стадион зенит-арена
  • Быстрый переход
  • Рубрики
  • Свежие записи
  • Метки
  • Архивы
  • Реклама 1
  • Реклама 2
  • Рейтинг@Mail.ru

    Добро пожаловать! Ваш IP-адрес: ec2-54-198-108-19.compute-1.amazonaws.com

    QoS (Качество обслуживания) на Catalyst 3750. Общие принципы и примеры!

    3750 QOS: Общие принципы:

    Свич в целом имеет две входящие очереди и каждый порт имеет четыре исходящих. Обращаю внимание, что у  портов нет своих отдельных входящих очередей, две входящие очереди – это на весь свич. Когда пакет входит в порт, то выполняются следующие шаги:

    Classification – для каждого пакета свичу нужно сгенерить QoS Label, который будет сопровождать пакет внутри свича и определять всю его последующую QoS-обработку. Для этого свич «мапирует» CoS или DSCP входящего пакета на QoS Label.
    Policing – определяет попадает ли пакет в профайл или он out profile. Результат отражается в QoS Label и передается Маркеру.
    Marking – оценивает результат полисера и проверяет настройки: что сделать с пакетом, если он out profile. Возможные действия: пропустить без изменений; пропустить, но сделать mark down the QoS label; дропнуть.
    Queueing – поместить пакет в одну из двух ingress очередей свича. Для этого просматривается QoS Label. Сначала по DSCP\CoS пакета выбирается нужная очередь, затем механизм WTD проверяет не превышен ли в этой очереди трешолд для данного DSCP\CoS. Если трешолд превышен, то пакет дропится иначе ставится в очередь.
    Scheduling – механизм SRR (исключительно Shared Round Robin)

    На выходе выполняются следующие шаги:

    Queueing – поместить пакет в одну из четырех egress очередей порта. Для этого просматривается QoS Label. Сначала по DSCP\CoS пакета выбирается нужная очередь, затем механизм WTD проверяет не превышен ли в этой очереди трешолд для данного DSCP\CoS. Если трешолд превышен, то пакет дропится, иначе ставится в очередь
    Scheduling – механизм SRR (Shaped or Shared Round Robin).

    ЗАПОМНИ: Из ingress очередей пакеты попадают в stack ring, т.е. шедулер этих двух очередей управляет передачей пакетов на стековую магистраль. Соответственно BW, которая выделяется каждой очереди – это часть BW стековой магистрали. Из egress очередей портов пакеты попадают в линк, т.е. BW выделяемая каждой очереди – это часть BW порта.

    NOTE: Т.к. суммарная входящая BW всех портов может превысить пропускную способность stack ring'а, то входящие очереди располагаются перед stack ring'ом, т.е. они «сдерживают» траф, уходящий в stack ring. Т.к. несколько входящих портов могут одновременно отправить пакеты в один исходящий порт, то BW этого порта может быть превышена, поэтому egress очереди расположены после stack ring'а, т.е. они сдерживают траф, уходяший в линку.
    Подробнее...

    Открытие SSH доступа на Cisco ASA/PIX

    Настроим SSH доступ к Cisco ASA/PIX
    Зададим enable пароль:

    enable password ***

    Добавим пользователя с максимальным доступом:

    username admin password *** privilege 15

    Октроем доступ к локальному интерфейсу. Для начала разрешим всем все:

    access-list 100 extended permit ip any any
    access-group 100 in interface inside

    Расрешим авторизацию по ssh

    aaa authentication ssh console LOCAL

    И откроем доступ для локального адреса 192.168.1.2

    ssh 192.168.1.2 255.255.255.255 inside
    ssh timeout 30
    management-access inside

    Некоторые полезности в управлении FreeBSD

    Очередность запуска сервисов FreeBSD.

    Посмотреть очередность запуска сервисов в freebsd.

    #rcorder /etc/rc.d/* /usr/local/etc/rc.d/*

    Запустить или остановить службу можно скриптом, который лежит в папке /etc/rc.d/ .
    сетевые службы. Система FreeBSD 5.x/6.x скрипт для работы с сетевыми интерфейсами -> netif . Доступен только для рута (root):

    Стартуем FreeBSD сетевую службу:

    # /etc/rc.d/netif start

    Остановить FreeBSD сетевую службу:

    # /etc/rc.d/netif stop

    restart FreeBSD сетевую службу:

    # /etc/rc.d/netif restart

    То-же самое при помощи ifconfig (если много сетевух и нет необходимости "ложить" все сетевые интерфейсы)
    положить сетевуху (NIC) внаглую:

    # ifconfig network-interface down

    Запустить сетевой интерфейс (NIC):

    # ifconfig network-interface up

    Просмотреть список отключенных интерфейсов:

    # ifconfig -d

    Список включенных сетевух:

    # ifconfig -u

    FreeBSD обновить / перезагрузить таблицу маршрутизации (routing)
    Обязательно надо обновить "routing table" после перезагрузки сетевой службы:

    # /etc/rc.d/routing restart

    Сделать все через ssh подключение:
    Надо ввести команды как одну. Тогда все выполнится в фоновом режиме и никаких проблем с боевым серваком не возникнет:

    # /etc/rc.d/networking restart && /etc/rc.d/routing restart

    Подробнее...

    Список команд безопасности маршрутизаторов Cisco

    Конфигурационные команды, для улучшения безопасности на маршрутизаторах Cisco, сведены в таблицу для более удобного запоминания. Всегда внимательно читайте документацию по каждой команде, прежде чем применять ее.

    Используйте команду Чтобы
    enable secret Настроить пароль для привилегированного доступа к маршрутизатору.
    service password-encryption Обеспечить минимальную защиту для настроенных паролей.
    no service tcp-small-serversno service udp-small-servers Предотвратить злоумышленное использование малых служб для проведения различных сетевых атак, включая DoS-атаки.
    no service finger Предотвратить предоставление пользовательской информации потенциальным злоумышленникам.
    no cdp runningno cdp enable Предотвратить предоставление информации о маршрутизаторе устройствам, которые напрямую подключены к этому маршрутизатору.
    ntp disable Предотвратить атаки против службы NTP.
    no ip directedbroadcast Помешать нападающим использовать маршрутизатор в качестве "усилителя" smurf-атаки.
    transport input Указать, какие протоколы могут использоваться удаленными пользователями для установления интерактивного подключения к терминалу VTY или к портам TTY на маршрутизаторе.
    ip access-class Указать, какие IP-адреса могут использоваться для подключения к портам TTY или VTY. Зарезервировать один порт VTY для доступа с управляющей рабочей станции.
    exec-timeout Запретить "пустым" сеансам связи занимать VTY на неопределенно долгое время.
    service tcp-keepalives-in Выявить и закрыть нерабочие интерактивные сеансы, которые необоснованно занимают VTY.
    logging buffered buffer-size Сохранить регистрационную информацию в RAM-буфере маршрутизатора. В последних версиях программного обеспечения после размера буфера можно указать порог важности.
    ip access-group list in Отбросить сфальсифицированные IP-пакеты. Сбросить входящие перенаправления ICMP.
    ip verify unicast rpf Сбросить сфальсифицированные IP-пакеты в сетях с симметричной маршрутизацией и только при использование режима CEF.
    no ip source-route Предотвратить использование функций IP-маршрутизации от источника в целях фальсификации трафика.
    access-list number action criteria log access-list number action criteria loginput Включить регистрацию пакетов, которые совпадают с критериями, указанными в данном списке доступа. Используйте команду log-input, если таковая имеется в вашем ПО.
    scheduler-interval scheduler allocate Предотвратить отключение важных процессов при лавинном трафике.
    ip route 0.0.0.00.0.0.0 null 0 244 Включить быстрый сброс пакетов, имеющих недействительный конечный адрес.
    distribute-list list in Фильтровать данные о маршрутизации, чтобы предотвратить использование недействительных маршрутов.
    snmp-server communitysomething-inobvious ro list snmp-server community something- inobvious rw list  Включить протокол SNMP версии 1, настроить аутентификацию и ограничить доступ к определенным IP- адресам. Протокол SNMP версии 1 следует использовать только в случае, если недоступна версия 2, при этом нужно принять меры защиты от анализаторов пакетов. Включайте протокол SNMP, только если он нужен в вашей сети. Включайте доступ с правами чтение-запись, только если это действительно необходимо.
    snmp-server party...authentication md5 secret ... Настроить процедуру аутентификации для протокола SNMP версии 2, использующего алгоритм аутентификации MD5. Включайте протокол SNMP, только если это действительно необходимо в данной сети.
    ip http authentication method Проводить аутентификацию запросов на HTTP-соединения(если HTTP включен на маршрутизаторе).
    ip http access-class list Осуществлять дальнейший контроль за HTTP-доступом, ограничив его определенными адресами узлов (если http включен на маршрутизаторе).
    banner login Установить предупредительный баннер, который будет демонстрироваться пользователям, пытающимся зарегистрироваться на маршрутизаторе.

    Настройка VRRP на Mikrotik

    "VRRP (Virtual Router Redundancy Protocol) — сетевой протокол, предназначенный для увеличения доступности маршрутизаторов выполняющих роль шлюза по умолчанию. Это достигается путём объединения группы маршрутизаторов в один виртуальный маршрутизатор и назначения им общего IP-адреса, который и будет использоваться как шлюз по умолчанию для компьютеров в сети. "
    Проще говоря VRRP используется для создания отказоустойчивого и производительного "кластера", если проводить аналогию с серверами. Чаще всего резервируется шлюз по умолчанию, настроенный через DHCP на рабочих станциях и серверах.
    Например, есть два маршрутизатора, один основной, а другой резервный. Резервных может быть несколько, переключение происходит по приоритету. Так вот, при падении основного резервный подхватывает все пакеты идущие на шлюз по умолчанию.

    Итак. Два маршрутизатора подключенных к двум внешним каналам, отказоустойчивое решение с основным и резервным маршрутизатором.

    Настройка VRRP на Mikrotik

    Настройка VRRP на Mikrotik

    Подробнее...

    Восстановление IOS на Cisco Catalyst 2960

    Добрый День! Не давно возникла необходимость восстановить IOS на Cisco Catalyst 2960. По обычной методике, с помощью tftp загрузить IOS не получалось, по этому пришлось заливать по консольному кабелю.

    Порядок действий:

    • Заранее находим IOS (копируем с другого каталиста).
    • Подключаемся через консольный кабель.
    • Запускаем HyperTerminal (kitty не умеет в нужном формате передавать файлы).
    • Появляется надпись: switch:
    • Дальше надо изменить скорость порта, со стандартной 9600 на что то побольше, иначе очень при очень долго будет передаваться, для этого пишем:
      switch: set BAUD 115200
    • После смены скорости придется переподключить HyperTerminal с новой скоростью, иначе нормально работать с консолью будет невозможно.
    • Теперь на каталисте включаем копирование файла с xmodem:
      switch: copy xmodem: flash:
    • В меню HyperTerminal выбираем передачу файла (через xmodem) и указываем на файлик.
    • Ждем пока закачается IOS (мин 20ть). Затем меняем скорость консоли на обычную 9600.
    • Перезапускаем каталист.

    Полезные команды для мониторинга FreeBSD

    top -mio – показать I/O по процессам
    iostat -d -w1 -c7 – нагрузка на диски
    gstat – нагрузка на диски
    top -S – показать системные процессы в топе (по дефолту они не показываются)
    netstat -inb – передано через интерфейс в байтах
    netstat -i ошибки на интерфейсах
    df -H – количество свободного места
    df -i – количество свободных инодов
    diskinfo -t da0 – тест на дисковую производительность
    tunefs -p /var/ – информация о настройках файловой системы
    vmstat -z чего не хватает
    freecolor – очень симпатичная утилита для мониторинга использования памяти (ставится из портов)
    vmstat -i прерывания по устройствам
    systat -ifstat – интенсивность передачи трафика
    sysctl kern.ipc.numopensockets – количество открытых сокетов
    netstat -w1 – количество пакетов/ошибок/байт на интерфейсе

    Автор admin, 22 апреля 2013 | OS FreeBSD, Новости | 1 коммент.

    Защита от DoS атак с помощью TCP Intercept через оборудование Cisco

    Многие сисадмины сталкиваются с сетевыми атаками. Редко атаки нацелены на сетевые устройства, обычно на серверы, которые предоставляют услуги (например, WWW, СУБД и т.д.). В Интернете можно найти мануалы, для мониторинга порта 80 для примера, который, легко ломается для перехвата трафика. Во всяком случае, обычно ломают сервер, а пограничное сетевое устройство не является целью атаки, хотя и может упасть не выдержав нагрузки. Поэтому нужно настроить пограничный маршрутизатор, чтобы помочь серверам отбиться от атаки.

    Немного о DoS атаках:

    DoS-атака это отказ в обслуживании. Отказ в обслуживании (DoS) или распределенный отказ в обслуживании атаки (DDoS) является попыткой сделать компьютерный ресурс недоступным для предполагаемых пользователей. DoS-атакам подвергаются обычно сайты крупных организаций, таких как банки, кредитные шлюзы платежных карт, веб-хостинг и так далее. Один из распространенных методов атаки предполагает отсылка на целевой компьютер большого количества запросов, таким образом, что он не сможет ответить на легитимный трафик, или будет реагировать слишком медленно.

    Методом предотвращения DoS-атак является ограничение соединений на сетевое устройство (маршрутизатор). Функция TCP intercept помогает предотвратить SYN-флудинг атаки путем перехвата и проверки запросов TCP соединений. В режиме TCP intercept программное обеспечение перехватывает TCP синхронизации (SYN) пакетов от клиента к серверу, которые соответствуют списку доступа. Программа устанавливает соединение с клиентом от имени конечного сервера, и в случае успеха, устанавливает соединение с сервером от имени клиента и соединяет две половины соединения вместе прозрачно. Таким образом, попытки соединения из недоступных хостов никогда не достигнут сервера. Программа продолжает перехватывать и передавать пакеты на протяжении всего соединения.

    Подробнее...

    Полезные команды Export и Import в OS Mikrotik Router

    Как вывести конфигурацию микротика в текстовый файл или на консоль спомощью команды Export?

    Показать конфиг в терминале:

    /export compact

    [admin@st.sxt.5d] > export compact
    # mar/19/2013 12:00:16 by RouterOS 5.14
    # software id = XXXX-XXXX
    #
    /interface ethernet
    set 0 name=ether1-local
    /interface bridge
    add l2mtu=1598 name=bridge.client
    add l2mtu=2286 name=bridge.mgmt
    /interface wireless
    set 0 band=5ghz-onlyn channel-width=20/40mhz-ht-above country=romania default-authentication=no disabled=no frequency=5560 ht-rxchains=0,1 ht-txchains=0,1 l2mtu=2290 mode=\
    station-bridge periodic-calibration=enabled radio-name=st.sxt.5d ssid="HOME" wireless-protocol=nv2
    /interface vlan
    add interface=wlan1 l2mtu=2286 name=vlan20 vlan-id=20
    add interface=wlan1 l2mtu=2286 name=vlan30 vlan-id=30

    Подробнее...

    Пошаговая установка FreeBSD 9.x и выше

    Установка 9 версии FreeBSD немного отличается от предыдущих версий! И так немного чего нового в 9 версии:

    FreeBSD 9.0 выпущена 12 января 2012 года. Основные изменения:

    • Переход на новый модульный инсталлятор BSDInstall
    • Интеграция в систему LLVM 3.0/Clang 3.0 для постепенной замены устаревшей версии GCC 4.2.2 в базовой системе
    • В DTrace реализованы модули для трассировки 32-разрядных системных вызовов linux32 и freebsd32 на 64-разрядной платформе FreeBSD [amd64]
    • Новая реализация программного RAID graid для замены устаревшей подсистемы ataraid
    • Дисковая подсистема ATA/SATA по умолчанию заменена на реализацию на базе CAM (Common Access Method)
    • Интеграция системы репликации устройств хранения данных HAST
    • Для UFS2 техника мягких обновлений (Soft Updates) дополнена технологией журналирования для быстрого восстановления файловой системы после сбоев
    • Файловая система UFS2 стала поддерживать операцию TRIM для SSD
    • Обновление ZFS до версии 28
    • Начальная поддержка архитектуры NUMA в подсистемах управления памятью
    • Интеграция в базовую систему Infiniband-стека OFED (OpenFabrics Enterprise Distribution)
    • Добавлены новые 10Gb Ethernet-драйверы
    • Универсальный USB-драйвер с поддержкой протоколов USB 3.0/2.0/1.1/1.0
    • Обеспечена поддержка пяти новых алгоритмов для контроля перегрузки в TCP-стеке
    • Обеспечена возможность использования только IPv6 в TCP-стеке базовой системы и в портированных приложениях
    • Поддержка сетевого протокола NFSv4
    • Новый механизм изоляции выполнения приложений Capsicum
    • Реализация интерфейса управления ресурсами RCTL (Hierarchical Resource Limits) в том числе и для Jail
    • Графические среды GNOME версии 2.32.1, KDE версии 4.7.3
    • Возможен запуск и работа FreeBSD на игровых приставках Sony PlayStation 3

    FreeBSD 9.1 выпущена 31 декабря 2012 года. Основные отличия от FreeBSD 9.0:

    • новые драйвера Intel GPU с поддержкой GEM/KMS
    • netmap(4) быстрое пользовательское пространство пакетов системы ввода/вывода
    • в ZFS улучшения от проекта illumos
    • CAM Target Layer (CTL), диск и процессор эмулируются подсистемой
    • выборочный новый C++11 стек включающий LLVM libc++ и libcxxrt
    • Jail devfs, nullfs, zfs поддержка монтирования и конфигурации файлов
    • POSIX2008 расширение локальной поддержки, включающие совместимость с расширениями Darwin
    • oce(4) драйвера для Emulex OneConnect 10Gbit сетевых карт
    • sfxge(4) драйвера для 10Gb сетевых адаптеров построенных на контроллере Solarflare SFC9000
    • улучшение Xen Paravirtualized Backend Ethernet Driver (netback)
    • hpt27xx(4) драйвера для HighPoint RocketRAID 27xx-based SAS 6Gb/s HBA
    • улучшение многоцелевого класса GEOM
    • класс raid в GEOM включен по умолчания для поддержки программного RAID в замен устаревшего ataraid(8)
    • поддержка ядром AVX FPU расширений многочисленные улучшения в аппаратной поддержке разгрузки IPv6

    Подробнее...

    стадион зенит-арена


    Cisco Systems
    OS FreeBSD
    OS Linux
    OS MikroTik Router