Telegram
Network Quiz
В чем отличие команд ip default gateway и ip route 0.0.0.0 0.0.0.0 на оборудовании Cisco?
Напишите свой вариант в комментариях
Напишите свой вариант в комментариях
📝 Разбор квиза: NQ Маршруты по умолчанию
Часто команда "
Команда "
#netquiz_explanation #netquiz_routing #netquiz_cisco
👤 Автор разбора квиза: Surgeon
Часто команда "
ip default-gateway" используется на оборудовании Cisco, которое не имеет функции маршрутизации: L2-коммутаторы.Команда "
ip route 0.0.0.0 0.0.0.0" используется на оборудовании с функцией маршрутизации: маршрутизаторы, L3-коммутаторы.#netquiz_explanation #netquiz_routing #netquiz_cisco
👤 Автор разбора квиза: Surgeon
TikTok
TikTok · ДОКТОРСОФТ✅️
327 likes, 120 comments. “итоги квиза”
📝 Разбор квиза: NQ Перекрестный кабель
Итоги квиза про пары устройств, которые соединены между собой кабелем 100BASE-T UTP и требуют использования перекрестного кабеля, который ДОКТОРСОФТ✅️ ранее задавала на нашем и своём канале, доступны в её TikTok-канале.
Также в видео были выбраны лучшие комментарии от каждого из каналов.
#netquiz_explanation #netquiz_cable
👤 Автор разбора квиза: doctorsoft.pro - канал про сетевое и системное администрирование в TikTok
Итоги квиза про пары устройств, которые соединены между собой кабелем 100BASE-T UTP и требуют использования перекрестного кабеля, который ДОКТОРСОФТ✅️ ранее задавала на нашем и своём канале, доступны в её TikTok-канале.
Также в видео были выбраны лучшие комментарии от каждого из каналов.
#netquiz_explanation #netquiz_cable
👤 Автор разбора квиза: doctorsoft.pro - канал про сетевое и системное администрирование в TikTok
👎5🔥5❤1
📝 Разбор квиза: NQ Адреса назначения
Рассмотрим промежуточные этапы, указанные желтым цветом в топологии квиза:
▶️ Промежуточный этап 1-2
PC1 собирается отправить пакет на SRV1. IP-адрес известен - 10.2.0.20. MAC-адрес нет.
При вычислении выявлено, что SRV1 находится в другой сети, поэтому пакет будет отправлен на шлюз - 10.0.0.1 (R1 Gi0/1). В качестве MAC-адреса назначения будет указан MAC-адрес на интерфейсе Gi0/1 маршрутизатора R1.
▶️ Промежуточный этап 3
Маршрутизатор R1 отбрасывает заголовок канального уровня (L2) и рассматривает заголовок сетевого уровня (L3). В пакете указан IP-адрес назначения - 10.2.0.20. В таблице маршрутизации будет указано, что сеть 10.2.0.0/24 доступна через интерфейс Gi0/0.
Поэтому, к пакету будет добавлен заголовок L2 с другими MAC-адресами. Источник - MAC-адрес на Gi0/0 R1, назначение - Gi0/0 R2.
▶️ Промежуточный этап 4-5
Маршрутизатор R2 при получении пакета делает то же самое, что и R1. Отбрасывает заголовок L2 и рассматривает заголовок L3. IP-адрес назначения 10.2.0.20 доступен через интерфейс Gi0/1.
Будет добавлен заголовок L2 с MAC-адресом SRV1 в качестве назначения.
Итог: в ходе всего пути пакета IP-адресация остается неизменной, MAC-адресация будет меняться при прохождении через оборудование L3.
#netquiz_explanation #netquiz_layers
👤 Автор разбора квиза: @nurkeynw
• Квиз:
С компьютера PC1 был отправлен пакет на SRV1. Какие будут MAC-адрес и IP-адрес назначения на промежуточном этапе 3?
Рассмотрим промежуточные этапы, указанные желтым цветом в топологии квиза:
▶️ Промежуточный этап 1-2
PC1 собирается отправить пакет на SRV1. IP-адрес известен - 10.2.0.20. MAC-адрес нет.
При вычислении выявлено, что SRV1 находится в другой сети, поэтому пакет будет отправлен на шлюз - 10.0.0.1 (R1 Gi0/1). В качестве MAC-адреса назначения будет указан MAC-адрес на интерфейсе Gi0/1 маршрутизатора R1.
MAC-адрес назначения - .DDD1
MAC-адрес источника - .AAAA
IP-адрес источника - 10.0.0.10
IP-адрес назначения - 10.2.0.20▶️ Промежуточный этап 3
Маршрутизатор R1 отбрасывает заголовок канального уровня (L2) и рассматривает заголовок сетевого уровня (L3). В пакете указан IP-адрес назначения - 10.2.0.20. В таблице маршрутизации будет указано, что сеть 10.2.0.0/24 доступна через интерфейс Gi0/0.
Поэтому, к пакету будет добавлен заголовок L2 с другими MAC-адресами. Источник - MAC-адрес на Gi0/0 R1, назначение - Gi0/0 R2.
MAC-адрес назначения - .EEE2
MAC-адрес источника - .DDD2
IP-адрес источника - 10.0.0.10
IP-адрес назначения - 10.2.0.20▶️ Промежуточный этап 4-5
Маршрутизатор R2 при получении пакета делает то же самое, что и R1. Отбрасывает заголовок L2 и рассматривает заголовок L3. IP-адрес назначения 10.2.0.20 доступен через интерфейс Gi0/1.
Будет добавлен заголовок L2 с MAC-адресом SRV1 в качестве назначения.
MAC-адрес назначения - .CCCC
MAC-адрес источника - .EEE3
IP-адрес источника - 10.0.0.10
IP-адрес назначения - 10.2.0.20Итог: в ходе всего пути пакета IP-адресация остается неизменной, MAC-адресация будет меняться при прохождении через оборудование L3.
#netquiz_explanation #netquiz_layers
👤 Автор разбора квиза: @nurkeynw
👍16❤5🤝4👌1
Попытка 2:
Такой пакет необходимо будет фрагментировать, чтобы передать через vlan200 на sw2, потому что MTU 1300 байт меньше, чем размер IP пакета. Sw2 получает пакет размера 1400 от sw1 и фрагментирует его.
Sw2 отправляет в сторону ПК:
🌼Фрагмент 1: 14 (ethernet заголовок) + 20 (IP заголовок) + 104 = 138 байт
🌼Фрагмент 2: 14 + 20 + 1276 = 1310 байт
Исходный пакет: 20 + 104 + 1276 = 1400 байт
В дампе мы можем видеть фрагментацию на примере пакетов 125-127.
Длина кадров под номерами 126-127 на 4 байта больше, чем выше в расчете, потому что в них присутствует тег 802.1q. Их вообще не должно быть видно на интерфейсе sw2 gi0/1, но, как выше было сказано, это особенности интерфейсов в eve-ng.
1️⃣ ⬇️ sw1 vlan100 (MTU: 1500)
2️⃣ ⬇️ sw1 Gi0/1 (MTU: 1500)
3️⃣ ⬇️ sw2 Gi0/1 (MTU: 1500)
4️⃣ ⬇️ sw2 vlan100 (MTU: 1500)
5️⃣ ⬇️⬇️ sw2 vlan200 (MTU: 1300)
6️⃣ ⬇️⬇️ sw2 Gi0/2 (MTU: 1500)
7️⃣ ⬇️⬇️✅ ПК Eth1 (MTU: 1300)
Попытка 3:
В команде указана опция df-bit, и в заголовке IP пакета бит Don't Fragment будет иметь значение 1.
Sw2, получив такой пакет, не сможет его фрагментировать и передать через интерфейс vlan200 и отправит источнику сообщение ICMP Destination Unreachable - fragmentation needed and DF set. Внутри этого сообщения есть указание Next hop MTU, которое используется в Path MTU Discovery (RFC1191). На скриншоте выше в дампе как раз видно, что Next hop MTU = 1300.
Когда Cisco получает такое ICMP-сообщение в ответ на ping, в выводе появляется буква M - она указывает на проблему с MTU (Could not fragment).
1️⃣ ⬇️ sw1 vlan100 (MTU: 1500)
2️⃣ ⬇️ sw1 Gi0/1 (MTU: 1500)
3️⃣ ⬇️ sw2 Gi0/1 (MTU: 1500)
4️⃣ ⬇️ sw2 vlan100 (MTU: 1500)
5️⃣ ❌ sw2 vlan200 (MTU: 1300)
6️⃣ sw2 Gi0/2 (MTU: 1500)
7️⃣ ПК Eth1 (MTU: 1300)
Некоторые моменты:
▫️ Речь идёт только об IPv4;
▫️ MTU - Maximum Transmission Unit - максимальный размер payload фрейма в байтах. Payload не включает в себя заголовки L2 (в данном примере это Ethernet, 802.1q)
▫️ Cisco при указании size в команде ping формирует IP-пакет указанного размера. То есть, если указали 64, то (IP заголовок + ICMP заголовок + данные) = 64 байта. Немного сравнения с поведением других ОС здесь.
▫️ Почему отправлено 5 пингов, но получено всего 3 сообщения ICMP Unreachable?
Для ICMP Unreachable есть rate-limit, который по умолчанию на Cisco равен 500 мс. Его можно проверить командой
#netquiz_explanation #netquiz_routing #netquiz_cisco
👤 Автор разбора квиза: @prinesite_popugaya
ping 172.10.200.2 size 1400Такой пакет необходимо будет фрагментировать, чтобы передать через vlan200 на sw2, потому что MTU 1300 байт меньше, чем размер IP пакета. Sw2 получает пакет размера 1400 от sw1 и фрагментирует его.
Sw2 отправляет в сторону ПК:
🌼Фрагмент 1: 14 (ethernet заголовок) + 20 (IP заголовок) + 104 = 138 байт
🌼Фрагмент 2: 14 + 20 + 1276 = 1310 байт
В дампе мы можем видеть фрагментацию на примере пакетов 125-127.
Длина кадров под номерами 126-127 на 4 байта больше, чем выше в расчете, потому что в них присутствует тег 802.1q. Их вообще не должно быть видно на интерфейсе sw2 gi0/1, но, как выше было сказано, это особенности интерфейсов в eve-ng.
1️⃣ ⬇️ sw1 vlan100 (MTU: 1500)
2️⃣ ⬇️ sw1 Gi0/1 (MTU: 1500)
3️⃣ ⬇️ sw2 Gi0/1 (MTU: 1500)
4️⃣ ⬇️ sw2 vlan100 (MTU: 1500)
5️⃣ ⬇️⬇️ sw2 vlan200 (MTU: 1300)
6️⃣ ⬇️⬇️ sw2 Gi0/2 (MTU: 1500)
7️⃣ ⬇️⬇️✅ ПК Eth1 (MTU: 1300)
Попытка 3:
ping 172.10.200.2 size 1400 df-bitВ команде указана опция df-bit, и в заголовке IP пакета бит Don't Fragment будет иметь значение 1.
Sw2, получив такой пакет, не сможет его фрагментировать и передать через интерфейс vlan200 и отправит источнику сообщение ICMP Destination Unreachable - fragmentation needed and DF set. Внутри этого сообщения есть указание Next hop MTU, которое используется в Path MTU Discovery (RFC1191). На скриншоте выше в дампе как раз видно, что Next hop MTU = 1300.
Когда Cisco получает такое ICMP-сообщение в ответ на ping, в выводе появляется буква M - она указывает на проблему с MTU (Could not fragment).
1️⃣ ⬇️ sw1 vlan100 (MTU: 1500)
2️⃣ ⬇️ sw1 Gi0/1 (MTU: 1500)
3️⃣ ⬇️ sw2 Gi0/1 (MTU: 1500)
4️⃣ ⬇️ sw2 vlan100 (MTU: 1500)
5️⃣ ❌ sw2 vlan200 (MTU: 1300)
6️⃣ sw2 Gi0/2 (MTU: 1500)
7️⃣ ПК Eth1 (MTU: 1300)
Некоторые моменты:
▫️ Речь идёт только об IPv4;
▫️ MTU - Maximum Transmission Unit - максимальный размер payload фрейма в байтах. Payload не включает в себя заголовки L2 (в данном примере это Ethernet, 802.1q)
▫️ Cisco при указании size в команде ping формирует IP-пакет указанного размера. То есть, если указали 64, то (IP заголовок + ICMP заголовок + данные) = 64 байта. Немного сравнения с поведением других ОС здесь.
▫️ Почему отправлено 5 пингов, но получено всего 3 сообщения ICMP Unreachable?
Для ICMP Unreachable есть rate-limit, который по умолчанию на Cisco равен 500 мс. Его можно проверить командой
show ip icmp rate-limit.#netquiz_explanation #netquiz_routing #netquiz_cisco
👤 Автор разбора квиза: @prinesite_popugaya
🔥10👍4❤1
Telegram
Network Quiz
Какой механизм используется в Ethernet для согласования скорости передачи и режима дуплекса между двумя устройствами?
CSMA/CD / Auto-Negotiation / ARP / Ethernet OAM
CSMA/CD / Auto-Negotiation / ARP / Ethernet OAM
📝 Разбор квиза: NQ Согласование параметров Ethernet
Auto-Negotiation – это механизм, определенный стандартом IEEE 802.3u, который позволяет автоматизированно согласовать между двумя подключаемыми устройствами их рабочие параметры, такие как скорость и режим дуплекса (duplex mode). Вместо передачи служебных пакетов, в этом процессе используются специальные сигнальные импульсы, известные как Fast Link Pulses (FLP bursts).
Подробно механизм работает следующим образом:
1️⃣ Инициализация соединения
При установлении физической связи каждое устройство начинает периодически отправлять FLP bursts. Эти короткие импульсные сигналы предназначены для уведомления соседа о текущих возможностях устройства.
2️⃣ Обмен информацией о возможностях
Каждый FLP burst содержит зашифрованную информацию о поддерживаемых скоростях (например, 10 Mbps, 100 Mbps, 1 Gbps) и режимах дуплекса (half или full duplex). Получая такие сигналы от другого устройства, оборудование фиксирует список возможностей для дальнейшего сопоставления.
3️⃣ Алгоритм выбора общих параметров
После обмена информацией устройства сопоставляют свои возможности. Алгоритм Auto-Negotiation выбирает наибольшую общую конфигурацию, зачастую отдавая предпочтение более высокой скорости и full-duplex режиму, если оба устройства это поддерживают. Это обеспечивает оптимальное использование физического канала без необходимости ручной настройки.
4️⃣ Установка параметров
Как только общий набор параметров найден, оба устройства «перезагружают» свои интерфейсы с выбранными настройками, обеспечивая корректное функционирование канала связи. При этом процесс происходит автоматически, без вмешательства администратора.
#netquiz_explanation #netquiz_ethernet
👤 Автор разбора квиза: @europeiz
Auto-Negotiation – это механизм, определенный стандартом IEEE 802.3u, который позволяет автоматизированно согласовать между двумя подключаемыми устройствами их рабочие параметры, такие как скорость и режим дуплекса (duplex mode). Вместо передачи служебных пакетов, в этом процессе используются специальные сигнальные импульсы, известные как Fast Link Pulses (FLP bursts).
Подробно механизм работает следующим образом:
1️⃣ Инициализация соединения
При установлении физической связи каждое устройство начинает периодически отправлять FLP bursts. Эти короткие импульсные сигналы предназначены для уведомления соседа о текущих возможностях устройства.
2️⃣ Обмен информацией о возможностях
Каждый FLP burst содержит зашифрованную информацию о поддерживаемых скоростях (например, 10 Mbps, 100 Mbps, 1 Gbps) и режимах дуплекса (half или full duplex). Получая такие сигналы от другого устройства, оборудование фиксирует список возможностей для дальнейшего сопоставления.
3️⃣ Алгоритм выбора общих параметров
После обмена информацией устройства сопоставляют свои возможности. Алгоритм Auto-Negotiation выбирает наибольшую общую конфигурацию, зачастую отдавая предпочтение более высокой скорости и full-duplex режиму, если оба устройства это поддерживают. Это обеспечивает оптимальное использование физического канала без необходимости ручной настройки.
4️⃣ Установка параметров
Как только общий набор параметров найден, оба устройства «перезагружают» свои интерфейсы с выбранными настройками, обеспечивая корректное функционирование канала связи. При этом процесс происходит автоматически, без вмешательства администратора.
#netquiz_explanation #netquiz_ethernet
👤 Автор разбора квиза: @europeiz
🔥10👍2❤1🤓1
Telegram
Network Quiz
Какой диапазон IPv6 Unicast адресов зарезервирован для Unique Local IPv6-адресов (ULA)?
fc00::/7 / fe80::/10 / ::/80 / 2000::/3
fc00::/7 / fe80::/10 / ::/80 / 2000::/3
📝 Разбор квиза: NQ Unique Local IPv6
Рассмотрим все типы IPv6 Unicast адресов:
▫️ Global Unicast -
Аналогичен публичным адресам IPv4, которые маршрутизируются в Интернете. В настоящее время для Global Unicast могут использоваться только первые три бита IPv6-адреса (001).
▫️ Link-Local -
Используются для связи внутри одного канала и не маршрутизируются за пределы этого канала. Могут генерироваться или устанавливаться вручную на оборудовании IPv6. Генерация производится либо рандомно, либо с помощью метода EUI-64.
▫️ Loopback -
Для проверки стека протоколов TCP/IP на сетевом адаптере, или другими словами - для отправки пакета самому себе. Адрес не может быть назначен на физический интерфейс.
▫️ Unspecified -
Не должен назначаться на интерфейс и может быть использован только в качестве IPv6-адреса источника в пакете IPv6. Такая ситуация может возникнуть в случае, если пакет будет сгенерирован устройством, ещё не изучившим свой IPv6-адрес.
▫️ Unique Local -
Есть что-то схожее с частными (private) IP-адресами, которые не маршрутизируются в Интернете и используются только внутри локальной сети. Но нюанс в том, что Unique Local IPv6-адрес не может быть преобразован в Global Unicast. Например, такой адрес можно назначить устройству, который должен быть доступен внутри локальной сети, но которому никогда не нужно выходить в Интернет.
▫️ Embedded IPv4 -
Используются для перехода с IPv4 на IPv6. В поле IPv6-адреса последние 32 бита выделены под IPv4-адрес.
#netquiz_explanation #netquiz_ipv6_address
👤 Автор разбора квиза: @nurkeynw
Источники: RFC 4291, IANA, Cisco Press
Рассмотрим все типы IPv6 Unicast адресов:
▫️ Global Unicast -
2000::/3Аналогичен публичным адресам IPv4, которые маршрутизируются в Интернете. В настоящее время для Global Unicast могут использоваться только первые три бита IPv6-адреса (001).
▫️ Link-Local -
fe80::/10Используются для связи внутри одного канала и не маршрутизируются за пределы этого канала. Могут генерироваться или устанавливаться вручную на оборудовании IPv6. Генерация производится либо рандомно, либо с помощью метода EUI-64.
▫️ Loopback -
::1/128Для проверки стека протоколов TCP/IP на сетевом адаптере, или другими словами - для отправки пакета самому себе. Адрес не может быть назначен на физический интерфейс.
▫️ Unspecified -
::/128Не должен назначаться на интерфейс и может быть использован только в качестве IPv6-адреса источника в пакете IPv6. Такая ситуация может возникнуть в случае, если пакет будет сгенерирован устройством, ещё не изучившим свой IPv6-адрес.
▫️ Unique Local -
fc00::/7Есть что-то схожее с частными (private) IP-адресами, которые не маршрутизируются в Интернете и используются только внутри локальной сети. Но нюанс в том, что Unique Local IPv6-адрес не может быть преобразован в Global Unicast. Например, такой адрес можно назначить устройству, который должен быть доступен внутри локальной сети, но которому никогда не нужно выходить в Интернет.
▫️ Embedded IPv4 -
::/80Используются для перехода с IPv4 на IPv6. В поле IPv6-адреса последние 32 бита выделены под IPv4-адрес.
#netquiz_explanation #netquiz_ipv6_address
👤 Автор разбора квиза: @nurkeynw
Источники: RFC 4291, IANA, Cisco Press
👍11
📝 Разбор квизов от Сергея Бочарникова
NQ Link-local в сетях ЦОДов
💡Где нашла применение технология link-local в сетях ЦОДов?
С помощью BGP unnumbered можно автоматизировать настройку пиров и упростить тем самым конфигурацию BGP. Реализуется это с помощью link-local адресов и RFC 8950, которое позволяет анонсировать IPv4-адреса поверх IPv6-адресов.
NQ Технология FlowSpec
💡С помощью какого протокола реализована технология FlowSpec?
С помощью BGP, т.к. это одно из его расширений (AFI/SAFI 1/133 и 1/134), которое позволяет с помощью аттрибута extcommunity передавать пиру информацию по необходимым параметрам QoS и тем самым реализовывать защиту от DDoS атак. Более детально описана в RFC 8955.
#netquiz_explanation #netquiz_technologies
👤 Автор разбора квиза: @like_a_bus
Сергей Бочарников - автор канала @like_a_bus_channel. Он пишет о сетевых технологиях, с акцентом на ЦОДы, IP/MPLS и автоматизацию. Рекомендуем к подписке 👍🏻
NQ Link-local в сетях ЦОДов
💡Где нашла применение технология link-local в сетях ЦОДов?
С помощью BGP unnumbered можно автоматизировать настройку пиров и упростить тем самым конфигурацию BGP. Реализуется это с помощью link-local адресов и RFC 8950, которое позволяет анонсировать IPv4-адреса поверх IPv6-адресов.
NQ Технология FlowSpec
💡С помощью какого протокола реализована технология FlowSpec?
С помощью BGP, т.к. это одно из его расширений (AFI/SAFI 1/133 и 1/134), которое позволяет с помощью аттрибута extcommunity передавать пиру информацию по необходимым параметрам QoS и тем самым реализовывать защиту от DDoS атак. Более детально описана в RFC 8955.
#netquiz_explanation #netquiz_technologies
👤 Автор разбора квиза: @like_a_bus
👍4🔥4❤2
Telegram
Network Quiz
Взгляните на топологию и описание квиза выше 👆🏻
Какой будет next-hop на SW1/2 в vrf RED в сторону подсети 192.168.0.0/24?
10.0.0.3 / 10.0.0.4 / 172.16.0.1 / 172.16.0.2
Какой будет next-hop на SW1/2 в vrf RED в сторону подсети 192.168.0.0/24?
10.0.0.3 / 10.0.0.4 / 172.16.0.1 / 172.16.0.2
📝 Разбор квиза: NQ Next-hop
Казалось бы, в качестве next-hop на коммутаторах SW1/2 в vrf RED в сторону подсети 192.168.0.0/24 должен быть выбран маршрут eBGP, т.к. его AD ниже, чем у OSPF на оборудовании Cisco (
Но сравнение AD идет после того, как в пределах RIB каждого протокола будет выбран лучший маршрут.
В таблице BGP лучшим выбирается локальный, полученный редистрибьюцией из OSPF. Его LP=100 и ему назначен Weight 32768. AD локального BGP выше OSPF (
#netquiz_explanation #netquiz_routing #netquiz_cisco
👤 Автор разбора квиза: @ikiliikkuja
Казалось бы, в качестве next-hop на коммутаторах SW1/2 в vrf RED в сторону подсети 192.168.0.0/24 должен быть выбран маршрут eBGP, т.к. его AD ниже, чем у OSPF на оборудовании Cisco (
20>110). Но сравнение AD идет после того, как в пределах RIB каждого протокола будет выбран лучший маршрут.
В таблице BGP лучшим выбирается локальный, полученный редистрибьюцией из OSPF. Его LP=100 и ему назначен Weight 32768. AD локального BGP выше OSPF (
200>110).SW2# sh ip route 192.168.0.0 vrf RED
IP Route Table for VRF "RED"
'*' denotes best ucast next-hop
'**' denotes best mcast next-hop
'[x/y]' denotes [preference/metric]
'%string' in via output denotes VRF 'string'
192.168.0.0/24, ubest/mbest: 1/0
*via 10.0.0.4, Vlan10, [110/90], 6d14h, ospf-1, intra
SW2# sh ip bgp 192.168.0.0/24 longer-prefixes vrf RED
BGP routing table information for VRF RED, address family IPv4 Unicast
BGP table version is 295, Local Router ID is 10.0.0.2
Status: s-suppressed, x-deleted, S-stale, d-dampened, h-history, *-valid, >-best
Path type: i-internal, e-external, c-confed, l-local, a-aggregate, r-redist, I-injected
Origin codes: i - IGP, e - EGP, ? - incomplete, | - multipath, & - backup, 2 - best2
Network Next Hop Metric LocPrf Weight Path
*>r192.168.0.0/24 0.0.0.0 90 100 32768 ?
SW2# sh ip bgp 192.168.0.0/24 vrf RED
BGP routing table information for VRF RED, address family IPv4 Unicast
BGP routing table entry for 192.168.0.0/24, version 292
Paths: (1 available, best #1)
Flags: (0x80c0002) (high32 0x000020) on xmit-list, is not in urib, exported
vpn: version 194855, (0x00000000100002) on xmit-list
Advertised path-id 1, VPN AF advertised path-id 1
Path type: redist, path is valid, is best path, no labeled nexthop, is extd
AS-Path: NONE, path locally originated
0.0.0.0 (metric 0) from 0.0.0.0 (10.0.0.2)
Origin incomplete, MED 90, localpref 100, weight 32768
#netquiz_explanation #netquiz_routing #netquiz_cisco
👤 Автор разбора квиза: @ikiliikkuja
🔥5❤1💯1
Telegram
Network Quiz
При каком условии DNS переходит с UDP на TCP для передачи данных?
Высокая загрузка DNS-сервера / Если DNS запрос или ответ превышает определённый размер в байтах / Наличие необходимости в аутентификации клиента / Выполнение запросов с нестандартных портов
Высокая загрузка DNS-сервера / Если DNS запрос или ответ превышает определённый размер в байтах / Наличие необходимости в аутентификации клиента / Выполнение запросов с нестандартных портов
✍️ Разбор квиза: NQ TCP/UDP в DNS
Всем известно, что DNS работает по UDP на порту 53. Но IANA для DNS выделила 53 порт и для UDP, и для TCP. Зачем для DNS протокол TCP и когда он работает поверх UDP?
Напомним, что в отличие от TCP, у UDP нет функции сегментации трафика при превышении MTU, что ведёт к фрагментации такого трафика и проблемам. Более того, размер UDP датаграммы ограничен 512 байтами (хотя современная реализация протокола и позволяет использовать больший размер, DNS по умолчанию до сих пор использует ограничение в 512 байт).
Становится очевидным, что DNS переключается на TCP при превышении размера ответа в 512 байт. Как и когда это происходит?
1️⃣ По умолчанию, запрос передачи зоны AXFR работает поверх TCP, так как необходимо передать большое количество данных.
2️⃣ При отсутствии EDNS0, при превышении ответа в 512 байт, сервер отправляет неполный ответ с флагом TC (truncated), тем самым заставляя клиента переключиться на TCP. Подобного типа ответы могут быть на запрос записей типа TXT, для работы DNSSec. Пример:
В дампе можно увидеть ТС=1 и переключение клиента на TCP. Значение +bufsize=0 отключает EDNS0 на стороне клиента.
3️⃣ При наличии опции EDNS0, клиент отправляет информацию о том, что он готов принять больший размер датаграммы, что значительно снижает вероятность переключения на TCP.
В этом случае сервис переключается на TCP, если размер ответа превышает значение размера, отправленного клиентом.
#netquiz_explanation #netquiz_dns
Источники: RFC 5966, RFC 1123, RFC 2671, RFC 5625
👤 Автор разбора квиза: Surgeon
Всем известно, что DNS работает по UDP на порту 53. Но IANA для DNS выделила 53 порт и для UDP, и для TCP. Зачем для DNS протокол TCP и когда он работает поверх UDP?
Напомним, что в отличие от TCP, у UDP нет функции сегментации трафика при превышении MTU, что ведёт к фрагментации такого трафика и проблемам. Более того, размер UDP датаграммы ограничен 512 байтами (хотя современная реализация протокола и позволяет использовать больший размер, DNS по умолчанию до сих пор использует ограничение в 512 байт).
Становится очевидным, что DNS переключается на TCP при превышении размера ответа в 512 байт. Как и когда это происходит?
1️⃣ По умолчанию, запрос передачи зоны AXFR работает поверх TCP, так как необходимо передать большое количество данных.
2️⃣ При отсутствии EDNS0, при превышении ответа в 512 байт, сервер отправляет неполный ответ с флагом TC (truncated), тем самым заставляя клиента переключиться на TCP. Подобного типа ответы могут быть на запрос записей типа TXT, для работы DNSSec. Пример:
dig google.com +trace +bufsize=0В дампе можно увидеть ТС=1 и переключение клиента на TCP. Значение +bufsize=0 отключает EDNS0 на стороне клиента.
3️⃣ При наличии опции EDNS0, клиент отправляет информацию о том, что он готов принять больший размер датаграммы, что значительно снижает вероятность переключения на TCP.
В этом случае сервис переключается на TCP, если размер ответа превышает значение размера, отправленного клиентом.
#netquiz_explanation #netquiz_dns
Источники: RFC 5966, RFC 1123, RFC 2671, RFC 5625
👤 Автор разбора квиза: Surgeon
👏14✍1❤1👌1
📝 Разбор квиза: NQ Конфигурация BGP
На схеме изображены два маршрутизатора Cisco R1 и R2, подключенные друг к другу. На интерфейсе Gi0/0 на R1 прописан IP-адрес 10.10.10.1/24, на R2 - 10.10.10.2/24.
Конфигурация BGP на R1:
На R2:
Когда запускаешь BGP без явного указания address-family, Cisco автоматически активирует IPv4 Unicast для всех соседей. Но на маршрутизаторе R1 прописана команда
Поэтому BGP-сессия не поднимется. Необходимо на R1 добавить явную команду
#netquiz_explanation #netquiz_bgp #netquiz_cisco
👤 Автор разбора квиза: author
На схеме изображены два маршрутизатора Cisco R1 и R2, подключенные друг к другу. На интерфейсе Gi0/0 на R1 прописан IP-адрес 10.10.10.1/24, на R2 - 10.10.10.2/24.
Конфигурация BGP на R1:
router bgp 100
bgp log-neighbor-changes
no bgp default ipv4-unicast
neighbor 10.10.10.2 remote-as 200
neighbor 10.10.10.2 description R2
!
address-family ipv4
exit-address-family
На R2:
router bgp 200
bgp log-neighbor-changes
neighbor 10.10.10.1 remote-as 100
neighbor 10.10.10.1 description R1
Когда запускаешь BGP без явного указания address-family, Cisco автоматически активирует IPv4 Unicast для всех соседей. Но на маршрутизаторе R1 прописана команда
no bgp default ipv4-unicast, которая отключает активацию IPv4 Unicast для соседей.Поэтому BGP-сессия не поднимется. Необходимо на R1 добавить явную команду
neighbor 10.10.10.2 activate внутри address-family ipv4.#netquiz_explanation #netquiz_bgp #netquiz_cisco
👤 Автор разбора квиза: author
🔥13👍2
Telegram
Network Quiz
Взгляните на топологию, описание квиза и варианты ответов выше 👆🏻
Что пошло не так? (приветствуются размышления в комментариях)
Вариант 1 / Вариант 2 / Вариант 3
Что пошло не так? (приветствуются размышления в комментариях)
Вариант 1 / Вариант 2 / Вариант 3
📝 Разбор квиза: NQ Подключение сервера
На СХД оба таргета обслуживаются единым IP-стеком.
Так как оба инициатора на сервере и оба таргета на СХД принадлежат к одной подсети, то даже когда интерфейс с адресом 10.0.0.2 сервера обращается к 10.0.0.4 на СХД, ответ СХД с адреса 10.0.0.4 уйдет с интерфейса iscsitrg1 - у них одинаковы все метрики, все маршруты, но у этого интерфейса при прочих равных меньше IP-адрес.
Это, впрочем, не является гарантированным и универсальным поведением, но оно является весьма возможным и более вероятным, если СХД построена на ОС общего назначения типа Linux, без дополнительной настройки правил машрутизации.
Автор встречал такое поведение на NAS производства QNAP и Synology, на системах Debian и RHEL.
Так что хорошей практикой будет разносить IP-адреса первого и второго пути по разным подсетям.
#netquiz_explanation #netquiz_server
👤 Автор разбора квиза: @rm_chik
На СХД оба таргета обслуживаются единым IP-стеком.
Так как оба инициатора на сервере и оба таргета на СХД принадлежат к одной подсети, то даже когда интерфейс с адресом 10.0.0.2 сервера обращается к 10.0.0.4 на СХД, ответ СХД с адреса 10.0.0.4 уйдет с интерфейса iscsitrg1 - у них одинаковы все метрики, все маршруты, но у этого интерфейса при прочих равных меньше IP-адрес.
Это, впрочем, не является гарантированным и универсальным поведением, но оно является весьма возможным и более вероятным, если СХД построена на ОС общего назначения типа Linux, без дополнительной настройки правил машрутизации.
Автор встречал такое поведение на NAS производства QNAP и Synology, на системах Debian и RHEL.
Так что хорошей практикой будет разносить IP-адреса первого и второго пути по разным подсетям.
#netquiz_explanation #netquiz_server
👤 Автор разбора квиза: @rm_chik
🔥8❤2😱1
📝 Разбор квиза
Promiscuous mode позволяет сетевому интерфейсу принимать фреймы с любым DST_MAC, но стек TCP/IP по-прежнему проверяет MAC-адрес на уровне L2.
Если DST_MAC не совпадает с адресом интерфейса или мультикаст/бродкаст, фрейм принимается только драйвером, фиксируется в AF_PACKET и статистике интерфейса, но не передаётся в IP-стек: маршрутизация не выполняется, iptables/netfilter его не видит.
#netquiz_explanation #netquiz_system #netquiz_linux
👤 Автор разбора квиза: @merura
#netquiz_explanation #netquiz_system #netquiz_linux
👤 Автор разбора квиза: @merura
👍26🤔6
📝 Разбор квиза
Атрибуты пути BGP:
1️⃣ Well-known mandatory:
▫️ AS Path
▫️ Next-hop
▫️ Origin
2️⃣ Well-known discretionary:
▫️ Local preference
▫️ Atomic aggregate
3️⃣ Optional transitive:
▫️ Aggregator
▫️ Community
4️⃣ Optional non-transitive:
▫️ MED (Multi-exit discriminator)
▫️ Originator ID
▫️ Cluster list
#netquiz_explanation #netquiz_bgp
Источник: xgu.ru
👤 Автор разбора квиза: @nurkeynw
▫️ Next-hop
▫️ Origin
▫️ Atomic aggregate
▫️ Community
▫️ Originator ID
▫️ Cluster list
#netquiz_explanation #netquiz_bgp
Источник: xgu.ru
👤 Автор разбора квиза: @nurkeynw
🔥6👍5
📝 Разбор квиза
Как известно, MAC-адрес состоит из 6 байт, или 48 бит. Для человеческого удобства он представлен в виде шестнадцатеричных значений, где каждое его значение занимает 4 бита.
Для определения принадлежности MAC-адреса нужно проанализировать первый байт MAC-адреса - CC, или в двоичной системе 11001100.
7️⃣-й бит MAC-адреса определяет, является ли MAC-адрес глобально уникальным или локально администрируемым:
▫️ Значение 0 - глобально уникальный адрес
Если MAC-адрес является глобально уникальным, то он будет вшитым в устройство. Выданным компанией-производителем.
▫️ 1 - локально администрируемый адрес
Локально администрируемый MAC-адрес изменяется вручную или программно. Этот адрес будет поверх глобально уникального адреса на устройстве. Например, в том же сетевом адаптере Windows можно это сделать.
В случае с примером из вопроса, MAC-адрес является глобально уникальным адресом, т.к. 7-й бит равен 0.
8️⃣-й бит - определяет принадлежность MAC-адреса к unicast или multicast адресам:
▫️ 0 - unicast адрес
Передача данных для одного устройства.
▫️ 1 - multicast адрес
Передача данных для устройств, которые состоят в группе multicast.
MAC-адрес из примера - unicast, т.к. 8-й бит равен 0.
А теперь вопрос навскидку, а как определить какого производителя этот MAC-адрес?
#netquiz_explanation #netquiz_mac_address
Источник: RFC 7042
👤 Автор разбора квиза: @nurkeynw
Если MAC-адрес является глобально уникальным, то он будет вшитым в устройство. Выданным компанией-производителем.
Локально администрируемый MAC-адрес изменяется вручную или программно. Этот адрес будет поверх глобально уникального адреса на устройстве. Например, в том же сетевом адаптере Windows можно это сделать.
Передача данных для одного устройства.
Передача данных для устройств, которые состоят в группе multicast.
#netquiz_explanation #netquiz_mac_address
Источник: RFC 7042
👤 Автор разбора квиза: @nurkeynw
👍7🔥3❤1😱1
📝 Разбор квиза
Использовалась команда reload at / reload in, задающая перезагрузку устройства через заданный интервал времени.
Если после настройки все было в порядке, можно было отменить перезагрузку командой reload cancel и сохранить текущую конфигурацию в загрузочную.
#netquiz_explanation #netquiz_commands #netquiz_cisco
👤 Автор разбора квиза: @rm_chik
Для самопроверки просим прочитать разбор квиза после ответа на сам квиз.
#netquiz_explanation #netquiz_commands #netquiz_cisco
👤 Автор разбора квиза: @rm_chik
🔥6
📝 Разбор квиза
Выбор корневого моста (Root Bridge) основан на Bridge ID, который включает в себя приоритет, номер VLAN и MAC-адрес. Рассмотрим, как выглядит поле Bridge ID:
▫️Приоритет - 2 байта;
▫️MAC-адрес - 6 байт.
Приоритет включает в себя:
▫️4-х битное значение приоритета, кратное 4096;
▫️12 битное значение расширенного идентификатора системы или, иначе, номер VLAN.
Выбор корневого моста основывается на:
1️⃣ шаг - на основе наименьшего приоритета;
2️⃣ шаг - на основе наименьшего MAC-адреса, если значения приоритета равны.
На выбор корневого моста на основе приоритета претендуют коммутаторы SW1 и SW4. В итоге корневым мостом будет коммутатор SW1, т.к. у него значение MAC-адреса меньше.
❔Вопрос для обсуждения: Если значение приоритета должно быть кратно 4096, то почему у корневного моста приоритет равен 5006?
#netquiz_explanation #netquiz_stp
👤 Автор разбора квиза: @nurkeynw
Для самопроверки просим прочитать разбор квиза после ответа на сам квиз.
▫️MAC-адрес - 6 байт.
▫️12 битное значение расширенного идентификатора системы или, иначе, номер VLAN.
#netquiz_explanation #netquiz_stp
👤 Автор разбора квиза: @nurkeynw
❤6
📝Разбор квиза
S-terra имеет 3 оболочки конфигурации:
1️⃣ Linux-подобная оболочка (базовый доступ к ОС при входе);
2️⃣ FRR (Free Range Routing) – оболочка для настройки маршрутизации (аналогично Zebra/Quagga);
3️⃣ Cisco-like CLI – интерфейс, похожий на Cisco IOS, для настройки VPN и сетевых параметров.
#netquiz_explanation #netquiz_security #netquiz_sterra
👤 Автор разбора квиза: @blessed_bogdan
Для самопроверки просим прочитать разбор квиза после ответа на сам квиз.
#netquiz_explanation #netquiz_security #netquiz_sterra
👤 Автор разбора квиза: @blessed_bogdan
❤1
📝 Разбор квиза
Для ограничения скорости применяются два инструмента QoS:
1️⃣ Policing - ограничивает скорость путём сбрасывания лишнего трафика.
2️⃣ Shaping - ограничивает скорость путём буферизации лишнего трафика.
На изображении ниже видно, как работают оба инструмента.
Разница между ними в том, что policing отбросит все пакеты, которые превышают лимит, а shaping поместит их в буфер и отправит с задержкой.
Также shaping более ресурсоемкая операция, так как размер буферов ограничен и массово не используется.
#netquiz_explanation #netquiz_qos
Источник изображения: Cisco
👤 Автор разбора квиза: @nurkeynw
Для самопроверки просим прочитать разбор квиза после ответа на сам квиз.
Источник изображения: Cisco
👤 Автор разбора квиза: @nurkeynw
👍8❤2
📝 Разбор квиза
Начинающий сетевой инженер корректно настроил Port Security, согласно требованиям от старшего инженера, но упустил одну незначительную, но важную деталь.
Пройдёмся по требованиям Port Security, взяв за основу конфигурацию на интерфейсе FastEthernet 0/10 на коммутаторе SW1_FL15:
▫️Максимальное количество MAC-адресов - 2
Команда switchport port-security maximum 2 соответствует требованиям. По умолчанию на Cisco IOS максимальное количество MAC-адресов - 1.
▫️MAC-адреса должны изучаться динамически и сохраняться в startup-config
Согласно настроенной команде switchport port-security mac-address sticky MAC-адреса изучаются динамически на интерфейсе и будут в startup-config, если конфигурация будет сохранена (write memory). По умолчанию на Cisco IOS MAC-адреса изучаются динамически и они удаляются после перезагрузки коммутатора.
▫️При нарушении порт должен отключаться
Явной команды для отключения порта при нарушении безопасности нет, т.к. она используется по умолчанию при конфигурации Port Security на интерфейсе - switchport port-security violation shutdown. При нарушении безопасности порт будет переведен в состояние err-disable.
❔Вопрос на засыпку: Как выйти из состояния err-disable?
Что же забыл начинающий сетевой инженер? Какую деталь он упустил?
Вышеперечисленные команды не работают и лишь будут “висеть” на конфигурации Cisco из-за того, что не хватает команды для активации Port Security - switchport port-security.
Полностью конфигурация должна выглядеть таким образом:
SW1_FL15#show running-config interface FastEthernet0/10
interface FastEthernet0/10
switchport mode access
switchport access vlan 20
switchport port-security
switchport port-security maximum 2
switchport port-security mac-address sticky
Не забываем себя перепроверять и расти как специалисты!
#netquiz_explanation #netquiz_port_security #netquiz_cisco
👤 Автор разбора квиза: @nurkeynw
Для самопроверки просим прочитать разбор квиза после ответа на сам квиз.
interface FastEthernet0/10
switchport mode access
switchport access vlan 20
switchport port-security
switchport port-security maximum 2
switchport port-security mac-address sticky
#netquiz_explanation #netquiz_port_security #netquiz_cisco
👤 Автор разбора квиза: @nurkeynw
❤22
📝 Разбор квиза
Ключ -t задает TTL.
Запуская последовательно
ping -t 1 destination-ip
ping -t 2 destination-ip
ping -t 3 destination-ip
....
ping -t N destination-ip
можно получать сообщения TTL expired от всех попутных маршрутизаторов. Собственно, так и работает утилита traceroute.
#netquiz_explanation #netquiz_utility #netquiz_linux
👤 Автор разбора квиза: @rm_chik
Для самопроверки просим прочитать разбор квиза после ответа на сам квиз.
ping -t 2 destination-ip
ping -t 3 destination-ip
....
ping -t N destination-ip
#netquiz_explanation #netquiz_utility #netquiz_linux
👤 Автор разбора квиза: @rm_chik
🔥17