👋 Привет, сетевой друг!

Сегодня расскажем про FHRP — протоколы резервирования первого перехода.

🟣Что такое первый переход? Представьте сеть: у нас есть коммутаторы (например, SW1) и маршрутизаторы (R1, R2, VR). Чтобы устройства из локальной сети могли выйти в интернет, их трафик проходит через роутеры. Но что делать, если основной маршрутизатор выходит из строя? Тут используем FHRP-протоколы, которые резервируют этот самый переход между локальной и глобальной сетью.

🟣Как это работает:
1️⃣Forwarding Router (FR) — активный маршрутизатор, через который сейчас идёт весь трафик.
2️⃣Standby Router (SR) — резервный маршрутизатор, который ждёт своего часа. Если FR выходит из строя, SR берёт на себя его функции.
3️⃣Виртуальный роутер (VR) — единый адрес, которым "прикидываются" маршрутизаторы, чтобы клиентам не пришлось ничего менять.

О самих протоколах расскажу в следующем посте

Серверная Админа | #FHRP

👋 Привет, сетевой друг!

Разберем, какие протоколы входят в FHRP.

🟣HSRP (Hot Standby Router Protocol): Протокол от Cisco. Активный маршрутизатор передаёт трафик, а резервный ждёт своего часа. Просто и надёжно, если работаете с оборудованием Cisco.

🟣VRRP (Virtual Router Redundancy Protocol): Открытый стандарт, который делает то же самое, что HSRP, но без привязки к одному производителю.

🟣GLBP (Gateway Load Balancing Protocol): Ещё один протокол от Cisco, который не только резервирует шлюзы, но и распределяет нагрузку между ними. Все маршрутизаторы активны и готовы к использованию!

🟣CARP (Common Address Redundancy Protocol): Открытый и бесплатный протокол для UNIX-систем. Минимум сложностей, максимум отказоустойчивости — идеален для OpenBSD и FreeBSD.

Серверная Админа | #FHRP

👋 Привет, сетевой друг!

Расскажу о IPSec VPN и его настройке с использованием IKEv2 и AES-256.

🟣Что такое IPsec VPN: протокол, который создаёт защищённые туннели между сетями. Как он это делает? Он шифрует трафик, обеспечивая защиту данных, передаваемых через открытые каналы (например, интернет).

🟣Почему используем IKEv2 и AES-256:
• IKEv2 — современный и безопасный протокол для обмена ключами. Плюсом он быстро восстанавливает соединение в случае потери связи.
• AES-256 — просто один из самых надёжных алгоритмов шифрования.

🟣Настройка IKEv2: На первом этапе вам надо настроить IKEv2 для безопасного обмена ключами. На обоих маршрутизаторах нужно указать параметры шифрования и аутентификации.

На R1:

crypto ikev2 policy 10
 encryption aes-256
 integrity sha256
 group 14
 lifetime seconds 86400
!
crypto ikev2 keyring VPN-KEYRING
 peer R2
  address 192.168.2.2
  pre-shared-key cisco123
!
crypto ikev2 profile VPN-PROFILE
 match identity remote address 192.168.2.2 255.255.255.255
 identity local address 192.168.1.1
 keyring local VPN-KEYRING

На R2:

crypto ikev2 policy 10
 encryption aes-256
 integrity sha256
 group 14
 lifetime seconds 86400
!
crypto ikev2 keyring VPN-KEYRING
 peer R1
  address 192.168.1.1
  pre-shared-key cisco123
!
crypto ikev2 profile VPN-PROFILE
 match identity remote address 192.168.1.1 255.255.255.255
 identity local address 192.168.2.2
 keyring local VPN-KEYRING

Серверная Админа | #Network

👨‍💻Серверная Админа | #мем

Как настраивать сети: определения, типовые схемы, особенности

Статья объясняет, как настроить сети для облачных и выделенных серверов, используя различные схемы соединений и современные технологии.

🟣Вот к примеру, она рассматривает, как можно объединить серверы в разных дата-центрах с помощью L3VPN, создавая и безопасные, и быстрые соединения. Также в статье объясняется, как облачные сервисы, такие как Kubernetes, могут быть интегрированы в эти сети для улучшения масштабируемости и отказоустойчивости.

Серверная Админа | #Статья

👋 Привет, сетевой друг!

Сегодня поговорим об инструменте Brim

🟣Brim — это слияние Zeek и Wireshark в одном инструменте. Когда стандартных логов Zeek достаточно для получения ответов на твои вопросы, но ты вдруг решишь "покопаться" глубже, Brim сразу покажет тебе, где найти подробные пакеты. В любой момент, один клик — и ты в Wireshark, разбираешь детали.

🟣Он позволяет эффективно работать с логами, фильтровать, визуализировать, а главное — в любой момент анализировать реальные данные сетевого трафика, не теряя времени.

Серверная Админа | #Инструмент

👋 Привет, сетевой друг!

Продолжим говорить о настройке IPSec VPN с использованием IKEv2 и AES-256.

🟣Настройка IPsec-туннеля (шифрование трафика): Теперь нужно настроить сам туннель, чтобы весь трафик был зашифрован и защищён.

На R1:

crypto ipsec transform-set VPN-SET esp-aes-256 esp-sha-hmac
!
crypto map VPN-MAP 10 ipsec-isakmp
 set peer 192.168.2.2
 set transform-set VPN-SET
 match address VPN-ACL
!
interface GigabitEthernet0/1
 crypto map VPN-MAP

На R2:

crypto ipsec transform-set VPN-SET esp-aes-256 esp-sha-hmac
!
crypto map VPN-MAP 10 ipsec-isakmp
 set peer 192.168.1.1
 set transform-set VPN-SET
 match address VPN-ACL
!
interface GigabitEthernet0/1
 crypto map VPN-MAP

🟣ACL для фильтрации трафика: только нужный трафик в туннель: Сейчас важно указать, какой именно трафик будет передаваться через VPN. Для этого создаём ACL (Access Control List), чтобы фильтровать трафик.

На обоих маршрутизаторах:

ip access-list extended VPN-ACL
 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255

Серверная Админа | #Network

👋 Привет, сетевой друг!

Сегодня рассмотрим и сравним два протокола безопасности для Wi-Fi.

🟣CCMP (Counter Mode with CBC-MAC): надежная классика в безопасности в сетях с WPA2. Работает на основе AES для шифрования и CBC-MAC для проверки целостности сообщений. Этот протокол до сих пор остаётся стандартом для большинства устройств, но важно, чтобы они поддерживали AES аппаратно. Видите пометку WPA2? Значит, в вашем арсенале есть CCMP.

🟣GCMP (Galois/Counter Mode Protocol): актуальный для WPA3 протокол. Использует тот же AES, но делает это быстрее и эффективнее благодаря GMAC, который обеспечивает супер быструю проверку целостности. GCMP даёт по-максимуму безопасности, сохраняя и производительность — вполне себе выбор для современных сетей.

Серверная Админа | #безопасность

👋 Привет, сетевой друг!

Расскажу о полезной команде для проверки состояния сетевых интерфейсов - show ip interface brief.

🟣Что это за команда: Если нужно быстро понять, какие интерфейсы работают, а какие нет, без лишних подробностей, эта команда лучше всего подходит. show ip interface brief дает краткую картину по каждому интерфейсу: его IP, физический статус, активен ли протокол, и если что-то не так, вы сразу заметите это.

🟣Как это выглядит на практике: Например, вы сидите перед маршрутизатором и хочешь проверить состояние интерфейсов. Просто вводишь команду:

Router# show ip interface brief

И получаешь что-то вроде этого:

Router# show ip interface brief
Interface              IP-Address      OK? Method Status                Protocol
FastEthernet0/0        192.168.1.1     YES manual up                    up
FastEthernet0/1        unassigned      YES unset  administratively down down
Serial0/0/0            10.0.0.1        YES manual up                    up
Vlan1                  192.168.10.1    YES manual up                    up

Серверная Админа | #ip

📝 Шпаргалка по работе с утилитой tcpdump

Пользуемся для анализа сетевых пакетов 🤝

Серверная Админа | #tcpdump

👋 Привет, сетевой друг!

Сегодня поговорим об инструменте PcapPlusPlus

🟣PcapPlusPlus — суперлегкий и мощный инструмент на C++, который позволяет захватывать, анализировать и манипулировать сетевыми пакетами. Представьте, что вы можете работать с такими движками, как libpcap, WinPcap, DPDK и PF_RING, и все это с одной универсальной библиотекой!

🟣Он даёт тебе полную свободу для работы с пакетом на разных уровнях — от Ethernet до HTTP и SSL/TLS. С инструментом можно не только парсить пакеты, но и редактировать их или строить свои собственные приложения для анализа трафика.

Серверная Админа | #Инструмент

👋 Привет, сетевой друг!

Сегодня займемся настройкой межсетевого экрана Cisco ASA. Он будет блочить нежелательный трафик в вашей сети.

🟣Подключаемся к устройству: возьмите консольный кабель, подключите его к порту Console (он с голубым ободком) на ASA и к компьютеру, с которого будем работать.

🟣Заходим в привилегированный режим: у Cisco ASA есть три режима: общий, пользовательский и привилегированный. Нам нужен максимальный доступ.

Сначала попадем в пользовательский:

ciscoasa> enable  
ciscoasa#  

Теперь переходим в привилегированный:

ciscoasa# configure terminal  
ciscoasa(config)#  

Мы внутри 😎

🟣Ставим пароль для безопасности: чтобы никто посторонний не получил доступ, задаем пароль:

ciscoasa(config)# enable password СИЛЬНЫЙ_ПАРОЛЬ  

🟣Настраиваем интерфейсы: подключение к интернету (outside):

interface GigabitEthernet 0/0  
nameif outside  
security-level 0  
ip address 192.168.1.1 255.255.255.0  
no shutdown  

Локальная сеть (inside):

interface GigabitEthernet 0/1  
nameif inside  
security-level 100  
ip address 192.168.0.1 255.255.255.0  
no shutdown  

Теперь у нас есть два канала: один для внешнего мира, другой для внутренней сети.

Продолжим в следующем посте?

Серверная Админа | #cisco

👋 Привет, сетевой друг!

Продолжим настраивать межсетевой экран Cisco ASA. Он будет блочить нежелательный трафик в вашей сети.

🟣Добавляем маршрутизацию и NAT: Указываем маршрут по умолчанию:

route outside 0.0.0.0 0.0.0.0 <IP вашего провайдера>  

Включаем NAT, чтобы устройства в локальной сети могли выходить в Интернет:

nat (inside,outside) after-auto source dynamic any interface  

🟣Настраиваем доступ через веб-интерфейс: Хотите настраивать ASA через браузер? Включите HTTP-доступ:

ciscoasa(config)# http server enable  
ciscoasa(config)# http 192.168.0.0 255.255.255.0 inside  

🟣Добавляем SSH для удалённого управления: Удобнее работать через SSH? Настраиваем его так:

hostname ASA  
domain-name yourdomain.com  
crypto key generate rsa modulus 2048  
ssh 192.168.0.0 255.255.255.0 inside  
aaa authentication ssh console LOCAL  

🟣Тестируем соединение: Убедимся, что всё работает. Для проверки используем команду ping. Если что-то не пингуется, включите ICMP:

fixup protocol icmp  

Серверная Админа | #cisco