RSS
 

Архив с ‘Сети’ категории

Пример двойного NAT

02 Июл

NAT1Давайте рассмотрим пример следующий сети. У нас есть узел “INSIDE_HOST”, который подключен к пограничному маршрутизатору “NAT”. Этот узел не имеет шлюза по умолчанию. То есть, он видит только сеть, которая непосредственно подключена к его интерфейсу FastEthernet0/0 и интерфейсу FastEthernet0/1 маршрутизатора «NAT».

Есть удаленный узел “OUTSIDE_HOST”, который стоит за периметром нашей сети и не имеет маршрута к узлу “INSIDE_HOST”. Он находится в сети Интернет и имеет белые IP адреса. Узел “OUTSIDE_HOST” может быть как непосредственно подключен к роутеру “NAT”, так и где-то далее в сети. Но мы, для простоты эксперимента предположим, что он прямо подключен к нашему пограничному роутеру “NAT”. В нашем примере узел “OUTSIDE_HOST” интерфейсом FastEthernet0/0 подключен к интерфейсу FastEthernet0/0 роутера “NAT”. Читать далее »

 
 

Как подготовиться к экзамену CCNA Security

03 Июн

ccna-certificationНедавно я писал о том, как подготовиться к экзамену 200-120 (CCNA Routing & Switching). Сейчас же хочу рассказать о том, как подготовиться к другому, более сложному и немного выше разрядом, экзамену – 640-554 (CCNA Security).

Почему этот экзамен является немного выше уровнем? Это так, потому что, после его сдачи вы получите ресертификацию по CCNA R&S, без которого сертификат по CCNA Security получить вы не сможете, даже если сдадите экзамен. То есть, подразумевается, что вы уже владеете сертификацией CCNA R&S и теперь хотите подтвердить свою квалификацию в Security. С момента сдачи экзамена 640-554 ваш сертификат CCNA R&S продлится на три года.

Почему этот экзамен является более сложным? Читать далее »

 
1 комментарий

Размещена в Сети

 

Как подготовиться к экзамену CCNA (200-120)

03 Фев

ccna-certificationЕсть много полезной информации по этому поводу в сети Интернет, но я хотел бы поделиться собственным опытом. И здесь я расскажу, как я готовился к сдаче экзамена 200-120.

Итак, первое что необходимо – желание. Желание учиться. Если его нет – не начинайте, зря потратите время. Если есть желание, то надо потратить совсем немного времени. От 2-ух до 6-ти месяцев в зависимости от вашей подготовки. Если вы – полный «ноль», то придется почитать немного академическую литературу, официальную литературу Cisco и пройти около 1000 вопросов-тестов и лабораторных заданий. Читать далее »

 

Классовая и бесклассовая маршрутизация

08 Дек

r47Если спросить специалистов в области сетевых технологий об IP маршрутизации, то большинство скажет именно о бесклассовой маршрутизации. Поскольку классовая маршрутизация тесно связана с классами сетей, которые существовали до появы CIDR (Classless Inter-Domain Routing), сейчас ее практически не используют. Тем не менее, есть причини, по которых нужно понимать различия между классовой и бесклассовой маршрутизацией. Кроются они в существовании классовых протоколов маршрутизации и поддержкой их производителями оборудования. Кроме того, классовая маршрутизация имеет право на жизнь, как единственно когда-то используемая в сетях. Ниже мы рассмотрим различия между этими понятиями. Читать далее »

 
 

Стандартный маршрут или маршрут по умолчанию

07 Дек

HP_A-MSR50Для того, чтобы указать на маршрутизаторе стандартный маршрут, мы используем команду ip route 0.0.0.0  0.0.0.0  gw, где gw – адрес следующего хопа. Что в данном случае означает эта команда? Многие, не задумываясь, сразу скажут, что таким образом мы указываем маршрутизатору путь, куда отправлять пакеты, адресов которых нет в таблице маршрутизации. И они будут правы. Когда мы посмотрим в таблицу маршрутизации нашего роутера (show ip route), то увидим, что наш маршрут по умолчанию (стандартный маршрут) будет обозначен звездочкой *. Если этот маршрут мы указали роутеру вручную, то будет метка *S; если этот маршрут получен через какой-то динамический протокол маршрутизации, то он будет обозначен другой буквой, но тоже со звездочкой *. Это значит, что маршрутизатор принял решении о назначении этого маршрута как стандартного. Читать далее »

 
 

Коммутация каналов и коммутация пакетов

06 Дек

switchТот, кто работает с локальными сетями, мало сталкивается с понятиями коммутации каналов и коммутации пакетов. Если быть конкретней, то используется просто термин «коммутация» и имеется ввиду, что локальная сеть построена на коммутаторах. В региональных и глобальных сетях распространены технологии, отличные от технологий локальных сетей. Если «локалки» обычно строятся на основе Ethernet, у WAN сетях целая куча других технологий. Наиболее распостранены PPP, HDLC, MPLS, frame-relay, DSL, АТМ. Все эти и многие другие технологии делятся на две группы – с коммутацией каналов и коммутацией пакетов. Читать далее »

 
1 комментарий

Размещена в Сети

 

Нулевая и широковещательная сети

05 Дек

local_networkВ классовых сетях существуют понятия нулевой и широковещательной сети. Эти сети зарезервированы, а адреса с этих сетей нельзя использовать для назначения на интерфейсы маршрутизаторов. Причиной этого послужило то, что нулевая сеть совпадала с классовой сетью, а широковещательный адрес подсети совпадал с широковещательным адресом классовой сети. Соответственно, при расчете количества подсетей в классовой сети от максимального количества возможных подсетей отнимались две сети – нулевую и широковещательную. Читать далее »

 
 

Настройка ssh в cisco

24 Ноя

imagesЧестно говоря, сейчас больше пишу «шпаргалет» для себя, чем для кого-нибудь. Так как этой инфы в сети полно, то она не слишком ценная. Все же, в силу своей профессиональной деятельности, циски приходится конфигурить не так часто и в голове не всегда все удержишь… Поэтому, чтобы было под рукой когда понадобится, пишу пару строк сабжа. Принцип конфигурирования тот же, что и telnet (оба нужно конфигурить в line vty). Отличия только в генерации ключа шифрования и разрешении secure shell в терминальных линиях. Плюс, при подключении клиента идет запрос на сохранение ключа. Ключ открытый, поэтому сохранять его не страшно. Закрытый сохраняется на циске. Ну и еще маленькое отличие — для ssh всегда необходим пользователь. Для telnet  можно указать просто пароль и команду login в терминальных линиях. Короче, может кому тоже пригодится.

Читать далее »

 
3 комментария

Размещена в Сети

 

Защита сетей штатными средствами

08 Сен

protect-netДля защиты периметра сети существуем много аппаратно-программных средств, таких как межсетевые экраны и разного рода фаэрволы. Но, как известно, подавляющее большинство утечки информации или поломок в работе сети вызвано не из-за внешних воздействий, а из-за дырок внутри самой сети. Какие дырки могут быть, если сеть нормально настроена и функционирует? Разнообразные, скажу я вам. Сеть будет нормально работать до тех пор, пока не будут задействованы нестандартные способы воздействия на нее. Например, включение маленького коммутатора в сетевую розетку, которое может вызвать падение сети, если не настроен или неправильно настроен stp; включение dhcp-сервера, который будет раздавать свои адреса или исчерпает пул правильных адресов, что приведет к невозможности подключения клиентов и т.д. Перечислять все возможные способы вмешаться в нормальную работу сети можно долго. Здесь мы с вами рассмотрим некоторые очень простые, но, тем не менее, очень действенные способы защиты от подобных воздействий на сеть. Отмечу, что все они реализованы почти на всех умных коммутаторах, что позволяет настроить безопасность сети штатными средствами, не тратясь на дорогое дополнительное оборудование или софт. Пример буду наводить для IOS (Cisco) Читать далее »

 
 

Настройка vsftpd под linux

15 Авг

ftpМного литературы есть по этому поводу, и повторяться не хотелось бы, но по просьбам трудящихся постараюсь вкратце без особо глубоких умных объяснений написать как настроить этот простой и очень хороший сервис в linux.

В отличие от samba, которой нужна очень тонкая настройка, сервис vsftpd работает почти с нуля. То есть, вы можете, прям после установки его с пакета, запустить с дефолтным конфигом и он будет работать. Что мы можем сделать, то это создать каталоги для работы с ftp. Обычно это каталоги pub (public), incoming. Первый создается для чтения, второй – для записи. Читать далее »

 
1 комментарий

Размещена в Linux, Сети

 

Настройка сервера openvpn на linux

31 Июл

VPN-SRVМного статей есть в сети об этом, но я решил написать еще одну. Конечно, можно пользоваться pptp, о котором я уже писал ранее, но в openvpn есть несколько важных преимуществ. Поэтому, он такой популярный. Какие собственно преимущества?

Во-первых, он более защищенный, потому что использует мощные алгоритмы шифрования с открытыми ключами и сертификатами вместо паролей. В pptp используются менее защищенные протоколы шифрования, которые можно сломать при желании. Во-вторых, openvpn работает через http-прокси и фаерволы. Он может работать через любой порт как tcp так и udp. Можно настроить работу сервиса через 443 порт tcp, что позволяет работать через прокси и не дает возможности закрыть этот порт фаерволами. В-третьих, он кроссплатформенный. В-четвертых, он имеет высокую стабильность работы в нестабильном канале Интернета. Читать далее »

 
 

Настройка aaa на Cisco

17 Апр

Не помню где, но где-то в комментариях обещал, что расскажу как настроить aaa на активном сетевом оборудовании Cisco. Не буду здесь рассказывать о настройке 802.1x — об этом нужно писать отдельную статью. Расскажу о том, как настроить доступ к оборудованию через RADIUS сервер, то есть аутентификацию и авторизацию. Это базовая настройка aaa, но предполагается, что читатель знаком с aaa, а если это не так, то очень коротко можно об этом почитать в этой статье. Кроме того, уже должен быть настроен сам RADIUS сервер и на нем заведено оборудование. Как его настроить, я опишу в следующей статье. А пока настройка самого активного оборудования. Итак, заходим на коммутатор/маршрутизатор, переходим в режим конфигурирования и вводим: Читать далее »