27.12.2015
Восьмерки не работают
В эти выходные весь рунет гремит новостями о том, что паблик ДНС серверы гугла (8.8.8.8 и 8.8.4.4) не работают. У меня вот такая картинка пинга до этих серверов с двух разных провайдеров: ТТК и ЭР-Телеком. Как видно, 26 декабря в полдень время ответа ICMP reply подскочило с 25 до 40 мс.
22.12.2015
Сегментация сети с использованием оборудования Mikrotik и D-Link
Рост компании - неминуемый процесс, рано или поздно приходящий ко всем. Увеличение количества клиентов, открытие новых отделов, слияния, поглощения - всё это увеличивает количество компьютеров, принтеров и других устройств в сети.
С количеством устройств в сети приближающемся к ста, сетевой администратор начинает испытывать проблемы с идентификацией потоков трафика, адресацией устройств, безопасностью сети, количеством широковещательного трафика (особенно если сеть состоит из Windows машин, что сегодня является стандартом).
Перечисленные проблемы решаются сегментацией сети. Сегментация - разбиение одной локальной сети на сегменты, каждый сегмент имеет свой адрес сети и свой шлюз по умолчанию (физически это может быть одно устройство). Практически сегментировав сеть мы получаем несколько сетей из одной, как если бы использовали несколько коммутаторов для каждой группы устройств.
20.12.2015
09.12.2015
Yet another RouterOS script
Скрипт ищет интерфейс sstp клиента, имя которого содержит в себе строку video, копирует имя интерфейса, имя пользователя и пароль для подключения, а так же адрес vpn сервера. Удаляет упоминание об этом интерфейсе в настройках OSPF (т.к. после удаления появится интерфейс unknown, а без удаления интерфейса новый не создастся - имена одинаковые), создает нешифрованное соединение pptp с аналогичными настройками и вписывает его в параметры OSPF.
#!Ищет sstp-интерфейс с именем, содержащим video
#! копирует его настройки, убирает номер порта и
#! создает pptp интерфейс с подобными настройками
#! Copyright Dmitry Bubnov http://bubnovd.net
/interface sstp-client
:local name [get [find name~"video"] name]
:local srv [get [find name~"video"] connect-to]
:local conto [:pick $srv 0 ([:len $srv]-4)]
:local user [get [find name~"video"] user]
:local pwd [get [find name~"video"] password]
/routing ospf interface remove [find interface=$name]
remove $name
/interface pptp-client add connect-to=$conto user=$user password=$pwd name=$name allow=mschap2 disabled=no profile=default
/routing ospf interface add interface=$name cost=9 network-type=point-to-point
#!Ищет sstp-интерфейс с именем, содержащим video
#! копирует его настройки, убирает номер порта и
#! создает pptp интерфейс с подобными настройками
#! Copyright Dmitry Bubnov http://bubnovd.net
/interface sstp-client
:local name [get [find name~"video"] name]
:local srv [get [find name~"video"] connect-to]
:local conto [:pick $srv 0 ([:len $srv]-4)]
:local user [get [find name~"video"] user]
:local pwd [get [find name~"video"] password]
/routing ospf interface remove [find interface=$name]
remove $name
/interface pptp-client add connect-to=$conto user=$user password=$pwd name=$name allow=mschap2 disabled=no profile=default
/routing ospf interface add interface=$name cost=9 network-type=point-to-point
12.11.2015
09.11.2015
DHCP, Option 82
Встала задача: определять на каком порту какого свитча находится конкретный IP-адрес. На самом деле задача глобальнее, но сейчас имеет смысл именно это. В ходе гугления вышел на DHCP Option 82. Инфы много, но кроме теории важно это.
Суть в том, что коммутатор в запрос DHCP добавляет два поля: Agent Remote ID (идентификатор коммутатора) и Agent Circuit ID (идентификатор порта). Казалось бы, всё просто. Но я столкнулся с некоторыми трудностями.
Суть в том, что коммутатор в запрос DHCP добавляет два поля: Agent Remote ID (идентификатор коммутатора) и Agent Circuit ID (идентификатор порта). Казалось бы, всё просто. Но я столкнулся с некоторыми трудностями.
19.10.2015
Failover Datacenter/LAN. Best practice
- Принципы построения катастрофоустойчивых ЦОД
- Лучшие практики и рекомендуемыедизайны по построению LAN-сетейна базе возможностей оборудованияСisco
- Архитектура и дизайн распределенной корпоративной сети высокой доступности
- Архитектура Smart Business Architecture"Сети без границ" для организаций среднего размера
01.10.2015
Моя сертифицированный консультант Mikrotik
30.09.2015
PDU. Количество полезной информации на рахных уровнях модели OSI
PDU (Protocol Data Unit) - общий блок данных протокола (полезные данные + заголовки) (wikipedia). Своими словами - часть блока данных, в которой содержится информация верхнего уровня (для IP - часть пакета, где лежит TCP/UDP, для TCP/UDP - часть сегмента/датаграммы, где лежит информация прикладного уровня).
MTU (Maximum Transmission Unit) - максимальный размер полезного блока данных одного пакета (PDU)
MTU (Maximum Transmission Unit) - максимальный размер полезного блока данных одного пакета (PDU)
27.09.2015
Как один админ роутинг изучал
Давно мечтал стать сертифицированным специалистом в ИТ. Мечтал не о сертификате, а о знаниях, приобретаемых с подготовкой к сертификации. И вот выдалась возможность. Мой работодатель оплатил мне перелет в Москву и обратно, гостиницу и, собственно, курсы.
Сертифицироваться хотелось по оборудованию Mikrotik, так как именно с ним приходится работать большую часть времени. Так как по своим ощущениям, знаниями на уровне MTCNA (CCNA аналог Cisco) я обладаю, хотелось подтянуть знания по динамической маршрутизации, следовательно, был выбран курс MTCRE (CCNP Routing). Но получить сертификат MTCRE без MTCNA невозможно, поэтому решил проверить и улучшить свои базовые знания.
Сертифицироваться хотелось по оборудованию Mikrotik, так как именно с ним приходится работать большую часть времени. Так как по своим ощущениям, знаниями на уровне MTCNA (CCNA аналог Cisco) я обладаю, хотелось подтянуть знания по динамической маршрутизации, следовательно, был выбран курс MTCRE (CCNP Routing). Но получить сертификат MTCRE без MTCNA невозможно, поэтому решил проверить и улучшить свои базовые знания.
25.08.2015
Режимы бондинга в RouterOS. И не только в RouterOS
В вики микротика не совсем понятно описано. На хабре об этом сказали лучше:
mode=0 (balance-rr)
Последовательно кидает пакеты, с первого по последний интерфейс.
mode=1 (active-backup)
Один из интерфейсов активен. Если активный интерфейс выходит из строя (link down и т.д.), другой интерфейс заменяет активный. Не требует дополнительной настройки коммутатора
mode=2 (balance-xor)
Передачи распределяются между интерфейсами на основе формулы ((MAC-адрес источника) XOR (MAC-адрес получателя)) % число интерфейсов. Один и тот же интерфейс работает с определённым получателем. Режим даёт балансировку нагрузки и отказоустойчивость.
mode=3 (broadcast)
Все пакеты на все интерфейсы
mode=4 (802.3ad)
Link Agregation — IEEE 802.3ad, требует от коммутатора настройки.
mode=5 (balance-tlb)
Входящие пакеты принимаются только активным сетевым интерфейсом, исходящий распределяется в зависимости от текущей загрузки каждого интерфейса. Не требует настройки коммутатора.
mode=6 (balance-alb)
Тоже самое что 5, только входящий трафик тоже распределяется между интерфейсами. Не требует настройки коммутатора, но интерфейсы должны уметь изменять MAC.
mode=0 (balance-rr)
Последовательно кидает пакеты, с первого по последний интерфейс.
mode=1 (active-backup)
Один из интерфейсов активен. Если активный интерфейс выходит из строя (link down и т.д.), другой интерфейс заменяет активный. Не требует дополнительной настройки коммутатора
mode=2 (balance-xor)
Передачи распределяются между интерфейсами на основе формулы ((MAC-адрес источника) XOR (MAC-адрес получателя)) % число интерфейсов. Один и тот же интерфейс работает с определённым получателем. Режим даёт балансировку нагрузки и отказоустойчивость.
mode=3 (broadcast)
Все пакеты на все интерфейсы
mode=4 (802.3ad)
Link Agregation — IEEE 802.3ad, требует от коммутатора настройки.
mode=5 (balance-tlb)
Входящие пакеты принимаются только активным сетевым интерфейсом, исходящий распределяется в зависимости от текущей загрузки каждого интерфейса. Не требует настройки коммутатора.
mode=6 (balance-alb)
Тоже самое что 5, только входящий трафик тоже распределяется между интерфейсами. Не требует настройки коммутатора, но интерфейсы должны уметь изменять MAC.
18.08.2015
20.07.2015
Как Windows работает с несколькими шлюзами по умолчанию
Для обеспечения отказоустойчивости сетей применяется практика использования нескольких шлюзов по умолчанию. В таком случае при доступности одного из шлюзов, трафик будет идти через него (шлюзы не эквивалентны, постоянно активен только один). При отказе этого шлюза, трафик пойдет через второй шлюз. С соединениями по TCP проблем это не создаст. Единственное, TCP коннект должен будет пересоединиться по новому маршруту после завершения таймаута соединения. С трафиком же UDP могут возникнуть проблемы при переключении шлюза - телефония начнет заикаться, видео будет пропадать. Но по прошествии какого-то времени проблема исчезнет. А как Windows определяет доступность шлюза? Об этом ниже.
19.07.2015
Почему нужно продумывать самые безумные варианты
Здесь история о том, как один окурок разрушил город. Выводом ко всей этой истории напрашивается одно: продумывайте все варианты развития событий! Никто не может гарантировать вам такой сервис, какой вы ожидаете. И пусть даже в SLA все красиво. Относится не только к айтишному, но и ко всем сферам жизни. И под ."сервисом" я понимаю не только предоставление услуг для вас, но и работу любого вашего решения.
16.07.2015
14.07.2015
13.07.2015
12.07.2015
Параметры STP в D-Link
Мой вольный перевод параметров STP Reference Guide DGS-3120
Edge Port - порт, напрямую подключенный к сегменту, где STP-петля заведомо не может существовать. Например, акцесс-порт до ПК.
P2P Port - эти порты способны к быстрому переключению. Используются для соединения с другими бриджами (?). В RSTP/MSTP все порты, находящиеся в режиме full-duplex по дефолту становятся p2p портами. Можно изменить вручную.
External Cost - метрика, показывающая относительную стоимость пересылки пакетов на порт. По дефолту коммутатор устанавливает 20000 для гигабитных линков и 200000 для 100 Мб. Чем меньше значение, тем более вероятно, что порт будет использоваться для форвардинга.
Restricted Role - ограниченный порт. При значении True порт никогда не может быть Root.
Edge Port - порт, напрямую подключенный к сегменту, где STP-петля заведомо не может существовать. Например, акцесс-порт до ПК.
P2P Port - эти порты способны к быстрому переключению. Используются для соединения с другими бриджами (?). В RSTP/MSTP все порты, находящиеся в режиме full-duplex по дефолту становятся p2p портами. Можно изменить вручную.
External Cost - метрика, показывающая относительную стоимость пересылки пакетов на порт. По дефолту коммутатор устанавливает 20000 для гигабитных линков и 200000 для 100 Мб. Чем меньше значение, тем более вероятно, что порт будет использоваться для форвардинга.
Restricted Role - ограниченный порт. При значении True порт никогда не может быть Root.
09.07.2015
08.07.2015
07.07.2015
А знали ли Вы, что...
Первые три бита в байте Type of Service в IP пакете было предназначено для специальных приложений Министерства обороны США (RFC 1122)
Интересные RFC
В этом посте буду собирать номера RFC, интересующие меня. Это сети и безопасность. Пост будет периодически дополняться.
- RFC 1180 - учебник по TCP/IP. Для маленьких
- RFC 1122 - Требования к хостам Internet - коммуникационные уровни
- RFC 1122 - Требования к хостам Internet - прикладные и служебные протоколы.
- RFC 1009 - Требования к маршрутизаторам
- RFC 1011 - Официальные протоколы Интернета
- RFC 791 - протокол IP
- RFC 792 - протокол ICMP
- RFC 793 - протокол TCP
- RFC 826 - протокол ARP
- RFC 894 - стандарт передачи дейтаграмм IP в сетях Ethernet
- RFC 1042 - стандарт передачи дейтаграмм IP в сетях IEEE 802
- RFC 950 - стандартные процедуры организации подсетей IP
- RFC 1112 - Расширение IP Multicasting (IGMP)
06.07.2015
05.07.2015
01.07.2015
28.06.2015
26.06.2015
Mikrotik RouterOS. Winbox грузит CPU на 100%
Обнаружил баг в RouterOS, установленной на x86 под QEMU. Процессор нагружается на 100%, винбоксом что-то делать нереально. Подключаюсь по ssh, открываю /tool profile и вижу, что проц грузится на 90-100% винбоксом. Смотрю в /user active print detail и вижу себя, подключенного по ssh и сессию винбокса с севера мониторинга The Dude. Хотя все винбоксы я уже закрыл. Видимо, дудка не всегда корректно закрывает винбоксы, запущенные в её интерфейсе и процесс остается крутиться на сервере. Захожу на сервер, перезапускаю службу The Dude и нагрузка падает.
Но это всего лишь снятие нагрузки с проца, в следующий раз при запуске винбокса ситуация повторяется. В её корнях ещё предстоит разобраться.
Но это всего лишь снятие нагрузки с проца, в следующий раз при запуске винбокса ситуация повторяется. В её корнях ещё предстоит разобраться.
04.06.2015
Насколько тяжело шифрование
АТЭНШН!! Пост писался очень давно. Не доведен до логического завершения. Пощу просто для того, чтобы видеть графики
Измерил пропускную способность на Mikrotik'ах.
Условия тестирования:
Mikrotik RB1100AHx2
Mikrotik 751G-2HnD
RouterOS на обоих версии 6.15
Между ними оптика пропускной способностью 100 Mbps.
Было произведено 5 замеров скорости:
Вторая картинка - клиент. Загрузка системы и объем трафика на интерфейсе.
Тест номер 1. Без VPN. Между интерфейсами оптика.
Как видим по прямому соединению результаты великолепны: скорость порядка 100 Mbps в обоих направлениях, система отдыхает.
Тест номер 2. SSTP с шифрованием.
Тут всё намного хуже - процессор клиентского роутера загружен на 100%, благодаря шифрованию.Скорость на отдачу 13 Mbps, на прием 2 Mbps.
Измерил пропускную способность на Mikrotik'ах.
Условия тестирования:
Mikrotik RB1100AHx2
Mikrotik 751G-2HnD
RouterOS на обоих версии 6.15
Между ними оптика пропускной способностью 100 Mbps.
Было произведено 5 замеров скорости:
- Без VPN. От интерфейса до интерфейса по оптике
- SSTP с шифрованием
- SSTP без шифрования
- PPTP с шифрованием
- PPTP без шифрования
Вторая картинка - клиент. Загрузка системы и объем трафика на интерфейсе.
Тест номер 1. Без VPN. Между интерфейсами оптика.
Тест номер 2. SSTP с шифрованием.
29.05.2015
13.05.2015
07.04.2015
SMS оповещения из The Dude
Какой смысл в мониторинге ключевых устройств, если об их некорректной работе будет знать только сама система мониторинга? Именно поэтому система мониторинга должна оповещать админа о некорректной работе. Я работаю Mikrotik'ами, поэтому использую фирменную систему мониторинга The Dude. И сейчас мы научим её слать почту и смс.
31.03.2015
RouterOS DNS failure
В RouterOS 6.27 добавили несколько фич в DNS резолвер. В некоторых ситуациях адреса просто не резолвятся (DNS failure). Выход простой - в IP-DNS вместо нулей в строках Query Server Timeout и Query Total Timeout прописываем 2. И DNS снова в строю!
18.03.2015
15.03.2015
10.03.2015
Объединение одинаковых подсетей в RouterOS
Имеем две сети с одинаковой адресацией и site-to-site VPN между ними. Необходимо обеспечить взаимодействие между сетями, не изменяя их внутренней адресации. Не спрашивайте почему нельзя сменить адресацию - просто нельзя. В обеих точках оборудование Mikrotik.
05.03.2015
Самый полный мануал по резервированию интернета на Mikrotik RouterOS
В сети много мануалов по фэйловеру на RouterOS и подобрать нужный под конкретные цели иногда проблематично. В ходе своих экспериментов я выяснил, что наиболее универсальным является этот способ. Но у меня возникло несколько вопросов, ответы на которые я пока не нашел.
04.03.2015
03.03.2015
Dude и SNMP
Про The Dude я уже писал. Отличная система мониторинга для сетей, построенных на базе оборудования Mikrotik. Столкнулся со следующей проблемой: хочу получить графики пропускной способности интерфейсов коммутаторов не строя при этом связи между портом коммутатора и конечным устройством на схеме (ну не надо мне перегружать карту клиентскими компами/телефонами). Что-то подобное Dude организовать может, но в ходе чтения различных материалов и обсуждений конкретного решения я не нашел и пришлось копать дальше в тему. Для нетерпеливых: ответа я пока не нашел.
02.03.2015
01.03.2015
Скрипт для проверки наличия USB-модема на RouterOS
Понадобился скрипт, определяющий наличие USB-модема, подключенного к Mikrotik. Присылает на почту название модема и его серийник. Хорошо бы допилить скрипт до отправки уровня сигнала и количества денег на счете, но мои модемы не дают доступа к своему меню - надо шить.
27.02.2015
Скрипт для выявления порта свитча по маку. Опрос по SNMP
Допилил предыдущий скрипт . Необходимо знать аплинки каждого из свитчей. В моем случае, все они подключены к одному корневому (RootSwitch). Скрипт вытягивает по SNMP FDB таблицу корневого свитча, ищет в ней заданный MAC, сверяет его по заранее заданной таблице аплинков до свитчей доступа, переходит на следующий свитч и с него так же забирает FDB таблицу, а в ней уже ищет необходимый MAC. Информация выводится следующим образом "MAC, vlan, port корневого свитча; MAC, vlan, port конечного свитча".
25.02.2015
Скрипт для выявления порта свитча по маку
Имеем сеть с кучей управляемых свитчей, подключенных к одному корневому и друг к другу с включенным STP. Необходимо найти порт, к которому подключено устройство с известным нам MAC-адресом. Бегать по web-интерфейсам свитчей крайне напряжно, если маков больше 5.
24.02.2015
Почитать, посмотреть
- Один день с почтальоном Алексеем Тряпицыным
- Фильм "Белые ночи почтальона Тряпицына"
- Фильм про Сноудена
19.02.2015
Подписаться на:
Сообщения (Atom)