👋 Привет, сетевой друг!

Сегодня расскажу о трех очень полезных командах и инструментах для анализа сетевого трафика.

🟣 CBM (Color Bandwidth Meter) — простой монитор трафика, который отображает объём переданных данных через сетевые интерфейсы. Без лишних функций (а нужны ли они вам?), просто свежие статистики трафика, обновляющиеся в реальном времени.

🟣 Jnettop — визуализатор сетевого трафика, который захватывает трафик, проходящий через хост, на котором он работает. Он сортирует потоки по использованию полосы пропускания, что помогает выявить самые “прожорливые” подключения.

🟣 Nethogs — компактный инструмент для мониторинга, который показывает, сколько трафика потребляет каждый отдельный процесс. Если вдруг трафик резко увеличился, Nethogs поможет быстро найти виновный процесс, указав его PID, пользователя и путь.

Серверная Админа | #Инструмент

👋 Привет, сетевой друг!

Сегодня разберу традиционную настройку OSPFv3.

🟣Сам по себе протокол маршрутизации в IPv6 схож с классическим OSPFv2, но требует некоторых дополнительных шагов для работы с IPv6. Мы посмотрим на конфигурацию магистральной области (область 0) и не магистральной (область 1) с использованием «традиционного» OSPFv3.

🟣Конфигурация на маршрутизаторе ATL

Начнём с включения одноадресной маршрутизации IPv6 и назначения адресов на интерфейсы:

ATL(config)#ipv6 unicast-routing
ATL(config)#interface fa0/0
ATL(config-if)#ipv6 address 2001:1212:1212::1/64
ATL(config-if)#ipv6 ospf 1 area 0
ATL(config-if)#interface loopback0
ATL(config-if)#ipv6 address 2001:1111:1111::1/64
ATL(config-if)#ipv6 ospf 1 area 0

Этот процесс похож на настройку OSPFv2, но требует глобального включения маршрутизации IPv6 на устройстве.

🟣Конфигурация на других устройствах

Сейчас настроим ATL2 и ORL, добавив их в разные области:

ATL2(config)#ipv6 unicast-routing
ATL2(config)#int fa0/0
ATL2(config-if)#ipv6 address 2001:1212:1212::2/64
ATL2(config-if)#ipv6 ospf 1 area 0
ATL2(config)#int fa1/0
ATL2(config-if)#ipv6 address 2001:2323:2323::2/64
ATL2(config-if)#ipv6 ospf 1 area 1

Для маршрутизатора ORL:

ORL(config)#ipv6 unicast-routing
ORL(config)#int fa1/0
ORL(config-if)#ipv6 address 2001:2323:2323::3/64
ORL(config-if)#ipv6 ospf 1 area 1

Теперь можно проверить работу маршрутизации на устройстве ORL с помощью команд show ipv6 route, show ipv6 ospf neighbor, и show ipv6 ospf database.

🟣Семейства адресов в OSPFv3

В завершение рассмотрим настройку семейства адресов OSPFv3. Этот подход позволяет использовать OSPFv3 для передачи как IPv4, так и IPv6 префиксов:

BOS(config)#ipv6 unicast-routing
BOS(config)#router ospfv3 1
BOS(config-router)#address-family ipv6 unicast
BOS(config-router-af)#area 1 range 2001:DB8:0:0::0/128
BOS(config)#interface fa1/0
BOS(config-if)#ipv6 ospf 1 area 1

Серверная Админа | #Network

👋 Привет, сетевой друг!

Сравню два протокола маршрутизации: OSPFv2 и OSPFv3.

🟣Сходства между OSPFv2 и OSPFv3:

• Процесс маршрутизации не создаётся явно в OSPFv3. Включение OSPFv3 на интерфейсе автоматически начинает процесс и создаёт связанную конфигурацию.
• Идентификатор маршрутизатора всё так же 32-разрядный, и его выбор остаётся таким же, как в OSPFv2: сначала loopback интерфейс, потом — самый высокий IP-адрес.
• Поддержка интерфейсов: и в OSPFv2, и в OSPFv3 loopback интерфейс автоматически предпочитается всем остальным!

🟣В чем разница между OSPFv3 и OSPFv2:

• Начнем с того, что в OSPFv3 интерфейсы включаются напрямую через интерфейс, в отличие от OSPFv2, где интерфейсы активируются через полную конфигурацию устройства.
• Nonbroadcast multiaccess (NBMA) интерфейсы требуют ручной настройки соседей в OSPFv3.
• В IPv6 можно назначить несколько префиксов на одном интерфейсе, и все они автоматически импортируются в OSPFv3. Нельзя выбрать отдельные префиксы для импорта — либо все, либо ни один 🤷‍♂️
• В OSPFv3 возможно запустить несколько экземпляров протокола на одном интерфейсе, что отличается от OSPFv2.

🟣Что общего и что вообще нового в OSPFv3: OSPFv3 теперь поддерживает семейства адресов, что дает нам возможность маршрутизировать как IPv6, так и IPv4 с помощью одного и того же протокола.

Серверная Админа | #Network

👋 Привет, сетевой друг!

Сегодня решил вспомнить типы построения сетевых деревьев и сравнить их.

🟣MST — это подход, который охватывает все узлы с минимальной общей стоимостью соединений. Здесь задача простая: дойти до каждого узла, не тратя лишних ресурсов. Но стоит понимать — это совсем не обязательно самый быстрый маршрут. Для MST скорее важна глобальная экономия в сети, он не стремится выбрать кратчайший путь к каждому узлу.

🟣SPT, в отличие от MST, находит кратчайший путь к каждому узлу. Этот метод отлично подходит для задач, где нам важна скорость доставки данных, но это может быть не самым дешёвым решением для всей сети. SPT в первую очередь фокусируется на индивидуальных маршрутах, чтобы каждое сообщение достигло цели как можно быстрее. Остальное для него — второстепенно!

🟣Для построения SPT часто применяются Greedy алгоритмы (например, алгоритм Дейкстры. О нем говорили тут ). Они выбирают локально оптимальные решения, двигаясь от одного ближайшего узла к следующему. Это как навигатор, который ведёт через самые близкие точки на карте. Но у Greedy подхода есть минус: он не всегда видит общую картину, и в сложных сетях это может быть проблемой.

Серверная Админа | #Network

📝 5 Способов защитить систему от перегрузок и злоупотреблений

Как говориться, вспомним базу: банальные, но необходимые методы.

1️⃣Аутентификация и авторизации — проверяйте запросы и не пускайте тех, кто не прошёл проверку. Это как фейс-контроль на входе.
2️⃣Ограничение запросов (Rate-limiting) — ограничивайте количество запросов за определённое время, чтобы не получить лавину запросов и сбой системы.
3️⃣Замедление (Throttling) — замедляйте выполнение процессов после большого количества запросов. Это как включить режим “медленного интернета” для тех, кто слишком активен.
4️⃣CAPTCHA — всеми любимая игра на выбор нужных картинок. Используйте такие тесты, которые умеют решать только люди, чтобы фильтровать ботов.
5️⃣Системы обнаружения и предотвращения атак (IDPS) — мониторьте трафик и блокируйте подозрительные активности до того, как они нанесут вред.

Серверная Админа | #Network

👋 Привет, сетевой друг!

Расскажу о Bwm-ng — отличном способе следить за сетевой нагрузкой в реальном времени.

🟣Bwm-ng: это по сути инструмент, который просто-напросто показывает, с какой скоростью данные поступают и уходят через все сетевые интерфейсы на вашем устройстве.

🟣В чем удобство: Bwm-ng отличается простотой использования: буквально несколько команд, и нужные данные перед вами. Никаких сложных настроек и излишних опций, просто полезная информация в реальном времени

🟣И да, работает он на основе консоли для Linux, BSD, Solaris, Mac OS X и других.

Серверная Админа | #Инструмент

👋 Привет, сетевой друг!

Сегодня поговорим об одной из основ сетевой настройки Cisco — получении DNS-адреса от провайдера с помощью PPP.

🟣В корпоративных сетях, где локальный DNS недоступен, клиенты часто юзают DNS-сервисы провайдера. И тут протокол DNS помогает разрешить доменные имена (FQDN) в IP-адреса, что очень полезно для небольших сетей, где поддержка локального DNS-сервера просто невозможна.

🟣Настройка локального DHCP-сервера на Cisco: Сначала активируем службу DHCP на маршрутизаторе, чтобы он мог работать как сервер для внутренней сети:

R1(config)#service dhcp

А сейчас создаём пул DHCP, указывая подсеть, шлюз по умолчанию и DNS-сервер для клиентов:

ip dhcp pool LAN_MY
network 192.168.1.0 255.255.255.0
default-router 192.168.1.1
dns-server 192.168.1.1

Эти команды задают основные параметры для DHCP-клиентов в локальной сети.

🟣Включаем DNS-сервер на маршрутизаторе Cisco:

Включаем DNS-сервис на Cisco, чтобы маршрутизатор мог обрабатывать DNS-запросы:

R1(config)#ip dns server

🟣Настройка PPP для получения Public DNS от провайдера: Чтобы маршрутизатор использовал DNS-сервер провайдера, настраиваем PPP для передачи этой информации:

R1(config)#interface dialer 1
R1(config-if)#ppp ipcp dns request

Вот теперь наш маршрутизатор, настроенный как локальный DNS-сервер, будет использовать Public DNS провайдера для обработки запросов. DHCP-клиенты получат IP-адрес и DNS от маршрутизатора, который сам перенаправит запросы к провайдеру.

🟣Проверка настройки:

• Во-первых, используем debug ppp negotiation, чтобы увидеть информацию о DNS от провайдера.
• Во-вторых же, выполняем show ppp interface virtual-access, чтобы проверить успешное согласование PPP-параметров.

R1

# show ppp interface virtual-access 3

Серверная Админа | #Network

👋 Привет, сетевой друг!

Давай расскажу подробнее об использовании команды mtr.

🟣Что это: mtr — команда-гибрид, которая в себе сочетает функции ping и traceroute. Она отправляет всю нужную аналитику о сети в реальном времени, тем самым позволяет находить разные "сюрпризы" в сети и задержки лии потерю пакетов.

🟣Синтаксис команды mtr прост и понятен:

mtr [options] [hostname/IP]

• [options] — здесь вы можете настроить параметры под свои нужды.
• [hostname/IP] — адрес хоста или IP-адрес, который вы хотите исследовать.

🟣Базовая трассировка:
Запускаем команду без параметров для трассировки до указанного хоста. Например:

mtr google.com

Не забываем, что чтобы выйти из режима трассировки, просто надо нажать q.

Если же нужно больше данных, вы можете указать количество пакетов, отправленных на каждую итерацию, с помощью параметра -c:

mtr -c 10 google.com

🟣Изменение размера пакета: Иногда стоит поэкспериментировать с размером пакета. Для этого используйте параметр -s:

mtr -s 1400 google.com

Если вы хотите использовать ICMP-эхо-запросы, а не UDP, добавьте параметр -I:

mtr -I google.com

Это полезно, если ваш провайдер блокирует UDP-запросы.

🟣Подробный вывод:
Для тех, кто любит детали, можно получить более полную информацию с параметром -v:

mtr -v google.com

Не забываем также, что результаты трассировки можно сохранить в файл для дальнейшего анализа:

mtr -w google.com > mtr_output.txt

Серверная Админа | #Network #mtr

👋 Привет, сетевой друг!

Сегодня разберёмся, что такое Class-Based Weighted Fair Queueing (CBWFQ).

🟣CBWFQ - это метод, который позволяет организовать очередь трафика так, чтобы каждый класс данных получал свою долю пропускной способности. Это похоже на работу с различными приоритетами: трафик одного типа получает гарантированное минимальное количество ресурсов, в то время как другие могут "подхватить" оставшееся.

🟣Как это работает: представим, у вас есть канал с пропускной способностью 1024 Кбит/с. В соответствии с CBWFQ, трафик делится так:

• AF41: минимум 256 Кбит/с
• AF31: минимум 128 Кбит/с
• AF21: минимум 128 Кбит/с
— Остальные 512 Кбит/с могут использоваться для неклассифицированного трафика.

То есть трафик распределяется по принципу 2:1:1:4. Когда интерфейс перегружен, CBWFQ будет обслуживать пакеты в соответствии с этой политикой, гарантируя, что каждый класс получает своё.

🟣Какие нюансы: Важно помнить, что CBWFQ не увеличивает общую пропускную способность канала. Он лишь управляет трафиком в условиях перегрузки, сохраняя относительные приоритеты. Это значит, что даже при оптимизации все классы трафика могут оказаться в ситуации, когда скорость передачи снижается.

Серверная Админа | #Network

Даже он не в курсе 🤷‍♂️

👨‍💻Серверная Админа | #мем

👋 Привет, сетевой друг!

Сегодня расскажем о NetworkMiner — мощном инструменте для сетевого криминалистического анализа.

🟣Что такое NetworkMiner: инструмент, который позволяет пассивно захватывать пакеты и анализировать сетевой трафик на Windows, а также работает на Linux, Mac OS X и FreeBSD. Он нужен для обнаружения операционных систем, сессий, имён хостов, открытых портов и многого другого, при этом не создавая никакого трафика в сети.

🟣NetworkMiner легко использовать: всего несколько кликов — и вы получаете все необходимые данные. Плюсом он может анализировать файлы PCAP для оффлайн-анализа, позволяя восстанавливать и пересобирать переданные файлы и сертификаты.

Серверная Админа | #Инструмент

👋 Привет, сетевой друг!

Давайте расскажу, какие инструменты управления QoS, которые помогут держать трафик под контролем даже при перегрузке.

🟣Формирование трафика: формирование — это способ довольно мягко ограничить скорость определённых классов трафика. Например, трафик AF21 может ограничиваться до 512 Кбит/с с допустимыми небольшими всплесками. Это позволяет TCP успеть подстроиться, и на графике скорость плавно доходит до предела, а затем стабильно удерживается. Отлично подходит для "слоновьих потоков" — больших потоков данных, которые могут занимать полосу пропускания целиком.

🟣Слоновьи потоки: это мощные передачи данных, которые могут перегрузить сеть. Контролируя их, можно избежать "пробок" в вашей сети, оставляя полосу пропускания для других типов трафика.

🟣Применение политик: вот политики уже действуют жёстче, чем формирование: избыточный трафик сразу отбрасывается при превышении лимита. Это называется "ограничением", и на графике выглядит как пилообразные скачки. Также политики могут понизить приоритет несоответствующего трафика, вообще не отбрасывая его.

Серверная Админа | #Network

👋 Привет, сетевой друг!

Сравним два популярных инструмента мониторинга: Zabbix и Prometheus + Grafana.

🟣Zabbix — своего рода универсальное решение для мониторинга, оповещений и отчетности. Он супер прост в развертывании, имеет встроенные шаблоны и плюсом поддерживает различные протоколы (SNMP, IPMI и т.д.). Однако вот настройка под специфические нужды может быть сложной, а при большом объеме данных могут возникнуть проблемы с масштабируемостью.

🟣Prometheus + Grafana — это гибкая связка для мониторинга и еще визуализации метрик. Prometheus справляется с большими объемами данных и облачными сервисами, а Grafana шикарно визуализирует всё это. Но тут настройка и эксплуатация требуют больше усилий, особенно при настройке всех компонентов (Prometheus, Grafana, Alertmanager).

🟣Что по итогу? Zabbix — для тех, кто хочет всё готовое и сразу. Но если ты работаешь с большими динамичными системами, где важна масштабируемость и гибкость, то Prometheus + Grafana точно ваше 💯

Серверная Админа | #Network

👋 Привет, сетевой друг!

Давай разберем по шагам, как сбросить и восстановить пароль на Cisco ASA Firewall.

🟣Подключение и перезагрузка устройства: подключаемся к Cisco ASA с помощью консольного кабеля и перезагружаем устройство.

Вход в режим ROMMON: при перезагрузке начинаем нажимать клавишу ESC или BREAK на клавиатуре. Продолжаем, пока устройство не перейдет в режим ROMMON. Пример вывода:

rommon #0>

🟣Изменение регистра конфигурации: вводим команду для изменения регистра конфигурации на 0x41:

rommon #0> confreg 0x41

После выполнения команды вы увидите подтверждение:

Update Config Register (0x41) in NVRAM...
rommon #1>

Перезагрузка устройства чтобы продолжить загрузку, вводим:

rommon #1> boot

🟣Вход в привилегированный режим: после перезагрузки устройство загрузится без запроса пароля. Вводим enable для перехода в привилегированный режим и просто нажимаем Enter на запрос пароля:

ciscoasa> enable
Password:
ciscoasa#

Восстановление конфигурации: копируем startup-config в running-config, чтобы вернуть текущую конфигурацию:

ciscoasa# copy startup-config running-config

Подтверждаем:

Destination filename [running-config]?

🟣Установка нового пароля и возврат регистра: входим в режим конфигурации и устанавливаем новый пароль:

ASA# conf t
ASA(config)# enable password password123

Возвращаем значение регистра конфигурации в 0x01:

ASA(config)# config-register 0x01

Сохраняем изменения:

ASA(config)# wr

Перезагрузка устройства: для применения изменений перезагружаем устройство:

ASA(config)# reload
Proceed with reload? [confirm]

Серверная Админа | #Network

📝Полная шпаргалка по сетевой безопасности для CISSP

Тут и модели OSI, и TCP/IP, и основные протоколы, порты, типы атак, сетевые устройства и даже методы шифрования VPN.

Пользуемся 🤝

Серверная Админа | #безопасность

👋 Привет, сетевой друг!

Разберемся, в чем вообще разница в основных подходах к передаче данных — Connection-oriented и Connectionless.

🟣Connection-oriented: надёжный, но строгий — протоколы, ориентированные на соединение, сначала выстраивают маршрут. Здесь задаются:

• Условия качества обслуживания (QoS),
• Скорость передачи,
• Выбор маршрута для прохождения пакетов.

Когда всё установлено, передача данных проходит плавно, но при сбое перенастроить соединение не всегда просто. TCP — хороший пример такого протокола, где важна и надежность, и относительный порядок.

🟣Connectionless: гибкость и строгость — без соединения более динамичны: каждый пакет передает данные самостоятельно, без предварительного установления соединения. Это дает заметную гибкость — если один путь не доступен, данные найдут другой маршрут. Тот же UDP — классический connectionless протокол, который идеально подходит в случаях, где важна скорость.

🟣Сегодняшние сети совмещают оба подхода: connectionless протоколы для гибкости и connection-oriented элементы для приоритета данных. Это дает возможность сетям быть одновременно быстрыми и управляемыми, хотя и требует тонкой настройки QoS и маршрутов.

Серверная Админа | #Network

Почтовый сервер с нуля

Статья расскажет о создании прямо полноценного почтового сервера с нуля, используя Exim4, Dovecot, Postfixadmin и RainLoop.

🟣Автор делится опытом и наглядно объясняет, как работает почта в интернете — от протокола SMTP до взаимодействия DNS и фильтрации спама. В процессе настройки Exim4 вы научитесь не только конфигурировать сервер, но и обходить фильтры, чтобы письма гарантированно попадали в нужные inbox.

Серверная Админа | #Статья