Поднимаем OSPF на оборудовании Cisco

Настройка OSPF (Open Shortest Path First) довольна проста и чем-то похожа на протоколы маршрутизации RIP и EIGRP, то есть состоит из двух основных шагов:

⏺включения протокола глобальной командой router ospf PROCESS_NUMBER;
⏺выбора сетей, которые протокол будет «вещать», для чего используется команда(ы) network 255.255.255.255 0.0.0.255 AREA_NUMBER;

Как сразу заметно, в OSPF появляется указание «зоны» - area. 

Первая команда включения говорит сама за себя, но поясним про PROCESS_NUMBER и AREA_NUMBER – это номер процесса и номер зоны соответственно.

Для установления соседства номер процесса OSPF не должен быть одинаковым, но обязательно должен совпадать номер зоны.

Интерфейсы и сети указываем через обратную маску.

Пример настройки OSPF

Компьютер - 10.0.1.0/24 - маршрутизатор R1 - 172.16.0.0/24 - маршрутизатор R2 - 192.168.0.0 - компьютер

В нашей топологии у маршрутизаторов R1 и R2 есть напрямую подключенные подсети.

Нам нужно включить данные подсети в процесс динамической маршрутизации OSPF.

Для этого нам сначала нужно включить OSPF на обоих маршрутизаторах и затем «вещать» данные сети с помощью команды network.

На маршрутизаторах переходим в глобальный режим конфигурации и вводим следующие команды, в соответствии с нашей схемой:



router ospf 1
network 10.0.1.0 0.0.0.255 area 0
network 172.16.0.0 0.0.255.255 area 0





router ospf 1
network 192.168.0.0 0.0.0.255 area 0
network 172.16.0.0 0.0.255.255 area 0



Далее нам нужно проверить, заработала ли динамическая маршрутизация, и для этого используем команды show ip ospf neighbors и show ip route.

Вот и все – также просто, как и настроить RIP: главное не забывать указывать одинаковый номер автономной системы.

⏺Первая команда должна показать «соседа» - на обоих маршрутизаторах убедитесь, что там указан адрес другого маршрутизатора в выводе данной команды.

⏺Вторая команда выведет таблицу маршрутизации, и, маршруты, получаемые по OSPF, будут отмечены буквой O.

N.A. ℹ️ Help

Статический и динамический NAT

Static NAT

Статический NAT использует сопоставление локальных и глобальных адресов один к одному.

Эти сопоставления настраиваются администратором сети и остаются постоянными. 

Когда устройства отправляют трафик в Интернет, их внутренние локальные адреса переводятся в настроенные внутренние глобальные адреса.

Для внешних сетей эти устройства имеют общедоступные IPv4-адреса.

Статический NAT особенно полезен для веб-серверов или устройств, которые должны иметь согласованный адрес, доступный из Интернета, как например веб-сервер компании.

Статический NAT требует наличия достаточного количества общедоступных адресов для удовлетворения общего количества одновременных сеансов пользователя.

Статическая NAT таблица выглядит так:

Inside Local Adress - Inside Global Adress

192.168.1.2 - 208.165.17.5
192.168.1.3 - 208.165.17.6
192.168.1.4 - 208.165.17.7

Dynamic NAT

Динамический NAT использует пул публичных адресов и назначает их по принципу «первым пришел, первым обслужен». 

Когда внутреннее устройство запрашивает доступ к внешней сети, динамический NAT назначает доступный общедоступный IPv4-адрес из пула.

Подобно статическому NAT, динамический NAT требует наличия достаточного количества общедоступных адресов для удовлетворения общего количества одновременных сеансов пользователя.

Динамическая NAT таблица выглядит так:

Inside Local Adress - Inside Global Adress

192.168.1.2 - 208.165.17.5
Available - 208.165.17.6
Available - 208.165.17.7
Available - 208.165.17.8

N.A. ℹ️ Help

Длина префикса IPv6-адреса

Как вы помните, префикс, или сетевая часть адреса IPv4, может быть обозначен маской подсети в десятичном формате с разделительными точками или длиной префикса (запись с наклонной чертой).

Например, IPv4-адрес 192.168.1.10 с маской подсети в десятичном формате с разделительными точками 255.255.255.0 эквивалентен записи 192.168.1.10/24.

В IPv4 /24 называется префиксом.

В IPv6 это называется длиной префикса. IPv6 не использует для маски подсети десятичное представление с разделительными точками.

⏺Как и IPv4, длина префикса представлена в виде косой черты и используется для указания сетевой части адреса IPv6.

Диапазон длины префикса может составлять от 0 до 128. 

Обычная длина префикса IPv6 для локальных сетей и большинства сетей других типов — /64.

64 бита
Префикс
2001:0 дБ 8:000 а:0000

64 бита
Идентификатор интерфейса
0000:0000:0000:0000

Пример: 2001:db8:a::/64

Это означает, что длина префикса, или сетевая часть адреса, составляет 64 бита, а оставшиеся 64 бита остаются для идентификатора интерфейса (хостовой части) адреса.

Настоятельно рекомендуется использовать 64-битный идентификатор интерфейса для большинства сетей. 

⚡️Это связано с тем, что автоконфигурация адресов без учета (SLAAC) использует 64 бита для идентификатора интерфейса. Это также упрощает создание и управление подсетями.

N.A. ℹ️ Help

Типы IPv6-адресов одноадресной рассылки

Индивидуальный адрес служит для однозначного определения интерфейса устройства под управлением протокола IPv6. 

Пакет, который отправляется на такой адрес, будет получен интерфейсом, назначенным для этого адреса.

Как и в случае с протоколом IPv4, IPv6-адрес должен быть индивидуальным. IPv6-адрес назначения может быть как индивидуальным, так и групповым.

Адреса IPv6 для одноадресной рассылки

• Глобальный индивидуальный адрес
• Локальный адрес канала
• Обратная петля
• Неопределенный адрес
• Уникальный локальный адрес
• Встроенный iPv4- адрес

В отличие от устройств IPv4, имеющих только один адрес, адреса IPv6 обычно имеют два одноадресных адреса:

⏺Глобальный индивидуальный адрес аналогичен публичному IPv4-адресу. Эти адреса, к которым можно проложить маршрут по Интернету, являются уникальными по всему миру. Глобальные индивидуальные адреса могут быть настроены статически или присвоены динамически.

⏺Локальный адрес канала (LLA) — это необходимо для каждого устройства с поддержкой IPv6. Локальные адреса канала используются для обмена данными с другими устройствами по одному локальному каналу.

В протоколе IPv6 термин «канал» означает подсеть. Локальные адреса каналов ограничены одним каналом. Они должны быть уникальны только в рамках этого канала, поскольку вне канала к ним нельзя проложить маршрут.

🔥Другими словами, маршрутизаторы не смогут пересылать пакеты, имея локальный адрес канала источника или назначения.

N.A. ℹ️ Help

RIPv1 и RIPv2: в чем разница?

1️⃣Routing Information Protocol Version 1 (RIPv1)

Прямо и по пунктам:

RIPv1 это Distance-Vector протокол. Если переводить на русский - дистанционно-векторный.

Distance vector routing - так называемая дистанционно-векторная маршрутизация, главный принцип которой основан на вычислении специальных метрик, которые определяют расстояние (количество узлов) до сети назначения

RIPv1 это classfull протокол. Это означает, что он не отправляет маску подсети в апдейтах маршрутизации

RIPv1 не поддерживает VLSM (Variable Length Subnet Masking)

VLSM (Variable Length Subnet Masking) - метод эффективного использования IP – адресации, который избавляет от привязки к классу сети (класс A, класс B, класс C). VLSM позволяет дробить подсеть на подсеть и так далее. Тем самым, мы можем эффективно использовать адресное пространство согласно реальных потребностей, а не класса сети

RIPv1 поддерживает максимум 15 хопов! Это означает, что любой маршрутизатор, который расположен от вас в больше, чем 15 узлов (маршрутизаторов) будет отмечен как недоступный

Раз в 30 секунд RIPv1 отправляет широковещательные апдейты маршрутизации – каждый узел должен принять и обработать этот апдейт

2️⃣Routing Information Protocol Version 2 (RIPv2)

RIPv2 это гибридный протокол. Он реализован на базе Distance-Vector, но так же поддерживает часть алгоритмов Link State маршрутизации, то есть, может отслеживать состояние каналов

Link State routing - отслеживает состояние каналов и отправляет LSA (Link-state advertisement) пакеты, в которых рассказывает о состоянии своих каналов. Примером link state протокола маршрутизации является OSPF

RIPv2 - classless протокол. В отличие от своего старшего брата первой версии, второая версия умеет отправлять маску подсети в апдейтах маршрутизации

RIPv2 поддерживает VLSM!

RIPv2, как и RIPv1 поддерживает максимум 15 хопов

RIPv2 отправляет мультикаст сообщения об апдейтах на адрес 224.0.0.9. Это уменьшает нагрузку на сеть и в первую очередь на узлы, на которых не запущен RIP

N.A. ℹ️ Help

Уникальный локальный адрес

Уникальные локальные адреса (диапазон fc00::/7 до fdff::/7) пока не реализованы.

Таким образом, этот модуль охватывает только конфигурацию GUA и LLA. 

Однако уникальные локальные адреса могут использоваться для адресов устройств, которые не должны быть доступны извне, таких как внутренние серверы и принтеры.

Уникальные локальные IPv6-адреса имеют некоторые общие особенности с частными адресами RFC 1918 для IPv4, но при этом между ними имеются и значительные различия.

⏺Уникальные локальные адреса используются для локальной адресации в пределах узла или между ограниченным количеством узлов.
⏺Уникальные локальные адреса могут использоваться для устройств, которым никогда не понадобится использование других сетей или получение из них данных.
⏺Уникальные локальные адреса не маршрутизируются глобально и не преобразуются в глобальный адрес IPv6.

Многие сайты используют частные адреса RFC 1918, чтобы обеспечить безопасность или защитить сеть от потенциальных угроз.

⚡️Однако обеспечение безопасности никогда не было целью технологий NAT/PAT, поэтому организация IETF всегда рекомендовала принимать соответствующие меры предосторожности при использовании маршрутизаторов в Интернете.

N.A. ℹ️ Help

Протокол GRE: Создание туннелей для виртуальных сетей

Generic Routing Encapsulation (GRE) — это протокол туннелирования, который позволяет инкапсулировать различные типы сетевых пакетов в IP-туннели.

Основной принцип работы GRE заключается в добавлении новой заголовочной информации к исходному пакету, что позволяет передавать его через промежуточные сети. 

В результате оригинальный пакет "заворачивается" в GRE-заголовок и IP-заголовок, что позволяет ему путешествовать по маршрутам, как обычный IP-пакет.

Примеры использования GRE для создания туннелей между удаленными сетями

⏺Соединение филиалов: GRE используется для создания туннелей между головным офисом и филиалами компании.

⏺Виртуальные частные сети (VPN): GRE-туннели часто применяются для создания VPN, где требуется передавать нестандартные или многоадресные трафики.

⏺Транзит между различными сетевыми протоколами: GRE позволяет инкапсулировать различные типы трафика, включая IPv6 в IPv4, что делает его полезным для интеграции сетей с разными протоколами.

Настройка GRE туннелей на маршрутизаторах

Чтобы настроить GRE туннель на маршрутизаторе, необходимо выполнить следующие шаги.

1️⃣ Создание интерфейса туннеля:

interface Tunnel0
ip address 192.168.1.1 255.255.255.0
tunnel source 10.0.0.1
tunnel destination 10.0.0.2

В этом примере интерфейс туннеля (Tunnel0) получает IP-адрес 192.168.1.1.

Параметры tunnel source и tunnel destination указывают IP-адреса исходного и конечного маршрутизаторов соответственно.

2️⃣ Настройка маршрутизации:

Добавьте маршрут для направления трафика через туннель:

ip route 172.16.0.0 255.255.255.0 192.168.1.2

Здесь 172.16.0.0 — это сеть, к которой нужно получить доступ через туннель, а 192.168.1.2 — IP-адрес на удаленной стороне туннеля.

3️⃣ Проверка туннеля:

Убедитесь, что туннель работает корректно, используя команды для проверки состояния туннеля:

show ip interface brief
show interface Tunnel0

N.A. ℹ️ Help

RPKI: что это и почему важно?

RPKI (Resource Public Key Infrastructure) — это уровень безопасности для протокола BGP, обеспечивающий криптографическое подтверждение владельца сетевых ресурсов.

BGP не предусматривает понятия владельца, что позволяет любому объявить лучший маршрут, иногда случайно или злоумышленно.

RPKI базируется на стандарте PKI (Public Key Infrastructure) согласно RFC 6480, применяя криптографию для безопасной маршрутизации.

Почему RPKI важен?

RPKI делает BGP более безопасным и надежным. Безопасность BGP — системная проблема, особенно актуальная с ростом Интернета.

Нарушение маршрутизации может привести к:

⏺Кражам данных (Amazon: кража криптовалюты через угон DNS).
⏺Утечкам данных (Mastercard, Visa: утечка префиксов).

Какую защиту предлагает RPKI?

Проблемы BGP возникают чаще всего из-за человеческих ошибок.

RPKI использует криптографическую модель для аутентификации владельцев IP-адресов через открытые ключи и сертификаты, добавляя уровень безопасности к IPv4 и IPv6.

Эти сертификаты продлеваются ежегодно, аналогично HTTPS для веб-страниц. 

Как работает RPKI?

RIR (Regional Internet Registry) обеспечивает корневое доверие. IANA (Internet Assigned Numbers Authority), часть ICANN, распределяет IP-адреса региональным RIR, которые затем распределяют их локальным сетям.

Это создает доверенную цепочку сертификатов.

ROA

ROA (Route Origin Authorization) — это документ, подтверждающий право AS (Autonomous System) объявлять определенные префиксы.

Например, если AS65005 объявляет маршрут 1.0.0.0/8, ROA подтверждает его право.

Как развертывается RPKI?

Сертификаты и ROA доступны в публичных хранилищах. 

Каждая сеть проверяет подписи сертификатов и срок действия ROA. Если проверка не удалась, ROA игнорируется.

Результаты проверки:

⏺Действительное: ROA присутствует, префикс и номер AS совпадают.
⏺Недопустимое: ROA присутствует, но данные не совпадают.
⏺Не найдено или неизвестно: ROA отсутствует.

N.A. ℹ️ Help

Популярные методы выполнения сегментации сети

Если вы собираетесь использовать сегментацию сети, тогда вам потребуется обратить внимание на следующие ключевые задачи:

⏺Определить, действительно ли пользователь принадлежит той или иной группе в сети;
⏺Ограничить доступ к интернет-трафику юзеров из одной группы, от группы других;
⏺Предоставить юзерам разрешение на использование только разрешенных ресурсов, а также требуется наложить запрет на остальную информацию.

Решением первой задачи является использование технологии 802.1x в корпоративных сетях.

То есть использование дополнительного фактора (например, учетки в AD и сертификата) для получения доступа в сеть.

Вторая проблема решается с помощью создания дополнительных виртуальных сетей, путем создания разных для сотрудников разных департаментов и т.д - отдельный серверный сегмент, отдельная DMZ и пр.

Для решения третьей задачи обычно используется фильтрация на основе IP-адресов.

Контроль доступа обычно может быть реализован двумя способами: грубыми средствами и тонкой фильтрацией. 

🔥Это реализуется с помощью листов контроля доступа - обычных, расширенных и динамических.

N.A. ℹ️ Help

Ограничения традиционных методов сегментации

Если использовать популярные подходы для исправления второй и третьей задачи из прошлого поста, большинство функций вы будете выполнять вручную, особенно когда будете использовать сеть.

Эта ситуация станет более ощутимой, ведь после сегментирования среда будет динамичной. 

Например, могут отличаться:

⏺Некоторые правила, которые тесно связаны с обновлениями служб защиты, а также которые управляют ресурсами и сотрудниками компаний;
⏺Количество групп юзеров, которое может меняться от условий реорганизации внутри организации, а от различных дополнений ресурсов в сети и так далее;
⏺Расположение групп пользователей, в связи с чем может возникнуть необходимость расширить сегментацию на новые части сети;

Поддержание сегментации сети становиться все более сложной в зависимости от динамики роста количества сотрудников и различных устройств - то есть сегментация это не единовременная операция, а постоянный и очень важный процесс.

На данный момент также популярным подходом становится программно-определяемая сегментация сети, к примеру у Cisco это протокол TrustSec.

🔥 Этот подход позволяет полностью уйти от IP-адресации и не мучаться с перекраиванием листов контроля доступа в случае смены VLAN-а или изменения топологии сети.

Ставь 👍, если понравилась серия постов о сегментации сети.

N.A. ℹ️ Help

Разделение сети iPv6 на подсети с использованием идентификатора подсети

Напомним, что с IPv4 мы должны заимствовать биты из части хоста для создания подсетей.

Это связано с тем, что подсеть была задним числом с IPv4. 

Однако IPv6 был разработан с учетом подсетей. Для создания подсетей используется отдельное поле ID подсети в GUA IPv6.

Как показано на рисунке, поле ID подсети — это область между префиксом глобальной маршрутизации и идентификатором интерфейса.

На картинке показаны части GUA.

Во-первых, 48-битный префикс глобальной маршрутизации, за которым следует 16-битный идентификатор подсети, затем, наконец, 64-битный идентификатор интерфейса.

Префикс маршрутизации A / 48 + 16-битный идентификатор подсети = префикс /64.

GUA с 16-разрядным идентификатором подсети

Преимущество 128-битного адреса заключается в том, что он может поддерживать более чем достаточное количество подсетей и узлов в каждой подсети для каждой сети.

Решение проблемы сохранения не является проблемой. 

Например, если префикс глобальной маршрутизации имеет значение /48 и использует типичные 64 бита для идентификатора интерфейса, это создаст 16-битный идентификатор подсети:

⏺16-битный идентификатор подсети - создает до 65 536 подсетей.
⏺64-битный идентификатор интерфейса. Поддерживает до 18 квинтиллионов IPv6-адресов на подсеть (т. е. 18 000 000 000 000 000 000).

Разбиение на подсети с помощью 64-битного идентификатора интерфейса (или узловой части) также возможно, но требуется редко.

Кроме того, разбиение на подсети IPv6 проще в реализации, чем IPv4, поскольку не нужно выполнять преобразование в двоичный формат.

🔥 Чтобы определить следующую доступную подсеть, достаточно рассчитать следующее шестнадцатеричное число.

N.A. ℹ️ Help

Как провести радиопланирование с Ekahau

Wi-Fi-сети стали неотъемлемой частью нашей жизни, но их покрытие не всегда эффективно. 

Для решения этой проблемы существует набор инструментов Ekahau Connect для разработки и оптимизации Wi-Fi-сетей.

Инструменты Ekahau Connect

⏺Ekahau Pro Site Survey Tool

• Основной инструмент для планирования, анализа и оптимизации сетей Wi-Fi.
• Поддерживает Windows и Mac OS, а также все актуальные стандарты Wi-Fi до Wi-Fi 6.
• Прост в использовании и быстр в работе.

⏺Ekahau Sidekick

• Многофункциональный измерительный прибор с двумя радиомодулями Wi-Fi.
• Используется для сбора данных и устранения неполадок.
• Поддерживает iPad, MacOS и Windows, работает по принципу Plug and Play.

⏺Ekahau Survey

• Профессиональное решение для диагностики сетей Wi-Fi на iPad.
• Легкий в использовании, подходит для начинающих специалистов.
• Определяет доступные сети и составляет их карту покрытия.

⏺Ekahau Capture

• Позволяет быстро захватывать пакеты данных для анализа.
• Легок в обращении, рекомендуется использовать с Ekahau Sidekick для оптимальной работы.

⏺Ekahau Cloud

• Облачная технология для хранения и совместного использования данных.
• Позволяет работать над одним проектом целой группе специалистов.

Ekahau Connect идеален для масштабных внедрений Wi-Fi, особенно в сложных условиях, таких как толстые перекрытия и помехи.

⚡️Эти инструменты помогают избежать долгих процедур по поиску и устранению проблем с точками доступа.

N.A. ℹ️ Help

Установка связи с удаленным узлом с помощью команды ping

Команду ping также можно использовать для проверки способности хоста обмениваться данными с другими сетями.

С локального узла можно отправить эхо-запрос на рабочий IPv4-узел удаленной сети, как показано на схеме. 

Маршрутизатор использует таблицу IP-маршрутизации для пересылки пакетов.

Если ping-запрос был отправлен успешно, можно проверить межсетевое взаимодействие на большом участке.

⏺Успешная отправка межсетевого ping-запроса подтверждает подключение к локальной сети, работоспособность маршрутизатора, выполняющего роль шлюза.

А также работоспособность других маршрутизаторов на пути между локальной сетью и сетью удаленного узла.

Кроме того, может быть проверена работоспособность удаленного узла. 

Если бы удаленный узел не мог передавать данные за пределы своей локальной сети, он бы не ответил на эхо-запрос.

Многие сетевые администраторы ограничивают или запрещают ввод ICMP-сообщений в корпоративную сеть.

⚡️В связи с этим меры по обеспечению безопасности могут стать причиной отсутствия ping-ответа.

N.A. ℹ️ Help

Коммутатор Juniper и его базовая настройка

Компания Juniper является очень крупным производителем сетевого оборудования в мире - после Cisco and Huawei.

После того как вы купили, установили и скоммутировали новое оборудование, возникает вопрос о его правильной настройке.

Преимуществом коммутаторов от производителя Juniper, в основном, является возможность объединения до шести коммутаторов в одно единое устройство с надежным и удобным управлением портами, сохраняя стабильную и бесперебойную работу сети.

• Настройка сетевого интерфейса
• Настройка QoS (качество обслуживания)
• Virtual Chassis (объединение коммутаторов)
• Реализация возможности сброса до заводских настроек

Настроив данные компоненты, вы сможете реализовать работу сети с использованием в ней большого количества устройств для осуществления передачи трафика.

Настройка сетевого интерфейса

Интерфейс коммутатора отвечает за реализацию передачи данных между сетью и пользователем, что и является главной задачей коммутатора.

Его конфигурация осуществляется с помощью следующих строк кода:

root> configure
Entering configuration mode
[edit]
root# edit interfaces
[edit interfaces]
root#



Конфигурация L3:

[edit interfaces]
root

# set em0 unit 0 family inet address 100.0.0.1/30



Где: Em0 - физический интерфейс, а Family inet - позволяет выбрать протокол интерфейса.

Команда "show" позволит из Configuration Mode проверить результат вашей настройки:

[edit interfaces]
root# show
em0 {
unit 0 {
family inet {
address 100.0.0.1/30;
}
}
}
[edit interfaces]



Теперь примените настройки с помощью следующей команды:

root# commit
commit complete



С помощью команды ping осуществим проверку конфигурации:

root> ping 100.0.0.2 rapid
PING 100.0.0.2 (100.0.0.2): 56 data bytes
!!!!!
--- 100.0.0.2 ping statistics ---
5 packets transmitted, 5 packets received, 0% packet loss
round-trip min/avg/max/stddev = 0.402/0.719/1.306/0.343 ms



Конфигурация L2



root> configure
Entering configuration mode
[edit]
root# edit interfaces em0
[edit interfaces em0]

Необходимо задать дуплекс на интерфейсе:

[edit interfaces em0]
root# set link-mode full-duplex
[edit interfaces em0]
root#



L2 - устройства, работающие на канальном уровне, при этом коммутатором занимается фреймами. А L3 взаимодействуют с IP-адресами и осуществляют маршрутизацию.

☄️ Конфигурация L3 включает большее число параметров за счет расширенного функционала.

N.A. ℹ️ Help

3 полезных протокола для работы в сети

Сетевые протоколы играют ключевую роль в обеспечении обмена данными между устройствами в сети. 

Помимо хорошо известных протоколов, таких как TCP/IP, HTTP, и FTP, существуют менее известные, но не менее важные протоколы, которые могут значительно облегчить работу сетевых администраторов и улучшить производительность сети.

NTP (Network Time Protocol)

NTP — протокол для синхронизации времени на устройствах в сети.

Обеспечивает точность времени на всех устройствах.

Практическое применение:

⏺Синхронизация времени: Обеспечивает единое время на всех устройствах, что важно для логов и диагностики сетевых проблем.

⏺Безопасность: Помогает в обнаружении аномалий и несанкционированного доступа, фиксируя точное время событий.

⏺Координация действий: Необходим для работы некоторых сетевых приложений и протоколов, требующих синхронизации времени.

Команды на Cisco:

Switch(config)# ntp server 192.168.1.1
Switch# show ntp status

IGMP (Internet Group Management Protocol)

IGMP — протокол, используемый для управления группами мультикастинга в IP-сетях.

Он позволяет устройствам сообщать о своем желании присоединиться или покинуть мультикаст-группы.

⏺Эффективное использование полосы пропускания: Мультикаст позволяет отправлять данные группе получателей одновременно, снижая нагрузку на сеть.

⏺Стриминг и трансляции: Используется для приложений, требующих передачи данных множеству получателей, таких как видеотрансляции и аудиоконференции.

Команды на Cisco:

Switch(config)# ip igmp snooping
Switch# show ip igmp groups

VRRP (Virtual Router Redundancy Protocol)

VRRP — протокол, обеспечивающий резервирование маршрутизаторов.

Позволяет нескольким маршрутизаторам совместно использовать один виртуальный IP-адрес для повышения надежности сети.

⏺Обеспечение отказоустойчивости: В случае выхода из строя основного маршрутизатора, резервный маршрутизатор автоматически берет на себя его функции.

⏺Балансировка нагрузки: Распределение трафика между несколькими маршрутизаторами для улучшения производительности сети.

Команды на Cisco:

Router(config)# interface GigabitEthernet0/0
Router(config-if)# vrrp 1 ip 192.168.1.1
Router(config-if)# vrrp 1 priority 120
Router# show vrrp

N.A. ℹ️ Help

Исчерпание адресов: как решить?

Первая часть с частыми проблемами и их решением тут

⏺Исчерпание IP-адресов

Чтобы устранить эту проблему, используйте команду ipconfig. 

Если рабочая станция назначила себе IP-адрес, который начинается с 169.x.x.x, это означает, что IP-адрес не был доступен с сервера DHCP.

⏺Быстрое исправление

У некоторых пользователей проводного интернета может не быть локального маршрутизатора, и в этом случае IP-адреса назначаются на ограниченной основе непосредственно от вашего интернет-провайдера.

Возможно, у вас закончились разрешенные IP-адреса от вашего интернет-провайдера.

Решением этой проблемы является покупка либо автономного маршрутизатора, либо точки доступа WiFi со встроенным маршрутизатором.

Это создает ваш собственный локальный пул внутренних адресов, гарантируя, что вы не закончите.

Если у вас уже есть локальный маршрутизатор с DHCP, пул адресов по умолчанию может быть слишком мал для вашей сети.

Получив доступ к настройкам DHCP на маршрутизаторе, вы можете настроить размер пула адресов в соответствии с потребностями вашей сети.

⏺Превентивные меры

Важно, чтобы в любой сети, подключенной к Интернету, был локальный маршрутизатор, работающий с NAT и DHCP, как из соображений безопасности, так и для предотвращения исчерпания IP-адреса.

⚡️Маршрутизатор должен быть единственным устройством, подключенным к модему, а все остальные устройства подключаются через маршрутизатор.

N.A. ℹ️ Help

Восстановление образа маршрутизатора Cisco IOS

Что делать если у вас повредился образ операционной системы Cisco IOS вашего роутера?

Из этой неприятной ситуации есть выход, и я расскажу, что нужно сделать.

Процесс

Вы можете восстановить Cisco IOS, используя TFTP-сервер.

Поскольку IOS находится во флэш-памяти маршрутизатора, поэтому сначала необходимо создать резервную копию флэш-файла IOS на TFTP-сервере, а затем восстановить IOS из флэш-файла, который вы сохранили на TFTP-сервере.

Сначала выполните команду show flash, чтобы проверить имя файла флэш-памяти и скопировать имя файла.

Затем выполните следующие команды, чтобы создать резервную копию флэш-файла на TFTP-сервере.

Router#copy flash tftp
Address or name of remote host []? < type tftp server IP address >
Source filename []? < paste the flash file name >
Destination filename [c2600-i-mz.122-28.bin]? < press enter to accept the default file name >
Do you want to overwrite? [confirm] < press enter to overwrite the file >



Теперь перезагрузите роутер. Когда роутер будет загружаться, нажмите CTRL + Pause Break, чтобы войти в режим ROMMON.

Либо можно стереть flash память командой delete flash: и роутер будет автоматически переведен в режим ROMMON, поскольку флэш-память отсутствует.

Как только вы войдете в режим ROMMON, вы увидите приглашение:
rommon>

⏺В режиме ROMMON выполните следующие команды для восстановления Cisco IOS из режима ROMMON, где нужно указать сетевые настройки роутера, адрес TFTP сервера и имя файла, который вы загружаете как образ IOS.

В конце выполните команду tftpdnld.

rommon 1> IP_ADDRESS = 192.168.1.1
rommon 2> IP_SUBNET_MASK = 255.255.255.0
rommon 3> DEFAULT_GATEWAY = 192.168.1.100
rommon 4> TFTP_SERVER = 192.168.1.100
rommon 5> TFTP_FILE = c2600-i-mz.122-28.bin
rommon 6> tftpdnld 



Далее мы получим предупреждение что все данные будут потеряны, и чтобы продолжить нажимаем Y.

Флэш-файл будет загружен на маршрутизатор с TFTP-сервера.

После восстановления файла флэш-памяти выполните команду reset, чтобы перезагрузить роутер.

🔥Теперь маршрутизатор загрузится с новым образом IOS.

N.A. ℹ️ Help

Работа протокола BGP с IPv6

BGP был изначально разработан для поддержки множества различных протоколов и NLRI, включая IPv6, MPLS и VPN.

После освоения основ BGP, работа с этим протоколом в контексте IPv6 становится достаточно простой.

BGP позволяет использовать IPv4 в качестве "несущего" протокола для IPv6 NLRI.

Рассмотрим конфигурацию с двумя простыми маршрутизаторами.

Настройка IPv4 "перевозящего" IPv6 NLRI:

ATL#conf t
ATL(config)#ipv6 unicast-routing
ATL(config)#route-map IPV6NH permit 10
ATL(config-route-map)#set ipv6 next-hop 2001:1212:1212::1
ATL(config)#int lo 100
ATL(config-if)#ipv6 address 2001:1111:1111::/64 eui-64
ATL(config)#router bgp 200
ATL(config-router)#neighbor 10.10.10.2 remote-as 200
ATL(config-router)#address-family ipv4 unicast 
ATL(config-router-af)#neighbor 10.10.10.2 activate 
ATL(config-router)#address-family ipv6 unicast 
ATL(config-router-af)#neighbor 10.10.10.2 activate
ATL(config-router-af)#neighbor 10.10.10.2 route-map IPV6NH out
ATL(config-router-af)#network 2001:1111:1111::/64
ATL#end

Проверка конфигурации:

ATL#show ip bgp ipv6 unicast
ATL2#ping 2001:1111:1111:0:C801:6FF:FEDB:0

Для более "чистой" конфигурации можно использовать IPv6 для передачи информации IPv6 префикса.

Настройка BGP с IPv6:

ATL1#conf t
ATL1(config)#router bgp 200
ATL1(config-router)#bgp router-id 1.1.1.1
ATL1(config-router)#neighbor 2001:1212:1212::2 remote-as 200
ATL1(config-router)#address-family ipv6 unicast
ATL1(config-router-af)#neighbor 2001:1212:1212::2 activate
ATL1(config-router-af)#network 2001:1111:1111::/64
ATL1#end

Для проверки соседства BGP используйте команду show bgp ipv6 unicast summary.

BGP также поддерживает фильтрацию для IPv6, как и для IPv4.

Методы фильтрации включают списки префиксов, фильтрацию AS Path и route maps.

Фильтрация префиксов IPv6 в BGP:

ATL#conf t
ATL(config)#ipv6 prefix-list MYTEST deny 2001:1111:1111::/64
ATL(config)#ipv6 prefix-list MYTEST permit ::/0 le 128
ATL(config)#router bgp 200
ATL(config-router)#address-family ipv6 unicast
ATL(config-router-af)#neighbor 2001:1212:1212::2 prefix-list MYTEST out
ATL#end
ATL#clear ip bgp *

Эти примеры демонстрируют, как гибко и просто BGP может быть настроен для работы с IPv6, обеспечивая при этом эффективную маршрутизацию и безопасность.

N.A. ℹ️ Help

TKIP, CCMP и GCMP. Про безопасность Wi-Fi

Стандарт 802.11 поддерживал только один способ защиты данных, передаваемых по WI-FI, от перехвата - это WEP.

Какие же еще существуют способы шифрования и защиты данных при передаче по Wi-Fi?

⏺TKIP

В свое время WEP применялся на беспроводном оборудовании клиента и точки доступа, но он был сильно уязвим.

На смену WEP пришел протокол целостности временного ключа (Temporal Key Integrity Protocol (TKIP).

TKIP добавляет следующие функции безопасности на устаревшем оборудовании и при использовании базового шифрования WEP:

• MIC: этот эффективный алгоритм шифрования добавляет хэш-значение к каждому кадру в качестве проверки целостности сообщения, чтобы предотвратить подделку.
• Time stamp: метка времени добавляется в MIC, чтобы предотвратить атаки, которые пытаются повторно использовать или заменить кадры, которые уже были отправлены.
• Счетчик последовательностей TKIP: эта функция обеспечивает запись кадров, отправленных по уникальному MAC-адресу, чтобы предотвратить использование повторение кадров в качестве атаки.
• Алгоритм смешивания ключей: этот алгоритм вычисляет уникальный 128-битный WEP-ключ для каждого кадра.

До 2012 года протокол шифрования TKIP был достаточно безопасным методом защиты данных. Он применялся до тех пор, пока не появился стандарт 802.11i.

Злоумышленники не оставили в стороне протокол TKIP. Было создано много алгоритмов атак против TKIP, поэтому его тоже следует избегать, если есть более лучший метод защиты данных в беспроводных сетях.

⏺CCMP

Протокол Counter/CBC-MAC (CCMP) считается более безопасным, чем TKIP. 

CCMP состоит из двух алгоритмов:

• AES шифрование в режиме счетчика
• Cipher Block Chaining Message Authentication Code (CBC-MAC) используется в качестве проверки целостности сообщения (MIC)

Расширенный стандарт шифрования (AES)- это текущий алгоритм шифрования, принятый Национальным институтом стандартов и технологий США (NIST) и правительством США и широко используемый во всем мире.

Другими словами, AES является открытым, общедоступным и представляет собой самый безопасный метод шифрования на данный момент времени.

Для использования протокола защиты CCMP, необходимо убедиться, что устройства и точки доступа поддерживают режим счетчика AES и CBC-MAC на аппаратном уровне. 

⏺GCMP

Протокол Galois/Counter Mode Protocol (GCMP)- это надежный набор шифрования, который является более безопасным и эффективным, чем CCMP.

GCMP состоит из двух алгоритмов:

• AES шифрование в режиме счетчика
• Galois Message Authentication Code (GMAC) используется в качестве проверки целостности сообщения (MIC)
GCMP используется в WPA3.

N.A. ℹ️ Help

Типы LSA в OSPF

Link State Advertisements (LSA) — это объявления состояния канала, которые составляют основу работы OSPF, помогая создать карту сети с помощью алгоритма Дейкстры.

Рассмотрим основные типы LSA в OSPF:

⏺Router (Type 1) LSA: Type 1 LSA (также известный как Router LSA) используется для описания интерфейсов и соседей маршрутизатора внутри одной области. Он содержит информацию о всех интерфейсах маршрутизатора, участвующих в OSPF, и о его соседях, распространяется только внутри одной области.

⏺Network (Type 2) LSA: Type 2 LSA применяется на широковещательных сегментах для уменьшения количества смежностей. Он отправляется назначенным маршрутизатором (DR) и описывает все маршрутизаторы, подключенные к одному сегменту, помогая уменьшить хаос от большого количества смежных отношений.

⏺Summary (Type 3) LSA: Type 3 LSA используется для объявления префиксов из одной области в другую, обеспечивая полную достижимость внутри домена OSPF. Он распространяется маршрутизатором границы области (ABR) между областями, предоставляя информацию о префиксах, полученных из Type 1 и Type 2 LSA.

⏺ASBR Summary (Type 4) LSA: Type 4 LSA служит для уведомления маршрутизаторов в разных областях о существовании пограничного маршрутизатора автономной системы (ASBR). Эта Summary LSA предоставляет идентификатор маршрутизатора ASBR, а Area Border Router (ABR) отвечает за его распространение в другие области.

⏺External (Type 5) LSA: Type 5 LSA используется для распространения внешних префиксов, полученных из других доменов маршрутизации. Эти LSA создаются ASBR и передаются через ABR в другие области, обеспечивая маршрутизацию внешних префиксов.

⏺NSSA External (Type 7) LSA: Type 7 LSA используется в Not So Stubby Area (NSSA) для передачи внешних префиксов. В NSSA внешние префиксы передаются как Type 7 LSA. ABR преобразует их в Type 5 для распространения в другие области.

N.A. ℹ️ Help