👋 Привет, сетевой друг!

Сегодня расскажу о алгоритме Дейкстры — инструменте для нахождения кратчайшего пути в сети.

🟣Как работает: Предположим, что у вас есть сеть узлов, соединённых каналами с разными весами. Алгоритм Дейкстры начинает с одного узла (к примеру, твоего маршрутизатора) и постепенно рассчитывает наименее затратные пути к уже остальным узлам.

🟣Пример: Ты — узел A, а тебе нужно найти самый короткий путь к узлу D. Дейкстра постепенно проверяет узлы, выбирает те, которые находятся ближе всего к A, и находит минимальные затраты на достижение других узлов. Этот процесс продолжается до тех пор, пока не будут пройдены все узлы сети, и ты получишь кратчайший маршрут до D. Удобно и эффективно!

🟣В чем его фишка: Алгоритм эффективен и точен, так как всегда находит самый-самый короткий путь к любой точке в сети. Но есть нюанс: он подходит, если веса связей между узлами не меняются. Если же ситуация динамическая (частые изменения каналов), могут понадобиться дополнительные механизмы для адаптации, например инкрементный SPF.

Серверная Админа | #SPF

Было? 🤷‍♂️

👨‍💻Серверная Админа | #мем

👋 Привет, сетевой друг!

Попробуем базово настроить устройства Huawei.

🟣Настройка имени хоста: В ситуации, когда у вас в сети несколько устройств, и все они зовутся одинаково — Huawei. Получается не очень то удобно. Давайте дадим каждому из них уникальное имя. Для этого юзаем команду sysname:

system-view
[Huawei] sysname Huawei-AR-01
[Huawei-AR-01]

Вот теперь ваше устройство называется Huawei-AR-01, и оно не затеряется среди других.

🟣Настройка системного времени: Кому из вас хочется путаться во времени? Устройства Huawei по умолчанию используют UTC, но вы легко можете установить локальный часовой пояс. Например, если вам нужно пекинское время:

[Huawei-AR-01] clock timezone BJ add 08:00

После этого задаём текущее время и дату. Допустим, сейчас 18:30, 10 марта 2019 года:

[Huawei-AR-01] clock datetime 18:30:00 2019-03-10

Теперь устройство синхронизировано по времени, но это еще не все

🟣Настройка IP-адреса: Чтобы подключиться к устройству через Telnet, нужно присвоить IP-адрес одному из интерфейсов. Например, зададим IP 10.1.1.100 с маской подсети 255.255.255.0:

[Huawei-AR-01] interface ethernet 1/0/0
[Huawei-AR-01-Ethernet1/0/0] ip address 10.1.1.100 255.255.255.0

🟣Конфигурация интерфейса пользователя: Консольный порт и Telnet — это разные интерфейсы для управления устройством. Для консоли можно задать привилегии 2 уровня с помощью таких команд:

[Huawei] user-interface console 0
[Huawei-ui-console0] user privilege level 2

Настройка даст нам доступ к базовым функциям.

Кстати, можно настроить несколько виртуальных интерфейсов (VTY), чтобы другие пользователи могли подключаться, не мешая вашей работе.

Серверная Админа | #huawei

📝 Типы использования файрволов

1️⃣Правила на основе порта
2️⃣Фильтрация IP-адресов
3️⃣Правила, основанные на протоколах
4️⃣Правила, основанные на времени
5️⃣ Проверка с учетом состояния
6️⃣Правила, основанные на приложениях

Серверная Админа | #firewall

👋 Привет, сетевой друг!

Сегодня расскажу о Splunk - универсальном инструменте для мониторинга.

🟣Splunk - универсальное устройство для твоей сети. Оно собирает логи со всех устройств, сетей и приложений, объединяя их в единую базу данных, где ты можешь быстро найти нужную информацию.

🟣Помимо стандартных логов, Splunk отлично справляется с анализом данных для выявления инцидентов безопасности. К примеру, он может обнаружить подозрительный трафик или несанкционированные изменения в системе, отправив тебе уведомление.

🟣Просто удобен: Splunk не требует танцев с бубном. Ты можешь легко расширять его функционал с помощью приложений и настроек, а мощные функции аналитики позволят тебе буквально за пару кликов выявить скрытые проблемы в сети.

Серверная Админа | #Инструмент

👋 Привет, сетевой друг!

Сегодня поговорим об экспериментальном протоколе WiLo.

🟣Что такое WiLo: в теории это гибрид, который должен использовать OFDM Wi-Fi для эмуляции работы LoRa. То есть, грубо говоря, мы берём каналы Wi-Fi, подстраиваем их под нужные частоты и модуляции, и вот тебе LoRa, но под видом Wi-Fi. Идея крутая: дальность LoRa и простота Wi-Fi, но что не так то?

🟣Что не так:

• Скорость страдает — модуляция ради дальности превращает Wi-Fi в улитку.
• Простота установки под вопросом, так как настройка WiLo требует больше усилий.
• Дальность не впечатляет — 500 метров? Wi-Fi уже может бить до 5 км с другими протоколами.
• Энергоэффективность? Её стало меньше — WiLo требует больше энергии.

🟣А оно вообще надо? По факту, WiLo теряет и в скорости, и в удобстве, и даже в энергоэффективности. Дальность? Да, 500 метров — это больше, чем у стандартного Wi-Fi, но гораздо меньше, чем мы могли бы ожидать от гибрида с LoRa.

🟣Что по итогу: Возможно, WiLo станет полезным в будущем, или найдёт применение в других технологиях. Но пока что это больше похоже на эксперимент ради эксперимента, чем на рабочее решение.

Что думаете? Пишите ваше мнение!

Серверная Админа | #Network

👋 Привет, сетевой друг!

Сегодня поговорим о том, как аутентифицируются клиенты в беспроводных сетях — от простых к более сложным.

🟣Open Authentication — это минимальная защита. Клиент может подключиться к сети без пароля, как в общественных Wi-Fi. Но учти, что данные не шифруются, и любой может подключиться, если сеть не защищена дополнительно.

🟣WEP — когда-то это был основной метод шифрования. WEP использует статический ключ для защиты данных, но его давно признали уязвимым. С тех пор, как его слабые места вскрыли в 2001 году, WEP больше не считается надёжным и уже не используется.

🟣802.1X/EAP — скорее для корпоративных сетей. Здесь работает серьёзная защита: сервер проверяет данные пользователей, а данные шифруются и передаются через безопасные каналы. Идеально для крупных организаций.

Продолжаем?

Серверная Админа | #Network

👋 Привет, сетевой друг!

Давай продолжим говорить о том, как аутентифицируются клиенты в беспроводных сетях, поговорим теперь о более продвинутых.

🟣EAP-FAST — это уже метод компании Cisco. Он использует PAC — токены, которые позволяют защищать учётные данные. Процесс аутентификации в данном случае проходит поэтапно, начиная с создания безопасного туннеля, что, очевидно, делает этот метод полезным для повышения безопасности нашей системы.

🟣PEAP — тоже использует туннель TLS, но и добавляет серверный сертификат для защиты. Клиент проходит аутентификацию внутри этого туннеля, что дает нам дополнительную надёжность.

🟣EAP-TLS — самый надёжный, но и самый сложный в настройке протокол. Требуются сертификаты как на сервере, так и на каждом клиенте. Это, конечно, обеспечивает максимальную защиту данных, но и управление сертификатами может быть трудоёмким.

Серверная Админа | #Network

👨‍💻Серверная Админа | #мем

👋 Привет, сетевой друг!

Сегодня расскажу о трех очень полезных командах и инструментах для анализа сетевого трафика.

🟣 CBM (Color Bandwidth Meter) — простой монитор трафика, который отображает объём переданных данных через сетевые интерфейсы. Без лишних функций (а нужны ли они вам?), просто свежие статистики трафика, обновляющиеся в реальном времени.

🟣 Jnettop — визуализатор сетевого трафика, который захватывает трафик, проходящий через хост, на котором он работает. Он сортирует потоки по использованию полосы пропускания, что помогает выявить самые “прожорливые” подключения.

🟣 Nethogs — компактный инструмент для мониторинга, который показывает, сколько трафика потребляет каждый отдельный процесс. Если вдруг трафик резко увеличился, Nethogs поможет быстро найти виновный процесс, указав его PID, пользователя и путь.

Серверная Админа | #Инструмент

👋 Привет, сетевой друг!

Сегодня разберу традиционную настройку OSPFv3.

🟣Сам по себе протокол маршрутизации в IPv6 схож с классическим OSPFv2, но требует некоторых дополнительных шагов для работы с IPv6. Мы посмотрим на конфигурацию магистральной области (область 0) и не магистральной (область 1) с использованием «традиционного» OSPFv3.

🟣Конфигурация на маршрутизаторе ATL

Начнём с включения одноадресной маршрутизации IPv6 и назначения адресов на интерфейсы:

ATL(config)#ipv6 unicast-routing
ATL(config)#interface fa0/0
ATL(config-if)#ipv6 address 2001:1212:1212::1/64
ATL(config-if)#ipv6 ospf 1 area 0
ATL(config-if)#interface loopback0
ATL(config-if)#ipv6 address 2001:1111:1111::1/64
ATL(config-if)#ipv6 ospf 1 area 0

Этот процесс похож на настройку OSPFv2, но требует глобального включения маршрутизации IPv6 на устройстве.

🟣Конфигурация на других устройствах

Сейчас настроим ATL2 и ORL, добавив их в разные области:

ATL2(config)#ipv6 unicast-routing
ATL2(config)#int fa0/0
ATL2(config-if)#ipv6 address 2001:1212:1212::2/64
ATL2(config-if)#ipv6 ospf 1 area 0
ATL2(config)#int fa1/0
ATL2(config-if)#ipv6 address 2001:2323:2323::2/64
ATL2(config-if)#ipv6 ospf 1 area 1

Для маршрутизатора ORL:

ORL(config)#ipv6 unicast-routing
ORL(config)#int fa1/0
ORL(config-if)#ipv6 address 2001:2323:2323::3/64
ORL(config-if)#ipv6 ospf 1 area 1

Теперь можно проверить работу маршрутизации на устройстве ORL с помощью команд show ipv6 route, show ipv6 ospf neighbor, и show ipv6 ospf database.

🟣Семейства адресов в OSPFv3

В завершение рассмотрим настройку семейства адресов OSPFv3. Этот подход позволяет использовать OSPFv3 для передачи как IPv4, так и IPv6 префиксов:

BOS(config)#ipv6 unicast-routing
BOS(config)#router ospfv3 1
BOS(config-router)#address-family ipv6 unicast
BOS(config-router-af)#area 1 range 2001:DB8:0:0::0/128
BOS(config)#interface fa1/0
BOS(config-if)#ipv6 ospf 1 area 1

Серверная Админа | #Network

👋 Привет, сетевой друг!

Сравню два протокола маршрутизации: OSPFv2 и OSPFv3.

🟣Сходства между OSPFv2 и OSPFv3:

• Процесс маршрутизации не создаётся явно в OSPFv3. Включение OSPFv3 на интерфейсе автоматически начинает процесс и создаёт связанную конфигурацию.
• Идентификатор маршрутизатора всё так же 32-разрядный, и его выбор остаётся таким же, как в OSPFv2: сначала loopback интерфейс, потом — самый высокий IP-адрес.
• Поддержка интерфейсов: и в OSPFv2, и в OSPFv3 loopback интерфейс автоматически предпочитается всем остальным!

🟣В чем разница между OSPFv3 и OSPFv2:

• Начнем с того, что в OSPFv3 интерфейсы включаются напрямую через интерфейс, в отличие от OSPFv2, где интерфейсы активируются через полную конфигурацию устройства.
• Nonbroadcast multiaccess (NBMA) интерфейсы требуют ручной настройки соседей в OSPFv3.
• В IPv6 можно назначить несколько префиксов на одном интерфейсе, и все они автоматически импортируются в OSPFv3. Нельзя выбрать отдельные префиксы для импорта — либо все, либо ни один 🤷‍♂️
• В OSPFv3 возможно запустить несколько экземпляров протокола на одном интерфейсе, что отличается от OSPFv2.

🟣Что общего и что вообще нового в OSPFv3: OSPFv3 теперь поддерживает семейства адресов, что дает нам возможность маршрутизировать как IPv6, так и IPv4 с помощью одного и того же протокола.

Серверная Админа | #Network

👋 Привет, сетевой друг!

Сегодня решил вспомнить типы построения сетевых деревьев и сравнить их.

🟣MST — это подход, который охватывает все узлы с минимальной общей стоимостью соединений. Здесь задача простая: дойти до каждого узла, не тратя лишних ресурсов. Но стоит понимать — это совсем не обязательно самый быстрый маршрут. Для MST скорее важна глобальная экономия в сети, он не стремится выбрать кратчайший путь к каждому узлу.

🟣SPT, в отличие от MST, находит кратчайший путь к каждому узлу. Этот метод отлично подходит для задач, где нам важна скорость доставки данных, но это может быть не самым дешёвым решением для всей сети. SPT в первую очередь фокусируется на индивидуальных маршрутах, чтобы каждое сообщение достигло цели как можно быстрее. Остальное для него — второстепенно!

🟣Для построения SPT часто применяются Greedy алгоритмы (например, алгоритм Дейкстры. О нем говорили тут ). Они выбирают локально оптимальные решения, двигаясь от одного ближайшего узла к следующему. Это как навигатор, который ведёт через самые близкие точки на карте. Но у Greedy подхода есть минус: он не всегда видит общую картину, и в сложных сетях это может быть проблемой.

Серверная Админа | #Network

📝 5 Способов защитить систему от перегрузок и злоупотреблений

Как говориться, вспомним базу: банальные, но необходимые методы.

1️⃣Аутентификация и авторизации — проверяйте запросы и не пускайте тех, кто не прошёл проверку. Это как фейс-контроль на входе.
2️⃣Ограничение запросов (Rate-limiting) — ограничивайте количество запросов за определённое время, чтобы не получить лавину запросов и сбой системы.
3️⃣Замедление (Throttling) — замедляйте выполнение процессов после большого количества запросов. Это как включить режим “медленного интернета” для тех, кто слишком активен.
4️⃣CAPTCHA — всеми любимая игра на выбор нужных картинок. Используйте такие тесты, которые умеют решать только люди, чтобы фильтровать ботов.
5️⃣Системы обнаружения и предотвращения атак (IDPS) — мониторьте трафик и блокируйте подозрительные активности до того, как они нанесут вред.

Серверная Админа | #Network

👋 Привет, сетевой друг!

Расскажу о Bwm-ng — отличном способе следить за сетевой нагрузкой в реальном времени.

🟣Bwm-ng: это по сути инструмент, который просто-напросто показывает, с какой скоростью данные поступают и уходят через все сетевые интерфейсы на вашем устройстве.

🟣В чем удобство: Bwm-ng отличается простотой использования: буквально несколько команд, и нужные данные перед вами. Никаких сложных настроек и излишних опций, просто полезная информация в реальном времени

🟣И да, работает он на основе консоли для Linux, BSD, Solaris, Mac OS X и других.

Серверная Админа | #Инструмент