Команда arp

Команда arp выполняется из командной строки Windows, Linux или Mac. 

Команда arp –a позволяет получить список всех устройств, которые в данный момент представлены в ARP-кэше узла, а также IPv4-адрес, физический адрес и тип адресации (статическая/динамическая) для каждого из устройств.

Например, обратимся к топологии на фото выше.

Вывод команды arp -a на узле Windows PC-A.

C:\Users\PC-A> 

arp -a

Interface: 192.168.93.175 --- 0xc
  Internet Address      Physical Address      Type
  10.0.0.2              d0-67-e5-b6-56-4b     dynamic
  10.0.0.3              78-48-59-e3-b4-01     dynamic
  10.0.0.4              00-21-b6-00-16-97     dynamic
  10.0.0.254            00-15-99-cd-38-d9     dynamic



Команда arp -a отображает связку известных IP-адресов и MAC-адресов. Обратите внимание, что IP-адрес 10.0.0.5 не включен в список.

Это связано с тем, что кэш ARP отображает информацию только с устройств, к которым недавно обращались.

Чтобы проверить заполнение кэша ARP, выполните команду ping для проверки связи с устройством, чтобы для него была создана запись в таблице ARP.

Например, если PC-A посылает запрос 10.0.0.5, то кэш ARP будет содержать запись для этого IP-адреса.

Если администратору сети необходимо повторно заполнить кэш обновленными данными, можно выполнить команду netsh interface ip delete arpcache для очистки кэша.

⚡️ Для использования команды netsh interface ip delete arpcache может потребоваться доступ администратора на хосте.

N.A. ℹ️ Help

Единица данных протокола (PDU)

По мере того как данные приложений передаются по стеку протоколов до перемещения через средство сетевого подключения, различные протоколы добавляют в них информацию на каждом из уровней.

Это называется процессом инкапсуляции.

Хотя PDU UDP называется датаграммой, IP-пакеты иногда также называются IP-датаграммами.

Форма, которую принимает массив данных на каждом из уровней, называется единицей данных протокола (PDU).

В ходе инкапсуляции каждый последующий уровень инкапсулирует PDU, полученную от вышестоящего уровня в соответствии с используемым протоколом.

На каждом этапе процесса PDU получает другое имя, отражающее новые функции.

Универсальной схемы именования для PDU нет, и в этом курсе PDU называются в соответствии с терминологией набора протоколов TCP/IP, как показано на рисунке.

PDU для каждой формы данных показаны на рисунке.

⏺Данные — общий термин для обозначения PDU, используемой на уровне приложений
⏺Сегмент — PDU транспортного уровня
⏺Пакет — PDU сетевого уровня
⏺Кадр — PDU канального уровня
⏺Биты — PDU физического уровня

N.A. ℹ️ Help

Минимизация неиспользуемых адресов IPv4 узлов и максимизация подсетей

Чтобы свести к минимуму число неиспользуемых адресов IPv4 узлов и максимизировать количество доступных подсетей, при планировании подсетей необходимо учитывать два фактора: количество адресов узлов, необходимых для каждой сети, и количество необходимых отдельных подсетей.

Основные шаги:

1️⃣ Определите количество устройств (узлов) и подсетей.

2️⃣ Выберите соответствующую маску подсети на основании количества узлов и подсетей.

3️⃣ Рассчитайте количество доступных адресов узлов в каждой подсети (2^n-2).

4️⃣ Назначьте диапазоны адресов для каждой подсети, избегая пересечений и неиспользуемых адресов.

Пример: Если у вас сеть с префиксом /24 и нужно создать 4 подсети, заимствуйте 2 бита для подсетей (4 = 2^2), оставив 6 бит для узлов (8 - 2 = 6).

• Маска подсети: /26 (255.255.255.192)
• Количество подсетей: 4
• Количество узлов на подсеть: 62 (2^6 - 2)

Подсчет адресов в подсетях /24:

/25: Маска подсети 255.255.255.128
Подсетей: 2
Узлов в подсети: 126

/26: Маска подсети 255.255.255.192
Подсетей: 4
Узлов в подсети: 62

/27: Маска подсети 255.255.255.224
Подсетей: 8
Узлов в подсети: 30

/28: Маска подсети 255.255.255.240
Подсетей: 16
Узлов в подсети: 14

/29: Маска подсети 255.255.255.248
Подсетей: 32
Узлов в подсети: 6

/30: Маска подсети 255.255.255.252
Подсетей: 64
Узлов в подсети: 2

⚡️ Правильное планирование сетевой адресации позволяет эффективно использовать доступные IPv4 адреса, минимизируя неиспользуемые адреса узлов и максимизируя количество доступных подсетей.

N.A. ℹ️ Help

Структура GUA IPv6

⏺Префикс глобальной маршрутизации

Префикс глобальной маршрутизации — это часть IPv6-адреса, назначаемая интернет-провайдером заказчику или узлу. 

Обычно провайдеры назначают своим клиентам префикс глобальной маршрутизации /48, что является наиболее распространенной практикой.

Например, IPv6-адрес 2001:0DB8:ACAD::/48 имеет префикс глобальной маршрутизации, где первые 48 бит (2001:0DB8
) обозначают сетевую часть адреса.

Двойное двоеточие (::) указывает на оставшуюся часть адреса, состоящую из нулей.

Размер префикса глобальной маршрутизации определяет размер идентификатора подсети.

⏺Идентификатор подсети

Поле идентификатора подсети находится между префиксом глобальной маршрутизации и идентификатором интерфейса. 

В IPv6 идентификатор подсети используется для обозначения подсетей внутри организации, упрощая управление сетью по сравнению с IPv4.

Чем больше значение идентификатора подсети, тем больше доступных подсетей.

Например, организация, получившая префикс глобальной маршрутизации /32 и использующая /64 для идентификатора интерфейса, имеет 32 бита для идентификатора подсети.

Это позволяет создать 4,3 миллиарда подсетей, каждая из которых может содержать до 18 квинтиллионов устройств.

⏺Идентификатор интерфейса

Идентификатор интерфейса в IPv6-адресе эквивалентен узловой части IPv4-адреса.

Этот термин используется, когда один узел имеет несколько интерфейсов с одним или несколькими IPv6-адресами. 

В большинстве случаев рекомендуется использовать /64 подсети, создавая 64-битный идентификатор интерфейса, который позволяет иметь до 18 квинтиллионов устройств в подсети.

Подсеть /64 упрощает разработку адресного плана и позволяет устройствам автоматически генерировать свои идентификаторы интерфейса с помощью SLAAC.

В IPv6 устройству можно назначить адрес узла, состоящий из одних 0 или 1, что невозможно в IPv4.

N.A. ℹ️ Help

Локальный IPv6-адрес канала

Локальный IPv6-адрес канала (LLA) позволяет устройствам обмениваться данными с другими устройствами с поддержкой IPv6 в той же подсети (канале).

Пакеты с локальным адресом канала источника или назначения не могут быть направлены за пределы канала, в котором они создаются. 

GUA (глобальный уникальный адрес) не является обязательным, однако каждый сетевой интерфейс с поддержкой IPv6 должен иметь LLA.

Если локальный адрес канала не настроен вручную, устройство автоматически создает его самостоятельно, без обращения к DHCP-серверу.

Узлы под управлением IPv6 создают локальный IPv6-адрес канала даже при отсутствии глобального индивидуального IPv6-адреса, что позволяет им обмениваться данными с другими устройствами в той же подсети, включая шлюз по умолчанию (маршрутизатор).

Диапазон локальных IPv6-адресов канала — fe80::/10. Значение первого гекстета варьируется от fe80 до febf.

Обмен данными между локальными IPv6-адресами канала

На следующем рисунке показаны примеры использования локальных IPv6-адресов канала (LLA) для связи.

Компьютер может напрямую взаимодействовать с принтером с помощью LLA:

⏺fe80::bbbb/64
⏺fe80::cccc/64
⏺fe80::dddd/64
⏺fe80::1/64
⏺fe80::aaaa/64

Обмен данными между локальными IPv6-адресами канала не маршрутизируется за пределы сети.

Маршрутизаторы используют LLA соседних маршрутизаторов для отправки обновлений маршрутизации, а узлы используют LLA локального маршрутизатора в качестве шлюза по умолчанию.

В качестве шлюза по умолчанию для других устройств в канале обычно используется локальный адрес канала маршрутизатора.

Способы получения локальных IPv6-адресов канала:

⏺Статически — устройство настраивается вручную.
⏺Динамически — устройство создает свой собственный идентификатор интерфейса, используя случайно сгенерированные значения или метод Extended Unique Identifier (EUI), который использует MAC-адрес клиента вместе с дополнительными битами.

🔥 LLA обеспечивает критически важную возможность взаимодействия устройств внутри одной подсети, что является основой эффективного сетевого взаимодействия и управления.

N.A. ℹ️ Help

Основы IPv4 Access Control Lists

⏺Списки управления доступом IPv4 (ACL):

IPv4 Access Control Lists (ACL) позволяют сетевым администраторам задавать правила фильтрации трафика на маршрутизаторах.

Эти списки используются для определения, какие пакеты разрешены к прохождению через маршрутизатор, а какие должны быть отброшены.

ACL могут применяться как к входящим, так и к исходящим потокам данных на каждом интерфейсе маршрутизатора.

⏺Стандартные нумерованные списки ACL

Стандартные нумерованные списки ACL используют простую логику: они сопоставляют пакеты только по IP-адресу источника. 

Этот тип ACL является базовым и используется для фильтрации трафика на основе IP-адресов.

Нумерованные списки ACL ссылаются на правила с помощью номера, что упрощает их конфигурацию и управление.

⏺Основные функции Access Control Lists IPv4

1️⃣ Идентификация пакетов: ACL позволяют системным администраторам идентифицировать различные типы пакетов на основе значений, содержащихся в заголовках IP, TCP, UDP и других протоколов. Например, ACL могут фильтровать пакеты с определенными исходными или целевыми IP-адресами или портами назначения.

2️⃣ Фильтрация пакетов: Основное использование ACL в маршрутизаторах Cisco – это фильтрация пакетов. Маршрутизатор анализирует каждый входящий или исходящий пакет, сравнивая его с правилами ACL, чтобы определить, должен ли пакет быть пропущен или отброшен.

3️⃣ Качество обслуживания (QoS): ACL также могут использоваться для применения функций качества обслуживания. QoS позволяет маршрутизатору предоставлять различным типам трафика приоритетное обслуживание, что особенно важно для чувствительных к задержке приложений, таких как голосовые и видеопотоки.

⏺Размещение и направление ACL

Маршрутизаторы Cisco могут применять ACL к пакетам в точках входа или выхода из интерфейсов.

Это позволяет настраивать фильтрацию трафика на различных этапах его прохождения через сеть.

Например, ACL могут применяться к входящему трафику до того, как маршрутизатор примет решение о его пересылке, или к исходящему трафику после принятия решения о пересылке.

⏺Пример настройки ACL

Представьте ситуацию, в которой нужно разрешить отправку пакетов от одного хоста (A) к серверу (S1), но заблокировать отправку пакетов от другого хоста (B) к тому же серверу.

Для этого необходимо настроить ACL на интерфейсах маршрутизаторов, через которые проходит трафик от хоста B к серверу S1. 

Включение ACL на правильных интерфейсах и в правильном направлении позволяет эффективно управлять трафиком и защищать сеть от нежелательных пакетов.

N.A. ℹ️ Help

Знакомство с QUIC

QUIC (Quick UDP Internet Connections) – это новый транспортный протокол, разработанный Джимом Роскиндом в 2012 году.

Основная цель QUIC – ускорить передачу данных в стабильных высокоскоростных сетях.

Ключевые особенности QUIC

1️⃣ Сокращение рукопожатия:

QUIC сокращает трехстороннее рукопожатие до одного пакета (нулевое рукопожатие), что значительно ускоряет установку соединений.
Это достигается за счет уменьшения количества циклов обмена между отправителем и получателем.

2️⃣ Уменьшение повторных передач:

Использование Forward Error Correction (FEC) позволяет восстанавливать поврежденные данные без необходимости повторной передачи. Отрицательные подтверждения (NACK) и управление окном предотвращения перегрузки CUBIC также способствуют снижению числа повторных передач.

Процесс установления соединения в QUIC

Процесс установления соединения в QUIC включает серию криптографических ключей и хэшей:

⏺Приветствие клиента (CHLO): Клиент отправляет серверу приветствие, содержащее требование подтверждения, набор сертификатов и хэш сертификата. Поле маркера адреса источника (STK) остается пустым при первом контакте.

⏺Ответ сервера (REJ): Сервер создает STK на основе предоставленной информации и отправляет его клиенту.

⏺Подтверждение клиента: Клиент включает полученный STK в последующие пакеты приветствия. Если STK совпадает, сервер принимает приветствие.

Пара IP-адрес / STK может быть подменена злоумышленником, что является известной проблемой в QUIC и рассматривается в документации протокола.

Сокращение времени установления соединения

TCP требует как минимум полутора rtt для создания нового сеанса через SYN, SYN-ACK и ACK. QUIC уменьшает это до одного rtt.

Это особенно важно для веб-страниц и мобильных приложений, которые должны подключаться к множеству серверов для загрузки. 

Сокращение количества rtt значительно улучшает производительность.

N.A. ℹ️ Help

Cisco IOS: сохранение конфигурации

Конфигурация вашей сети Cisco хранится в двух основных местах:

• одно находится в ОЗУ
• второе - в текущей конфигурации (running configuration).

Когда вы вводите команды, они активируются немедленно и сохраняются в текущей конфигурации, которая хранится в ОЗУ.

Поэтому при выключении питания конфигурация теряется. 

Чтобы сохранить эту конфигурацию, скопируйте ее в загрузочную конфигурацию (startup-configuration), что означает, что она хранится в энергонезависимой ОЗУ (NVRAM), чтобы конфигурация сохранялась при выключении питания.

⏺Вы можете использовать две команды для сохранения вашей конфигурации: команду записи или команду копирования.

Команда записи устарела, но будет выглядеть так:

Router#write memory
Building configuration...
[OK] 



Более новая версия команды - это команда копирования, которая выглядит как:

Router#copy running-config startup-config
Destination filename [startup-config]?
Building configuration...
[OK]



Команда копирования предлагает больше гибкости и возможностей.

Вы можете не только скопировать данные текущей конфигурации в файл начальной конфигурации, но и скопировать их в файл на флэш-памяти или на TFTP-сервер в вашей сети.

Для любой команды вам нужно набрать столько букв, сколько требуется IOS для однозначной идентификации команды.

Например:

copy run sta



N.A. ℹ️ Help

MD5, SHA-1 и SHA-2: Какой алгоритм хэширования самый безопасный и как их проверить

Хэш-функция принимает входное значение, например, строку данных, и возвращает значение фиксированной длины. 

Идеальная хэш-функция должна быть быстрой, возвращать широкий диапазон значений, обеспечивать уникальность хэша для каждого входного значения (без коллизий), генерировать различные хэши для схожих входных данных и равномерно распределять хэш-значения без явных закономерностей.

Хотя идеальные хэш-функции не существуют, многие стремятся к этим характеристикам.

Важно отметить, что большинство хэш-функций возвращают значения фиксированной длины, что ограничивает диапазон возможных значений, но это можно игнорировать, учитывая огромный размер возможных хэшей, например, для 256-битных функций.

Популярные хэш-функции

⏺MD5 генерирует 128-битное хэш-значение и первоначально предназначался для криптографии, но позже в нем были обнаружены уязвимости. Сейчас MD5 используется для вычисления контрольных сумм и проверки целостности файлов.

⏺SHA-1 создает 160-битный хэш и был разработан для криптографических приложений, но также имеет известные уязвимости. На сегодняшний день он считается более устойчивым к атакам по сравнению с MD5, но его тоже следует заменять на более современные алгоритмы.

⏺SHA-2 включает несколько вариантов, из которых наиболее популярный – SHA-256, возвращающий 256-битное хэш-значение. Национальный институт стандартов и технологий (NIST) рекомендует использовать SHA-256 вместо MD5 и SHA-1, так как он значительно превосходит их в безопасности, хоть и работает медленнее на 20-30%.

⏺SHA-3, разработанный в 2015 году, не связан с SHA-2. Алгоритм SHA3-256 аналогичен SHA-256 по применимости, но его вычисления занимают немного больше времени.

Использование хэш-значений для проверки

Хэш-функции часто используются для проверки правильности передачи данных, например, при проверке архивных файлов (.zip или .tar).

Имея архив и его ожидаемое хэш-значение (контрольную сумму), можно выполнить вычисление хэш-функции для проверки целостности архива.

Примеры использования

В Unix можно сгенерировать контрольную сумму MD5 для tar-файла с помощью команды:

tar cf - files | tee tarfile.tar | md5sum -

В Windows с помощью PowerShell можно использовать команду:

Get-FileHash tarfile.tar -Algorithm MD5

Сгенерированную контрольную сумму можно разместить на сайте загрузки рядом со ссылкой на архив.

Получатель, скачав архив, может проверить его целостность, выполнив команду:

echo '2e87284d245c2aae1c74fa4c50a74c77 tarfile.tar' | md5sum -c

При успешной проверке появится статус "OK":

tarfile.tar: OK

Три FTP/SFTP клиента, о которых должны знать сисадмины и разработчики

Передача данных стала обычной операцией в современном ИТ-мире. 

Сегодня мы имеем дело с огромным объемом данных, который включает в себя сбор, управление и их передачу в надежное место хранения.

Однако передача больших объемов данных требует времени и ресурсов, а также сопряжена с рисками кибербезопасности.

Протоколы FTP и SFTP предлагают быструю и безопасную передачу данных.

⏺Протокол передачи файлов (FTP) используется для передачи данных между сервером и клиентом. Он следует архитектуре клиент-сервер с отдельными соединениями для передачи данных и сигналов управления.

Пользователям необходимо выполнить аутентификацию с использованием имени пользователя и пароля, хотя также возможна анонимная аутентификация.

⏺SSH File Transfer Protocol (SFTP) является более безопасным протоколом для передачи данных, используя криптографический протокол SSH.

SFTP обеспечивает безопасный доступ к файлам, их передачу и управление в надёжной среде.

FTP и SFTP можно использовать для передачи файлов, управления файлами через удаленную систему и выполнения серверных задач.

Их применение охватывает обмен файлами для соблюдения нормативных требований, загрузку файлов в системы управления контентом (CMS), администрирование серверов и модернизацию микропрограммного обеспечения.

Хотя FTP/SFTP можно использовать через командную строку, существуют удобные FTP/SFTP клиенты, которые значительно упрощают этот процесс. 

Рассмотрим три из них:

1️⃣ WinSCP

WinSCP - популярный клиент для Windows, поддерживающий протоколы SFTP, FTP, WebDAV, SCP и S3. Он предоставляет элегантный графический интерфейс, встроенный текстовый редактор и все стандартные операции с файлами, такие как копирование, вставка и удаление.

WinSCP поддерживает сценарии и автоматизацию задач, а также предлагает высокую безопасность с шифрованием файлов и проверкой обновлений приложений.

2️⃣ FileZilla

FileZilla - бесплатный и открытый кроссплатформенный клиент, поддерживающий FTP, SFTP и FTP через TLS. Он имеет простой в использовании графический интерфейс, поддерживает передачу файлов объемом более 4 ГБ и предлагает функции, такие как перетаскивание файлов, фильтры имен файлов, удаленное редактирование и синхронизацию каталогов.

FileZilla также имеет платную версию FileZilla Pro с поддержкой дополнительных протоколов, таких как WebDAV, Dropbox и Google Drive.

3️⃣ Transmit 5

Transmit 5 - мощный клиент для macOS от компании Panic. Он подключается к 15 облачным сервисам, включая FTP, SFTP, WebDAV и Amazon S3.

Transmit 5 обеспечивает синхронизацию соединений через Panic Sync, предлагает улучшенную многопоточность и высокую скорость передачи данных. Также в него встроена функция Представление активности для мониторинга активных передач.

N.A. ℹ️ Help

Что такое интерфейс стандарта CGI?

CGI (Common Gateway Interface) — это стандарт, определяющий, как внешние программы могут передавать информацию веб-серверам.

Он позволяет веб-серверам, таким как Apache, взаимодействовать с программами на языках программирования, например, Perl.

CGI — один из старейших компонентов интернет-инфраструктуры. И несмотря на появление новых технологий, он до сих пор используется.

В отличие от статических веб-страниц, CGI-скрипты позволяют генерировать динамические ответы на запросы.

⏺Обработка запросов с CGI

Сервер получает запрос, например, /example.pl. Он распознает скрипт как CGI и запускает его.

CGI-скрипт получает данные о запросе, такие как URL и HTTP-заголовки. Затем скрипт выполняется, и его вывод отправляется обратно на сервер, чтобы быть переданным клиенту как HTTP-ответ.

⏺Преимущества и недостатки CGI

CGI сохраняет популярность благодаря своей простоте и стандартизации. 

Однако он может потреблять много ресурсов при масштабировании, порождая новые процессы для каждого запроса, что может перегрузить сервер.

CGI также ограничен в управлении HTTP-обменом и безопасностью, поскольку скрипты могут получить доступ к ресурсам сервера при неправильной конфигурации.

⏺Современные альтернативы

FastCGI работает аналогично CGI, но использует постоянные процессы, что снижает потребление ресурсов. 

Некоторые языки программирования имеют встроенные модули для веб-серверов, например, модуль mod_php для Apache, который поддерживает PHP без использования CGI.

CGI сыграл важную роль в развитии веб-технологий.

⚡️Хотя появились более эффективные и безопасные методы, основные веб-серверы продолжают поддерживать CGI, и он по-прежнему находит применение, особенно в устаревших приложениях.

N.A. ℹ️ Help

Kubernetes VS Docker Swarm: в чем разница?

Современные компании всё чаще используют контейнеры для упрощения развертывания и управления приложениями. 

Контейнеры собирают все необходимые зависимости в одном пакете, что устраняет конфликты и позволяет легко переносить и масштабировать приложения.

Для этого нужны оркестрационные платформы, такие как Docker Swarm и Kubernetes, каждая из которых имеет свои особенности.

⏺Docker Swarm встроен в Docker и легко настраивается.

Он превращает несколько экземпляров Docker в один виртуальный хост, обеспечивая автоматическую балансировку нагрузки и работая с существующими инструментами Docker, такими как Docker Compose.

Это делает его идеальным для новичков и простых проектов. Однако его функциональность ограничена по сравнению с Kubernetes.

⏺Kubernetes – мощная платформа от Google, поддерживающая масштабирование, развертывание и управление сложными приложениями.

Она предлагает встроенный мониторинг, автоматическое масштабирование и поддержку сообществом. Kubernetes сложнее в установке и требует специальных знаний, но идеально подходит для крупных и сложных инфраструктур.

🔥 В итоге, Docker Swarm лучше для простых приложений и быстрого старта, а Kubernetes – для сложных проектов, требующих высокой надежности и масштабируемости.

N.A. ℹ️ Help

Поздравляю с праздником — Днем Сисадмина! 🤤

Желаю побольше аптайма и поменьше потерянных пакетов! Пусть сервера работают без сбоев, а сеть всегда будет стабильной.

Пусть все пользователи наконец-то запомнят свои пароли, а принтеры перестанут выдавать загадочные ошибки. Пусть кабели никогда не запутываются, а Wi-Fi роутеры обхватывают сигналом даже самые укромные уголки офиса.

DNS-запросов, которые разрешаются мгновенно, и SSH-сессий, которые не обрываются. Пусть сети будут надежны, как RAID 10, а проблемы исчезают так быстро, как пакеты при потере сигнала.

Виртуальный частный доступ к корпоративной сети

Почти в каждой организации есть удаленные сотрудники, работающие на полную ставку или перемещающиеся, а также удаленные офисы, где часть сотрудников взаимодействует с местными организациями, покупателями или поставщиками.

Эти люди по-прежнему нуждаются в доступе к сетевым ресурсам, таким как электронная почта, системы путешествий, файлы и т. д. 

Поскольку эти службы не могут быть доступны в общедоступном Интернете, необходимо предоставить другой механизм доступа.

На рисунке показано типичное проблемное пространство.

Виртуальные частные сети в публичной сети

В этом варианте использования есть две основные проблемы:

1️⃣Как можно защитить трафик между отдельным хостом (B) и тремя хостами в небольшом офисе (C, D и E) от перехвата и чтения злоумышленником? Как можно защитить сами адреса назначения от попадания в публичную сеть? Эти проблемы связаны с защитой, которая подразумевает инкапсуляцию пакетов.

2️⃣Как можно управлять качеством работы пользователей в этих удаленных местах для поддержки передачи голоса по IP и других приложений в реальном времени? Поскольку провайдеры в Интернете не поддерживают QoS, необходимо обеспечить другие формы гарантии качества.

⏺Таким образом, задача включает еще две общие проблемы. Должен быть способ инкапсулировать трафик, передаваемый по общедоступной сети, без раскрытия исходной информации заголовка и без подвергания информации в пакете проверке.

Самым простым решением является туннелирование (часто зашифрованное) трафика от A и F к граничному маршрутизатору в сети организации G, где инкапсуляция удаляется, а пакеты перенаправляются на A.

Также должен быть способ объявить достижимые пункты назначения от G к удаленным пользователям и существование (или достижимость) удаленных пользователей к G и сети позади G.

🔥 Эта информация о достижимости должна привлекать трафик в туннели и контролировать путь трафика через сеть, чтобы обеспечить хорошее качество работы удаленных пользователей.

N.A. ℹ️ Help

Работа с памятью в Hyper-V

Hyper-V — платформа виртуализации от Microsoft, встроенная в Windows Server и интегрированная в облако Microsoft Azure. 

Она позволяет создавать виртуальные машины (ВМ) и переносить их между Windows 10, Windows Server и Azure без изменения формата.

Мы рассмотрим использование оперативной памяти в Hyper-V.

Динамическая память

Существует два способа выделения памяти виртуальным машинам: статический и динамический.

1️⃣ Статический объем памяти: Назначается фиксированный объем памяти, который не изменяется независимо от состояния ВМ. Этот способ прост, но не гибок.

2️⃣ Динамическая память:
Позволяет изменять объем памяти в зависимости от текущих потребностей ВМ.

Настройки динамической памяти включают:

⏺Startup Memory — объем памяти, необходимый для старта ВМ. Он может совпадать с минимальным или максимальным объемом памяти.
⏺Minimum Memory — минимальный объем памяти, который ВМ будет использовать при динамическом распределении памяти. Hyper-V может уменьшить объем памяти других ВМ, чтобы освободить ресурсы.
⏺Maximum Memory — максимальный объем памяти, который ВМ может использовать. Вы можете увеличить этот объем во время работы ВМ.
⏺Memory Buffer — процент памяти, который хост выделяет ВМ в качестве резерва.
⏺Memory Weight — приоритет распределения памяти между ВМ на одном хосте, позволяющий управлять ресурсами в зависимости от потребностей.

Эти параметры можно настроить через Windows Admin Center или консоль Hyper-V. 

При использовании динамической памяти объем используемой памяти будет колебаться между минимальными и максимальными значениями.

Важно следить за использованием памяти ВМ и настраивать значения так, чтобы они соответствовали фактическим потребностям.

Интеллектуальная подкачка (Smart Paging)

Smart Paging используется в определенных условиях при перезагрузке ВМ, когда требуется больше памяти для запуска, чем доступно на хосте.

Это специальная технология, которая создает файл на диске для временного увеличения памяти, когда значение параметра Startup Memory превышает значение Minimum Memory.

Smart Paging активируется, если выполняются три условия:

• ВМ перезагружается.
• Недостаточно памяти для параметра Startup Memory.
• Невозможно освободить память от других ВМ на том же хосте.

Пример использования Smart Paging:

Вы установили стартовую память на 2048 МБ и минимальную память на 512 МБ для ВМ.

Если на хосте доступно только 1024 МБ, Smart Paging позволит ВМ использовать 2048 МБ памяти за счет файла на диске.

Файл Smart Paging создается в папке C:\ProgramData\Microsoft\Windows\Hyper-V и удаляется через 10 минут после перезапуска ВМ.

Вы можете изменить расположение файла через консоль Hyper-V или с помощью командлета PowerShell, например:

Set-VM -Name "VMName" -SmartPagingFilePath "D:\SmartPaging"

N.A. ℹ️ Help

Сообщения RS и RA ICMPv6

Если вы не хотите статически настраивать GUAs IPv6, не нужно беспокоиться.

Большинство устройств получают свои интерфейсы GUA IPv6 динамически.

Объясним, как этот процесс работает с использованием сообщений объявления маршрутизатора (RA) и запроса маршрутизатора (RS).

Эта тема становится довольно технической, но когда вы поймете разницу между тремя методами, которые может использовать реклама маршрутизатора, а также то, как процесс EUI-64 для создания идентификатора интерфейса отличается от случайно сгенерированного процесса, вы совершите огромный скачок в вашем опыте IPv6!

Для GUA устройство получает адрес динамически через сообщения протокола управления сообщениями Интернета версии 6 (ICMPv6). 

IPv6-маршрутизаторы каждые 200 секунд отправляют сообщения RA ICMPv6 всем устройствам в сети под управлением IPv6.

Сообщение RA также будет отправлено в ответ на хост, отправляющий сообщение RS ICMPv6, которое является запросом на сообщение RA. Оба сообщения показаны на картинке.

Сообщения RA на интерфейсах Ethernet маршрутизатора IPv6.

Маршрутизатор должен быть включен для маршрутизации IPv6, которая по умолчанию не включена. 

Чтобы маршрутизатор работал как IPv6-маршрутизатор, необходимо использовать команду глобальной настрйоки ipv6 unicast-routing.

Сообщение RA ICMPv6 указывает IPv6-устройству, как ему получить информацию по адресации.

Окончательное решение зависит от операционной системы устройства. Сообщение RA ICMPv6 включает следующую информацию.

⏺Префикс сети и длину префикса: сообщают устройству, к какой сети оно относится
⏺Адрес шлюза по умолчанию: локальный IPv6-адрес канала, IPv6-адрес источника сообщения RA
⏺DNS-адрес и имя домена: адреса DNS-серверов и имя домена.

Существует три метода для сообщений RA:

⏺Method 1: SLAAC - «У меня есть все, что вам нужно, включая префикс, длину префикса и адрес шлюза по умолчанию».
⏺Method 2:SLAAC и DHCPv6. «Вот моя информация, но вам нужно получить другие сведения, такие как DNS-адреса от DHCPv6-сервера».
⏺Method 3: Stateful DHCPv6 (без SLAAC) - «Я могу дать вам ваш адрес шлюза по умолчанию. Вам нужно попросить сервер DHCPv6 с сохранением состояния для всей вашей другой информации».

N.A. ℹ️ Help

SLAAC

SLAAC - это метод, который позволяет устройству создавать свой собственный GUA без услуг DHCPv6.

При использовании SLAAC устройства получают всю необходимую информацию из сообщений Router Advertisement (RA) от ICMPv6-маршрутизатора.

По умолчанию сообщение RA предлагает принимающему устройству использовать данные в сообщении RA для создания собственного глобального индивидуального IPv6-адреса и получения иной информации. Участие DHCPv6-сервера не требуется.

SLAAC не предполагает сохранения состояния, что означает отсутствие центрального сервера (например, DHCPv6-сервера, запоминающего состояния адресов), выделяющего глобальные индивидуальные адреса и хранящего список устройств и их адресов.

В случае применения SLAAC клиентское устройство использует информацию в сообщении RA для создания собственного глобального индивидуального адреса.

Как показано на схеме, две части адреса создаются следующим образом:

⏺Префикс - это объявляется в сообщении RA.
⏺Идентификатор интерфейса: создается либо с помощью расширенного уникального идентификатора EUI-64, либо путем создания случайного 64-битного числа.

N.A. ℹ️ Help

Управление состоянием интерфейсов на коммутаторах Cisco

Иногда системному администратору необходимо отключить интерфейс, не прибегая к физическому переключению и удалению кабеля. 

Для этого на коммутаторах Cisco используются интерфейсные подкоманды: команда shutdown для отключения порта и команда no shutdown для его включения.

Эти команды являются важной частью при настройке сетевых устройств и часто используются в сокращенной форме: shut и no shut.

Отключение интерфейса с помощью команды shutdown

На коммутаторе SW-1 имеется рабочий интерфейс F0/1.

Пользователь подключается к консоли и отключает интерфейс. IOS генерирует сообщение журнала событий каждый раз, когда интерфейс переходит из одного состояния в другое.

Сообщения журнала появляются на консоли, как показано в примере:

Switch# configure terminal
Switch(config)# interface FastEthernet0/1
Switch(config-if)# shutdown

Включение интерфейса с помощью команды no shutdown

Чтобы включить интерфейс, необходимо выполнить ту же последовательность команд, но использовать команду no shutdown:

Switch# configure terminal
Switch(config)# interface FastEthernet0/1
Switch(config-if)# no shutdown

Прежде чем использовать команды shutdown или no shutdown, рекомендуется использовать команды show, которые отображают текущее состояние интерфейса.

Команда show interfaces <номер порта> status выводит одиночное сообщение о состоянии интерфейса. Если интерфейс выключен, его статус будет "disabled".

Команда show interfaces (без ключевого слова status) выводит детализированную информацию о состоянии порта. В выводе будет фраза "administratively down", как показано в примере:

Switch# show interfaces FastEthernet0/1

Пример команды show interfaces

Switch# show interfaces FastEthernet0/1 status
Port      Name               Status       Vlan       Duplex  Speed Type
Fa0/1                        disabled      1            auto   auto 10/100BaseTX

Switch# show interfaces FastEthernet0/1
FastEthernet0/1 is administratively down, line protocol is down

Удаление настроек с помощью команды no

С помощью некоторых команд конфигурации IOS можно вернуться к настройкам по умолчанию, введя команду no <команда>. Это полезно для отмены предыдущих конфигураций.

Если ранее была настроена скорость 100 Мбит/с на интерфейсе, команда no speed вернет настройки скорости по умолчанию (режим speed auto).

Аналогично, настройки дуплекса, такие как duplex half или duplex full, можно отменить командой no duplex, возвращая настройки по умолчанию - duplex auto.

Если было добавлено описание с помощью команды denoscription, команда no denoscription удалит его, вернув настройки по умолчанию.

Удаление настроек интерфейса

В этом примере порт F0/2 коммутатора SW-1 был предварительно настроен со скоростью 100 Мбит/с, режимом дуплекса duplex half, описанием Link to BUH и отключен (shutdown).

Switch# configure terminal
Switch(config)# interface FastEthernet0/2
Switch(config-if)# no speed
Switch(config-if)# no duplex
Switch(config-if)# no denoscription
Switch(config-if)# no shutdown

Эти команды вернут настройки скорости, дуплекса и описания интерфейса к состоянию по умолчанию и включат его.

⚡️Таким образом, команды shutdown и no shutdown, а также команда no для удаления настроек, являются мощными инструментами для управления состоянием интерфейсов на коммутаторах Cisco.

N.A. ℹ️ Help

Случайно сгенерированные идентификаторы интерфейса

В зависимости от операционной системы устройство может использовать случайно сгенерированный идентификатор интерфейса вместо МАС-адресов и EUI-64.

Например, начиная с Windows Vista в операционных системах Windows используется случайно сгенерированный идентификатор интерфейса вместо созданного через EUI-64.

В ОС Windows XP и в предыдущих операционных системах Windows использовался EUI-64.

После создания идентификатора интерфейса либо с помощью EUI-64, либо через случайную генерацию его можно объединить с префиксом IPv6 из сообщения RA для создания глобального индивидуального адреса.

Случайным образом сгенерированный 64-битный идентификатор интерфейса

C:\> 

ipconfig

Windows IP Configuration
Ethernet adapter Local Area Connection:
   Connection-specific DNS Suffix  . :
   IPv6 Address. . . . . . . . . . . : 

2001:db8:acad:1:50a5:8a35:a5bb:66e1

   Link-local IPv6 Address . . . . . : fe80::50a5:8a35:a5bb:66e1
   Default Gateway . . . . . . . . . : fe80::1
C:\>



Чтобы обеспечить уникальный индивидуальный IPv6-адрес клиент может использовать процесс обнаружения дублирующихся адресов (Duplicate Address Detection, DAD).

🔥Это аналогично ARP-запросу собственного адреса. Отсутствие ответного сообщения означает, что адрес уникален.

N.A. ℹ️ Help

Известные адреса многоадресной рассылки IPv6

• Назначены известные адреса многоадресной рассылки IPv6.
• Присвоенные групповые адреса зарезервированы для заданных групп устройств.

Присвоенный групповой адрес — это один адрес, используемый для осуществления связи с группой устройств, работающих на одном протоколе или сервисе.

Присвоенные групповые адреса используются вместе с конкретными протоколами, например с протоколом DHCPv6.

Есть две распространенные группы присвоенных групповых IPv6-адресов:

⏺ff02: Группа многоадресной рассылки для всех узлов FF02::1. Это группа многоадресной рассылки, в которую включены все устройства под управлением протокола IPv6. Пакет, отправленный этой группе, принимается и обрабатывается всеми IPv6-интерфейсами в канале или сети. Эта группа адресов работает так же, как широковещательный адрес в протоколе IPv4. На рисунке приводится пример осуществления связи с помощью групповых адресов для всех узлов. IPv6-маршрутизатор отправляет сообщения RA ICMPv6 группе многоадресной рассылки для всех узлов.

⏺ff02::2 Группа глобальной конфигурации многоадресной группы - This is a multicast group that all IPv6 routers join. A router becomes a member of this group when it is enabled as an IPv6 router with the ipv6 unicast-routing. Пакет, отправленный этой группе, принимается и обрабатывается всеми IPv6-маршрутизаторами в канале или сети.

Многоадресная рассылка всех узлов IPv6: сообщение RA

Устройства под управлением протокола IPv6 отправляют сообщения RS ICMPv6 на групповой адрес для всех маршрутизаторов. 

⚡️Сообщение RS запрашивает сообщение RA у IPv6-маршрутизатора, которое поможет устройству в процессе адресной конфигурации. Маршрутизатор IPv6 отвечает сообщением RA, как показано на рисунке.

N.A. ℹ️ Help

Контрольная сумма: проверка MD5 хэша файла

Передача больших файлов, таких как дистрибутивы софта в формате .iso, через сеть может привести к их повреждению.

Чтобы избежать этого, используется проверка контрольной суммы.

Зачем сверять контрольную сумму?

При загрузке файла из сети он может быть поврежден.

Чтобы убедиться в его целостности, владелец файла рассчитывает его контрольную сумму (например, по MD5), загружает файл на хранилище и передает контрольную сумму получателю.

Получатель затем рассчитывает контрольную сумму скачанного файла и сверяет ее с оригинальной. Если суммы совпадают, файл не поврежден.

Как рассчитать контрольную сумму?

Контрольная сумма — это результат хэш-функции, которая превращает массив данных в битовую строку фиксированной длины.

Для расчета можно использовать утилиту WinMD5Sum.

Скачайте и установите её (https://sourceforge.net/projects/winmd5sum/), запустите программу, выберите файл в поле File Name и нажмите Calculate. Сохраните значение из поля MD5 Sum.

Как сверить контрольную сумму?

Получив файл и его контрольную сумму, откройте WinMD5Sum, посчитайте контрольную сумму скачанного файла и вставьте полученную сумму в поле Compare. Нажмите Compare.

Если суммы совпадают, файл был передан без ошибок.

Таким образом, проверка контрольной суммы помогает убедиться в целостности передаваемого файла, используя простые инструменты и методы.

N.A. ℹ️ Help