Атаки доступа

В сетевом администрировании атаки доступа (Access Attacks) представляют собой серьёзную угрозу для безопасности корпоративных сетей. 

Эти атаки направлены на несанкционированное получение доступа к системам, данным или ресурсам.

В результате успешной атаки злоумышленник может перехватывать данные, изменять конфигурации системы или использовать ресурсы сети в своих интересах.

Одними из наиболее распространенных видов атак доступа являются:

1️⃣ Brute Force — метод, при котором злоумышленник пытается подобрать пароль, перебирая различные комбинации. Этот вид атаки эффективен против плохо защищённых систем, где используются слабые пароли.

2️⃣ Phishing — атака, направленная на получение конфиденциальной информации (логины, пароли) путём обмана пользователя. Обычно это происходит через поддельные веб-страницы или электронные письма, имитирующие настоящие сервисы.

3️⃣ Privilege Escalation — атака, при которой злоумышленник, получив доступ к системе с ограниченными правами, пытается расширить свои полномочия, чтобы получить доступ к критически важным ресурсам сети.

4️⃣ Man-in-the-Middle (MITM) — атака, при которой злоумышленник перехватывает трафик между двумя сторонами, не подозревающими о его присутствии. Это позволяет ему получить доступ к передаваемой информации или изменить её.

N.A. ℹ️ Help

Разведывательные атаки

Разведывательные атаки (Reconnaissance Attacks) — это первый шаг злоумышленников перед проведением более сложных атак. 

Их цель — собрать как можно больше информации о целевой системе или сети, чтобы выявить уязвимости, которые можно использовать в дальнейшем.

Основные методы разведывательных атак включают:

⏺Сканирование портов: Злоумышленник сканирует сеть на наличие открытых портов, чтобы определить, какие сервисы или приложения запущены на целевых устройствах. Это позволяет выяснить, какие из них могут быть уязвимы для дальнейших атак.

⏺Сбор информации о DNS: Атака на DNS-сервисы включает в себя сбор информации о доменных именах, IP-адресах, структуре сети и других данных, связанных с DNS-записями. Это помогает злоумышленникам понять архитектуру сети и выявить потенциальные точки входа.

⏺Поиск уязвимых сервисов: Используя автоматизированные инструменты, злоумышленники сканируют сеть на предмет устаревших или неправильно настроенных сервисов, которые могут иметь известные уязвимости. Эти сервисы становятся основными целями для последующих атак.

⏺Социальная инженерия: Сбор информации через обман сотрудников или пользователей сети — ещё один способ разведки. Например, злоумышленник может представиться сотрудником IT-отдела, чтобы получить доступ к конфиденциальной информации.

N.A. ℹ️ Help

Протокол EIGRP

Протокол EIGRP (Enhanced Interior Gateway Routing Protocol) — это проприетарное решение от Cisco, предназначенное для внутренней маршрутизации.

EIGRP значительно улучшает возможности своих предшественников, таких как RIP (Routing Information Protocol) и IGRP (Interior Gateway Routing Protocol). 

В основе EIGRP лежит продвинутый алгоритм DUAL (Diffusing Update Algorithm), который обеспечивает быструю сходимость и оптимальный выбор маршрута.

Одним из ключевых преимуществ EIGRP является его гибридная природа: он сочетает в себе функции как дистанционно-векторного протокола, так и протокола состояния канала.

EIGRP поддерживает CIDR (бесклассовая адресация) и VLSM (маска подсети переменной длины), что делает его идеальным для сложных сетевых инфраструктур.

Протокол также отличается высокой масштабируемостью и эффективным предотвращением петель в сети, гарантируя надежность маршрутизации.

Компоненты EIGRP:

⏺Обнаружение соседей: Маршрутизаторы Cisco используют небольшие пакеты «Hello» для проверки доступности соседних маршрутизаторов. В случае отсутствия ответа маршрутизатор считается неактивным.
⏺Reliable Transport Protocol (RTP): Обеспечивает надежную доставку сообщений соседям маршрутизаторам, как в юникаст, так и в мультикаст режимах.
⏺DUAL алгоритм: Используется для расчета и отслеживания маршрутов без петель, определяя наилучшие пути на основе метрик.
⏺Дополнительные модули протокола: Например, IP-EIGRP, который взаимодействует с DUAL для вычисления маршрутов и инкапсуляции EIGRP-пакетов в IP-пакеты.

N.A. ℹ️ Help

Протокол EIGRP: Таблицы маршрутизации

Продолжая обсуждение EIGRP, важно рассмотреть работу таблиц маршрутизации в этом протоколе. 

Каждое устройство в сети, поддерживающее EIGRP, ведет несколько таблиц для хранения маршрутов и их метрик, что обеспечивает высокую гибкость и точность маршрутизации.

1️⃣ Таблица соседей

Первая из них — таблица соседей. В этой таблице хранятся сведения обо всех маршрутизаторах, к которым устройство имеет прямое подключение. Каждая запись содержит информацию о времени последнего полученного пакета «Hello», что позволяет маршрутизатору быстро выявить недоступных соседей и исключить их из дальнейшей маршрутизации.

2️⃣ Таблица топологии

Таблица топологии содержит информацию обо всех возможных маршрутах, которые известны данному маршрутизатору через его соседей. В этой таблице хранятся как действующие маршруты, так и запасные (feasible successors), что позволяет протоколу быстро переключаться на альтернативный маршрут в случае сбоя основного. Это достигается благодаря алгоритму DUAL, который постоянно оценивает метрики маршрутов и выбирает оптимальный.

3️⃣ Таблица маршрутизации

Наконец, таблица маршрутизации содержит только те маршруты, которые выбраны как лучшие и будут использоваться для передачи данных. Из таблицы топологии в таблицу маршрутизации попадают только те маршруты, которые имеют наилучшие метрики и соответствуют критериям, установленным протоколом.

Эти три таблицы работают в связке, обеспечивая высокую скорость сходимости сети, надежность маршрутизации и отсутствие петель, что делает EIGRP одним из самых эффективных протоколов для внутренних сетей.

N.A. ℹ️ Help

Атаки на отказ в обслуживании (DoS)

Атаки на отказ в обслуживании (DoS) представляют собой один из наиболее распространенных типов угроз в сетевой безопасности.

В отличие от атак доступа и разведывательных атак, цель DoS-атак — вывести из строя сервисы и ресурсы сети, сделав их недоступными для пользователей.

⏺Принцип работы

DoS-атака основывается на перегрузке системы запросами, что приводит к истощению критических ресурсов, таких как процессорное время, память или пропускная способность. В результате этого система не может обрабатывать новые запросы и становится недоступной для легитимных пользователей.

⏺Типы атак DoS

Классический пример атаки на отказ в обслуживании — это UDP-флуд, когда атакующий отправляет большое количество ненужных пакетов данных на сервер, создавая перегрузку. Еще один пример — TCP SYN-флуд, при котором злоумышленник отправляет множество запросов на установление соединения, которые остаются незавершенными, блокируя новые подключения.

⏺Последствия

Последствия DoS-атак могут быть весьма серьезными: от временной недоступности сервисов до полного паралича критически важных систем. Это может привести к значительным финансовым потерям, снижению доверия клиентов и долгосрочным проблемам с восстановлением нормальной работы сети.

N.A. ℹ️ Help

Tiger: мощный инструмент для повышения безопасности

В 1992 году Техасский Университет A&M начал разработку Tiger, стремясь улучшить безопасность компьютерных систем кампуса. 

С тех пор Tiger стал одним из самых популярных решений для обеспечения безопасности на Unix-подобных платформах.

Уникальность Tiger заключается в том, что это не только средство аудита безопасности, но и полноценная система обнаружения вторжений.

Это делает его незаменимым инструментом для системных администраторов, которым важно не только анализировать текущее состояние безопасности, но и своевременно выявлять угрозы.

Tiger распространяется свободно под лицензией GPL. Программа полностью написана на shell, что обеспечивает высокую эффективность и совместимость с POSIX-средами.

Вместе с другими POSIX-инструментами Tiger создает идеальную инфраструктуру для значительного повышения уровня безопасности вашего сервера.

Tiger подходит для проверки состояния и конфигурации системы.

🔥 Благодаря многоцелевому использованию, он пользуется большой популярностью среди администраторов, работающих с Unix-подобными системами, и тех, кто ценит гибкость и функциональность POSIX-инструментов.

N.A. ℹ️ Help

Продвинутая настройка сетевого адаптера с помощью PowerShell

При работе с Windows Server и сложными сетевыми конфигурациями нередко возникает необходимость в гибкой настройке сетевых адаптеров.

PowerShell предоставляет мощный инструмент для выполнения таких задач, позволяя администратору тонко управлять параметрами сети.

⏺Получение информации о сетевых адаптерах

Чтобы начать настройку, важно получить актуальную информацию о всех доступных сетевых адаптерах.

Для этого используется следующая команда:

Get-NetAdapter

Эта команда возвращает список всех сетевых адаптеров на устройстве, включая их статус, скорость подключения и MAC-адрес.

⏺Настройка параметров адаптера

Теперь, когда у нас есть информация о сетевых адаптерах, можно приступить к настройке.

Например, чтобы изменить параметры скорости и дуплекса для адаптера, используется следующая команда:

Set-NetAdapterAdvancedProperty -Name "Ethernet" -DisplayName "Speed & Duplex" -DisplayValue "100Mbps Full Duplex"

В данном примере мы настраиваем адаптер с именем "Ethernet" на работу в режиме 100 Мбит/с с полной дуплексной передачей.

⏺Управление IP-адресами и шлюзами

Изменение IP-адреса сетевого адаптера также является частой задачей. В PowerShell это можно сделать с помощью команды:

New-NetIPAddress -InterfaceAlias "Ethernet" -IPAddress 192.168.1.100 -PrefixLength 24 -DefaultGateway 192.168.1.1

Эта команда назначает новый IP-адрес 192.168.1.100 с маской подсети 255.255.255.0 и устанавливает шлюз по умолчанию 192.168.1.1 для адаптера "Ethernet".

Настройка DNS-серверов

Не менее важно правильно настроить DNS-серверы. Используйте следующую команду для изменения настроек DNS:

Set-DnsClientServerAddress -InterfaceAlias "Ethernet" -ServerAddresses ("8.8.8.8", "8.8.4.4")

Эта команда задает DNS-серверы 8.8.8.8 и 8.8.4.4 для сетевого адаптера "Ethernet".

Проверка настроек

После всех изменений важно проверить, что настройки применены правильно. Для этого используйте команду:

Get-NetIPConfiguration -InterfaceAlias "Ethernet"

Она покажет текущее состояние IP-настроек, шлюзов и DNS-серверов для указанного интерфейса.

N.A. ℹ️ Help

Методы QoS: управление трафиком в сетях

Quality of Service (QoS) — это комплекс методов, направленных на управление трафиком в сетях для обеспечения требуемого уровня обслуживания различных типов данных.

В условиях высокой загрузки сети QoS помогает приоритизировать критически важные потоки данных, минимизируя задержки, потери пакетов и колебания задержек (jitter). 

Ниже рассмотрим основные методы QoS.

1️⃣ Integrated Services (IntServ): Этот подход использует модель зарезервированных ресурсов, где каждому потоку данных выделяются ресурсы в сети для обеспечения требуемого уровня обслуживания. IntServ требует сигнализации, например, с помощью протокола RSVP (Resource Reservation Protocol), для резервирования полосы пропускания, что делает его сложным в реализации и масштабировании.

2️⃣ Differentiated Services (DiffServ): DiffServ использует маркировку пакетов с последующей обработкой в зависимости от приоритета. В отличие от IntServ, DiffServ не резервирует ресурсы для каждого потока, а распределяет их на основе заранее определенных правил. Это делает DiffServ более гибким и масштабируемым, хотя и менее точным в управлении ресурсами.

3️⃣ Class-Based Queuing (CBQ): CBQ позволяет распределять трафик по разным очередям на основе классов. Каждому классу назначается определенная пропускная способность, что позволяет лучше управлять конкурентными потоками данных, такими как голос и видео, по сравнению с обычными данными.

4️⃣ Weighted Fair Queuing (WFQ): WFQ — это метод, который распределяет полосу пропускания между очередями на основе их весов. Трафик с высоким приоритетом получает большую часть ресурсов, в то время как низкоприоритетный трафик обслуживается остаточным принципом.

N.A. ℹ️ Help

QoS: Маршрутизация на основе политики (Policy-Based Routing, PBR)

Policy-Based Routing (PBR) — это мощный инструмент QoS, который позволяет сетевым администраторам определять маршруты для пакетов не только на основе стандартной IP-маршрутизации, но и согласно определенным политикам.

Это даёт возможность направлять трафик по различным маршрутам в зависимости от источника, назначения, типа протокола или других параметров.

Принципы работы PBR

⏺Гибкость маршрутизации: С помощью PBR можно перенаправлять определённый трафик через различные интерфейсы или сети, основываясь на установленных администраторами правилах, а не только на информации из таблицы маршрутизации.
⏺Приоритизация трафика: PBR позволяет выделить приоритетные маршруты для критически важного трафика, например, для приложений, чувствительных к задержкам, таких как видеоконференции или базы данных.
⏺Балансировка нагрузки: Этот метод также может быть использован для распределения трафика между несколькими каналами связи, что позволяет более эффективно использовать доступные ресурсы и избегать перегрузок.

Применение PBR

⏺Реализация политики безопасности: Например, трафик, поступающий от определённого сегмента сети, может быть направлен через устройство, осуществляющее глубокую проверку пакетов (DPI), прежде чем попасть в остальную часть сети.

⏺Оптимизация работы сети: PBR можно использовать для маршрутизации трафика на основе времени суток, таким образом уменьшая нагрузку на определенные маршруты в пиковые часы.

N.A. ℹ️ Help

Протокол VRRP

VRRP (Virtual Router Redundancy Protocol) — это сетевой протокол, который обеспечивает высокую доступность маршрутизаторов, создавая виртуальный маршрутизатор с несколькими физическими маршрутизаторами.

VRRP создаёт виртуальный маршрутизатор, который имеет свой IP-адрес, используемый устройствами в сети в качестве шлюза по умолчанию. 

При этом несколько физических маршрутизаторов объединяются в группу, и один из них назначается основным (Master).

Остальные устройства в группе являются резервными (Backup).

В случае сбоя основного маршрутизатора, один из резервных маршрутизаторов автоматически становится основным и продолжает обслуживать трафик.

Такой механизм значительно повышает отказоустойчивость сети.

Пример настройки VRRP

Предположим, у вас есть два маршрутизатора, и вы хотите настроить их для обеспечения отказоустойчивости с помощью VRRP.

Настройка на первом маршрутизаторе (Master):

Router1(config)# interface GigabitEthernet0/1
Router1(config-if)# ip address 192.168.1.2 255.255.255.0
Router1(config-if)# vrrp 1 ip 192.168.1.1
Router1(config-if)# vrrp 1 priority 120
Router1(config-if)# vrrp 1 preempt
Router1(config-if)# exit

Настройка на втором маршрутизаторе (Backup):

Router2(config)# interface GigabitEthernet0/1
Router2(config-if)# ip address 192.168.1.3 255.255.255.0
Router2(config-if)# vrrp 1 ip 192.168.1.1
Router2(config-if)# vrrp 1 priority 100
Router2(config-if)# vrrp 1 preempt
Router2(config-if)# exit

N.A. ℹ️ Help

Концепция треугольника переключения

Треугольник переключения (Switching Triangle) — это ключевая концепция при планировании и настройке VLAN, особенно в больших сетях с несколькими коммутаторами.

Треугольник состоит из трёх основных точек:

⏺Access Layer (Уровень доступа): Этот уровень включает в себя устройства, которые непосредственно подключены к конечным пользователям — рабочие станции, принтеры и другие устройства. Коммутаторы на этом уровне обычно присваивают VLAN на основе портов.

⏺Distribution Layer (Уровень распределения): Этот уровень отвечает за агрегацию трафика с уровня доступа и часто занимается маршрутизацией между VLAN, обеспечивая связь между различными сетевыми сегментами.

⏺Core Layer (Уровень ядра): Является основой сети, обеспечивая высокоскоростную передачу данных между различными распределительными уровнями. Core Layer должен быть быстрым, надежным и минимально загруженным функциями обработки трафика.

Правильная реализация треугольника переключения критична для оптимизации производительности сети.

⚡️Ошибки на любом из уровней могут привести к серьезным проблемам с задержками и пропускной способностью, особенно если в сети используются сотни VLAN и большое количество устройств.

N.A. ℹ️ Help

VLAN: нетипичные проблемы и их решения

В работе с VLAN в крупных корпоративных сетях зачастую встречаются не только общие проблемы, такие как петли или конфигурационные ошибки, но и более сложные и менее очевидные проблемы, которые могут серьезно повлиять на производительность и стабильность сети.

1️⃣VLAN Spanning Tree Inconsistencies

Проблема: Инконсистентность в Spanning Tree Protocol (STP) конфигурациях для различных VLAN может привести к некорректной маршрутизации трафика, что вызывает серьезные проблемы с производительностью и отказоустойчивостью сети.

В многоуровневых сетях, использующих PVST+ (Per-VLAN Spanning Tree Plus), разные топологии для разных VLAN могут усложнить управление сетью и привести к ситуациям, когда определенная VLAN становится перегруженной или, наоборот, не используется должным образом.

⏺Решение: Регулярный аудит конфигураций STP для всех VLAN, внедрение MST (Multiple Spanning Tree) для объединения нескольких VLAN под одним деревом и тщательное планирование проектирования сети помогут минимизировать риск инконсистентности.

Также важно правильно распределять приоритеты корневых коммутаторов для различных VLAN, чтобы избежать конфликтов.

2️⃣ VLAN Isolation Breaches

Проблема: Неправильная изоляция VLAN может привести к утечке данных между сегментами сети, что ставит под угрозу конфиденциальность и целостность информации.

Такая проблема часто возникает при сложных настройках межвлановой маршрутизации и в ситуациях, когда используются различные виртуальные сетевые устройства или при миграции виртуальных машин в виртуализованных средах.

⏺Решение: Для решения этой проблемы следует использовать частные VLAN (Private VLANs) для ограничения коммуникаций между портами внутри одной VLAN, а также внедрить строгие правила межвлановой маршрутизации на уровне сетевых ACL (Access Control Lists) и сетевых виртуальных устройств.

Кроме того, рекомендуется применять средства сетевого мониторинга для выявления несанкционированных межвлановых взаимодействий.

3️⃣ Проблемы с производительностью при использовании VLAN на виртуальных платформах

Проблема: Виртуализованные сети, использующие VLAN, могут столкнуться с проблемами производительности, связанными с обрезкой (truncating) VLAN-тегов или неправильной обработкой VLAN-трафика сетевыми адаптерами виртуальных машин (VNIC).

Это особенно актуально в условиях высокой нагрузки или при использовании старого или не оптимизированного сетевого оборудования.

⏺Решение: Обновление драйверов сетевых адаптеров, настройка виртуальных коммутаторов с учетом требований производительности и внедрение аппаратных ускорений (например, поддержка SR-IOV) помогут минимизировать проблемы с производительностью.

Также важно тщательно тестировать виртуальные сети под нагрузкой, чтобы выявить и устранить потенциальные узкие места до внедрения в продакшн.

N.A. ℹ️ Help

Роль VRF в современных сетях

Virtual Routing and Forwarding (VRF) — это технология, позволяющая одному физическому маршрутизатору или коммутатору управлять несколькими виртуальными таблицами маршрутизации.

Это позволяет разным сетям, находящимся на одном устройстве, функционировать независимо друг от друга, обеспечивая при этом изоляцию и безопасность.

VRF создает несколько изолированных виртуальных сетей на одном физическом устройстве, каждая из которых имеет собственные таблицы маршрутизации и конфигурации. 

Эти виртуальные сети могут быть использованы для разных клиентов или отделов внутри организации, гарантируя, что трафик между ними не пересекается.

VRF широко используется в корпоративных сетях, где требуется разделение трафика между разными подразделениями или клиентами.

Например, в случае сервис-провайдера, VRF может позволить обслуживать несколько клиентов на одном и том же оборудовании, при этом каждый клиент будет иметь свое собственное изолированное сетевое пространство.

⏺Одним из ключевых преимуществ VRF является возможность экономии на оборудовании, поскольку одно устройство может выполнять функции нескольких изолированных маршрутизаторов.

Это также упрощает управление сетью, так как все виртуальные сети могут быть администрированы с одного устройства.

🔥 VRF значительно улучшает безопасность и гибкость сети, позволяя легко и эффективно управлять различными сегментами сети, а также обеспечивая изоляцию и независимость различных потоков данных.

N.A. ℹ️ Help

MPLS TE: Traffic Engineering в сетях MPLS

Traffic Engineering (TE) — это ключевая концепция в управлении сетями, особенно в контексте Multi-Protocol Label Switching (MPLS). 

MPLS TE позволяет сетевым администраторам управлять потоком данных через сеть таким образом, чтобы оптимизировать использование ресурсов и обеспечить требуемое качество обслуживания (QoS).

Основные концепции MPLS TE

MPLS TE предоставляет возможности для распределения трафика по альтернативным маршрутам, не всегда следуя кратчайшему пути.

Это позволяет избежать перегрузок на определённых участках сети, эффективно балансируя нагрузку.

Основным механизмом для этого является использование LSP (Label Switched Paths) — меток, назначаемых на основе политик TE.

Настройка MPLS TE

Для настройки MPLS TE администраторы должны определить критерии, по которым будет происходить выбор маршрута.

Эти критерии могут включать параметры, такие как пропускная способность, задержка, стоимость пути и другие.

Политики TE создаются на основе этих параметров и используются для управления потоками данных через сеть.

MPLS TE также позволяет резервировать пути для критически важного трафика, обеспечивая отказоустойчивость сети.

В случае отказа основного маршрута, данные могут быть перенаправлены через заранее определённый резервный путь, минимизируя прерывание сервиса.

Преимущества MPLS TE

Одним из главных преимуществ MPLS TE является возможность более эффективного использования сетевых ресурсов.

В традиционных IP-сетях трафик часто направляется по наименее затратному маршруту, что может приводить к перегрузкам.

MPLS TE позволяет более рационально использовать всю доступную полосу пропускания, распределяя трафик по различным маршрутам.

MPLS TE также предоставляет гибкость в управлении сетью, что особенно важно в сложных и динамичных сетевых инфраструктурах, где требования к качеству обслуживания могут меняться.

⚡️Благодаря MPLS TE администраторы могут обеспечивать более стабильное и предсказуемое качество обслуживания, адаптируя маршрутизацию трафика в реальном времени.

N.A. ℹ️ Help

Помощь STP в предотвращении петель в сетях

Spanning Tree Protocol (STP) — это сетевой протокол, разработанный для предотвращения возникновения петель в сетях с избыточными путями.

Петли могут привести к дублированию пакетов, увеличению широковещательного трафика и даже к полной остановке работы сети.

STP автоматически обнаруживает петли и устраняет их, делая сеть стабильной и отказоустойчивой.

Как работает STP?

STP использует алгоритм, который создает дерево минимального покрытия (spanning tree) в сети. 

Этот алгоритм выполняет несколько ключевых функций:

⏺Выбор Root Bridge: В процессе работы STP выбирает один из коммутаторов в сети в качестве корневого моста (Root Bridge). Этот выбор основан на Bridge ID, который состоит из приоритета и MAC-адреса коммутатора. Коммутатор с наименьшим Bridge ID становится корневым.

⏺Определение лучших путей: STP вычисляет кратчайшие пути от всех коммутаторов до корневого моста и помечает их как "корневые порты". Эти порты остаются активными для передачи данных.

⏺Блокировка избыточных путей: Все другие порты, не участвующие в кратчайших путях, блокируются для предотвращения петель. Однако они продолжают мониторить состояние сети и могут быть активированы, если один из активных путей выйдет из строя.

⏺BPDU-пакеты: Для обмена информацией между коммутаторами STP использует специальные BPDU (Bridge Protocol Data Unit) пакеты. Эти пакеты передают сведения о топологии сети и помогают в процессе выбора корневого моста и блокировке избыточных путей.

N.A. ℹ️ Help

URL и URI: В чем различие?

Мы все используем много URL-адресов ежедневно. Иногда мы их набираем, иногда просто переходим на один URL из другого.

Но в чем же разница между URL и URI?

⏺URI (Uniform Resource Identifier) — унифицированный идентификатор ресурса, а ⏺URL (Uniform Resource Locator) — унифицированный определитель местонахождения ресурса.

Есть еще третий термин, URN (Uniform Resource Name), который представляет собой унифицированное имя ресурса.

URL — это конкретный тип URI, который указывает, как и где получить доступ к ресурсу.

Например, http://google.com или http://yandex.ru — это URL-адреса, но также они могут рассматриваться как URI. Фактически, все URL являются URI, но не все URI являются URL.

Пример: Твое имя, например, "Джон Доу" — это URN. А вот место, где ты живешь, например, "Улица Вязов, 13" — это уже URL. URI может быть и именем (URN), и адресом (URL). Однако имя (URN) не может быть URL, так как оно не указывает местоположение.

Разделение понятий

• URI — имя и адрес ресурса в сети, включает в себя URL и URN.
• URL — адрес ресурса в сети, определяет местонахождение и способ обращения к нему.
• URN — имя ресурса в сети, определяет только название ресурса, но не способ доступа.
Примеры:

URI: https://example.com/resource?id=123#section2
URL: https://example.com
URN: resource?id=123#section2

URI состоит из следующих частей:

1️⃣Схема (scheme) — показывает, как обращаться к ресурсу (например, HTTP или HTTPS).
2️⃣ Иерархическая часть (hier-part) — адрес сайта или сервера.
3️⃣ Запрос (query) — дополнительные параметры запроса (например, поисковый запрос).
4️⃣ Фрагмент (fragment) — часть ресурса, например, якорь на веб-странице.

Как отличить URI от URL?

Если вы видите строку, которая указывает на ресурс, и она содержит схему доступа, например https:// или ftp://, это URL, который, в свою очередь, является подмножеством URI.

Однако если строка лишь идентифицирует ресурс (например, urn:isbn:0451450523), это URN, который также является URI, но не URL.

N.A. ℹ️ Help

Private VLANs (PVLANs): Изоляция трафика в сетях Layer 2

Private VLANs (PVLANs) — это расширение стандартных VLAN, позволяющее обеспечить дополнительную изоляцию трафика между устройствами в пределах одной VLAN на уровне второго уровня (Layer 2).

Это особенно полезно в больших сетях, таких как дата-центры, где нужно ограничить взаимодействие устройств друг с другом, несмотря на то, что они находятся в одной VLAN.

Как работают Private VLANs?

Private VLANs разделяют основную VLAN (primary VLAN) на несколько подтипов:

1️⃣Primary VLAN — основная VLAN, которая объединяет все PVLAN.
2️⃣ Community VLAN — устройства в этой VLAN могут взаимодействовать друг с другом и с внешними сетями, но изолированы от устройств в других Community VLAN.
3️⃣ Isolated VLAN — устройства в этой VLAN изолированы от всех, включая друг друга, и могут только общаться с внешними ресурсами через uplink-порты.
4️⃣ Promiscuous Ports — порты, которые могут взаимодействовать с любым устройством в пределах PVLAN.

Преимущества использования Private VLANs:

⏺Изоляция трафика: Позволяет изолировать трафик между устройствами в одной сети, не требуя создания дополнительных VLAN.

⏺Упрощенное управление: Вместо создания множества VLAN для каждого сегмента сети, можно использовать PVLAN для более гибкой изоляции.

⏺Безопасность: Ограничивает возможность несанкционированного взаимодействия между устройствами, снижая риски атак внутри сети.

⏺Экономия IP-адресов: Все устройства могут оставаться в одной основной VLAN, что позволяет более эффективно использовать IP-адресное пространство.

Private VLANs — мощный инструмент для сетевого администрирования, особенно в сложных инфраструктурах, требующих строгой изоляции трафика.

N.A. ℹ️ Help