способ избежать задержек.

Router>en  
Router#conf t  
Router(config)#no ip domain lookup  
Router(config)#exit

После этого роутер перестанет пытаться интерпретировать команды как хостнеймы, и вы избавитесь от раздражающих пауз при каждом неверном вводе.

⏺Способ №2: Отключаем исходящие Telnet-подключения

Если вам необходимо оставить разрешение доменных имен включенным, можно пойти другим путем — отключить исходящие Telnet-сессии.

Именно они и становятся причиной трансляции, когда роутер пытается подключиться по Telnet.

Router>en  
Router#conf t  
Router(config)#ip domain lookup  
Router(config)#line con 0  
Router(config-line)#transport output none  
Router(config-line)#exit  
Router(config)#exit

Теперь роутер не будет устанавливать исходящие соединения по Telnet, и трансляции прекратятся.

⏺Способ №3: Регулируем тайм-аут подключения

Если по каким-то причинам первый и второй способы вам не подошли, можно настроить тайм-аут для подключений.

По умолчанию, Cisco IOS использует задержку в 30 секунд. Уменьшив её, вы сможете сократить время ожидания до минимума.

Router>en  
Router#conf t  
Router(config)#ip tcp synwait-time 5  
Router(config)#exit

Теперь тайм-аут подключения будет составлять 5 секунд, что значительно сократит задержки при трансляции.

N.A. ℹ️ Help

Читать полностью…