Ограничения традиционных методов сегментации

Если использовать популярные подходы для исправления второй и третьей задачи из прошлого поста, большинство функций вы будете выполнять вручную, особенно когда будете использовать сеть.

Эта ситуация станет более ощутимой, ведь после сегментирования среда будет динамичной. 

Например, могут отличаться:

⏺Некоторые правила, которые тесно связаны с обновлениями служб защиты, а также которые управляют ресурсами и сотрудниками компаний;
⏺Количество групп юзеров, которое может меняться от условий реорганизации внутри организации, а от различных дополнений ресурсов в сети и так далее;
⏺Расположение групп пользователей, в связи с чем может возникнуть необходимость расширить сегментацию на новые части сети;

Поддержание сегментации сети становиться все более сложной в зависимости от динамики роста количества сотрудников и различных устройств - то есть сегментация это не единовременная операция, а постоянный и очень важный процесс.

На данный момент также популярным подходом становится программно-определяемая сегментация сети, к примеру у Cisco это протокол TrustSec.

🔥 Этот подход позволяет полностью уйти от IP-адресации и не мучаться с перекраиванием листов контроля доступа в случае смены VLAN-а или изменения топологии сети.

Ставь 👍, если понравилась серия постов о сегментации сети.

N.A. ℹ️ Help

Разделение сети iPv6 на подсети с использованием идентификатора подсети

Напомним, что с IPv4 мы должны заимствовать биты из части хоста для создания подсетей.

Это связано с тем, что подсеть была задним числом с IPv4. 

Однако IPv6 был разработан с учетом подсетей. Для создания подсетей используется отдельное поле ID подсети в GUA IPv6.

Как показано на рисунке, поле ID подсети — это область между префиксом глобальной маршрутизации и идентификатором интерфейса.

На картинке показаны части GUA.

Во-первых, 48-битный префикс глобальной маршрутизации, за которым следует 16-битный идентификатор подсети, затем, наконец, 64-битный идентификатор интерфейса.

Префикс маршрутизации A / 48 + 16-битный идентификатор подсети = префикс /64.

GUA с 16-разрядным идентификатором подсети

Преимущество 128-битного адреса заключается в том, что он может поддерживать более чем достаточное количество подсетей и узлов в каждой подсети для каждой сети.

Решение проблемы сохранения не является проблемой. 

Например, если префикс глобальной маршрутизации имеет значение /48 и использует типичные 64 бита для идентификатора интерфейса, это создаст 16-битный идентификатор подсети:

⏺16-битный идентификатор подсети - создает до 65 536 подсетей.
⏺64-битный идентификатор интерфейса. Поддерживает до 18 квинтиллионов IPv6-адресов на подсеть (т. е. 18 000 000 000 000 000 000).

Разбиение на подсети с помощью 64-битного идентификатора интерфейса (или узловой части) также возможно, но требуется редко.

Кроме того, разбиение на подсети IPv6 проще в реализации, чем IPv4, поскольку не нужно выполнять преобразование в двоичный формат.

🔥 Чтобы определить следующую доступную подсеть, достаточно рассчитать следующее шестнадцатеричное число.

N.A. ℹ️ Help

Как провести радиопланирование с Ekahau

Wi-Fi-сети стали неотъемлемой частью нашей жизни, но их покрытие не всегда эффективно. 

Для решения этой проблемы существует набор инструментов Ekahau Connect для разработки и оптимизации Wi-Fi-сетей.

Инструменты Ekahau Connect

⏺Ekahau Pro Site Survey Tool

• Основной инструмент для планирования, анализа и оптимизации сетей Wi-Fi.
• Поддерживает Windows и Mac OS, а также все актуальные стандарты Wi-Fi до Wi-Fi 6.
• Прост в использовании и быстр в работе.

⏺Ekahau Sidekick

• Многофункциональный измерительный прибор с двумя радиомодулями Wi-Fi.
• Используется для сбора данных и устранения неполадок.
• Поддерживает iPad, MacOS и Windows, работает по принципу Plug and Play.

⏺Ekahau Survey

• Профессиональное решение для диагностики сетей Wi-Fi на iPad.
• Легкий в использовании, подходит для начинающих специалистов.
• Определяет доступные сети и составляет их карту покрытия.

⏺Ekahau Capture

• Позволяет быстро захватывать пакеты данных для анализа.
• Легок в обращении, рекомендуется использовать с Ekahau Sidekick для оптимальной работы.

⏺Ekahau Cloud

• Облачная технология для хранения и совместного использования данных.
• Позволяет работать над одним проектом целой группе специалистов.

Ekahau Connect идеален для масштабных внедрений Wi-Fi, особенно в сложных условиях, таких как толстые перекрытия и помехи.

⚡️Эти инструменты помогают избежать долгих процедур по поиску и устранению проблем с точками доступа.

N.A. ℹ️ Help

Установка связи с удаленным узлом с помощью команды ping

Команду ping также можно использовать для проверки способности хоста обмениваться данными с другими сетями.

С локального узла можно отправить эхо-запрос на рабочий IPv4-узел удаленной сети, как показано на схеме. 

Маршрутизатор использует таблицу IP-маршрутизации для пересылки пакетов.

Если ping-запрос был отправлен успешно, можно проверить межсетевое взаимодействие на большом участке.

⏺Успешная отправка межсетевого ping-запроса подтверждает подключение к локальной сети, работоспособность маршрутизатора, выполняющего роль шлюза.

А также работоспособность других маршрутизаторов на пути между локальной сетью и сетью удаленного узла.

Кроме того, может быть проверена работоспособность удаленного узла. 

Если бы удаленный узел не мог передавать данные за пределы своей локальной сети, он бы не ответил на эхо-запрос.

Многие сетевые администраторы ограничивают или запрещают ввод ICMP-сообщений в корпоративную сеть.

⚡️В связи с этим меры по обеспечению безопасности могут стать причиной отсутствия ping-ответа.

N.A. ℹ️ Help

Коммутатор Juniper и его базовая настройка

Компания Juniper является очень крупным производителем сетевого оборудования в мире - после Cisco and Huawei.

После того как вы купили, установили и скоммутировали новое оборудование, возникает вопрос о его правильной настройке.

Преимуществом коммутаторов от производителя Juniper, в основном, является возможность объединения до шести коммутаторов в одно единое устройство с надежным и удобным управлением портами, сохраняя стабильную и бесперебойную работу сети.

• Настройка сетевого интерфейса
• Настройка QoS (качество обслуживания)
• Virtual Chassis (объединение коммутаторов)
• Реализация возможности сброса до заводских настроек

Настроив данные компоненты, вы сможете реализовать работу сети с использованием в ней большого количества устройств для осуществления передачи трафика.

Настройка сетевого интерфейса

Интерфейс коммутатора отвечает за реализацию передачи данных между сетью и пользователем, что и является главной задачей коммутатора.

Его конфигурация осуществляется с помощью следующих строк кода:

root> configure
Entering configuration mode
[edit]
root# edit interfaces
[edit interfaces]
root#



Конфигурация L3:

[edit interfaces]
root

# set em0 unit 0 family inet address 100.0.0.1/30



Где: Em0 - физический интерфейс, а Family inet - позволяет выбрать протокол интерфейса.

Команда "show" позволит из Configuration Mode проверить результат вашей настройки:

[edit interfaces]
root# show
em0 {
unit 0 {
family inet {
address 100.0.0.1/30;
}
}
}
[edit interfaces]



Теперь примените настройки с помощью следующей команды:

root# commit
commit complete



С помощью команды ping осуществим проверку конфигурации:

root> ping 100.0.0.2 rapid
PING 100.0.0.2 (100.0.0.2): 56 data bytes
!!!!!
--- 100.0.0.2 ping statistics ---
5 packets transmitted, 5 packets received, 0% packet loss
round-trip min/avg/max/stddev = 0.402/0.719/1.306/0.343 ms



Конфигурация L2



root> configure
Entering configuration mode
[edit]
root# edit interfaces em0
[edit interfaces em0]

Необходимо задать дуплекс на интерфейсе:

[edit interfaces em0]
root# set link-mode full-duplex
[edit interfaces em0]
root#



L2 - устройства, работающие на канальном уровне, при этом коммутатором занимается фреймами. А L3 взаимодействуют с IP-адресами и осуществляют маршрутизацию.

☄️ Конфигурация L3 включает большее число параметров за счет расширенного функционала.

N.A. ℹ️ Help

3 полезных протокола для работы в сети

Сетевые протоколы играют ключевую роль в обеспечении обмена данными между устройствами в сети. 

Помимо хорошо известных протоколов, таких как TCP/IP, HTTP, и FTP, существуют менее известные, но не менее важные протоколы, которые могут значительно облегчить работу сетевых администраторов и улучшить производительность сети.

NTP (Network Time Protocol)

NTP — протокол для синхронизации времени на устройствах в сети.

Обеспечивает точность времени на всех устройствах.

Практическое применение:

⏺Синхронизация времени: Обеспечивает единое время на всех устройствах, что важно для логов и диагностики сетевых проблем.

⏺Безопасность: Помогает в обнаружении аномалий и несанкционированного доступа, фиксируя точное время событий.

⏺Координация действий: Необходим для работы некоторых сетевых приложений и протоколов, требующих синхронизации времени.

Команды на Cisco:

Switch(config)# ntp server 192.168.1.1
Switch# show ntp status

IGMP (Internet Group Management Protocol)

IGMP — протокол, используемый для управления группами мультикастинга в IP-сетях.

Он позволяет устройствам сообщать о своем желании присоединиться или покинуть мультикаст-группы.

⏺Эффективное использование полосы пропускания: Мультикаст позволяет отправлять данные группе получателей одновременно, снижая нагрузку на сеть.

⏺Стриминг и трансляции: Используется для приложений, требующих передачи данных множеству получателей, таких как видеотрансляции и аудиоконференции.

Команды на Cisco:

Switch(config)# ip igmp snooping
Switch# show ip igmp groups

VRRP (Virtual Router Redundancy Protocol)

VRRP — протокол, обеспечивающий резервирование маршрутизаторов.

Позволяет нескольким маршрутизаторам совместно использовать один виртуальный IP-адрес для повышения надежности сети.

⏺Обеспечение отказоустойчивости: В случае выхода из строя основного маршрутизатора, резервный маршрутизатор автоматически берет на себя его функции.

⏺Балансировка нагрузки: Распределение трафика между несколькими маршрутизаторами для улучшения производительности сети.

Команды на Cisco:

Router(config)# interface GigabitEthernet0/0
Router(config-if)# vrrp 1 ip 192.168.1.1
Router(config-if)# vrrp 1 priority 120
Router# show vrrp

N.A. ℹ️ Help

Исчерпание адресов: как решить?

Первая часть с частыми проблемами и их решением тут

⏺Исчерпание IP-адресов

Чтобы устранить эту проблему, используйте команду ipconfig. 

Если рабочая станция назначила себе IP-адрес, который начинается с 169.x.x.x, это означает, что IP-адрес не был доступен с сервера DHCP.

⏺Быстрое исправление

У некоторых пользователей проводного интернета может не быть локального маршрутизатора, и в этом случае IP-адреса назначаются на ограниченной основе непосредственно от вашего интернет-провайдера.

Возможно, у вас закончились разрешенные IP-адреса от вашего интернет-провайдера.

Решением этой проблемы является покупка либо автономного маршрутизатора, либо точки доступа WiFi со встроенным маршрутизатором.

Это создает ваш собственный локальный пул внутренних адресов, гарантируя, что вы не закончите.

Если у вас уже есть локальный маршрутизатор с DHCP, пул адресов по умолчанию может быть слишком мал для вашей сети.

Получив доступ к настройкам DHCP на маршрутизаторе, вы можете настроить размер пула адресов в соответствии с потребностями вашей сети.

⏺Превентивные меры

Важно, чтобы в любой сети, подключенной к Интернету, был локальный маршрутизатор, работающий с NAT и DHCP, как из соображений безопасности, так и для предотвращения исчерпания IP-адреса.

⚡️Маршрутизатор должен быть единственным устройством, подключенным к модему, а все остальные устройства подключаются через маршрутизатор.

N.A. ℹ️ Help

Восстановление образа маршрутизатора Cisco IOS

Что делать если у вас повредился образ операционной системы Cisco IOS вашего роутера?

Из этой неприятной ситуации есть выход, и я расскажу, что нужно сделать.

Процесс

Вы можете восстановить Cisco IOS, используя TFTP-сервер.

Поскольку IOS находится во флэш-памяти маршрутизатора, поэтому сначала необходимо создать резервную копию флэш-файла IOS на TFTP-сервере, а затем восстановить IOS из флэш-файла, который вы сохранили на TFTP-сервере.

Сначала выполните команду show flash, чтобы проверить имя файла флэш-памяти и скопировать имя файла.

Затем выполните следующие команды, чтобы создать резервную копию флэш-файла на TFTP-сервере.

Router#copy flash tftp
Address or name of remote host []? < type tftp server IP address >
Source filename []? < paste the flash file name >
Destination filename [c2600-i-mz.122-28.bin]? < press enter to accept the default file name >
Do you want to overwrite? [confirm] < press enter to overwrite the file >



Теперь перезагрузите роутер. Когда роутер будет загружаться, нажмите CTRL + Pause Break, чтобы войти в режим ROMMON.

Либо можно стереть flash память командой delete flash: и роутер будет автоматически переведен в режим ROMMON, поскольку флэш-память отсутствует.

Как только вы войдете в режим ROMMON, вы увидите приглашение:
rommon>

⏺В режиме ROMMON выполните следующие команды для восстановления Cisco IOS из режима ROMMON, где нужно указать сетевые настройки роутера, адрес TFTP сервера и имя файла, который вы загружаете как образ IOS.

В конце выполните команду tftpdnld.

rommon 1> IP_ADDRESS = 192.168.1.1
rommon 2> IP_SUBNET_MASK = 255.255.255.0
rommon 3> DEFAULT_GATEWAY = 192.168.1.100
rommon 4> TFTP_SERVER = 192.168.1.100
rommon 5> TFTP_FILE = c2600-i-mz.122-28.bin
rommon 6> tftpdnld 



Далее мы получим предупреждение что все данные будут потеряны, и чтобы продолжить нажимаем Y.

Флэш-файл будет загружен на маршрутизатор с TFTP-сервера.

После восстановления файла флэш-памяти выполните команду reset, чтобы перезагрузить роутер.

🔥Теперь маршрутизатор загрузится с новым образом IOS.

N.A. ℹ️ Help

Работа протокола BGP с IPv6

BGP был изначально разработан для поддержки множества различных протоколов и NLRI, включая IPv6, MPLS и VPN.

После освоения основ BGP, работа с этим протоколом в контексте IPv6 становится достаточно простой.

BGP позволяет использовать IPv4 в качестве "несущего" протокола для IPv6 NLRI.

Рассмотрим конфигурацию с двумя простыми маршрутизаторами.

Настройка IPv4 "перевозящего" IPv6 NLRI:

ATL#conf t
ATL(config)#ipv6 unicast-routing
ATL(config)#route-map IPV6NH permit 10
ATL(config-route-map)#set ipv6 next-hop 2001:1212:1212::1
ATL(config)#int lo 100
ATL(config-if)#ipv6 address 2001:1111:1111::/64 eui-64
ATL(config)#router bgp 200
ATL(config-router)#neighbor 10.10.10.2 remote-as 200
ATL(config-router)#address-family ipv4 unicast 
ATL(config-router-af)#neighbor 10.10.10.2 activate 
ATL(config-router)#address-family ipv6 unicast 
ATL(config-router-af)#neighbor 10.10.10.2 activate
ATL(config-router-af)#neighbor 10.10.10.2 route-map IPV6NH out
ATL(config-router-af)#network 2001:1111:1111::/64
ATL#end

Проверка конфигурации:

ATL#show ip bgp ipv6 unicast
ATL2#ping 2001:1111:1111:0:C801:6FF:FEDB:0

Для более "чистой" конфигурации можно использовать IPv6 для передачи информации IPv6 префикса.

Настройка BGP с IPv6:

ATL1#conf t
ATL1(config)#router bgp 200
ATL1(config-router)#bgp router-id 1.1.1.1
ATL1(config-router)#neighbor 2001:1212:1212::2 remote-as 200
ATL1(config-router)#address-family ipv6 unicast
ATL1(config-router-af)#neighbor 2001:1212:1212::2 activate
ATL1(config-router-af)#network 2001:1111:1111::/64
ATL1#end

Для проверки соседства BGP используйте команду show bgp ipv6 unicast summary.

BGP также поддерживает фильтрацию для IPv6, как и для IPv4.

Методы фильтрации включают списки префиксов, фильтрацию AS Path и route maps.

Фильтрация префиксов IPv6 в BGP:

ATL#conf t
ATL(config)#ipv6 prefix-list MYTEST deny 2001:1111:1111::/64
ATL(config)#ipv6 prefix-list MYTEST permit ::/0 le 128
ATL(config)#router bgp 200
ATL(config-router)#address-family ipv6 unicast
ATL(config-router-af)#neighbor 2001:1212:1212::2 prefix-list MYTEST out
ATL#end
ATL#clear ip bgp *

Эти примеры демонстрируют, как гибко и просто BGP может быть настроен для работы с IPv6, обеспечивая при этом эффективную маршрутизацию и безопасность.

N.A. ℹ️ Help

TKIP, CCMP и GCMP. Про безопасность Wi-Fi

Стандарт 802.11 поддерживал только один способ защиты данных, передаваемых по WI-FI, от перехвата - это WEP.

Какие же еще существуют способы шифрования и защиты данных при передаче по Wi-Fi?

⏺TKIP

В свое время WEP применялся на беспроводном оборудовании клиента и точки доступа, но он был сильно уязвим.

На смену WEP пришел протокол целостности временного ключа (Temporal Key Integrity Protocol (TKIP).

TKIP добавляет следующие функции безопасности на устаревшем оборудовании и при использовании базового шифрования WEP:

• MIC: этот эффективный алгоритм шифрования добавляет хэш-значение к каждому кадру в качестве проверки целостности сообщения, чтобы предотвратить подделку.
• Time stamp: метка времени добавляется в MIC, чтобы предотвратить атаки, которые пытаются повторно использовать или заменить кадры, которые уже были отправлены.
• Счетчик последовательностей TKIP: эта функция обеспечивает запись кадров, отправленных по уникальному MAC-адресу, чтобы предотвратить использование повторение кадров в качестве атаки.
• Алгоритм смешивания ключей: этот алгоритм вычисляет уникальный 128-битный WEP-ключ для каждого кадра.

До 2012 года протокол шифрования TKIP был достаточно безопасным методом защиты данных. Он применялся до тех пор, пока не появился стандарт 802.11i.

Злоумышленники не оставили в стороне протокол TKIP. Было создано много алгоритмов атак против TKIP, поэтому его тоже следует избегать, если есть более лучший метод защиты данных в беспроводных сетях.

⏺CCMP

Протокол Counter/CBC-MAC (CCMP) считается более безопасным, чем TKIP. 

CCMP состоит из двух алгоритмов:

• AES шифрование в режиме счетчика
• Cipher Block Chaining Message Authentication Code (CBC-MAC) используется в качестве проверки целостности сообщения (MIC)

Расширенный стандарт шифрования (AES)- это текущий алгоритм шифрования, принятый Национальным институтом стандартов и технологий США (NIST) и правительством США и широко используемый во всем мире.

Другими словами, AES является открытым, общедоступным и представляет собой самый безопасный метод шифрования на данный момент времени.

Для использования протокола защиты CCMP, необходимо убедиться, что устройства и точки доступа поддерживают режим счетчика AES и CBC-MAC на аппаратном уровне. 

⏺GCMP

Протокол Galois/Counter Mode Protocol (GCMP)- это надежный набор шифрования, который является более безопасным и эффективным, чем CCMP.

GCMP состоит из двух алгоритмов:

• AES шифрование в режиме счетчика
• Galois Message Authentication Code (GMAC) используется в качестве проверки целостности сообщения (MIC)
GCMP используется в WPA3.

N.A. ℹ️ Help

Типы LSA в OSPF

Link State Advertisements (LSA) — это объявления состояния канала, которые составляют основу работы OSPF, помогая создать карту сети с помощью алгоритма Дейкстры.

Рассмотрим основные типы LSA в OSPF:

⏺Router (Type 1) LSA: Type 1 LSA (также известный как Router LSA) используется для описания интерфейсов и соседей маршрутизатора внутри одной области. Он содержит информацию о всех интерфейсах маршрутизатора, участвующих в OSPF, и о его соседях, распространяется только внутри одной области.

⏺Network (Type 2) LSA: Type 2 LSA применяется на широковещательных сегментах для уменьшения количества смежностей. Он отправляется назначенным маршрутизатором (DR) и описывает все маршрутизаторы, подключенные к одному сегменту, помогая уменьшить хаос от большого количества смежных отношений.

⏺Summary (Type 3) LSA: Type 3 LSA используется для объявления префиксов из одной области в другую, обеспечивая полную достижимость внутри домена OSPF. Он распространяется маршрутизатором границы области (ABR) между областями, предоставляя информацию о префиксах, полученных из Type 1 и Type 2 LSA.

⏺ASBR Summary (Type 4) LSA: Type 4 LSA служит для уведомления маршрутизаторов в разных областях о существовании пограничного маршрутизатора автономной системы (ASBR). Эта Summary LSA предоставляет идентификатор маршрутизатора ASBR, а Area Border Router (ABR) отвечает за его распространение в другие области.

⏺External (Type 5) LSA: Type 5 LSA используется для распространения внешних префиксов, полученных из других доменов маршрутизации. Эти LSA создаются ASBR и передаются через ABR в другие области, обеспечивая маршрутизацию внешних префиксов.

⏺NSSA External (Type 7) LSA: Type 7 LSA используется в Not So Stubby Area (NSSA) для передачи внешних префиксов. В NSSA внешние префиксы передаются как Type 7 LSA. ABR преобразует их в Type 5 для распространения в другие области.

N.A. ℹ️ Help

Типы уязвимостей

Уязвимость — степень незащищенности, присущая каждой сети и устройству, включая маршрутизаторы, коммутаторы, настольные компьютеры, серверы и устройства безопасности.

Три основных типа уязвимостей: технологические, конфигурационные и уязвимости политики безопасности.

⏺Технологические уязвимости

• Уязвимости протоколов TCP/IP: Протоколы HTTP, FTP и ICMP ненадежны. SNMP и SMTP имеют небезопасную структуру.

• Уязвимости операционных систем: Все операционные системы, такие как UNIX, Linux, Mac OS, Windows Server 2012, Windows 7, Windows 8, имеют проблемы безопасности, задокументированные в архивах CERT.

• Уязвимости сетевого оборудования: Маршрутизаторы, брандмауэры и коммутаторы имеют недостатки безопасности, такие как слабая защита паролем и отсутствие аутентификации.

⏺Конфигурационные уязвимости

• Незащищенные учетные записи пользователей: Информация может передаваться небезопасно, подвергая риску имена пользователей и пароли.

• Пароли, которые легко подобрать: Неграмотно выбранные пароли легко взломать.

• Ошибки в конфигурации интернет-служб: Неправильные настройки JavaScript, терминальных служб, FTP или веб-серверов создают уязвимости.

• Незащищенные настройки по умолчанию: Настройки по умолчанию могут стать источником проблем с безопасностью.

• Ошибки в конфигурации сетевого оборудования: Неправильные списки доступа, протоколы маршрутизации или пароли SNMP создают дыры в безопасности.

⏺Уязвимости политики безопасности

• Отсутствие утвержденной политики безопасности: Без утвержденной политики невозможно обеспечить ее соблюдение.

• Конфликты политик безопасности: Сложности в согласованном применении политик.

• Отсутствие непрерывной аутентификации: Слабые пароли или использование паролей по умолчанию приводят к несанкционированному доступу.

• Не применяются логические элементы управления доступом: Плохой мониторинг и учет позволяют атаки и несанкционированное использование ресурсов.

• Несоответствие установки и модификации оборудования политике безопасности: Несанкционированные изменения топологии сети создают проблемы безопасности.

• Отсутствие плана аварийного восстановления: Атаки без плана восстановления приводят к хаосу и панике.

N.A. ℹ️ Help

Протоколы группы FHRP (First Hop Redundancy Protocols)

Протоколы группы FHRP предназначены для обеспечения высокой доступности и отказоустойчивости первого шага (first hop) в сетях, использующих маршрутизацию по умолчанию.

Они обеспечивают управление виртуальным IP-адресом, который может переходить с одного активного маршрутизатора на другой в случае отказа.

Рассмотрим основные протоколы этой группы: HSRP, VRRP и GLBP.

1️⃣ HSRP (Hot Standby Router Protocol)

HSRP является протоколом Cisco, предназначенным для обеспечения резервирования первого шага. 

Он позволяет группе маршрутизаторов выбрать один активный маршрутизатор и несколько резервных (standby) маршрутизаторов.

Активный маршрутизатор выполняет пересылку пакетов для виртуального IP-адреса, в то время как резервные маршрутизаторы остаются в готовности, ожидая перехода в активное состояние при отказе текущего активного маршрутизатора.

⏺Используется в средах Cisco для обеспечения отказоустойчивости шлюза по умолчанию.

⏺Поддерживает только один активный маршрутизатор, что может быть недостаточно для некоторых требований масштабируемости.

2️⃣ VRRP (Virtual Router Redundancy Protocol)

VRRP — это открытый стандартный протокол, который выполняет функции, аналогичные HSRP. 

Он позволяет нескольким маршрутизаторам объединиться в группу и выбрать один из них в качестве виртуального маршрутизатора.

Виртуальный маршрутизатор имеет свой собственный виртуальный IP-адрес, который перенаправляется на текущий активный маршрутизатор в группе.

⏺Широко используется в различных сетевых устройствах и операционных системах для обеспечения отказоустойчивости шлюза.

⏺Поддерживает концепцию мастер-соединения (master election), что позволяет легко масштабировать сеть с большим количеством маршрутизаторов.

3️⃣ GLBP (Gateway Load Balancing Protocol)

GLBP является проприетарным протоколом Cisco, который расширяет функциональность HSRP и VRRP.

Тем самым протокол позволяет активным маршрутизаторам распределять нагрузку между собой.

В GLBP несколько маршрутизаторов могут быть активными и выполнять балансировку нагрузки между собой, обеспечивая высокую доступность и использование ресурсов.

⏺Идеально подходит для сетей с высокой нагрузкой, где требуется равномерное распределение трафика между несколькими шлюзами.

⏺Поддерживает не только отказоустойчивость, но и улучшенную производительность сети за счет балансировки нагрузки.

N.A. ℹ️ Help

Протокол VXLAN (Virtual Extensible LAN)

Virtual Extensible LAN (VXLAN) — это сетевой туннельный протокол, разработанный для создания логически изолированных виртуальных сетей поверх существующей физической инфраструктуры.

Основные особенности и применение

⏺Расширение пространства VLAN: Традиционные VLAN ограничены 4096 уникальными идентификаторами (VLAN ID). VXLAN расширяет это пространство до 16 миллионов уникальных сегментов, что делает его подходящим для масштабных сетей и облачных сред, где требуется большое количество изолированных виртуальных сетей.

⏺Масштабируемость и гибкость: VXLAN использует туннельный механизм поверх существующей IP-сети (обычно IPv4), что позволяет легко масштабировать сеть без изменения физической инфраструктуры. Это особенно полезно для дата-центров, где требуется быстрое и гибкое развертывание виртуальных сетей.

⏺Поддержка мультикаста и широковещания: VXLAN поддерживает передачу мультикастового и широковещательного трафика, что необходимо для многих сетевых служб и протоколов. Это делает VXLAN подходящим выбором для виртуализованных сред, требующих передачи таких типов трафика.

Пример настройки VXLAN:

Рассмотрим пример настройки VXLAN-туннеля между двумя коммутаторами.

На коммутаторе A:

interface nve1
  no shutdown
  source-interface loopback0
  member vni 5000
    ingress-replication protocol static
    peer-ip 192.168.1.2

На коммутаторе B:

interface nve1
  no shutdown
  source-interface loopback0
  member vni 5000
    ingress-replication protocol static
    peer-ip 192.168.1.1

В этом примере IP-адреса 192.168.1.1 и 192.168.1.2 являются адресами исходных интерфейсов коммутаторов.

⚡️Используемый VNI (VXLAN Network Identifier) равен 5000, что позволяет идентифицировать виртуальную сеть.

Как мониторить SD-WAN

Реализация SD-WAN требует тщательного мониторинга сети. 

В этом посте мы рассмотрим ключевые проблемы SD-WAN и как мониторинг сети может помочь их преодолеть.

Исправление пути и аварийное переключение

SD-WAN автоматически корректирует пути и переключает трафик в случае аварии.

При наличии нескольких соединений (MPLS, широкополосное, LTE) маршрутизатор может перенаправлять трафик, обеспечивая надежность и качество.

Например, если один канал испытывает высокие задержки, маршрутизатор может использовать другой канал. 

Однако это может снизить общую производительность, особенно при дублировании пакетов.

Мониторинг помогает выявлять такие проблемы, предоставляя информацию о задержках, потере пакетов и полосе пропускания.

Сквозные сетевые тесты

Для эффективного устранения проблем важны сквозные сетевые тесты, которые включают:

• Задержка и потеря пакетов (пинг по ICMP или TCP)
• Джиттер для голосовой и видеосвязи (UDP iperf)
• Количество сетевых скачков и изменений пути (traceroute)
• Пропускная способность (iperf, NDT, speedtest)

Инструмент мониторинга должен учитывать весь путь трафика от пользователя до конечного пункта.

Решение включает активные агенты мониторинга, которые устанавливаются на периферии и собирают данные в реальном времени для анализа.

Мониторинг взаимодействия с конечным пользователем

Мониторинг взаимодействия с конечным пользователем включает:

• Время разрешения DNS
• Время загрузки HTTP
• Средняя оценка мнения (MOS) для VoIP
• Показатели производительности WiFi

Объединение активных и пассивных данных позволяет получить полное представление о производительности сети. 

Активные данные полезны для упреждающих предупреждений, а пассивные данные показывают использование полосы пропускания и производительность приложений.

⚡️Это помогает быстро решать проблемы, повышать производительность и удовлетворенность пользователей.

N.A. ℹ️ Help

Физическая защита

Не меньшее значение имеет физическая безопасность устройств. 

Злоумышленник может блокировать доступ к сетевым ресурсам, если их можно повредить на физическом уровне.

Имеется четыре класса угроз:

1️⃣ Угрозы для аппаратного обеспечения — физическое повреждение серверов, маршрутизаторов, коммутаторов, кабельных линий и рабочих станций.

2️⃣ Угрозы со стороны окружающей среды — предельные температуры (слишком высокие или слишком низкие) или крайние значения влажности (слишком низкая или слишком высокая).

3️⃣ Электрические угрозы — всплески напряжения, недостаточное напряжение в электрической сети (провалы напряжения), колебания напряжения (шум) и полное отключение электропитания.

4️⃣ Эксплуатационные угрозы — ненадлежащее обращение с ключевыми электрическими компонентами (электростатический разряд), нехватка важных запасных деталей, неправильная прокладка кабелей и ненадлежащая маркировка.

Хороший план физической безопасности должен быть создан и реализован для решения этих проблем.
Планирование физической системы безопасности в целях ограничения ущерба для оборудования.

⏺Поэтажный план безопасного компьютерного зала
⏺Планирование физической системы безопасности в целях ограничения ущерба для оборудования

Шаг 1. Блокирование оборудования и предотвращение несанкционированного доступа через двери, потолок, съемный пол, окна, вентиляционные и канализационные шахты
Шаг 2. Мониторинг и управление доступом к серверному шкафу с помощью электронной системы учета
Шаг 3. Использование камер системы безопасности

N.A. ℹ️ Help

Активация подключения по SSH на устройствах Cisco

Telnet упрощает удаленный доступ к устройствам, но не является безопасным, поскольку данные передаются в незашифрованном виде.

Для обеспечения безопасного удаленного доступа настоятельно рекомендуется использовать протокол SSH. 

Настройка SSH на устройствах Cisco выполняется в несколько этапов.

1️⃣ Настройка уникального имени хоста

Для начала задайте уникальное имя хоста для устройства, чтобы оно отличалось от имени по умолчанию:

Router(config)# hostname R1

2️⃣ Настройка имени IP-домена

Настройте имя IP-домена сети с помощью команды режима глобальной конфигурации:

R1(config)# ip domain name span.com

3️⃣ Генерация ключа для шифрования трафика SSH

SSH шифрует трафик между источником и получателем. Для этого необходимо создать уникальный ключ проверки подлинности:

R1(config)# crypto key generate rsa general-keys modulus 1024

В данном случае, размер ключа составляет 1024 бита. Чем больше значение бит, тем безопаснее ключ, но большее значение также требует больше времени для шифрования и расшифровки информации.

Минимальная рекомендуемая длина модуля — 1024 бит.

4️⃣ Создание записи в локальной базе данных

Создайте учетную запись пользователя в локальной базе данных:

R1(config)# username Bob secret cisco

Параметр secret используется для шифрования пароля с помощью MD5.

5️⃣ Аутентификация против локальной базы данных

Настройте строки vty для проверки подлинности в локальной базе данных:

R1(config)# line vty 0 4
R1(config-line)# login local

6️⃣ Включение входящих SSH-сеансов на линиях vty

Разрешите входящие SSH-сеансы на линиях vty:

R1(config-line)# transport input ssh

Теперь устройство настроено на использование SSH для безопасного удаленного доступа. Ниже представлен полный пример конфигурации:

Router# configure terminal
Router(config)# hostname R1
R1(config)# ip domain name span.com
R1(config)# crypto key generate rsa general-keys modulus 1024
The name for the keys will be: R1.span.com % The key modulus size is 1024 bits
% Generating 1024 bit RSA keys, keys will be non-exportable...[OK]
Dec 13 16:19:12.079: %SSH-5-ENABLED: SSH 1.99 has been enabled
R1(config)#
R1(config)# username Bob secret cisco
R1(config)# line vty 0 4
R1(config-line)# login local
R1(config-line)# transport input ssh
R1(config-line)# exit
R1(config)#

⚡️Эти шаги позволят вам настроить безопасное подключение по SSH на устройстве Cisco, обеспечивая шифрование и надежность передачи данных.

N.A. ℹ️ Help

Отключите неиспользуемые службы

Маршрутизаторы и коммутаторы Cisco запускаются с большим списком активных служб, которые могут потребоваться или не потребоваться при работе в сети.

Отключите все неиспользуемые службы, чтобы сохранить системные ресурсы, такие как ЦП и ОЗУ, и предотвратить использование этих служб злоумышленниками.

Тип служб, которые по умолчанию включен, зависит от версии IOS. Например, IOS-XE обычно имеет открытые только порты HTTPS и DHCP.

Это можно проверить с помощью команды show ip ports all, как показано в примере.

Router# show ip ports all
Proto Local Address               Foreign Address             State       PID/Program Name
TCB       Local Address               Foreign Address             (state)
tcp   :::443                     :::*                        LISTEN      309/[IOS]HTTP CORE
tcp   *:443                      *:*                         LISTEN      309/[IOS]HTTP CORE
udp   *:67                        0.0.0.0:0                               387/[IOS]DHCPD Receive
Router#



В версиях IOS, предшествующих IOS-XE, используется команда show control-plane host open-ports.

Мы упоминаем эту команду, потому что вы можете увидеть ее на старых устройствах. Выходные данные аналогичны.

Однако, обратите внимание, что этот старый маршрутизатор имеет небезопасный HTTP-сервер и работает Telnet.

Обе эти службы должны быть отключены. Как показано в примере, отключите HTTP командой no ip http server в режиме глобальной конфигурации.

Отключите Telnet, указав только SSH в команде конфигурации строки transport input ssh.

Router# 

show control-plane host open-ports

Active internet connections (servers and established)
Prot        Local Address      Foreign Address                  Service    State
 tcp                 *:23                  *:0                   Telnet   LISTEN
 tcp                 *:80                  *:0                HTTP CORE   LISTEN
 udp                 *:67                  *:0            DHCPD Receive   LISTEN
Router# configure terminal
Router(config)# 

no ip http server

Router(config)# 

line vty 0 15

Router(config-line)# 

transport input ssh

N.A. ℹ️ Help

Резервирование в небольшой сети

Обеспечение надежности сети — важный аспект при ее проектировании, особенно для малых предприятий, где сбой в работе сети может привести к значительным затратам.

Чтобы минимизировать риски и повысить надежность, необходимо предусмотреть резервирование, которое позволяет устранить единые точки отказа.

Способы резервирования

Резервирование в сети может осуществляться различными способами, включая резервное оборудование и резервные сетевые каналы на критически важных участках.

На схеме показаны следующие уровни резервирования:

⏺Резервные серверы: В случае сбоя сервера доступны резервные серверы, обеспечивающие непрерывность работы приложений и служб.

⏺Резервные связи: Каждый сервер имеет два подключения, ведущих к двум коммутаторам, что обеспечивает альтернативные пути в случае сбоя основного канала.

⏺Резервные коммутаторы: Два коммутатора подключены друг к другу и к серверам, обеспечивая резервирование на уровне коммутации.

⏺Резервные маршрутизаторы: Два маршрутизатора соединены друг с другом и с коммутаторами, предоставляя резервные маршруты и защищая сеть от сбоев маршрутизаторов.

Рекомендации для малых сетей

В небольших сетях часто имеется единая точка выхода в Интернет через один или несколько шлюзов по умолчанию.

Однако сбой в работе маршрутизатора может оставить всю сеть без подключения к Интернету. 

Для повышения надежности малым предприятиям рекомендуется приобрести пакет услуг у другого провайдера в качестве резервного соединения.

☄️ Это обеспечит дополнительный уровень безопасности и позволит сохранить доступ к критически важным ресурсам в случае сбоя основного провайдера.

N.A. ℹ️ Help

Протокол IS-IS

IS-IS (Intermediate System to Intermediate System) — это протокол внутренней маршрутизации (IGP), используемый для передачи маршрутов между маршрутизаторами в пределах одной автономной системы.

Он был разработан в 1980-х годах и является одним из ключевых протоколов в сетях больших операторов и провайдеров.

Преимущества IS-IS по сравнению с другими маршрутизирующими протоколами, такими как OSPF:

⏺Масштабируемость: IS-IS лучше справляется с масштабируемостью в больших сетях. Он способен поддерживать более крупные топологии с меньшим количеством проблем по сравнению с OSPF.

⏺Простота расширения для IPv6: В отличие от OSPF, который имеет отдельные версии для IPv4 и IPv6, IS-IS легко расширяется для поддержки IPv6 без необходимости создавать отдельный протокол.

⏺Отсутствие зависимости от IP-адресов: IS-IS работает на канальном уровне (L2) и не зависит от IP-адресов, что упрощает управление и конфигурирование в некоторых случаях.

⏺Гибкость в структуре сети: IS-IS может быть легко интегрирован в любые сетевые архитектуры, что делает его более универсальным в использовании.

Настройка IS-IS на маршрутизаторах и коммутаторах

Для настройки IS-IS на маршрутизаторах и коммутаторах Cisco следует выполнить следующие шаги

Активировать IS-IS и задать имя процесса:

Router(config)# router isis
Router(config-router)# net 49.0001.1921.6800.1001.00

Настроить IS-IS на интерфейсах:

Router(config)# interface GigabitEthernet0/0
Router(config-if)# ip router isis
Router(config-if)# isis network point-to-point

Установить метрику для интерфейсов (по желанию):

Router(config-if)# isis metric 10

Активировать IS-IS для IPv6 (если необходимо):

Router(config)# interface GigabitEthernet0/0
Router(config-if)# ipv6 router isis

Пример конфигурации для маршрутизатора R1:

Router# configure terminal
Router(config)# hostname R1
R1(config)# router isis
R1(config-router)# net 49.0001.1921.6800.1001.00
R1(config)# interface GigabitEthernet0/0
R1(config-if)# ip router isis
R1(config-if)# isis network point-to-point
R1(config-if)# exit
R1(config)# interface GigabitEthernet0/1
R1(config-if)# ip router isis
R1(config-if)# isis network point-to-point
R1(config-if)# exit

Проверка работы IS-IS

Для проверки корректной работы протокола IS-IS можно использовать следующие команды

Проверка таблицы маршрутизации IS-IS:

Router# show isis route

Просмотр соседей IS-IS:

Router# show isis neighbors

Просмотр базы данных IS-IS:

Router# show isis database

⚡️ Эти команды помогут убедиться, что IS-IS настроен правильно и работает в соответствии с ожиданиями, обеспечивая маршрутизацию в вашей сети.