👋 Привет, сетевой друг!

Сегодня расскажу о Splunk - универсальном инструменте для мониторинга.

🟣Splunk - универсальное устройство для твоей сети. Оно собирает логи со всех устройств, сетей и приложений, объединяя их в единую базу данных, где ты можешь быстро найти нужную информацию.

🟣Помимо стандартных логов, Splunk отлично справляется с анализом данных для выявления инцидентов безопасности. К примеру, он может обнаружить подозрительный трафик или несанкционированные изменения в системе, отправив тебе уведомление.

🟣Просто удобен: Splunk не требует танцев с бубном. Ты можешь легко расширять его функционал с помощью приложений и настроек, а мощные функции аналитики позволят тебе буквально за пару кликов выявить скрытые проблемы в сети.

Серверная Админа | #Инструмент

👋 Привет, сетевой друг!

Сегодня поговорим об экспериментальном протоколе WiLo.

🟣Что такое WiLo: в теории это гибрид, который должен использовать OFDM Wi-Fi для эмуляции работы LoRa. То есть, грубо говоря, мы берём каналы Wi-Fi, подстраиваем их под нужные частоты и модуляции, и вот тебе LoRa, но под видом Wi-Fi. Идея крутая: дальность LoRa и простота Wi-Fi, но что не так то?

🟣Что не так:

• Скорость страдает — модуляция ради дальности превращает Wi-Fi в улитку.
• Простота установки под вопросом, так как настройка WiLo требует больше усилий.
• Дальность не впечатляет — 500 метров? Wi-Fi уже может бить до 5 км с другими протоколами.
• Энергоэффективность? Её стало меньше — WiLo требует больше энергии.

🟣А оно вообще надо? По факту, WiLo теряет и в скорости, и в удобстве, и даже в энергоэффективности. Дальность? Да, 500 метров — это больше, чем у стандартного Wi-Fi, но гораздо меньше, чем мы могли бы ожидать от гибрида с LoRa.

🟣Что по итогу: Возможно, WiLo станет полезным в будущем, или найдёт применение в других технологиях. Но пока что это больше похоже на эксперимент ради эксперимента, чем на рабочее решение.

Что думаете? Пишите ваше мнение!

Серверная Админа | #Network

👋 Привет, сетевой друг!

Сегодня поговорим о том, как аутентифицируются клиенты в беспроводных сетях — от простых к более сложным.

🟣Open Authentication — это минимальная защита. Клиент может подключиться к сети без пароля, как в общественных Wi-Fi. Но учти, что данные не шифруются, и любой может подключиться, если сеть не защищена дополнительно.

🟣WEP — когда-то это был основной метод шифрования. WEP использует статический ключ для защиты данных, но его давно признали уязвимым. С тех пор, как его слабые места вскрыли в 2001 году, WEP больше не считается надёжным и уже не используется.

🟣802.1X/EAP — скорее для корпоративных сетей. Здесь работает серьёзная защита: сервер проверяет данные пользователей, а данные шифруются и передаются через безопасные каналы. Идеально для крупных организаций.

Продолжаем?

Серверная Админа | #Network

👋 Привет, сетевой друг!

Давай продолжим говорить о том, как аутентифицируются клиенты в беспроводных сетях, поговорим теперь о более продвинутых.

🟣EAP-FAST — это уже метод компании Cisco. Он использует PAC — токены, которые позволяют защищать учётные данные. Процесс аутентификации в данном случае проходит поэтапно, начиная с создания безопасного туннеля, что, очевидно, делает этот метод полезным для повышения безопасности нашей системы.

🟣PEAP — тоже использует туннель TLS, но и добавляет серверный сертификат для защиты. Клиент проходит аутентификацию внутри этого туннеля, что дает нам дополнительную надёжность.

🟣EAP-TLS — самый надёжный, но и самый сложный в настройке протокол. Требуются сертификаты как на сервере, так и на каждом клиенте. Это, конечно, обеспечивает максимальную защиту данных, но и управление сертификатами может быть трудоёмким.

Серверная Админа | #Network

👨‍💻Серверная Админа | #мем

👋 Привет, сетевой друг!

Сегодня расскажу о трех очень полезных командах и инструментах для анализа сетевого трафика.

🟣 CBM (Color Bandwidth Meter) — простой монитор трафика, который отображает объём переданных данных через сетевые интерфейсы. Без лишних функций (а нужны ли они вам?), просто свежие статистики трафика, обновляющиеся в реальном времени.

🟣 Jnettop — визуализатор сетевого трафика, который захватывает трафик, проходящий через хост, на котором он работает. Он сортирует потоки по использованию полосы пропускания, что помогает выявить самые “прожорливые” подключения.

🟣 Nethogs — компактный инструмент для мониторинга, который показывает, сколько трафика потребляет каждый отдельный процесс. Если вдруг трафик резко увеличился, Nethogs поможет быстро найти виновный процесс, указав его PID, пользователя и путь.

Серверная Админа | #Инструмент

👋 Привет, сетевой друг!

Сегодня разберу традиционную настройку OSPFv3.

🟣Сам по себе протокол маршрутизации в IPv6 схож с классическим OSPFv2, но требует некоторых дополнительных шагов для работы с IPv6. Мы посмотрим на конфигурацию магистральной области (область 0) и не магистральной (область 1) с использованием «традиционного» OSPFv3.

🟣Конфигурация на маршрутизаторе ATL

Начнём с включения одноадресной маршрутизации IPv6 и назначения адресов на интерфейсы:

ATL(config)#ipv6 unicast-routing
ATL(config)#interface fa0/0
ATL(config-if)#ipv6 address 2001:1212:1212::1/64
ATL(config-if)#ipv6 ospf 1 area 0
ATL(config-if)#interface loopback0
ATL(config-if)#ipv6 address 2001:1111:1111::1/64
ATL(config-if)#ipv6 ospf 1 area 0

Этот процесс похож на настройку OSPFv2, но требует глобального включения маршрутизации IPv6 на устройстве.

🟣Конфигурация на других устройствах

Сейчас настроим ATL2 и ORL, добавив их в разные области:

ATL2(config)#ipv6 unicast-routing
ATL2(config)#int fa0/0
ATL2(config-if)#ipv6 address 2001:1212:1212::2/64
ATL2(config-if)#ipv6 ospf 1 area 0
ATL2(config)#int fa1/0
ATL2(config-if)#ipv6 address 2001:2323:2323::2/64
ATL2(config-if)#ipv6 ospf 1 area 1

Для маршрутизатора ORL:

ORL(config)#ipv6 unicast-routing
ORL(config)#int fa1/0
ORL(config-if)#ipv6 address 2001:2323:2323::3/64
ORL(config-if)#ipv6 ospf 1 area 1

Теперь можно проверить работу маршрутизации на устройстве ORL с помощью команд show ipv6 route, show ipv6 ospf neighbor, и show ipv6 ospf database.

🟣Семейства адресов в OSPFv3

В завершение рассмотрим настройку семейства адресов OSPFv3. Этот подход позволяет использовать OSPFv3 для передачи как IPv4, так и IPv6 префиксов:

BOS(config)#ipv6 unicast-routing
BOS(config)#router ospfv3 1
BOS(config-router)#address-family ipv6 unicast
BOS(config-router-af)#area 1 range 2001:DB8:0:0::0/128
BOS(config)#interface fa1/0
BOS(config-if)#ipv6 ospf 1 area 1

Серверная Админа | #Network

👋 Привет, сетевой друг!

Сравню два протокола маршрутизации: OSPFv2 и OSPFv3.

🟣Сходства между OSPFv2 и OSPFv3:

• Процесс маршрутизации не создаётся явно в OSPFv3. Включение OSPFv3 на интерфейсе автоматически начинает процесс и создаёт связанную конфигурацию.
• Идентификатор маршрутизатора всё так же 32-разрядный, и его выбор остаётся таким же, как в OSPFv2: сначала loopback интерфейс, потом — самый высокий IP-адрес.
• Поддержка интерфейсов: и в OSPFv2, и в OSPFv3 loopback интерфейс автоматически предпочитается всем остальным!

🟣В чем разница между OSPFv3 и OSPFv2:

• Начнем с того, что в OSPFv3 интерфейсы включаются напрямую через интерфейс, в отличие от OSPFv2, где интерфейсы активируются через полную конфигурацию устройства.
• Nonbroadcast multiaccess (NBMA) интерфейсы требуют ручной настройки соседей в OSPFv3.
• В IPv6 можно назначить несколько префиксов на одном интерфейсе, и все они автоматически импортируются в OSPFv3. Нельзя выбрать отдельные префиксы для импорта — либо все, либо ни один 🤷‍♂️
• В OSPFv3 возможно запустить несколько экземпляров протокола на одном интерфейсе, что отличается от OSPFv2.

🟣Что общего и что вообще нового в OSPFv3: OSPFv3 теперь поддерживает семейства адресов, что дает нам возможность маршрутизировать как IPv6, так и IPv4 с помощью одного и того же протокола.

Серверная Админа | #Network

👋 Привет, сетевой друг!

Сегодня решил вспомнить типы построения сетевых деревьев и сравнить их.

🟣MST — это подход, который охватывает все узлы с минимальной общей стоимостью соединений. Здесь задача простая: дойти до каждого узла, не тратя лишних ресурсов. Но стоит понимать — это совсем не обязательно самый быстрый маршрут. Для MST скорее важна глобальная экономия в сети, он не стремится выбрать кратчайший путь к каждому узлу.

🟣SPT, в отличие от MST, находит кратчайший путь к каждому узлу. Этот метод отлично подходит для задач, где нам важна скорость доставки данных, но это может быть не самым дешёвым решением для всей сети. SPT в первую очередь фокусируется на индивидуальных маршрутах, чтобы каждое сообщение достигло цели как можно быстрее. Остальное для него — второстепенно!

🟣Для построения SPT часто применяются Greedy алгоритмы (например, алгоритм Дейкстры. О нем говорили тут ). Они выбирают локально оптимальные решения, двигаясь от одного ближайшего узла к следующему. Это как навигатор, который ведёт через самые близкие точки на карте. Но у Greedy подхода есть минус: он не всегда видит общую картину, и в сложных сетях это может быть проблемой.

Серверная Админа | #Network

📝 5 Способов защитить систему от перегрузок и злоупотреблений

Как говориться, вспомним базу: банальные, но необходимые методы.

1️⃣Аутентификация и авторизации — проверяйте запросы и не пускайте тех, кто не прошёл проверку. Это как фейс-контроль на входе.
2️⃣Ограничение запросов (Rate-limiting) — ограничивайте количество запросов за определённое время, чтобы не получить лавину запросов и сбой системы.
3️⃣Замедление (Throttling) — замедляйте выполнение процессов после большого количества запросов. Это как включить режим “медленного интернета” для тех, кто слишком активен.
4️⃣CAPTCHA — всеми любимая игра на выбор нужных картинок. Используйте такие тесты, которые умеют решать только люди, чтобы фильтровать ботов.
5️⃣Системы обнаружения и предотвращения атак (IDPS) — мониторьте трафик и блокируйте подозрительные активности до того, как они нанесут вред.

Серверная Админа | #Network

👋 Привет, сетевой друг!

Расскажу о Bwm-ng — отличном способе следить за сетевой нагрузкой в реальном времени.

🟣Bwm-ng: это по сути инструмент, который просто-напросто показывает, с какой скоростью данные поступают и уходят через все сетевые интерфейсы на вашем устройстве.

🟣В чем удобство: Bwm-ng отличается простотой использования: буквально несколько команд, и нужные данные перед вами. Никаких сложных настроек и излишних опций, просто полезная информация в реальном времени

🟣И да, работает он на основе консоли для Linux, BSD, Solaris, Mac OS X и других.

Серверная Админа | #Инструмент

👋 Привет, сетевой друг!

Сегодня поговорим об одной из основ сетевой настройки Cisco — получении DNS-адреса от провайдера с помощью PPP.

🟣В корпоративных сетях, где локальный DNS недоступен, клиенты часто юзают DNS-сервисы провайдера. И тут протокол DNS помогает разрешить доменные имена (FQDN) в IP-адреса, что очень полезно для небольших сетей, где поддержка локального DNS-сервера просто невозможна.

🟣Настройка локального DHCP-сервера на Cisco: Сначала активируем службу DHCP на маршрутизаторе, чтобы он мог работать как сервер для внутренней сети:

R1(config)#service dhcp

А сейчас создаём пул DHCP, указывая подсеть, шлюз по умолчанию и DNS-сервер для клиентов:

ip dhcp pool LAN_MY
network 192.168.1.0 255.255.255.0
default-router 192.168.1.1
dns-server 192.168.1.1

Эти команды задают основные параметры для DHCP-клиентов в локальной сети.

🟣Включаем DNS-сервер на маршрутизаторе Cisco:

Включаем DNS-сервис на Cisco, чтобы маршрутизатор мог обрабатывать DNS-запросы:

R1(config)#ip dns server

🟣Настройка PPP для получения Public DNS от провайдера: Чтобы маршрутизатор использовал DNS-сервер провайдера, настраиваем PPP для передачи этой информации:

R1(config)#interface dialer 1
R1(config-if)#ppp ipcp dns request

Вот теперь наш маршрутизатор, настроенный как локальный DNS-сервер, будет использовать Public DNS провайдера для обработки запросов. DHCP-клиенты получат IP-адрес и DNS от маршрутизатора, который сам перенаправит запросы к провайдеру.

🟣Проверка настройки:

• Во-первых, используем debug ppp negotiation, чтобы увидеть информацию о DNS от провайдера.
• Во-вторых же, выполняем show ppp interface virtual-access, чтобы проверить успешное согласование PPP-параметров.

R1

# show ppp interface virtual-access 3

Серверная Админа | #Network

👋 Привет, сетевой друг!

Давай расскажу подробнее об использовании команды mtr.

🟣Что это: mtr — команда-гибрид, которая в себе сочетает функции ping и traceroute. Она отправляет всю нужную аналитику о сети в реальном времени, тем самым позволяет находить разные "сюрпризы" в сети и задержки лии потерю пакетов.

🟣Синтаксис команды mtr прост и понятен:

mtr [options] [hostname/IP]

• [options] — здесь вы можете настроить параметры под свои нужды.
• [hostname/IP] — адрес хоста или IP-адрес, который вы хотите исследовать.

🟣Базовая трассировка:
Запускаем команду без параметров для трассировки до указанного хоста. Например:

mtr google.com

Не забываем, что чтобы выйти из режима трассировки, просто надо нажать q.

Если же нужно больше данных, вы можете указать количество пакетов, отправленных на каждую итерацию, с помощью параметра -c:

mtr -c 10 google.com

🟣Изменение размера пакета: Иногда стоит поэкспериментировать с размером пакета. Для этого используйте параметр -s:

mtr -s 1400 google.com

Если вы хотите использовать ICMP-эхо-запросы, а не UDP, добавьте параметр -I:

mtr -I google.com

Это полезно, если ваш провайдер блокирует UDP-запросы.

🟣Подробный вывод:
Для тех, кто любит детали, можно получить более полную информацию с параметром -v:

mtr -v google.com

Не забываем также, что результаты трассировки можно сохранить в файл для дальнейшего анализа:

mtr -w google.com > mtr_output.txt

Серверная Админа | #Network #mtr

👋 Привет, сетевой друг!

Сегодня разберёмся, что такое Class-Based Weighted Fair Queueing (CBWFQ).

🟣CBWFQ - это метод, который позволяет организовать очередь трафика так, чтобы каждый класс данных получал свою долю пропускной способности. Это похоже на работу с различными приоритетами: трафик одного типа получает гарантированное минимальное количество ресурсов, в то время как другие могут "подхватить" оставшееся.

🟣Как это работает: представим, у вас есть канал с пропускной способностью 1024 Кбит/с. В соответствии с CBWFQ, трафик делится так:

• AF41: минимум 256 Кбит/с
• AF31: минимум 128 Кбит/с
• AF21: минимум 128 Кбит/с
— Остальные 512 Кбит/с могут использоваться для неклассифицированного трафика.

То есть трафик распределяется по принципу 2:1:1:4. Когда интерфейс перегружен, CBWFQ будет обслуживать пакеты в соответствии с этой политикой, гарантируя, что каждый класс получает своё.

🟣Какие нюансы: Важно помнить, что CBWFQ не увеличивает общую пропускную способность канала. Он лишь управляет трафиком в условиях перегрузки, сохраняя относительные приоритеты. Это значит, что даже при оптимизации все классы трафика могут оказаться в ситуации, когда скорость передачи снижается.

Серверная Админа | #Network

Даже он не в курсе 🤷‍♂️

👨‍💻Серверная Админа | #мем