Сетевое оборудование

Добрый день, Habr! Меня зовут Сергей, я старший эксперт в компании Ростелеком. В зоне моей ответственности эксплуатация сетевого оборудования компании (в основном маршрутизаторы и коммутаторы). Когда счет устройств, с которыми необходимо работать, идет на тысячи, обойтись без автоматизации решительно невозможно.

Значительная часть моей деятельности - автоматизация работы с оборудованием различных моделей и производителей, для чего, как правило, я использую скрипты на Python.
Наша компания, конечно, занимается импортозамещением, но исторически у нас, как во всем телекоме, использовалось оборудование различных производителей, например, Juniper. Опытом автоматизации сбора информации и подходами к обслуживанию оборудования этого производителя я и хочу поделиться.

Приветствую, коллеги! Меня зовут @ProstoKirReal, и я сетевой инженер, который пришел в эту профессию из совершенно другой сферы. На начальном этапе было особенно трудно разобраться в сложных терминах и принципах работы сетевых протоколов и оборудования. Мне захотелось написать цикл статей, посвященных специфике работы сетей и сетевых протоколов. Прежде всего, я делаю это для себя, чтобы наконец разобраться в тех понятиях, которые до конца не понимаю. Надеюсь, эта информация будет полезна и вам, а если нет, то послужит хорошей шпаргалкой для меня самого.

В первой статье цикла я хочу начать с базовых понятий, которые пригодятся всем начинающим сетевым инженерам, студентам и тем, кто связан с сетевыми технологиями. Это модель OSI и TCP/IP. Это база, которую необходимо знать. Вначале мне было трудно запомнить и понять суть этих моделей и их связь с настройками обычного коммутатора. Однако понимание модели OSI облегчает понимание работы различных протоколов и позволяет общаться с коллегами на одном языке. Меня раньше часто поправляли из-за того, что я говорил неправильно, не зная базовых понятий.

Итак, давайте разберемся с базовой информацией.

Модель OSI (Open Systems Interconnection) — это эталонная модель, разработанная для описания функций телекоммуникационных или вычислительных систем, необходимых для сетевого взаимодействия. Она разделяет процесс сетевого взаимодействия на семь взаимосвязанных уровней. Каждый уровень выполняет специфические функции и взаимодействует с уровнями непосредственно выше и ниже.

Было решено написать еще одну статью на уже известную тему, потому что при перепрошивке Redmi AX6S на OpenWRT я встретился с отклонениями реального процесса прошивки этого роутера на OpenWRT от найденных мной инструкций и материалов. Я посчитал, что данная информация будет полезна людям, у которых похожие задачи и опыт в сетевых технологиях (чуть выше среднего).

Если вам интересно узнать, что происходит в мире медных кабельных сетей Ethernet, почитать про самые современные технологии в этой области и понять, куда всё движется — добро пожаловать под кат.

Два года назад во время работы в домашней сети со мной произошло нечто очень странное. Я эксплуатировал слепую уязвимость XXE, которая требовала внешнего HTTP-сервера для переправки файлов. Казалось, всё шло, как по маслу, но вдруг в моем лог-файле появилось нечто неожиданное...

Вот есть у вас сотня коммутаторов или маршрутизаторов. Это много или мало?

Ну вроде как мало. А если надо на всех разом нового сотрудника добавить? А потом удалить уволившегося? А потом поротировать скомпрометированные пароли и ключи?

И тут приходит служба безопасности, которая, во-первых, хочет централизованно контролировать, у кого какие доступы, во-вторых, актуальны ли они на железках, в-третьих, ещё и смотреть, кто что когда запускал, да ещё и разрешать или запрещать это делать («Просто продолжай, не останавливайся» © СИБ).

Ну вот совсем уже и не мало. Чувствуете, чем это пахнет? Даааа, TACACS-ом.

Сегодня мы разберём, как сделать аутентификацию и авторизацию на сетевом оборудовании на основе TACACS, сделать работу сервиса отказоустойчивой, обеспечить себе запасной ход на случай глобальных проблем и осчастливить безопасников.

Перевод материала CCNP на русский язык для тех, кому лень учить английский.

Данная часть посвящена повторению основ из курса CCNA и начинает погружение в L2 Switching.

Сложно представить себе современную сеть без Wi-Fi-маршрутизатора - причем как домашнюю, так и офисную.  В этой статье мы поговорим о самых популярных машрутизаторах — от самых доступных моделей, до продвинутых систем с поддержкой Mesh, возможностью переключения между каналами провайдеров и другими полезными функциями.

Привет, Хабр! Сегодня расскажу про опыт внедрения NGFW Usergate C150: тестовая прошивка из коробки, две прошивки с нуля, лего шаблон для мониторинга и утечка памяти. Возможно описанный опыт поможет в выборе межсетевого экрана.

Orico CD3510 это устройство, с помощью которого можно легко сделать персональное облачное хранилище, т. е фактически организовать домашний NAS. С его помощью вы можете автоматически загружать на жесткий диск все свои фото, видео и аудио. Та и вообще бекапить любые указанные папки и разделы, как с компьютера, так и со смартфона. Причем как в ручном режиме (по мере необходимости), так и в автоматическом. Также вы можете дать задание качать торренты, а потом по домашней сети через SMB протокол посмотреть кино на большом экране. В любой точке планеты вы всегда можете зайти в свое хранилище через клиентскую программу и посмотреть фото, видео или послушать музыку.

Технологии MPLS более двадцати лет. Всё это время она широко использовалась операторами связи, а также в больших корпоративных сетях. Казалось бы, стоит ли искать «лучшее вместо хорошего»? Так, да не так.

В завершающей части нашего цикла про Traffic Engineering обсудим подробнее тему Segment Routing, к которой мы подошли в прошлый раз. И для этого нам будет нужно разобраться, что же не хватало в MPLS.

Привет, Хабр!

Так получилось, что с появлением отделов, служб или подразделений, связанных с информационной безопасностью, простые сетевики, сисадмины начали от них получать рекомендации о необходимости запретить доступ от пользователей до интернет‑ресурсов. И в обратном направлении запретить трафик от тысячи IP из интернета до узлов предприятия с белыми IP. Неважно, какую роль выполняет узел, в качестве VPN‑сервера или веб‑сайта.

Подвох в том, что в рекомендациях напрочь отсутствует подсказка, чем и как блокировать трафик.

Возможно, возмутитесь и скажете, что это не касается сетевиков, сисадминов, но реалии чаще такие, что бóльшую часть «дорожной карты по ИБ» снова «скидывают» на сетевиков, сисадминов и задание должны выполнить в кратчайшие сроки.

Поэтому, в статье рассказывается почему был выбран режим «прозрачного файрволла», чем подошёл и как его настроить на межсетевом экране ATP и USG Flex для блокировки транзитного интернет‑трафика.

Как-то давным давно возникла необходимость настроить роутер ZyXEL Keenetic VOX на работу с IMS, но вообще никаких руководств я на эту тему не нашел. Разобрался сам и составил в связи с этим инструкцию, которую выложил в свой технический блог.
Это произошло 9 лет назад, и эта инструкция так и осталась единственной публикацией. Чего добру пропадать, выложу её на Хабре.

Приветствую сообщество.

В этой заметке я хотел бы поделиться своим велосипедом по настройке ipv6 в локациях где невозможно это сделать нормальным способом (провайдер не умеет/может/хочет ipv6).

На входе у нас есть локация где есть ipv4 интернет (дача, регион, офис), oracle VM instance и роутер на базе openwrt обслуживающий сеть в нашей локации.

На выходе мы хотим получить нормально (насколько это возможно в рамках наших ограничений) работающий ipv6 там, где не удалось настроить правильным/ровным способом через провайдера.

Мы будем решать 2 задачи, а именно:

1) Все устройства в нашей локальной сети должны иметь доступ к ipv6 ресурсам в интернете

2) Из интернета мы хотим иметь возможность достучаться до устройств внутри нашей локальной сети по прямому ipv6 адресу.

Это удобно когда, например, на даче у нас есть камеры/хабы/NAS/итд и мы хотим обращаться к ним напрямую по ipv6 адресу.

Предисловие

Данная статья не столько для гиков, сколько для владельцев небольших и средних гостиниц и надеюсь, она поможет окончательно определиться с выбором оборудования. Важно: это мое наблюдение, мой опыт. Я никого ни к чему не призываю и не даю никаких конкретных рекомендаций.

Данная статья - продолжение серии статей о технических нюансах гостиничной сферы.
В предыдущей статье я рассказывал о том, что гостиница может вас не заселить в забронированный и оплаченный вами на Яндексе или Островке номер или заселить в совершенно другой номер и в этом нет ни капли вины самой гостиницы.

Я не имею никакого отношения к компании Keenetic.
Я всего лишь простой пользователь, который взвесив все "за" и "против", принял спорное и в какой-то степени неадекватное решение заменить сетевое оборудование Mikrotik на продукцию Keenetic.

Прекрасно понимаю, что многие пользователи направят в мою сторону вентилятор и накидают на меня г*вна, так как заменить Mikrotik на Keenetic... типа это примерно как заменить живую женщину резиновой... Я не стану вступать с вами в диалог, мы находимся в разных вселенных: вы - лютый айтишник, а я - управленец/маркетолог, который за 1.5 года вывел гостиницу по популярности в ТОП-1 по своему городу (среди 290 объектов), и в ТОП-3 по своему региону, в котором на данный момент порядка 2.000 гостиничных объектов.

Traffic Engineering помогает нам решать проблемы оценки и оптимизации производительности IP‑сетей, но при этом требует недюжинного понимания сетевых технологий и протоколов, которые используются в больших сетях. В прошлый раз мы остановились на магии работы PCE-контроллера и затронули Stateless и Stateful PCE. Как здесь не вспомнить комикс от Go Chronicles, посвящённый Stateful.

Конечно, на самом деле PCE-контроллер общается не так, а с использованием PCEP — Path Computation Element Communication Protocol, который описан в RFC 5440. Так что самое время начать с него вторую часть нашей истории про Traffic Engineering.