Коммутатор Juniper и его базовая настройка

Компания Juniper является очень крупным производителем сетевого оборудования в мире - после Cisco and Huawei.

После того как вы купили, установили и скоммутировали новое оборудование, возникает вопрос о его правильной настройке.

Преимуществом коммутаторов от производителя Juniper, в основном, является возможность объединения до шести коммутаторов в одно единое устройство с надежным и удобным управлением портами, сохраняя стабильную и бесперебойную работу сети.

• Настройка сетевого интерфейса
• Настройка QoS (качество обслуживания)
• Virtual Chassis (объединение коммутаторов)
• Реализация возможности сброса до заводских настроек

Настроив данные компоненты, вы сможете реализовать работу сети с использованием в ней большого количества устройств для осуществления передачи трафика.

Настройка сетевого интерфейса

Интерфейс коммутатора отвечает за реализацию передачи данных между сетью и пользователем, что и является главной задачей коммутатора.

Его конфигурация осуществляется с помощью следующих строк кода:

root> configure
Entering configuration mode
[edit]
root# edit interfaces
[edit interfaces]
root#



Конфигурация L3:

[edit interfaces]
root

# set em0 unit 0 family inet address 100.0.0.1/30



Где: Em0 - физический интерфейс, а Family inet - позволяет выбрать протокол интерфейса.

Команда "show" позволит из Configuration Mode проверить результат вашей настройки:

[edit interfaces]
root# show
em0 {
unit 0 {
family inet {
address 100.0.0.1/30;
}
}
}
[edit interfaces]



Теперь примените настройки с помощью следующей команды:

root# commit
commit complete



С помощью команды ping осуществим проверку конфигурации:

root> ping 100.0.0.2 rapid
PING 100.0.0.2 (100.0.0.2): 56 data bytes
!!!!!
--- 100.0.0.2 ping statistics ---
5 packets transmitted, 5 packets received, 0% packet loss
round-trip min/avg/max/stddev = 0.402/0.719/1.306/0.343 ms



Конфигурация L2



root> configure
Entering configuration mode
[edit]
root# edit interfaces em0
[edit interfaces em0]

Необходимо задать дуплекс на интерфейсе:

[edit interfaces em0]
root# set link-mode full-duplex
[edit interfaces em0]
root#



L2 - устройства, работающие на канальном уровне, при этом коммутатором занимается фреймами. А L3 взаимодействуют с IP-адресами и осуществляют маршрутизацию.

☄️ Конфигурация L3 включает большее число параметров за счет расширенного функционала.

N.A. ℹ️ Help

3 полезных протокола для работы в сети

Сетевые протоколы играют ключевую роль в обеспечении обмена данными между устройствами в сети. 

Помимо хорошо известных протоколов, таких как TCP/IP, HTTP, и FTP, существуют менее известные, но не менее важные протоколы, которые могут значительно облегчить работу сетевых администраторов и улучшить производительность сети.

NTP (Network Time Protocol)

NTP — протокол для синхронизации времени на устройствах в сети.

Обеспечивает точность времени на всех устройствах.

Практическое применение:

⏺Синхронизация времени: Обеспечивает единое время на всех устройствах, что важно для логов и диагностики сетевых проблем.

⏺Безопасность: Помогает в обнаружении аномалий и несанкционированного доступа, фиксируя точное время событий.

⏺Координация действий: Необходим для работы некоторых сетевых приложений и протоколов, требующих синхронизации времени.

Команды на Cisco:

Switch(config)# ntp server 192.168.1.1
Switch# show ntp status

IGMP (Internet Group Management Protocol)

IGMP — протокол, используемый для управления группами мультикастинга в IP-сетях.

Он позволяет устройствам сообщать о своем желании присоединиться или покинуть мультикаст-группы.

⏺Эффективное использование полосы пропускания: Мультикаст позволяет отправлять данные группе получателей одновременно, снижая нагрузку на сеть.

⏺Стриминг и трансляции: Используется для приложений, требующих передачи данных множеству получателей, таких как видеотрансляции и аудиоконференции.

Команды на Cisco:

Switch(config)# ip igmp snooping
Switch# show ip igmp groups

VRRP (Virtual Router Redundancy Protocol)

VRRP — протокол, обеспечивающий резервирование маршрутизаторов.

Позволяет нескольким маршрутизаторам совместно использовать один виртуальный IP-адрес для повышения надежности сети.

⏺Обеспечение отказоустойчивости: В случае выхода из строя основного маршрутизатора, резервный маршрутизатор автоматически берет на себя его функции.

⏺Балансировка нагрузки: Распределение трафика между несколькими маршрутизаторами для улучшения производительности сети.

Команды на Cisco:

Router(config)# interface GigabitEthernet0/0
Router(config-if)# vrrp 1 ip 192.168.1.1
Router(config-if)# vrrp 1 priority 120
Router# show vrrp

N.A. ℹ️ Help

Исчерпание адресов: как решить?

Первая часть с частыми проблемами и их решением тут

⏺Исчерпание IP-адресов

Чтобы устранить эту проблему, используйте команду ipconfig. 

Если рабочая станция назначила себе IP-адрес, который начинается с 169.x.x.x, это означает, что IP-адрес не был доступен с сервера DHCP.

⏺Быстрое исправление

У некоторых пользователей проводного интернета может не быть локального маршрутизатора, и в этом случае IP-адреса назначаются на ограниченной основе непосредственно от вашего интернет-провайдера.

Возможно, у вас закончились разрешенные IP-адреса от вашего интернет-провайдера.

Решением этой проблемы является покупка либо автономного маршрутизатора, либо точки доступа WiFi со встроенным маршрутизатором.

Это создает ваш собственный локальный пул внутренних адресов, гарантируя, что вы не закончите.

Если у вас уже есть локальный маршрутизатор с DHCP, пул адресов по умолчанию может быть слишком мал для вашей сети.

Получив доступ к настройкам DHCP на маршрутизаторе, вы можете настроить размер пула адресов в соответствии с потребностями вашей сети.

⏺Превентивные меры

Важно, чтобы в любой сети, подключенной к Интернету, был локальный маршрутизатор, работающий с NAT и DHCP, как из соображений безопасности, так и для предотвращения исчерпания IP-адреса.

⚡️Маршрутизатор должен быть единственным устройством, подключенным к модему, а все остальные устройства подключаются через маршрутизатор.

N.A. ℹ️ Help

Восстановление образа маршрутизатора Cisco IOS

Что делать если у вас повредился образ операционной системы Cisco IOS вашего роутера?

Из этой неприятной ситуации есть выход, и я расскажу, что нужно сделать.

Процесс

Вы можете восстановить Cisco IOS, используя TFTP-сервер.

Поскольку IOS находится во флэш-памяти маршрутизатора, поэтому сначала необходимо создать резервную копию флэш-файла IOS на TFTP-сервере, а затем восстановить IOS из флэш-файла, который вы сохранили на TFTP-сервере.

Сначала выполните команду show flash, чтобы проверить имя файла флэш-памяти и скопировать имя файла.

Затем выполните следующие команды, чтобы создать резервную копию флэш-файла на TFTP-сервере.

Router#copy flash tftp
Address or name of remote host []? < type tftp server IP address >
Source filename []? < paste the flash file name >
Destination filename [c2600-i-mz.122-28.bin]? < press enter to accept the default file name >
Do you want to overwrite? [confirm] < press enter to overwrite the file >



Теперь перезагрузите роутер. Когда роутер будет загружаться, нажмите CTRL + Pause Break, чтобы войти в режим ROMMON.

Либо можно стереть flash память командой delete flash: и роутер будет автоматически переведен в режим ROMMON, поскольку флэш-память отсутствует.

Как только вы войдете в режим ROMMON, вы увидите приглашение:
rommon>

⏺В режиме ROMMON выполните следующие команды для восстановления Cisco IOS из режима ROMMON, где нужно указать сетевые настройки роутера, адрес TFTP сервера и имя файла, который вы загружаете как образ IOS.

В конце выполните команду tftpdnld.

rommon 1> IP_ADDRESS = 192.168.1.1
rommon 2> IP_SUBNET_MASK = 255.255.255.0
rommon 3> DEFAULT_GATEWAY = 192.168.1.100
rommon 4> TFTP_SERVER = 192.168.1.100
rommon 5> TFTP_FILE = c2600-i-mz.122-28.bin
rommon 6> tftpdnld 



Далее мы получим предупреждение что все данные будут потеряны, и чтобы продолжить нажимаем Y.

Флэш-файл будет загружен на маршрутизатор с TFTP-сервера.

После восстановления файла флэш-памяти выполните команду reset, чтобы перезагрузить роутер.

🔥Теперь маршрутизатор загрузится с новым образом IOS.

N.A. ℹ️ Help

Работа протокола BGP с IPv6

BGP был изначально разработан для поддержки множества различных протоколов и NLRI, включая IPv6, MPLS и VPN.

После освоения основ BGP, работа с этим протоколом в контексте IPv6 становится достаточно простой.

BGP позволяет использовать IPv4 в качестве "несущего" протокола для IPv6 NLRI.

Рассмотрим конфигурацию с двумя простыми маршрутизаторами.

Настройка IPv4 "перевозящего" IPv6 NLRI:

ATL#conf t
ATL(config)#ipv6 unicast-routing
ATL(config)#route-map IPV6NH permit 10
ATL(config-route-map)#set ipv6 next-hop 2001:1212:1212::1
ATL(config)#int lo 100
ATL(config-if)#ipv6 address 2001:1111:1111::/64 eui-64
ATL(config)#router bgp 200
ATL(config-router)#neighbor 10.10.10.2 remote-as 200
ATL(config-router)#address-family ipv4 unicast 
ATL(config-router-af)#neighbor 10.10.10.2 activate 
ATL(config-router)#address-family ipv6 unicast 
ATL(config-router-af)#neighbor 10.10.10.2 activate
ATL(config-router-af)#neighbor 10.10.10.2 route-map IPV6NH out
ATL(config-router-af)#network 2001:1111:1111::/64
ATL#end

Проверка конфигурации:

ATL#show ip bgp ipv6 unicast
ATL2#ping 2001:1111:1111:0:C801:6FF:FEDB:0

Для более "чистой" конфигурации можно использовать IPv6 для передачи информации IPv6 префикса.

Настройка BGP с IPv6:

ATL1#conf t
ATL1(config)#router bgp 200
ATL1(config-router)#bgp router-id 1.1.1.1
ATL1(config-router)#neighbor 2001:1212:1212::2 remote-as 200
ATL1(config-router)#address-family ipv6 unicast
ATL1(config-router-af)#neighbor 2001:1212:1212::2 activate
ATL1(config-router-af)#network 2001:1111:1111::/64
ATL1#end

Для проверки соседства BGP используйте команду show bgp ipv6 unicast summary.

BGP также поддерживает фильтрацию для IPv6, как и для IPv4.

Методы фильтрации включают списки префиксов, фильтрацию AS Path и route maps.

Фильтрация префиксов IPv6 в BGP:

ATL#conf t
ATL(config)#ipv6 prefix-list MYTEST deny 2001:1111:1111::/64
ATL(config)#ipv6 prefix-list MYTEST permit ::/0 le 128
ATL(config)#router bgp 200
ATL(config-router)#address-family ipv6 unicast
ATL(config-router-af)#neighbor 2001:1212:1212::2 prefix-list MYTEST out
ATL#end
ATL#clear ip bgp *

Эти примеры демонстрируют, как гибко и просто BGP может быть настроен для работы с IPv6, обеспечивая при этом эффективную маршрутизацию и безопасность.

N.A. ℹ️ Help

TKIP, CCMP и GCMP. Про безопасность Wi-Fi

Стандарт 802.11 поддерживал только один способ защиты данных, передаваемых по WI-FI, от перехвата - это WEP.

Какие же еще существуют способы шифрования и защиты данных при передаче по Wi-Fi?

⏺TKIP

В свое время WEP применялся на беспроводном оборудовании клиента и точки доступа, но он был сильно уязвим.

На смену WEP пришел протокол целостности временного ключа (Temporal Key Integrity Protocol (TKIP).

TKIP добавляет следующие функции безопасности на устаревшем оборудовании и при использовании базового шифрования WEP:

• MIC: этот эффективный алгоритм шифрования добавляет хэш-значение к каждому кадру в качестве проверки целостности сообщения, чтобы предотвратить подделку.
• Time stamp: метка времени добавляется в MIC, чтобы предотвратить атаки, которые пытаются повторно использовать или заменить кадры, которые уже были отправлены.
• Счетчик последовательностей TKIP: эта функция обеспечивает запись кадров, отправленных по уникальному MAC-адресу, чтобы предотвратить использование повторение кадров в качестве атаки.
• Алгоритм смешивания ключей: этот алгоритм вычисляет уникальный 128-битный WEP-ключ для каждого кадра.

До 2012 года протокол шифрования TKIP был достаточно безопасным методом защиты данных. Он применялся до тех пор, пока не появился стандарт 802.11i.

Злоумышленники не оставили в стороне протокол TKIP. Было создано много алгоритмов атак против TKIP, поэтому его тоже следует избегать, если есть более лучший метод защиты данных в беспроводных сетях.

⏺CCMP

Протокол Counter/CBC-MAC (CCMP) считается более безопасным, чем TKIP. 

CCMP состоит из двух алгоритмов:

• AES шифрование в режиме счетчика
• Cipher Block Chaining Message Authentication Code (CBC-MAC) используется в качестве проверки целостности сообщения (MIC)

Расширенный стандарт шифрования (AES)- это текущий алгоритм шифрования, принятый Национальным институтом стандартов и технологий США (NIST) и правительством США и широко используемый во всем мире.

Другими словами, AES является открытым, общедоступным и представляет собой самый безопасный метод шифрования на данный момент времени.

Для использования протокола защиты CCMP, необходимо убедиться, что устройства и точки доступа поддерживают режим счетчика AES и CBC-MAC на аппаратном уровне. 

⏺GCMP

Протокол Galois/Counter Mode Protocol (GCMP)- это надежный набор шифрования, который является более безопасным и эффективным, чем CCMP.

GCMP состоит из двух алгоритмов:

• AES шифрование в режиме счетчика
• Galois Message Authentication Code (GMAC) используется в качестве проверки целостности сообщения (MIC)
GCMP используется в WPA3.

N.A. ℹ️ Help

Типы LSA в OSPF

Link State Advertisements (LSA) — это объявления состояния канала, которые составляют основу работы OSPF, помогая создать карту сети с помощью алгоритма Дейкстры.

Рассмотрим основные типы LSA в OSPF:

⏺Router (Type 1) LSA: Type 1 LSA (также известный как Router LSA) используется для описания интерфейсов и соседей маршрутизатора внутри одной области. Он содержит информацию о всех интерфейсах маршрутизатора, участвующих в OSPF, и о его соседях, распространяется только внутри одной области.

⏺Network (Type 2) LSA: Type 2 LSA применяется на широковещательных сегментах для уменьшения количества смежностей. Он отправляется назначенным маршрутизатором (DR) и описывает все маршрутизаторы, подключенные к одному сегменту, помогая уменьшить хаос от большого количества смежных отношений.

⏺Summary (Type 3) LSA: Type 3 LSA используется для объявления префиксов из одной области в другую, обеспечивая полную достижимость внутри домена OSPF. Он распространяется маршрутизатором границы области (ABR) между областями, предоставляя информацию о префиксах, полученных из Type 1 и Type 2 LSA.

⏺ASBR Summary (Type 4) LSA: Type 4 LSA служит для уведомления маршрутизаторов в разных областях о существовании пограничного маршрутизатора автономной системы (ASBR). Эта Summary LSA предоставляет идентификатор маршрутизатора ASBR, а Area Border Router (ABR) отвечает за его распространение в другие области.

⏺External (Type 5) LSA: Type 5 LSA используется для распространения внешних префиксов, полученных из других доменов маршрутизации. Эти LSA создаются ASBR и передаются через ABR в другие области, обеспечивая маршрутизацию внешних префиксов.

⏺NSSA External (Type 7) LSA: Type 7 LSA используется в Not So Stubby Area (NSSA) для передачи внешних префиксов. В NSSA внешние префиксы передаются как Type 7 LSA. ABR преобразует их в Type 5 для распространения в другие области.

N.A. ℹ️ Help

Типы уязвимостей

Уязвимость — степень незащищенности, присущая каждой сети и устройству, включая маршрутизаторы, коммутаторы, настольные компьютеры, серверы и устройства безопасности.

Три основных типа уязвимостей: технологические, конфигурационные и уязвимости политики безопасности.

⏺Технологические уязвимости

• Уязвимости протоколов TCP/IP: Протоколы HTTP, FTP и ICMP ненадежны. SNMP и SMTP имеют небезопасную структуру.

• Уязвимости операционных систем: Все операционные системы, такие как UNIX, Linux, Mac OS, Windows Server 2012, Windows 7, Windows 8, имеют проблемы безопасности, задокументированные в архивах CERT.

• Уязвимости сетевого оборудования: Маршрутизаторы, брандмауэры и коммутаторы имеют недостатки безопасности, такие как слабая защита паролем и отсутствие аутентификации.

⏺Конфигурационные уязвимости

• Незащищенные учетные записи пользователей: Информация может передаваться небезопасно, подвергая риску имена пользователей и пароли.

• Пароли, которые легко подобрать: Неграмотно выбранные пароли легко взломать.

• Ошибки в конфигурации интернет-служб: Неправильные настройки JavaScript, терминальных служб, FTP или веб-серверов создают уязвимости.

• Незащищенные настройки по умолчанию: Настройки по умолчанию могут стать источником проблем с безопасностью.

• Ошибки в конфигурации сетевого оборудования: Неправильные списки доступа, протоколы маршрутизации или пароли SNMP создают дыры в безопасности.

⏺Уязвимости политики безопасности

• Отсутствие утвержденной политики безопасности: Без утвержденной политики невозможно обеспечить ее соблюдение.

• Конфликты политик безопасности: Сложности в согласованном применении политик.

• Отсутствие непрерывной аутентификации: Слабые пароли или использование паролей по умолчанию приводят к несанкционированному доступу.

• Не применяются логические элементы управления доступом: Плохой мониторинг и учет позволяют атаки и несанкционированное использование ресурсов.

• Несоответствие установки и модификации оборудования политике безопасности: Несанкционированные изменения топологии сети создают проблемы безопасности.

• Отсутствие плана аварийного восстановления: Атаки без плана восстановления приводят к хаосу и панике.

N.A. ℹ️ Help

Протоколы группы FHRP (First Hop Redundancy Protocols)

Протоколы группы FHRP предназначены для обеспечения высокой доступности и отказоустойчивости первого шага (first hop) в сетях, использующих маршрутизацию по умолчанию.

Они обеспечивают управление виртуальным IP-адресом, который может переходить с одного активного маршрутизатора на другой в случае отказа.

Рассмотрим основные протоколы этой группы: HSRP, VRRP и GLBP.

1️⃣ HSRP (Hot Standby Router Protocol)

HSRP является протоколом Cisco, предназначенным для обеспечения резервирования первого шага. 

Он позволяет группе маршрутизаторов выбрать один активный маршрутизатор и несколько резервных (standby) маршрутизаторов.

Активный маршрутизатор выполняет пересылку пакетов для виртуального IP-адреса, в то время как резервные маршрутизаторы остаются в готовности, ожидая перехода в активное состояние при отказе текущего активного маршрутизатора.

⏺Используется в средах Cisco для обеспечения отказоустойчивости шлюза по умолчанию.

⏺Поддерживает только один активный маршрутизатор, что может быть недостаточно для некоторых требований масштабируемости.

2️⃣ VRRP (Virtual Router Redundancy Protocol)

VRRP — это открытый стандартный протокол, который выполняет функции, аналогичные HSRP. 

Он позволяет нескольким маршрутизаторам объединиться в группу и выбрать один из них в качестве виртуального маршрутизатора.

Виртуальный маршрутизатор имеет свой собственный виртуальный IP-адрес, который перенаправляется на текущий активный маршрутизатор в группе.

⏺Широко используется в различных сетевых устройствах и операционных системах для обеспечения отказоустойчивости шлюза.

⏺Поддерживает концепцию мастер-соединения (master election), что позволяет легко масштабировать сеть с большим количеством маршрутизаторов.

3️⃣ GLBP (Gateway Load Balancing Protocol)

GLBP является проприетарным протоколом Cisco, который расширяет функциональность HSRP и VRRP.

Тем самым протокол позволяет активным маршрутизаторам распределять нагрузку между собой.

В GLBP несколько маршрутизаторов могут быть активными и выполнять балансировку нагрузки между собой, обеспечивая высокую доступность и использование ресурсов.

⏺Идеально подходит для сетей с высокой нагрузкой, где требуется равномерное распределение трафика между несколькими шлюзами.

⏺Поддерживает не только отказоустойчивость, но и улучшенную производительность сети за счет балансировки нагрузки.

N.A. ℹ️ Help

Протокол VXLAN (Virtual Extensible LAN)

Virtual Extensible LAN (VXLAN) — это сетевой туннельный протокол, разработанный для создания логически изолированных виртуальных сетей поверх существующей физической инфраструктуры.

Основные особенности и применение

⏺Расширение пространства VLAN: Традиционные VLAN ограничены 4096 уникальными идентификаторами (VLAN ID). VXLAN расширяет это пространство до 16 миллионов уникальных сегментов, что делает его подходящим для масштабных сетей и облачных сред, где требуется большое количество изолированных виртуальных сетей.

⏺Масштабируемость и гибкость: VXLAN использует туннельный механизм поверх существующей IP-сети (обычно IPv4), что позволяет легко масштабировать сеть без изменения физической инфраструктуры. Это особенно полезно для дата-центров, где требуется быстрое и гибкое развертывание виртуальных сетей.

⏺Поддержка мультикаста и широковещания: VXLAN поддерживает передачу мультикастового и широковещательного трафика, что необходимо для многих сетевых служб и протоколов. Это делает VXLAN подходящим выбором для виртуализованных сред, требующих передачи таких типов трафика.

Пример настройки VXLAN:

Рассмотрим пример настройки VXLAN-туннеля между двумя коммутаторами.

На коммутаторе A:

interface nve1
  no shutdown
  source-interface loopback0
  member vni 5000
    ingress-replication protocol static
    peer-ip 192.168.1.2

На коммутаторе B:

interface nve1
  no shutdown
  source-interface loopback0
  member vni 5000
    ingress-replication protocol static
    peer-ip 192.168.1.1

В этом примере IP-адреса 192.168.1.1 и 192.168.1.2 являются адресами исходных интерфейсов коммутаторов.

⚡️Используемый VNI (VXLAN Network Identifier) равен 5000, что позволяет идентифицировать виртуальную сеть.

Как мониторить SD-WAN

Реализация SD-WAN требует тщательного мониторинга сети. 

В этом посте мы рассмотрим ключевые проблемы SD-WAN и как мониторинг сети может помочь их преодолеть.

Исправление пути и аварийное переключение

SD-WAN автоматически корректирует пути и переключает трафик в случае аварии.

При наличии нескольких соединений (MPLS, широкополосное, LTE) маршрутизатор может перенаправлять трафик, обеспечивая надежность и качество.

Например, если один канал испытывает высокие задержки, маршрутизатор может использовать другой канал. 

Однако это может снизить общую производительность, особенно при дублировании пакетов.

Мониторинг помогает выявлять такие проблемы, предоставляя информацию о задержках, потере пакетов и полосе пропускания.

Сквозные сетевые тесты

Для эффективного устранения проблем важны сквозные сетевые тесты, которые включают:

• Задержка и потеря пакетов (пинг по ICMP или TCP)
• Джиттер для голосовой и видеосвязи (UDP iperf)
• Количество сетевых скачков и изменений пути (traceroute)
• Пропускная способность (iperf, NDT, speedtest)

Инструмент мониторинга должен учитывать весь путь трафика от пользователя до конечного пункта.

Решение включает активные агенты мониторинга, которые устанавливаются на периферии и собирают данные в реальном времени для анализа.

Мониторинг взаимодействия с конечным пользователем

Мониторинг взаимодействия с конечным пользователем включает:

• Время разрешения DNS
• Время загрузки HTTP
• Средняя оценка мнения (MOS) для VoIP
• Показатели производительности WiFi

Объединение активных и пассивных данных позволяет получить полное представление о производительности сети. 

Активные данные полезны для упреждающих предупреждений, а пассивные данные показывают использование полосы пропускания и производительность приложений.

⚡️Это помогает быстро решать проблемы, повышать производительность и удовлетворенность пользователей.

N.A. ℹ️ Help

Физическая защита

Не меньшее значение имеет физическая безопасность устройств. 

Злоумышленник может блокировать доступ к сетевым ресурсам, если их можно повредить на физическом уровне.

Имеется четыре класса угроз:

1️⃣ Угрозы для аппаратного обеспечения — физическое повреждение серверов, маршрутизаторов, коммутаторов, кабельных линий и рабочих станций.

2️⃣ Угрозы со стороны окружающей среды — предельные температуры (слишком высокие или слишком низкие) или крайние значения влажности (слишком низкая или слишком высокая).

3️⃣ Электрические угрозы — всплески напряжения, недостаточное напряжение в электрической сети (провалы напряжения), колебания напряжения (шум) и полное отключение электропитания.

4️⃣ Эксплуатационные угрозы — ненадлежащее обращение с ключевыми электрическими компонентами (электростатический разряд), нехватка важных запасных деталей, неправильная прокладка кабелей и ненадлежащая маркировка.

Хороший план физической безопасности должен быть создан и реализован для решения этих проблем.
Планирование физической системы безопасности в целях ограничения ущерба для оборудования.

⏺Поэтажный план безопасного компьютерного зала
⏺Планирование физической системы безопасности в целях ограничения ущерба для оборудования

Шаг 1. Блокирование оборудования и предотвращение несанкционированного доступа через двери, потолок, съемный пол, окна, вентиляционные и канализационные шахты
Шаг 2. Мониторинг и управление доступом к серверному шкафу с помощью электронной системы учета
Шаг 3. Использование камер системы безопасности

N.A. ℹ️ Help

Активация подключения по SSH на устройствах Cisco

Telnet упрощает удаленный доступ к устройствам, но не является безопасным, поскольку данные передаются в незашифрованном виде.

Для обеспечения безопасного удаленного доступа настоятельно рекомендуется использовать протокол SSH. 

Настройка SSH на устройствах Cisco выполняется в несколько этапов.

1️⃣ Настройка уникального имени хоста

Для начала задайте уникальное имя хоста для устройства, чтобы оно отличалось от имени по умолчанию:

Router(config)# hostname R1

2️⃣ Настройка имени IP-домена

Настройте имя IP-домена сети с помощью команды режима глобальной конфигурации:

R1(config)# ip domain name span.com

3️⃣ Генерация ключа для шифрования трафика SSH

SSH шифрует трафик между источником и получателем. Для этого необходимо создать уникальный ключ проверки подлинности:

R1(config)# crypto key generate rsa general-keys modulus 1024

В данном случае, размер ключа составляет 1024 бита. Чем больше значение бит, тем безопаснее ключ, но большее значение также требует больше времени для шифрования и расшифровки информации.

Минимальная рекомендуемая длина модуля — 1024 бит.

4️⃣ Создание записи в локальной базе данных

Создайте учетную запись пользователя в локальной базе данных:

R1(config)# username Bob secret cisco

Параметр secret используется для шифрования пароля с помощью MD5.

5️⃣ Аутентификация против локальной базы данных

Настройте строки vty для проверки подлинности в локальной базе данных:

R1(config)# line vty 0 4
R1(config-line)# login local

6️⃣ Включение входящих SSH-сеансов на линиях vty

Разрешите входящие SSH-сеансы на линиях vty:

R1(config-line)# transport input ssh

Теперь устройство настроено на использование SSH для безопасного удаленного доступа. Ниже представлен полный пример конфигурации:

Router# configure terminal
Router(config)# hostname R1
R1(config)# ip domain name span.com
R1(config)# crypto key generate rsa general-keys modulus 1024
The name for the keys will be: R1.span.com % The key modulus size is 1024 bits
% Generating 1024 bit RSA keys, keys will be non-exportable...[OK]
Dec 13 16:19:12.079: %SSH-5-ENABLED: SSH 1.99 has been enabled
R1(config)#
R1(config)# username Bob secret cisco
R1(config)# line vty 0 4
R1(config-line)# login local
R1(config-line)# transport input ssh
R1(config-line)# exit
R1(config)#

⚡️Эти шаги позволят вам настроить безопасное подключение по SSH на устройстве Cisco, обеспечивая шифрование и надежность передачи данных.

N.A. ℹ️ Help

Отключите неиспользуемые службы

Маршрутизаторы и коммутаторы Cisco запускаются с большим списком активных служб, которые могут потребоваться или не потребоваться при работе в сети.

Отключите все неиспользуемые службы, чтобы сохранить системные ресурсы, такие как ЦП и ОЗУ, и предотвратить использование этих служб злоумышленниками.

Тип служб, которые по умолчанию включен, зависит от версии IOS. Например, IOS-XE обычно имеет открытые только порты HTTPS и DHCP.

Это можно проверить с помощью команды show ip ports all, как показано в примере.

Router# show ip ports all
Proto Local Address               Foreign Address             State       PID/Program Name
TCB       Local Address               Foreign Address             (state)
tcp   :::443                     :::*                        LISTEN      309/[IOS]HTTP CORE
tcp   *:443                      *:*                         LISTEN      309/[IOS]HTTP CORE
udp   *:67                        0.0.0.0:0                               387/[IOS]DHCPD Receive
Router#



В версиях IOS, предшествующих IOS-XE, используется команда show control-plane host open-ports.

Мы упоминаем эту команду, потому что вы можете увидеть ее на старых устройствах. Выходные данные аналогичны.

Однако, обратите внимание, что этот старый маршрутизатор имеет небезопасный HTTP-сервер и работает Telnet.

Обе эти службы должны быть отключены. Как показано в примере, отключите HTTP командой no ip http server в режиме глобальной конфигурации.

Отключите Telnet, указав только SSH в команде конфигурации строки transport input ssh.

Router# 

show control-plane host open-ports

Active internet connections (servers and established)
Prot        Local Address      Foreign Address                  Service    State
 tcp                 *:23                  *:0                   Telnet   LISTEN
 tcp                 *:80                  *:0                HTTP CORE   LISTEN
 udp                 *:67                  *:0            DHCPD Receive   LISTEN
Router# configure terminal
Router(config)# 

no ip http server

Router(config)# 

line vty 0 15

Router(config-line)# 

transport input ssh

N.A. ℹ️ Help

Резервирование в небольшой сети

Обеспечение надежности сети — важный аспект при ее проектировании, особенно для малых предприятий, где сбой в работе сети может привести к значительным затратам.

Чтобы минимизировать риски и повысить надежность, необходимо предусмотреть резервирование, которое позволяет устранить единые точки отказа.

Способы резервирования

Резервирование в сети может осуществляться различными способами, включая резервное оборудование и резервные сетевые каналы на критически важных участках.

На схеме показаны следующие уровни резервирования:

⏺Резервные серверы: В случае сбоя сервера доступны резервные серверы, обеспечивающие непрерывность работы приложений и служб.

⏺Резервные связи: Каждый сервер имеет два подключения, ведущих к двум коммутаторам, что обеспечивает альтернативные пути в случае сбоя основного канала.

⏺Резервные коммутаторы: Два коммутатора подключены друг к другу и к серверам, обеспечивая резервирование на уровне коммутации.

⏺Резервные маршрутизаторы: Два маршрутизатора соединены друг с другом и с коммутаторами, предоставляя резервные маршруты и защищая сеть от сбоев маршрутизаторов.

Рекомендации для малых сетей

В небольших сетях часто имеется единая точка выхода в Интернет через один или несколько шлюзов по умолчанию.

Однако сбой в работе маршрутизатора может оставить всю сеть без подключения к Интернету. 

Для повышения надежности малым предприятиям рекомендуется приобрести пакет услуг у другого провайдера в качестве резервного соединения.

☄️ Это обеспечит дополнительный уровень безопасности и позволит сохранить доступ к критически важным ресурсам в случае сбоя основного провайдера.

N.A. ℹ️ Help

Протокол IS-IS

IS-IS (Intermediate System to Intermediate System) — это протокол внутренней маршрутизации (IGP), используемый для передачи маршрутов между маршрутизаторами в пределах одной автономной системы.

Он был разработан в 1980-х годах и является одним из ключевых протоколов в сетях больших операторов и провайдеров.

Преимущества IS-IS по сравнению с другими маршрутизирующими протоколами, такими как OSPF:

⏺Масштабируемость: IS-IS лучше справляется с масштабируемостью в больших сетях. Он способен поддерживать более крупные топологии с меньшим количеством проблем по сравнению с OSPF.

⏺Простота расширения для IPv6: В отличие от OSPF, который имеет отдельные версии для IPv4 и IPv6, IS-IS легко расширяется для поддержки IPv6 без необходимости создавать отдельный протокол.

⏺Отсутствие зависимости от IP-адресов: IS-IS работает на канальном уровне (L2) и не зависит от IP-адресов, что упрощает управление и конфигурирование в некоторых случаях.

⏺Гибкость в структуре сети: IS-IS может быть легко интегрирован в любые сетевые архитектуры, что делает его более универсальным в использовании.

Настройка IS-IS на маршрутизаторах и коммутаторах

Для настройки IS-IS на маршрутизаторах и коммутаторах Cisco следует выполнить следующие шаги

Активировать IS-IS и задать имя процесса:

Router(config)# router isis
Router(config-router)# net 49.0001.1921.6800.1001.00

Настроить IS-IS на интерфейсах:

Router(config)# interface GigabitEthernet0/0
Router(config-if)# ip router isis
Router(config-if)# isis network point-to-point

Установить метрику для интерфейсов (по желанию):

Router(config-if)# isis metric 10

Активировать IS-IS для IPv6 (если необходимо):

Router(config)# interface GigabitEthernet0/0
Router(config-if)# ipv6 router isis

Пример конфигурации для маршрутизатора R1:

Router# configure terminal
Router(config)# hostname R1
R1(config)# router isis
R1(config-router)# net 49.0001.1921.6800.1001.00
R1(config)# interface GigabitEthernet0/0
R1(config-if)# ip router isis
R1(config-if)# isis network point-to-point
R1(config-if)# exit
R1(config)# interface GigabitEthernet0/1
R1(config-if)# ip router isis
R1(config-if)# isis network point-to-point
R1(config-if)# exit

Проверка работы IS-IS

Для проверки корректной работы протокола IS-IS можно использовать следующие команды

Проверка таблицы маршрутизации IS-IS:

Router# show isis route

Просмотр соседей IS-IS:

Router# show isis neighbors

Просмотр базы данных IS-IS:

Router# show isis database

⚡️ Эти команды помогут убедиться, что IS-IS настроен правильно и работает в соответствии с ожиданиями, обеспечивая маршрутизацию в вашей сети.

Расширенная команда ping в Cisco IOS

Команда ping — это основной инструмент для проверки сетевой связи. 

В стандартном режиме она использует ближайший к цели интерфейс в качестве источника, что подходит для простых проверок.

Но что делать, если требуется более точная диагностика?

Стандартный ping

Когда вы выполняете стандартный ping, устройство использует IP-адрес ближайшего к цели интерфейса в качестве источника.

Например, если маршрутизатор R1 имеет интерфейсы G0/0/0 с IP-адресом 209.165.200.225 и G0/0/1 с IP-адресом 192.168.10.1, при выполнении команды ping 10.1.1.10 на R1 будет использоваться IP-адрес 209.165.200.225 в качестве источника пакетов.

Это удобно для большинства базовых проверок, но иногда нужно больше гибкости.

Расширенный ping

В Cisco IOS существует возможность использовать команду ping в расширенном режиме.

Этот режим позволяет настраивать различные параметры команды для создания специализированных запросов ping. 

Для перехода в этот режим введите команду ping в привилегированном режиме EXEC без указания IP-адреса назначения.

Далее вам будет предложено несколько подсказок для настройки расширенного режима ping.

Вот как это работает:

1️⃣ Введите ping в привилегированном режиме EXEC.

2️⃣ Система предложит ввести различные параметры, такие как целевой IP-адрес, количество повторений, размер датаграммы и другие.

3️⃣ Один из ключевых параметров — это IP-адрес источника. Вы можете указать конкретный IP-адрес или интерфейс, который будет использоваться для отправки ICMP эхо-запросов.

Пример настройки расширенного ping:

R1# ping
Protocol [ip]:
Target IP address: 10.1.1.10
Repeat count [5]:
Datagram size [100]:
Timeout in seconds [2]:
Extended commands [n]: y
Ingress ping [n]:
Source address or interface: 192.168.10.1
DSCP Value [0]:
Type of service [0]:
Set DF bit in IP header? [no]:
Validate reply data? [no]:
Data pattern [0x0000ABCD]:
Loose, Strict, Record, Timestamp, Verbose[none]:
Sweep range of sizes [n]:
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.1.1.10, timeout is 2 seconds:
Packet sent with a source address of 192.168.10.1
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/1 ms
R1#

Этот пример показывает, как можно настроить расширенный ping для использования IP-адреса источника 192.168.10.1.

🔥 Расширенный ping предоставляет более точную диагностику и помогает в выявлении проблем в сети, которые стандартный ping может пропустить.

N.A. ℹ️ Help

Базовый уровень сети

Одним из наиболее эффективных инструментов мониторинга и устранения неполадок с производительностью сети является определение базового уровня сети.

Эффективный базовый уровень производительности сети создается за определенный период времени.

Измерение производительности за различные периоды и с изменяемыми нагрузками позволяет составить более точную картину общей производительности сети.

Создание базового уровня

Выходные данные, полученные в результате использования сетевых команд, предоставляют данные для внесения в базовый уровень сети. 

Одним из способов создания базового уровня является копирование и вставка результатов выполнения команды ping, trace или любой другой соответствующей команды в текстовый файл.

В такие текстовые файлы можно добавить метку времени и дату, а затем сохранить их в архив для дальнейшего использования и сравнения.

Ключевые показатели

При создании базового уровня следует рассмотреть такие объекты, как сообщения об ошибках и значения времени отклика между узлами.

В случае значительного увеличения времени отклика может возникнуть проблема, связанная с задержкой.

👀 В следующем посте разберем на примерах

N.A. ℹ️ Help

Базовый уровень сети на практике

Продолжаем разбирать понятие базового уровня сети и сегодня разберем задержки.

Пример анализа данных ping

Например, следующий ping вывод был захвачен и вставлен в текстовый файл.

August 19, 2019 at 08:14:43

C:\Users\PC-A> ping 10.1.1.10
Pinging 10.1.1.10 with 32 bytes of data:
Reply from 10.1.1.10: bytes=32 time<1ms TTL=64
Reply from 10.1.1.10: bytes=32 time<1ms TTL=64
Reply from 10.1.1.10: bytes=32 time<1ms TTL=64
Reply from 10.1.1.10: bytes=32 time<1ms TTL=64
Ping statistics for 10.1.1.10:
    Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
    Minimum = 0ms, Maximum = 0ms, Average = 0ms
C:\Users\PC-A>

Обратите внимание, что время ping передачи в оба конца меньше 1 мс.

Через месяц пинг повторяется и захватывается.

September 19, 2019 at 10:18:21

C:\Users\PC-A> ping 10.1.1.10
Pinging 10.1.1.10 with 32 bytes of data:
Reply from 10.1.1.10: bytes=32 time=50ms TTL=64
Reply from 10.1.1.10: bytes=32 time=49ms TTL=64
Reply from 10.1.1.10: bytes=32 time=46ms TTL=64
Reply from 10.1.1.10: bytes=32 time=47ms TTL=64
Ping statistics for 10.1.1.10:
    Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
    Minimum = 46ms, Maximum = 50ms, Average = 48ms
C:\Users\PC-A>

⚡️ Обратите внимание на этот раз, что в команде ping время передачи в оба конца намного больше, что указывает на потенциальную проблему.

N.A. ℹ️ Help

Анализ протоколов

По мере роста сети становится важным определить, как управлять сетевым трафиком. 

Понимание типа и потока трафика, проходящего по сети, является ключевым для ее эффективного функционирования.

Для этого можно использовать различные инструменты управления сетью, одним из которых является анализатор протоколов, такой как Wireshark.

Пример использования Wireshark

Запуск Wireshark на нескольких ключевых узлах может выявить типы сетевого трафика, проходящего через сеть.

Например, статистика иерархии протоколов Wireshark для узла Windows в небольшой сети показывает, что хост использует протоколы IPv6 и IPv4.

В данных IPv4 видно, что хост использовал DNS, SSL, HTTP, ICMP и другие протоколы.

Рекомендации по захвату трафика

Чтобы определить характерные потоки трафика, важно:

Захватывать трафик в периоды пиковой нагрузки для получения надлежащего представления о различных типах трафика.

Выполнять захват в различных сегментах сети, так как некоторые типы трафика могут быть ограничены определенными сегментами.

Анализ и использование данных

Информация, собранная анализатором протоколов, оценивается на основе данных об источнике и получателе трафика, а также типа отправляемого трафика.

Результаты анализа можно использовать для принятия решений об эффективном управлении трафиком, например, путем уменьшения ненужных потоков или изменения режима потоков, перемещая сервер или службу в другой сегмент сети.

В отдельных случаях достаточно просто переместить сервер или службу, чтобы повысить производительность сети. 

🔥 В других случаях для оптимизации производительности может потребоваться серьезное вмешательство и перепроектирование сети.

N.A. ℹ️ Help