Как стать автором
Обновить
@l-evgeniy read-only

Пользователь

  • Публикации
  • Комментарии

Сети для самых маленьких. Часть седьмая. VPN

Системное администрирование *Сетевые технологии *
Tutorial


Покупка заводов в Сибири была стратегически правильным решением для компании “Лифт ми Ам”. После того, как лифты стали ездить не только вверх, но и вниз, дела компании пошли… нет полетели, вверх. Лифты начали разбирать, как горячие пирожки со стола. Название уже не соответствовало действительности и было принято решение о ребрендинге. (На самом деле их замучила судебная тяжба с Моби).
Итак, под крыло ЛинкМиАп планируется взять заводы в Новосибирске, Томске и Брно. Самое время подумать о том, как это хозяйство подключить к имеющейся сети.

Итак, сегодня рассматриваем
1) Возможные варианты подключения, их плюсы и минусы
2) Site-to-Site VPN на основе GRE и IPSec
3) Большая тема: динамическая многоточечная виртуальная сеть (DMVPN) в теории и на практике.

В традиционном видео лишь ёмкая выжимка из статьи, посвящённая работе и настройке DMVPN.

Читать дальше →
Всего голосов 118: ↑118 и ↓0 +118
Просмотры 534K
Комментарии 43

Let's Lab. IS-IS routing protocol. Часть 2

Cisco *Сетевые технологии *
Tutorial
Привет, Хабр!

Концепции и правила! Они окружают нас повсюду. Что употреблять в пищу, как переходить дорогу, почему не стоит облизывать лягушек и как перекладывать пакеты, если ты маршрутизатор. Очень много всяких штук приходится держать в голове сетевому инженеру. Порой и не поймёшь, так ли тебе надо знать все типы LSA в OSPF, по какому порту строятся TCP сессии в BGP, и так ли важно каждый день узнавать что-то новое, при этом, не забывая старое.

Так или иначе, переходить к практике рано, пока нет понимания теории. В выпуске будет очень много концепций, которые я постараюсь вам объяснить. Всю воду и историю я слил в первый выпуск. А данный выпуск будет состоять из двух секций, в первой из которых я подробно расскажу о топологиях с IS-IS. Вторая секция будет посвящена данным, которыми обмениваются маршрутизаторы в IS-IS.

И вот о чём пойдёт речь:
Тяжко ли быть маршрутизатором с OSPF или IS-IS на борту?
Как OSPF и IS-IS строят топологию?
L1, L2, L1/L2 маршрутизаторы и куда их пристроить.
Что такое Partial route calculation и как работает ISPF?
Зачем нам куча Area, и так ли они важны?
Нужен ли в IS-IS virtual link?
Поменять номер Area без downtime?
Почему IS-IS называют L2-протоколом?
Бабушка, а зачем тебе такое больше MTU?
Что такое PDU, и какими они бывают в IS-IS?
Почему я так люблю Overload bit?
И как запихнуть в OSI-протокол ip-префиксы и чизбургер?



В следующем выпуске больше веселья. Даёшь командную строку!

Под катом нет текстовой статьи. Только ссылки на литературу и источники.
Читать дальше →
Всего голосов 15: ↑15 и ↓0 +15
Просмотры 11K
Комментарии 4

Let's Lab. IS-IS routing protocol. Часть 1

Cisco *Сетевые технологии *
Tutorial
Привет, хабр.

Маршрутизация – это весело. А IGP-маршрутизация — это ещё и быстро. Есть, конечно, энтузиасты, которым не хватает всего многообразия решений, и в результате мы видим такие забавные реализации, как тысячи статических маршрутов или полное доминирование iBGP в маленьких сеточках.

Но сегодня мы не будем запихивать слона в игольное ушко. Обсуждаемой теме уже 100 лет в обед, но я всё чаще становлюсь свидетелем того, как заслуженный протокол признают уделом извращенцев. А говорю я об integrated IS-IS.
С тех пор как Cisco вырезала топик из CCNP R&S, все кому не лень стали кидать в беднягу тапками. Мол «вали туда, где покоятся frame relay и x25, у нас есть OSPF». Да, давайте просто так назовём дураками и лентяями крупнейших провайдеров, может они правда не хотят идти в ногу со временем?

Я думаю всё дело в том, что не так много начинающих инженеров сталкивается в своей работе с этим протоколом. Кстати в CCNP Service Provider топик не обошли вниманием. А те, кто пошёл по пути Juniper, возможно, и вовсе не имеют таких предрассудков. Захотели сдать CCIE R&S written?- пожалуйте на страницы учебников, «матчасть» надо знать.

Не сочтите меня фанатом IS-IS, я считаю, что всему своё место, и не стоит пихать IS-IS в каждый энтерпрайз «лишь бы было». Но вот что меня не устраивает категорически, так это количество учебных материалов и заметок в интернете. Очень трудно «въехать с нуля».

Тем, чьё сердце пленили операторские сети, тем, кто не боится знать правду и тем, кто страстно желал видеть IS-IS хоть где-нибудь, посвящается.



Под катом нет текстовой статьи. Только ссылки на литературу и источники.
Я уже пробовал пояснить причины такого форм-фактора в пилотном выпуске, но НЛО отправило меня в read-only за «не магазин» и ссылку на линкмиап.
Читать дальше →
Всего голосов 17: ↑16 и ↓1 +15
Просмотры 31K
Комментарии 11

Let's Lab. IS-IS routing protocol. Часть 3

Cisco *Сетевые технологии *
Tutorial
Привет, Хабр!

Вы когда-нибудь пробовали стрелять из лука? Наверное, не самое популярное занятие. А как насчёт коньков и роликов? Сотни раз я видел, как люди, экипированные всевозможными защитными приспособлениями на всех частях тела, подвергаясь всемирному закону тяготения, наносят себе травмы. Тогда как опытные спортсмены месяцами катаются без единого падения.

Всему виной — отсутствие практики. Проведите за книжками хоть целый месяц, и, вероятно, вы добьётесь меньшего, чем за 2 недели с лабой на изучаемую тематику.

IS-IS легко можно назвать странным протоколом. Но такой он только в теории. На практике мы встречаемся с теми же проблемами, что караулили нас во время использования других IGP-протоколов. Основная его цель – распространение маршрутной информации и принятие решений по её добавлению в таблицу маршрутизации.

Данный выпуск оказался длиннее, чем я рассчитывал. Больше часа информации не каждый способен осилить за один раз. В силу обстоятельств, я не могу разбить видео на два выпуска.

Смотрите в этой части:

— Базовая настройка IS-IS на Cisco IOS и IOS-XR;
— Установление соседства между маршрутизаторами;
— Дебаг и разбор дампа трафика при обнаружении соседа;
— Метрика протокола и его настройка;
— Hello и Hold таймеры и их причуды;
— Hello-padding;
— Линки с множественным доступом и DIS;
— Обмен между L1 и L2 базами. Значение ATT bit;
— Анонс префиксов из BGP в IS-IS;
— External маршруты и их метрика;
— Как избежать петель при импорте из L2 в L1;
— Ассиметричная маршрутизация и Suboptimal routing;
— Будь крутым, настрой роль каждого линка правильно.



Под катом нет текстовой статьи. Только ссылки на литературу и источники.
Читать дальше →
Всего голосов 14: ↑13 и ↓1 +12
Просмотры 11K
Комментарии 3

OSPF (часть первая)

Сетевые технологии *
Данная статья была написана для себя, чтоб при необходимости быстро освежить память и разобраться с теорией. Решил ее опубликовать, возможно кому-то будет полезна, а может в чем то ошибаюсь.

В данной статье попытаемся разобраться с теорией работы протокола OSPF. Не будем углубляться в историю и процесс создания протокола, данная информация в изобилии есть почти в каждой статье о OSPF. Мы постараемся более детально разобраться как работает протокол OSPF и как строит свою таблицу маршрутизации. Важно дать общее определение протокола:

OSPF (англ. Open Shortest Path First) — протокол динамической маршрутизации, основанный на технологии отслеживания состояния канала (link-state technology) и использующий для нахождения кратчайшего пути алгоритм Дейкстры.

Возникает сразу вопрос — Что есть технология отслеживания состояния канала? Данное название считаю не совсем удачным. Сложилось так, что существует два типа протоколов динамической маршрутизации: Link-state и Distance-Vector. Рассмотрим их принципы работы:

В Distance-Vector протоколах, маршрутизатор узнает информацию о маршрутах посредством маршрутизаторов непосредственно подключенных в один с ним сегмент сети. То есть, маршрутизатор имеет информацию о топологии только в границах его соседних маршрутизаторов и понятия не имеет как устроена топология за этими маршрутизаторами, ориентируясь только по метрикам. В Link-state протоколах каждый маршрутизатор должен непросто знать самые лучшие маршруты во все удалённые сети, но и иметь в памяти полную карту сети со всеми существующими связями между другими маршрутизаторами в том числе. Это достигается за счет построения специальной базы LSDB, но подробнее об этом позже.
Читать дальше →
Всего голосов 13: ↑12 и ↓1 +11
Просмотры 97K
Комментарии 10

IPSec VPN-соединение между MikroTik и Kerio Control

Системное администрирование *Сетевые технологии *Сетевое оборудование
Из песочницы


Начальные параметры:

  1. Головной офис предприятия с двумя пограничными прокси Kerio Control v.9.2.9 build 3171 (за Kerio расположен свич Cisco 3550, определяющий конфигурацию локальной сети офиса).
  2. На каждом Kerio организовано по два канала с балансировкой нагрузки до ISP (на схеме — ISP #1 и ISP #2) со статичными белыми IP.
  3. Со стороны удалённого офиса установлен MikroTik 951G-2HnD (OS v.6.43.11).
  4. На MikroTik приходят два ISP (на схеме — ISP #3 и ISP #4).

На момент написания статьи и в головном и в удалённом офисе соединение с провайдерами было по витой паре.

Список задач:


  1. Организовать IPSec VPN-соединение между MikroTik и Kerio Control, где инициатором будет выступать MikroTik.
  2. Обеспечить отказоустойчивость VPN-соединения, т.е. кроме того, что MikroTik должен отслеживать работоспособность своих ISP(статья здесь), он также должен мониторить доступность каждого сервера Kerio и определять, доступ по какому каналу (через какого ISP со стороны Kerio) будет производиться подключение.
  3. Обеспечить возможность изменения адреса сети, с которым MikroTik подключается к Kerio. Это обусловлено тем, что в головном офисе «на границе» стоят Kerio, а не маршрутизатор.
Читать дальше →
Всего голосов 15: ↑15 и ↓0 +15
Просмотры 23K
Комментарии 11

Еще раз о том, как не сделать из своей сети «решето»

Информационная безопасность *
Из песочницы
Здравствуйте! Я почти 10 лет работаю в сфере ИТ и ИБ, всегда интересовался практической безопасностью, в настоящее время работаю пентестером. За все время работы я постоянно сталкивался с типовыми ошибками в настройках и дизайне инфраструктуры. Ошибки эти чаще всего досадные, легко устранимые, однако быстро превращают сеть в полигон для взлома. Порой кажется, что где-то специально учат так настраивать, насколько часто они встречались. Это и побудило меня написать данную статью, собрав все самое основное, что может улучшить защищенность.

В этой статье я не буду рассказывать про использование сложных паролей, максимального ограничения прав доступа, смене учетных записей по умолчанию, обновлению ПО, и других «типовых» рекомендациях. Цель статьи – рассказать о самых частых ошибках в настройках, заставить администраторов и специалистов ИБ задуматься над вопросом – «а все ли в моей сети хорошо?», а также показать, как можно оперативно прикрыть те или иные типовые уязвимости, используя встроенные или бесплатные средства, не прибегая к дополнительным закупкам.

Инструкций-рецептов намеренно не прикладываю, так как многое ищется очень легко по ключевым словам.
Читать далее
Всего голосов 53: ↑53 и ↓0 +53
Просмотры 295K
Комментарии 98

Типы областей OSPF

Cisco *
Tutorial

Введение


Добрый день!

В этой статье я хотел бы рассказать о типах областей OSPF. Статьи по настройке OSPF с использованием областей как-то здесь мне уже попадались. Я же хочу рассмотреть, чем эти типы областей отличаются друг от друга: normal, stub, totally stubby, NSSA, totally NSSA. Итак, начнем.
Читать дальше →
Всего голосов 16: ↑16 и ↓0 +16
Просмотры 103K
Комментарии 32

Outline: Делаем свой личный VPN от Google за 5$ в месяц (и за 1€ для продвинутых)

Информационная безопасность *
Tutorial
image

В последнее время использовать VPN стало популярно с чего бы это?, но все инструкции которые мне попадались — могут «осилить» только пользователи хотя бы чуть-чуть знакомые с тем что такое Linux. Компания Google всех порадовала, выпустив прекрасное приложение, которое позволяет вам установить VPN в два клика (правда в два!) на своем личном сервере без каких либо знаний.
(Если у вас нет сервера — не беда, появится)
Читать дальше →
Всего голосов 49: ↑46 и ↓3 +43
Просмотры 77K
Комментарии 123

История сертификации сетевого эксперта Juniper JNCIE-ENT

Системное администрирование *Сетевые технологии *
Из песочницы
Сегодня мне пришел результат сдачи 8-часового лабораторного экзамена Juniper Networks Certified Expert Enterprise Routing and Switching. Итог – JNCIE-ENT #427.

Экзамен является завершающей ступенью сертификации сетевого специалиста Juniper Networks по направлению «Enterprise». Фактически, экзамен является аналогом более популярного CCIE R&S от компании Cisco Systems.
По горячим следам хочу поделиться своим опытом и впечатлениями о самом экзамене, процессе сертификации Juniper Networks.
Читать дальше →
Всего голосов 28: ↑25 и ↓3 +22
Просмотры 36K
Комментарии 40

Выходим в интернет за пределами РФ: (MikroTik<->Ubuntu) * GRE / IPsec

Настройка Linux *Системное администрирование *Сетевые технологии *Серверное администрирование *
Позволю себе опубликовать свой опыт применения сетевых технологий в меру моей испорченности для выхода в интернет из-за пределов РФ. Не будем рассуждать о том, зачем это нужно. Надеюсь, что все всем и так понятно.

Итак, у нас есть статический публичный IP адрес, который приходит Ethernet шнуром в MikroTik RouterBOARD 750G r3 (hEX). Пробуем собрать вот такую конструкцию.


Настройку L2tp линка в рамках этой статьи я не описываю, а на схеме он нарисован только потому, что в ней упоминается.
Читать дальше →
Всего голосов 35: ↑31 и ↓4 +27
Просмотры 57K
Комментарии 50

Наш рецепт отказоустойчивого VPN-сервера на базе tinc, OpenVPN, Linux

Блог компании Флант Настройка Linux *Системное администрирование *Сетевые технологии *
Tutorial


Один из наших клиентов попросил разработать отказоустойчивое решение для организации защищенного доступа к его корпоративному сервису. Решение должно было:

  • обеспечивать отказоустойчивость и избыточность;
  • легко масштабироваться;
  • просто и быстро решать задачу добавления и блокировки пользователей VPN;
  • балансировать нагрузку между входными нодами;
  • одинаково хорошо работать для клиентов на GNU/Linux, Mac OS X и Windows;
  • поддерживать клиентов, которые находятся за NAT.

Готовых решений, удовлетворяющих всем поставленным условиям, не нашлось. Поэтому мы собрали его на базе популярных Open Source-продуктов, а теперь с удовольствием делимся полученным результатом в этой статье.
Читать дальше →
Всего голосов 27: ↑24 и ↓3 +21
Просмотры 38K
Комментарии 26

Как я писал telegram-бота и заливал его на удаленный сервер

Настройка Linux *Python *API *SQLite *
Из песочницы

Вступление


Как только на территории РФ вступил в силу запрет на анонимность в мессенджерах, у меня дошли руки написать пост про telegram-бота. По ходу создания бота столкнулся с большим количеством проблем, которые пришлось решать по отдельности, и буквально выцеживать крупинки информации со всего интернета. И вот после нескольких месяцев страданий и мучений (кодинг – не основное моё занятие) я наконец-то закончил с ботом, разобрался со всеми проблемами и готов поведать свою историю Вам.


Читать дальше →
Всего голосов 32: ↑17 и ↓15 +2
Просмотры 137K
Комментарии 20

Обзор Java 9

Java *
Из песочницы
Всем доброго времени суток. В ноябре 2017 в Санкт-Петербурге прошло одно из самых примечательных событий года для отечественных Java-разработчиков: конференция Joker. На конференции было озвучено много тем, такие как GC, Concurrency, Spring Boot, JUnit 5 и другие, презентации по которым вы можете найти в открытом доступе на сайте конференции. Перечислять все смысла нет, так как по каждому топику можно составить отдельную статью с примерами и выдержками. Поэтому остановимся на главном.

Основной темой были нововведения в Java 9: ей посвятили аж две лекции, по модулям, и по всему остальному. Саму девятку Oracle изначально планировали выпустить еще в середине лета 2016, однако релиз был перенесен сначала на полгода, а потом и вовсе на вторую половину 2017. И вот, 21 сентября 2017, выход девятки состоялся.

Данная статья представлена именно как обзор новоиспеченной джавы, так как тема сама по себе большая, требующая целого цикла статей, которые, несомненно, будут при поступлении просьб от трудящихся.

Итак, по порядку. Как говорилось выше, нововведения в девятке можно разделить на два блока: общий и модульный. Придерживаясь хронологии Joker, начнем с первого.

1. Появление литералов в коллекциях


На самом деле литералы в коллекциях можно использовать с 7 версии, никто не запрещает выполнить следующее, если у вас установлен ProjectCoin:
Читать дальше →
Всего голосов 47: ↑43 и ↓4 +39
Просмотры 53K
Комментарии 75

Скажи «нет» Electron! Пишем быстрое десктопное приложение на JavaFX

Open source *Java *Kotlin *Разработка под Linux *Разработка под Windows *
Перевод
Tutorial
В последнее время на программистских форумах развернулись неслабые дискуссии (для примера см. здесь, здесь и здесь, и эта сегодняшняя) об Electron и его влиянии на сферу разработки десктопных приложений.

Если вы не знаете Electron, то это по сути веб-браузер (Chromium) в котором работает только ваше веб-приложение… словно настоящая десктопная программа (нет, это не шутка)… это даёт возможность использовать веб-стек и разрабатывать кросс-платформенные десктопные приложения.

Самые новые, хипстерские десктопные приложения в наше время сделаны на Electron, в том числе Slack, VS Code, Atom и GitHub Desktop. Необычайный успех.

Мы писали десктопные программы десятилетиями. С другой стороны, веб только начал развиваться менее 20 лет назад, и на протяжении почти всего этого времени он служил только для доставки документов и анимированных «гифок». Никто не использовал его для создания полноценных приложений, даже самых простых!
Читать дальше →
Всего голосов 70: ↑61 и ↓9 +52
Просмотры 69K
Комментарии 185

Настраиваем Windows Server так, чтобы у вас все было, при этом вам за это ничего не было

Блог компании Parallels Клиентская оптимизация *Разработка под Windows *

Parallels Parallels Remote Application Server (RAS) представляет из себя RDP с человеческим лицом, но некоторые его фишки должны быть настроены на стороне Windows Server (либо в виртуальных машинах, которые вы используете). Под катом рекомендации Матвея Коровина из команды техподдержки Parallels о настройках Windows Server при использовании RAS.
Читать дальше →
Всего голосов 31: ↑29 и ↓2 +27
Просмотры 138K
Комментарии 31

Информация

В рейтинге
Не участвует
Зарегистрирован
Активность