1 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Консилиум с D-Link: базовая настройка управляемого сетевого оборудования

Консилиум с D-Link: базовая настройка управляемого сетевого оборудования

Коммутаторы серии DES-30хх – это высокопроизводительные управляемые коммутаторы второго уровня, являющиеся идеальным решением для провайдеров услуг и предприятий малого и среднего бизнеса. Устройства предоставляют оптические порты для подключения к общей сети небольших групп пользователей, находящихся на больших расстояниях, например, в другом здании или объединения сетей отделов, находящихся в разных комнатах в пределах одного здания.

Расширенные функции для сетей предприятий
Коммутаторы серии DES-30хх предоставляют расширенные функции для сетей предприятий, такие как IP-MAC-port binding, сегментация трафика и 255 виртуальных локальных сетей VLAN (802.1Q). Помимо этого, коммутаторы поддерживают управление доступом пользователей 802.1x на основе портов/MAC-адресов и их аутентификацию на внешнем сервере RADIUS. Для предотвращения загрузки центрального процессора обработкой вредоносного трафика, генерируемого злоумышленниками или обусловленного вирусной активностью, коммутаторы серии DES-30хх предоставляют функцию CPU Interface Filtering. Функциональность Quality of Service включает поддержку очередей приоритетов 802.1p и классификацию пакетов на основе TOS, DSCP и MAC-адресов.

Для повышения отказоустойчивости сети коммутаторы серии DES-30х поддерживают такие функции как 802.1D Spanning Tree/802.1w Rapid Spanning Tree, STP loopback detection и управление широковещательным штормом. Агрегирование портов 802.3ad обеспечивает резервирование каналов связи и распределение нагрузки при каскадировании коммутаторов или подключении серверов.

Управление полосой пропускания
Функция управления полосой пропускания на каждом порту с шагом 64 Кбит/с позволяет администраторам сети и Интернет-провайдерам более гибко управлять полосой пропускания каналов связи и предлагать своим клиентам широкий спектр тарифных планов. Используя эту функцию для управления широковещательным штормом, можно значительно уменьшить влияние вирусной атаки на сеть. Также коммутатор поддерживает функции IGMP snooping для управления передачей многоадресных пакетов и зеркалирование портов для упрощения диагностики.

Гибкие функции управления
Коммутаторы поддерживают протоколы управления, основанные на стандартах, такие как SNMP, RMON, BOOTP, Telnet и Web-интерфейс. Функция DHCP autoconfiguration позволяет загружать на коммутатор ранее созданную конфигурацию, хранящуюся на TFTP-сервере, и получать IP-адрес.

Виртуальный стек
Благодаря поддержке D-Link Single IP Management, коммутаторы серии DES-30хх упрощают и ускоряют задачи управления сетью, позволяя настраивать, контролировать и обслуживать множество коммутаторов с одной рабочей станции. Стек управляется как единый объект, в котором все устройства определяются одним IP-адресом. Администратор с помощью утилиты Tree View может увидеть все коммутаторы стека и сетевую топологию, а также получить информацию о размещении объекта и линии связи. Эта утилита на основе Web-интерфейса позволяет избежать установки дорогостоящего ПО SNMP-управления. В виртуальный стек можно объединить до 32 устройств без ограничения по моделям.

Консилиум с D-Link: базовая настройка управляемого сетевого оборудования

image

На сегодняшний день в непростой эпидемиологической ситуации система высшего образования и науки переживает трансформацию. Формируется гибридное обучающее пространство, позволяющее гармонично сочетать форматы дистанционного и очного обучения. Специфика работы большинства IT-специалистов позволяет без труда перейти на удаленный формат. Однако, не каждому человеку удается при этом сохранить продуктивность и позитивный настрой на длительной дистанции. Чтобы внести разнообразие в процесс обучения студентов, было принято решение о записи видеоконсилиумов – небольших обзорных и прикладных лекций в виде дискуссии с ведущими экспертами определенной предметной области.

Ключевые темы обсуждений посвящены информационно-коммуникационным технологиям: от системного и сетевого администрирования до кибербезопасности и программирования. Не обойдем стороной и юридические аспекты работы в IT, становление бизнеса в нашей индустрии и привлечение инвестиций (в том числе грантов и субсидий). Дополнительно рассмотрим материал о системе высшего образования и науки, в том числе возможности бесплатного обучения за границей.

Итак, один из первых консилиумов мы решили посвятить теме «Базовая настройка управляемого сетевого оборудования» и пригласили на него одного из ведущих мировых лидеров и производителей сетевых решений корпоративного класса, а также профессионального телекоммуникационного оборудования – компанию D-Link.

Представим, что перед нами стоит задача базовой настройки управляемого сетевого оборудования (от коммутатора и маршрутизатора до комплексного межсетевого экрана). Стоит отметить, что каждое устройство функционирует на определенных уровнях стека протоколов TCP/IP и выполняет соответствующий функционал. Рассматривать последовательность настройки мы будем от коммутаторов, постепенно переходя к более сложным функциям и технологиям, которые присущи маршрутизаторам и межсетевым экранам. При этом базовые этапы и рекомендации будут оставаться полезными.

Управляемые сетевые устройства можно конфигурировать посредством следующих инструментов и технологий:

  • локально: например, через консольный порт (RS-232);
  • удаленно, используя следующие протоколы:
  1. Telnet (англ. Teletype Network) — сетевой протокол для реализации текстового интерфейса по сети;
  2. SSH (англ. Secure Shell — «безопасная оболочка») — сетевой протокол прикладного уровня, позволяющий производить удалённое управление операционной системой и туннелирование TCP-соединений;
  3. HTTP (англ. HyperText Transfer Protocol) – протокол передачи данных, определяющий формат приема и передачи сообщений при взаимодействии браузера и веб-сервера. Управление сетевым устройством осуществляется через Web-интерфейс;
  4. HTTPS (англ. HyperText Transfer Protocol Secure) – расширение протокола HTTP, которое поддерживает шифрование. Управление сетевым устройством осуществляется через Web-интерфейс;
  5. и др.
Рассмотрим базовый алгоритм настройки управляемого сетевого оборудования после подключения к нему:
  1. обновляем прошивку устройства, предварительно создав резервную копию действующего программного обеспечения и настроек. Стоит отметить, что рекомендуется последовательно устанавливать обновления;
  2. отключаем небезопасные протоколы удаленного доступа (например, Telnet). В них не предусмотрено использование шифрования и проверки подлинности данных и субъекта взаимодействия;
  3. задействуем защищенный протокол HTTPS вместо HTTP для шифрования управляющего трафика, самостоятельно сгенерируем сертификат, поменяем порт на любой нестандартный. Для защиты данных применяется шифрование с использованием криптографических протоколов SSL (англ. Secure Sockets Layer) или TLS (англ. Transport Layer Security). В качестве информации для проверки подлинности узлов используется информация в виде SSL сертификатов (хотя протокол допускает и другие варианты). Стоит отметить, что рекомендуется администрирование устройств через консоль по безопасным протоколам передачи данных (например, SSH внутри VPN). Веб-интерфейс – запасной или альтернативный путь;
  4. изменяем пароль на криптоустойчивый – содержащий более 25 символов различной комбинации, рекомендуется генерировать не вручную, а специализированными средствами. Например, используя утилиту Keepass. Дополнительно также рекомендуется и сменить пользователя, отключив отображение его имени при диалоговом окне аутентификации (в случае наличия такой возможности);
  5. устанавливаем лимит временной блокировки при неправильном вводе пароля (неуспешной аутентификации);
  6. задействуем NTP (англ. Network Time Protocol — протокол сетевого времени) — сетевой протокол для синхронизации внутренних часов устройства с использованием сетей с переменной латентностью. Поддержание логов с актуальными временными метками упростит в дальнейшем расследование инцидентов;
  7. инициализируем расширенное логирование событий, не забывая устанавливать квоту на 30% свободного информационного пространства. Для централизованного сбора информации можно задействовать Rsyslog;
  8. подключаем протоколы сбора информации и управления сетью. В базовом варианте: протокол SNMP (англ. Simple Network Management Protocol — простой протокол сетевого управления) — стандартный Интернет-протокол для управления устройствами в IP-сетях на основе архитектур TCP/UDP. Следует использовать последнюю версию протокола, так как она предоставляет дополнительный функционал по безопасности: шифрует пакеты для предотвращения перехвата несанкционированным источником, обеспечивает аутентификацию и контроль целостности сообщений. Стоит отметить, что не следует использовать данную технологию в корпоративных сетях, где критически важен высокий уровень безопасности, т.к. технология уязвима;
  9. задействуем протокол SMTP (англ. Simple Mail Transfer Protocol -простой протокол передачи почты) — широко используемый сетевой протокол, предназначенный для передачи электронной почты в сетях TCP/IP. Настроим отправку уведомлений на наш адрес электронной почты;
  10. сконфигурируем технологию Port Security. Это функция позволяет «привязать» MAC-адреса хостов к портам сетевого устройства. В случае несоответствия информационного потока правилам кадры отбрасываются.
    Для более глубокого понимания рассмотрим более подробно работу коммутаторов. Коммутаторы получают входящие кадры (дейтаграммы канального уровня) и передают их по исходящим каналам. Продвижение информационных потоков производится на основе алгоритма прозрачного моста, который описывается в стандарте IEEE 802.1D. Рассмотрим работу данного алгоритма.
    Перенаправление кадров осуществляется при помощи таблицы коммутации / продвижения информационных потоков (англ. FDB). Эта таблица содержит записи для некоторых узлов сети. Запись состоит из MAC-адреса узла, номера интерфейса, который ведет к узлу, и времени добавления этой записи в таблицу. Заполнение таблицы коммутации происходит на основании пассивного наблюдения за трафиком в подключенных к портам коммутатора сегментах.
    Предположим, что на какой-либо интерфейс коммутатора поступает кадр с неким адресом получателя, после чего он выполняет проверку своей таблицы коммутации. Далее в зависимости от результата проверки возможны три случая:
    I. в таблице отсутствует запись, соответствующая адресу получателя кадра. В этом случае копия кадра перенаправляется на все интерфейсы, исключая тот, с которого был получен кадр;
    II. таблица содержит запись, связывающую адрес получателя с интерфейсом, на который поступил данный кадр. В этом случае кадр отбрасывается;
    III. таблица содержит запись, связывающую адрес получателя с другим интерфейсом. В данном случае кадр перенаправляется на интерфейс, связанный с адресом получателя;
    Соответственно, информация из данной таблицы может быть использована для ограничения доступа к среде передачи данных.
  11. настроим IP-Binding (часто именуется производителями IP-MAC-Binding). Заранее обозначим строгое соответствие IP и MAC-адресов, в случае несовпадения данных параметров в информационном потоке – он отбрасывается;
  12. инициализируем ACL (англ. Access Control List) – список контроля доступа, определяющий разрешения или запреты на взаимодействие объектов по сети. В качестве параметров используются либо MAC, либо IP-адреса в зависимости от уровня оборудования;
  13. подключаем дополнительное профилирование доступа в виде черных и белых списков;
  14. сегментируем трафик. Данный процесс можно произвести делением корпоративной сети на подсети или использовать виртуальную сегментацию трафика посредством VLAN (англ. Virtual Local Area Network);
  15. задействуем протокол связующего/покрывающего древа (англ. Spanning Tree Protocol, существуют версии STP, RSTP, MSTP). Используется для автоматической идентификации и исключения петель (дублирующих маршрутов). При первоначальном включении необходимо задать иерархию древа сети: выбрать корневой коммутатор и корневые порты. В случае выхода из строя основных каналов связи автоматически будут задействованы резервные;
  16. организуем зеркалирование трафика – его перенаправление с одного порта или группы портов коммутатора на другой порт этого же устройства или на удаленный хост. Такие технологии именуются локальным и удаленным зеркалированием соответственно. Определенными структурами и злоумышленниками этот инструмент может использоваться для тотального контроля. А честными специалистами — для поиска неисправностей и монтирования датчиков системы обнаружения и предотвращения вторжений;
  17. активируем технологии централизованного мониторинга и управления сетью. Инструменты позволяют организовывать и управлять виртуальным стеком оборудования через единый IP-адрес;
  18. настраиваем защиту от ARP-спуфинга. Суть метода состоит в следующем. При приеме ARP-ответа производится сравнение старого и нового MAC-адресов, и при обнаружении его изменения запускается процедура верификации. Посылается ARP-запрос, требующий всем хозяевам IP-адреса сообщить свои MAC-адреса. Если выполняется атака, то настоящая система, имеющая этот IP-адрес, ответит на запрос, и, таким образом, атака будет распознана. Если же изменение MAC-адреса было связано не с атакой, а со стандартными ситуациями, ответа, содержащего «старый» MAC-адрес, не будет, и по прошествии определенного таймаута система обновит запись в кэше. Альтернативный способ защиты: статическое закрепление записей, ограничение на рассылки и дополнительное профилирование доступа. Протокол ARP (англ. Address Resolution Protocol, протокол разрешения адресов) используется для определения MAC-адреса по IP-адресу. Протокол поддерживает на каждом устройстве ARP-таблицу, содержащую соответствие между IP-адресами и MAC-адресами других интерфейсов данной сети. ARP-запросы инкапсулируются в кадры Ethernet, которые рассылаются как широковещательные. Соответствующий интерфейсу адрес сообщается в ARP-ответе;
  19. подключаем защиту от ложных DHCP (англ. Dynamic Host Configuration Protocol, протокол динамической настройки узла) рассылок. DHCP протокол используется для автоматического получения устройствами IP-адресов и других параметров. Указываем доверенные порты или источники. Технология небезопасна в исходном виде;
  20. задействуем агрегирование каналов связи для повышения пропускной способности сети передачи данных;
  21. инициализируем RADIUS-сервер — решение для реализации аутентификации, авторизации объектов: предоставления им доступа к среде передачи данных или глобальной сети Интернет;
  22. ознакомимся с принципами реализации демилитаризованной зоны и зоны защиты. DMZ — сегмент сети, содержащий общедоступные сервисы и отделяющий их от частных. Цель DMZ — добавить дополнительный уровень безопасности в локальной сети, позволяющий минимизировать ущерб в случае атаки на один из общедоступных сервисов: внешний злоумышленник имеет прямой доступ только к оборудованию в DMZ;
  23. настроим NAT (трансляцию сетевых адресов). Destination NAT (DNAT) называется трансляция обращений извне к устройствам внутренней сети. SNAT (англ. Source Network Address Translation) организовывает трансляцию сетевых адресов, изменяя адрес источника. Наиболее простым примером применения выступает возможность предоставления доступа локальным хостам с «частными/виртуальными» адресами в глобальную сеть Интернет, используя один «белый/публичный» IP-адрес.
  24. установим защищенные виртуальные каналы связи между субъектами взаимодействия (например, используя технологию IPsec или OpenVPN).
Читайте так же:
XBoot — создание мультизагрузочной флешки

Надеюсь, материал был интересен и полезен. Если подобный формат понравится студентам и сообществу Хабра, то постараемся и дальше записывать интересные консилиумы.

Из песочницы Консилиум с D-Link базовая настройка управляемого сетевого оборудования

image

На сегодняшний день в непростой эпидемиологической ситуации система высшего образования и науки переживает трансформацию. Формируется гибридное обучающее пространство, позволяющее гармонично сочетать форматы дистанционного и очного обучения. Специфика работы большинства IT-специалистов позволяет без труда перейти на удаленный формат. Однако, не каждому человеку удается при этом сохранить продуктивность и позитивный настрой на длительной дистанции. Чтобы внести разнообразие в процесс обучения студентов, было принято решение о записи видеоконсилиумов небольших обзорных и прикладных лекций в виде дискуссии с ведущими экспертами определенной предметной области.

Ключевые темы обсуждений посвящены информационно-коммуникационным технологиям: от системного и сетевого администрирования до кибербезопасности и программирования. Не обойдем стороной и юридические аспекты работы в IT, становление бизнеса в нашей индустрии и привлечение инвестиций (в том числе грантов и субсидий). Дополнительно рассмотрим материал о системе высшего образования и науки, в том числе возможности бесплатного обучения за границей.

Итак, один из первых консилиумов мы решили посвятить теме Базовая настройка управляемого сетевого оборудования и пригласили на него одного из ведущих мировых лидеров и производителей сетевых решений корпоративного класса, а также профессионального телекоммуникационного оборудования компанию D-Link.

Представим, что перед нами стоит задача базовой настройки управляемого сетевого оборудования (от коммутатора и маршрутизатора до комплексного межсетевого экрана). Стоит отметить, что каждое устройство функционирует на определенных уровнях стека протоколов TCP/IP и выполняет соответствующий функционал. Рассматривать последовательность настройки мы будем от коммутаторов, постепенно переходя к более сложным функциям и технологиям, которые присущи маршрутизаторам и межсетевым экранам. При этом базовые этапы и рекомендации будут оставаться полезными.

Читайте так же:
NVIDIA GeForce GT 620M

Управляемые сетевые устройства можно конфигурировать посредством следующих инструментов и технологий:

  • локально: например, через консольный порт (RS-232);
  • удаленно, используя следующие протоколы:
  1. Telnet (англ. Teletype Network) сетевой протокол для реализации текстового интерфейса по сети;
  2. SSH (англ. Secure Shell безопасная оболочка) сетевой протокол прикладного уровня, позволяющий производить удалённое управление операционной системой и туннелирование TCP-соединений;
  3. HTTP (англ. HyperText Transfer Protocol) протокол передачи данных, определяющий формат приема и передачи сообщений при взаимодействии браузера и веб-сервера. Управление сетевым устройством осуществляется через Web-интерфейс;
  4. HTTPS (англ. HyperText Transfer Protocol Secure) расширение протокола HTTP, которое поддерживает шифрование. Управление сетевым устройством осуществляется через Web-интерфейс;
  5. и др.
Рассмотрим базовый алгоритм настройки управляемого сетевого оборудования после подключения к нему:
  1. обновляем прошивку устройства, предварительно создав резервную копию действующего программного обеспечения и настроек. Стоит отметить, что рекомендуется последовательно устанавливать обновления;
  2. отключаем небезопасные протоколы удаленного доступа (например, Telnet). В них не предусмотрено использование шифрования и проверки подлинности данных и субъекта взаимодействия;
  3. задействуем защищенный протокол HTTPS вместо HTTP для шифрования управляющего трафика, самостоятельно сгенерируем сертификат, поменяем порт на любой нестандартный. Для защиты данных применяется шифрование с использованием криптографических протоколов SSL (англ. Secure Sockets Layer) или TLS (англ. Transport Layer Security). В качестве информации для проверки подлинности узлов используется информация в виде SSL сертификатов (хотя протокол допускает и другие варианты). Стоит отметить, что рекомендуется администрирование устройств через консоль по безопасным протоколам передачи данных (например, SSH внутри VPN). Веб-интерфейс запасной или альтернативный путь;
  4. изменяем пароль на криптоустойчивый содержащий более 25 символов различной комбинации, рекомендуется генерировать не вручную, а специализированными средствами. Например, используя утилиту Keepass. Дополнительно также рекомендуется и сменить пользователя, отключив отображение его имени при диалоговом окне аутентификации (в случае наличия такой возможности);
  5. устанавливаем лимит временной блокировки при неправильном вводе пароля (неуспешной аутентификации);
  6. задействуем NTP (англ. Network Time Protocol протокол сетевого времени) сетевой протокол для синхронизации внутренних часов устройства с использованием сетей с переменной латентностью. Поддержание логов с актуальными временными метками упростит в дальнейшем расследование инцидентов;
  7. инициализируем расширенное логирование событий, не забывая устанавливать квоту на 30% свободного информационного пространства. Для централизованного сбора информации можно задействовать Rsyslog;
  8. подключаем протоколы сбора информации и управления сетью. В базовом варианте: протокол SNMP (англ. Simple Network Management Protocol простой протокол сетевого управления) стандартный Интернет-протокол для управления устройствами в IP-сетях на основе архитектур TCP/UDP. Следует использовать последнюю версию протокола, так как она предоставляет дополнительный функционал по безопасности: шифрует пакеты для предотвращения перехвата несанкционированным источником, обеспечивает аутентификацию и контроль целостности сообщений. Стоит отметить, что не следует использовать данную технологию в корпоративных сетях, где критически важен высокий уровень безопасности, т.к. технология уязвима;
  9. задействуем протокол SMTP (англ. Simple Mail Transfer Protocol -простой протокол передачи почты) широко используемый сетевой протокол, предназначенный для передачи электронной почты в сетях TCP/IP. Настроим отправку уведомлений на наш адрес электронной почты;
  10. сконфигурируем технологию Port Security. Это функция позволяет привязать MAC-адреса хостов к портам сетевого устройства. В случае несоответствия информационного потока правилам кадры отбрасываются.
    Для более глубокого понимания рассмотрим более подробно работу коммутаторов. Коммутаторы получают входящие кадры (дейтаграммы канального уровня) и передают их по исходящим каналам. Продвижение информационных потоков производится на основе алгоритма прозрачного моста, который описывается в стандарте IEEE 802.1D. Рассмотрим работу данного алгоритма.
    Перенаправление кадров осуществляется при помощи таблицы коммутации / продвижения информационных потоков (англ. FDB). Эта таблица содержит записи для некоторых узлов сети. Запись состоит из MAC-адреса узла, номера интерфейса, который ведет к узлу, и времени добавления этой записи в таблицу. Заполнение таблицы коммутации происходит на основании пассивного наблюдения за трафиком в подключенных к портам коммутатора сегментах.
    Предположим, что на какой-либо интерфейс коммутатора поступает кадр с неким адресом получателя, после чего он выполняет проверку своей таблицы коммутации. Далее в зависимости от результата проверки возможны три случая:
    I. в таблице отсутствует запись, соответствующая адресу получателя кадра. В этом случае копия кадра перенаправляется на все интерфейсы, исключая тот, с которого был получен кадр;
    II. таблица содержит запись, связывающую адрес получателя с интерфейсом, на который поступил данный кадр. В этом случае кадр отбрасывается;
    III. таблица содержит запись, связывающую адрес получателя с другим интерфейсом. В данном случае кадр перенаправляется на интерфейс, связанный с адресом получателя;
    Соответственно, информация из данной таблицы может быть использована для ограничения доступа к среде передачи данных.
  11. настроим IP-Binding (часто именуется производителями IP-MAC-Binding). Заранее обозначим строгое соответствие IP и MAC-адресов, в случае несовпадения данных параметров в информационном потоке он отбрасывается;
  12. инициализируем ACL (англ. Access Control List) список контроля доступа, определяющий разрешения или запреты на взаимодействие объектов по сети. В качестве параметров используются либо MAC, либо IP-адреса в зависимости от уровня оборудования;
  13. подключаем дополнительное профилирование доступа в виде черных и белых списков;
  14. сегментируем трафик. Данный процесс можно произвести делением корпоративной сети на подсети или использовать виртуальную сегментацию трафика посредством VLAN (англ. Virtual Local Area Network);
  15. задействуем протокол связующего/покрывающего древа (англ. Spanning Tree Protocol, существуют версии STP, RSTP, MSTP). Используется для автоматической идентификации и исключения петель (дублирующих маршрутов). При первоначальном включении необходимо задать иерархию древа сети: выбрать корневой коммутатор и корневые порты. В случае выхода из строя основных каналов связи автоматически будут задействованы резервные;
  16. организуем зеркалирование трафика его перенаправление с одного порта или группы портов коммутатора на другой порт этого же устройства или на удаленный хост. Такие технологии именуются локальным и удаленным зеркалированием соответственно. Определенными структурами и злоумышленниками этот инструмент может использоваться для тотального контроля. А честными специалистами для поиска неисправностей и монтирования датчиков системы обнаружения и предотвращения вторжений;
  17. активируем технологии централизованного мониторинга и управления сетью. Инструменты позволяют организовывать и управлять виртуальным стеком оборудования через единый IP-адрес;
  18. настраиваем защиту от ARP-спуфинга. Суть метода состоит в следующем. При приеме ARP-ответа производится сравнение старого и нового MAC-адресов, и при обнаружении его изменения запускается процедура верификации. Посылается ARP-запрос, требующий всем хозяевам IP-адреса сообщить свои MAC-адреса. Если выполняется атака, то настоящая система, имеющая этот IP-адрес, ответит на запрос, и, таким образом, атака будет распознана. Если же изменение MAC-адреса было связано не с атакой, а со стандартными ситуациями, ответа, содержащего старый MAC-адрес, не будет, и по прошествии определенного таймаута система обновит запись в кэше. Альтернативный способ защиты: статическое закрепление записей, ограничение на рассылки и дополнительное профилирование доступа. Протокол ARP (англ. Address Resolution Protocol, протокол разрешения адресов) используется для определения MAC-адреса по IP-адресу. Протокол поддерживает на каждом устройстве ARP-таблицу, содержащую соответствие между IP-адресами и MAC-адресами других интерфейсов данной сети. ARP-запросы инкапсулируются в кадры Ethernet, которые рассылаются как широковещательные. Соответствующий интерфейсу адрес сообщается в ARP-ответе;
  19. подключаем защиту от ложных DHCP (англ. Dynamic Host Configuration Protocol, протокол динамической настройки узла) рассылок. DHCP протокол используется для автоматического получения устройствами IP-адресов и других параметров. Указываем доверенные порты или источники. Технология небезопасна в исходном виде;
  20. задействуем агрегирование каналов связи для повышения пропускной способности сети передачи данных;
  21. инициализируем RADIUS-сервер решение для реализации аутентификации, авторизации объектов: предоставления им доступа к среде передачи данных или глобальной сети Интернет;
  22. ознакомимся с принципами реализации демилитаризованной зоны и зоны защиты. DMZ сегмент сети, содержащий общедоступные сервисы и отделяющий их от частных. Цель DMZ добавить дополнительный уровень безопасности в локальной сети, позволяющий минимизировать ущерб в случае атаки на один из общедоступных сервисов: внешний злоумышленник имеет прямой доступ только к оборудованию в DMZ;
  23. настроим NAT (трансляцию сетевых адресов). Destination NAT (DNAT) называется трансляция обращений извне к устройствам внутренней сети. SNAT (англ. Source Network Address Translation) организовывает трансляцию сетевых адресов, изменяя адрес источника. Наиболее простым примером применения выступает возможность предоставления доступа локальным хостам с частными/виртуальными адресами в глобальную сеть Интернет, используя один белый/публичный IP-адрес.
  24. установим защищенные виртуальные каналы связи между субъектами взаимодействия (например, используя технологию IPsec или OpenVPN).
Читайте так же:
Драйвера и утилиты для Asus K53SD

Надеюсь, материал был интересен и полезен. Если подобный формат понравится студентам и сообществу Хабра, то постараемся и дальше записывать интересные консилиумы.

консилиум — Самое интересное в блогах

[Из песочницы] Консилиум с D-Link: базовая настройка управляемого сетевого оборудования

image

Всем доброго времени суток!

На сегодняшний день в непростой эпидемиологической ситуации система высшего образования и науки переживает трансформацию. Формируется гибридное обучающее пространство, позволяющее гармонично сочетать форматы дистанционного и очного обучения. Специфика работы большинства IT-специалистов позволяет без труда перейти на удаленный формат. Однако, не каждому человеку удается при этом сохранить продуктивность и позитивный настрой на длительной дистанции. Чтобы внести разнообразие в процесс обучения студентов, было принято решение о записи видеоконсилиумов – небольших обзорных и прикладных лекций в виде дискуссии с ведущими экспертами определенной предметной области.

Ключевые темы обсуждений посвящены информационно-коммуникационным технологиям: от системного и сетевого администрирования до кибербезопасности и программирования. Не обойдем стороной и юридические аспекты работы в IT, становление бизнеса в нашей индустрии и привлечение инвестиций (в том числе грантов и субсидий). Дополнительно рассмотрим материал о системе высшего образования и науки, в том числе возможности бесплатного обучения за границей.

Итак, один из первых консилиумов мы решили посвятить теме «Базовая настройка управляемого сетевого оборудования» и пригласили на него одного из ведущих мировых лидеров и производителей сетевых решений корпоративного класса, а также профессионального телекоммуникационного оборудования – компанию D-Link.

Развитие телемедицины в мире

ТЕЛЕМЕДИЦИНА (700x441, 40Kb)

По представлениям специалистов телемедицина остается, в первую очередь, дистанционной диагностикой, но её потенциальные возможности значительно шире. Сетевые технологии предоставляют возможность документальной передачи историй болезни при переводе больных из клиники в клинику, оперативное решение вопросов страхования и оплаты, новые возможности повышения квалификации врачей, широкое внедрение новых медицинских технологий и методов, дистанционные медицинские консультации, консилиумы, телеконференции, и телеманипуляции (дистанционное управление аппаратурой и даже хирургические вмешательства на расстоянии).
Читать далее.

Читайте так же:
Отмена подписки на человека в Одноклассниках

В институте Стражеско собрали консилиум по поводу операции мэру Николаева В.Д.Чайке

Метки: Владимир Чайка консилиум операцияКомментарии (0)КомментироватьВ цитатник или сообщество

Консилиум как консилиум.

Разве что звёзд побольше — заведующие сразу 3-х отделений. Пока меня терзала пневмония, а врачи её, в процессе контроля выяснилось, что они проморгали нечто за диафрагмой, оказавшееся абсцессом, тихо ждущим своего часа. Но рикошет от ковровых бомбардировок антибиотиками случайно (!) попал в эту жабу и она выдала себя продуктами распада. Даже пневмония мне в пользу! И на консилиуме решалось, под нож меня с прекращением всяких химий и всё с нуля потом, или добивать жабу. А дальше всё по предсказанию Доктора, сделанному 3 дня назад, что не умаляет величия спецов онкологии, гнойной хирургии и гематологии, взявших на себя непростую ответственность: добивать. Но Доктор-то, Доктор! Добивать будут бойко и в праздники, а к 10-му две недели отдыха и — химия. Почки отдохнули и теперь способны вынести любую гадость, а имунная система восстановилась наполовину. Ещё позавчера у всех были плохо скрываемые скорбные лица, это я тут духарился на лирушке по привычке не огорчать друзей по пустякам. Сегодня пол отделения персонало заглянуло под разными предлогами с парой тёплых слов: благодаря своей живучести я стал чем-то вроде местной достопримечательности. Так что, здравствуйте снова, друзья!

Метки: консилиум здоровьеКомментарии (27)КомментироватьВ цитатник или сообщество

ООО «Консилиум»

ООО «Консилиум» успешно работает на рынке медицинских расходных материалов и оборудования уже более 10 лет. За десятилетие общественно-полезной коммерческой деятельности компания зарекомендовала себя как надежная динамично развивающаяся организация, заботящаяся о благополучии своих заказчиков.
Основной специализацией является обеспечение медицинских учреждений, государственных и коммерческих, продукцией однократного применения: инструментарием для диагностирования и оперативного вмешательства; бельем и одеждой для создания комфортных условий работы медицинского персонала, а также поликлинического и стационарного обслуживания пациентов. Кроме того, компания «Консилиум» успешно снабжает высококачественным массажным оборудование собственной торговой марки «Comfort».

Продукция компании ООО «Консилиум»:
• Бахилы и тапочки
• Белье одноразового использования
• Комплекты операционные одежды и белья
• Маски и респираторы
• Массажные кресла
• Массажеры
• Автомобильные Массажеры
• Оборудование для массажистов: массажные столы и аксессуары
• Мебель медицинская
• Мешки патологоанатомические
• Одежда одноразового использования
• Перчатки медицинские
• Принадлежности для службы крови
• Средства для ухода за больными
• Средства индивидуальной защиты

Опыт работы в системе здравоохранения позволяет выполнить заказ любой степени сложности.

 (464x306, 26Kb)

Доставка осуществляется как морским, так и железнодорожным и автомобильным видами транспорта.

Доктор Хаус имеет мозг

Попал он мне, наконец, в руке. Просмотрел с десяток серий порядком доставляет. Очень такой с точки зрения персонаж. Мозг его так умен, что диву даешься, как он может вместиться в человеческом черепе.

Будь я доктором Хаусом, я бы незамедлительно собрал консилиум и выдвинул на обсуждение вопрос «Где доктор Хаус хранит самую рациональную часть своего мозга?» За четыре минуты психического штурма я бы подопустил нерадивых коллег, пройдясь по теме вороватых негров, недалеких мажоров и чуть более недалеких красотулечек в белых халатах. Затем я бы мысленно скомандовал камере взять меня наивыгоднейшим ракурсом и…

Настройка коммутатора D-link SmartPro серии DES/DGS

Коммутаторы D-link представляют собой устройства, которые имеют хороший функционал, гарантирующий качественную передачу видео в режиме реального времени, расширенные диагностики кабеля, умеют работать с VoIP и системами видеонаблюдения, управляются через веб-интерфейс, telnet-интерфейс и через фирменную утилиту SmartConsole.

Устройства особенно удобны для нужд предприятий малого и среднего уровня. В данной ознакомительной статье рассматриваются вопросы первичной настройки и базовых функций коммутаторов D-link SmartPro серии DES/DGS.

РЕГИСТРАЦИЯ В WEB-ИНТЕРФЕЙСЕ УПРАВЛЕНИЯ

Чтобы начать настройку коммутатора — запустите браузер, установленный на компьютере и укажите IP-адрес, который определен для устройства.

URL в адресной строке должен выглядеть следующим образом: http://123.123.123.123, где вместо чисел 123 необходимо вставить реальный IP-адрес коммутатора.

По умолчанию коммутатор имеет IP адрес 10.90.90.90 На открывшейся странице нажмите Login. Откроется окно аутентификации Оставьте поля User Name (Имя пользователя) и Password (Пароль) незаполненными и нажмите ОК. Это позволит зарегистрироваться в пользовательском Web-интерфейсе.

В разделе System в пункте password задайте пароль для администратора.

Страница установки пароля

Рисунок 1 — Страница установки пароля

НАСТРОЙКА СЕТИ

В пункте System Settings в разделе ip-information зададим коммутатору статический ip-адрес. В разделе System Information корректное имя устройства. Для применения параметров нажмите apply. Пример заполнения см. ниже:

Страница внесение данных сети

Рисунок 2 — Страница внесение данных сети

Для настройки сети по DHCP, в том же разделе, выставите соответствующий пункт.При необходимости возможно настроить имя хоста и выставить число попыток назначения ip-адреса. Для этого в поле DHCP Option 12 State выставите значение Enabled и заполните соответствующие поля.

НАСТРОЙКА VLAN

Заходим в настройки коммутатора, в меню слева выбираем раздел VLAN -> 802.1Q VLAN и переведем в состояние enabled.

Страница активации и добавления виртуальной сети

Рисунок 3 — Страница активации и добавления виртуальной сети

Для создания нового влана нажмите Add.

В поле VID прописываем идентификатор, т.е. номер влана, а в поле VLAN Name — его имя.

Страница конфигурации портов виртуальной сети

Рисунок 4 — Страница конфигурации портов виртуальной сети

Теперь обратитесь на таблицу с портами. Если вам надо просто добавить порт в виртуальную сеть, то напротив его номера ставим галку «Untagged». Если нужно, чтобы сеть уходила через транковый порт на другой коммутатор (Uplink/Downlink порты), то напротив этого порта ставим галку «Tagged». Нажимаем кнопку «Apply».Готово, созданная нами виртуальная сеть добавлена.

Читайте так же:
Как пользоваться RaidCall

Для сохранения изменений во вкладке меню Save выберете Save Configuration.

Сохранение параметров коммутатора

Рисунок 5 — Сохранение параметров коммутатора

Первоначальная настройка завершена.

ТЕХНОЛОГИЯ PoE

D-link коммутаторы, рассматриваемые в данной статье, оснащены технологией PoE. Что же это такое, и для чего нужно?

Устройства, поддерживающие подключение по технологии РоЕ

Рисунок 6 — Устройства, поддерживающие подключение по технологии РоЕ

PoE (Power over Ethernet) — технология, позволяющая подавать электропитание устройствам в сети по витой паре стандарта Ethernet. Данная технология используется для ip-телефонии, ip-камер и других устройств с целью исключения использования дополнительного кабеля питания. Технология не оказывает негативного влияния на качество передачи данных.

Данная технология обладает рядом преимуществ:

  • Подключение в местах с ограниченным доступом.
  • Подключение устройств при ограниченном количестве розеток на рабочих местах, число которых регулируется стандартами ИТ-безопасности.
  • Позволяет управлять устройством (включать, выключать и перезагружать по питанию в случаях зависания, обновления или другой необходимости).
  • PoE относится к слаботочным сетям. Максимальное напряжение, которое может выдаваться с одного порта, не превышает 60 вольт.

Настройки PoE в D-link расположены на следующих страницах раздела PoE:

1. PoE Global Settings

Страница глобальных настроек РоЕ

Рисунок 7 — Страница глобальных настроек РоЕ

Отображает текущий статус PoE, потребляемую и оставшуюся мощность, процент потребляемой мощности системы.

System Power Threshold: настраиваемый вручную порог мощности PoE 7,1

72 Вт. Power Shut Off Sequence: определяет метод, используемый для отключения питания.

System Power Status: отображает состояние питания системы устройства:

  • Total PoE Power Budget: отображает общий бюджет мощности PoE коммутатора.
  • Power Used: отображает текущую используемую мощность PoE.
  • Power Left: отображает остаточную мощность PoE

2. PoE Port Settings

Страница настройки портов РоЕ

Рисунок 8 — Страница настройки портов РоЕ

В таблице портов отображается состояние PoE, Port State, Priority, Power Limit, Power (W), Voltage(V), Current (mA), Classification, Status.

Вы можете выбрать From Port / To Port для управления PoE функциями порта устройства . Устройство автоматически отключит порты, если ток порта превысит 375 мА в режиме 802.3af.

From Port / To Port: указывает функцию PoE порта или портов.

State: выберите «Включено» или «Отключено».

Priority: настройте приоритет источника питания как «Low», «Normal» или «High» для назначенных портов.

Power Limit: функция позволяет вручную устанавливать ограничение мощности тока, передаваемого на PD.

Для защиты коммутатора и подключенных устройств функция power limit отключит PoE порта при перегрузке питания. Выберите «Class 1», «Class 2», «Class 3» или «Auto» для ограничения мощности.

Для применения настроек нажмите Apply.

Таким образом технология PoE обладает широкими коммуникационными возможностями, которые позволяют создавать сети с оборудованием разного типа и предназначения.

ВСТРОЕННЫЕ СРЕДСТВА ДИАГНОСТИКИ И СТАТИСТИКИ

В данном разделе рассматриваются возможности использования коммутаторов в части сбора статистической информации и диагностики кабеля.

Коммутаторы EasySmart приспособлены для сбора статистики как успешных, так и ошибочных пакетов данных. Ошибки на порту указывают на физические проблемы с кабелем или плохое соединение с коннектором. Коммутаторы данной серии позволяют провести раздельную диагностику кабелей, подключенных к портам. Для Для просмотра диагностики необходимо перейти в раздел «L2 Features» и открыть страницу «Cable diagnostics». Результаты диагностики приводятся для каждой пары подключенного кабеля.

По результатам диагностики выводятся следующие сообщения:

  • OK – исправное состояние;
  • Short in Cable – короткое замыкание;
  • ЭOpen in Cable – кабель поврежден или не подключён на другой стороне;
  • Mismatched – возникли ошибки при диагностике, требуется перезапустить тест на том же порту;
  • Line Driver – обнаружено высокое электрическое сопротивление на другой стороне кабеля;
  • Cable Fault Distance (meters) – расстояние от порта коммутатора до поврежденного участка (при длине кабеля менее 2 метров будет сообщение об отсутствии кабеля «No Cable»);
  • Cable Length (meter) – при исправном кабеле (результат «OK») отобразит общую длину подключенного к порту кабеля

Страница статистики «Statistics» в настраиваемых коммутаторах WebSmart доступна в разделе «Monitoring». При нажатии на номер порта отображается его более подробная статистика.

Страница статистики портов коммутатора

Рисунок 9 — Страница статистики портов коммутатора

Подробная статистика порта отображается в следующих значениях счетчиков:

  • «OutOctets» — количество переданных байтов;
  • «OutUcastPkts» — количество переданных одноадресных пакетов;
  • «OutNUcastPkts» — количество переданных многоадресных пакетов;а
  • «OutErrors» — количество ошибок передачи;
  • «LateCollisions» — количество случаев, когда коллизия зафиксирована после того, как в канал связи уже были переданы первые 64 байт (slotTime) пакета;
  • «ExcessiveCollisions» — количество фреймов, которые не были переданы из-за избыточного количества коллизий;
  • «InternalMACTransmitErrors» — количество фреймов, которые не были переданы успешно из-за внутренней ошибки передачи на уровне MAC;
  • «InOctets» — количество принятых байтов;
  • «InUcastPkts» — количество принятых одноадресных пакетов;
  • «InNUcastPkts» — количество принятых многоадресных пакетов;
  • «InDiscards» — количество пакетов, отклоненных в результате сбоя выделения памяти, или в результате сбоя контрольной суммы;
  • «InErrors» — количество ошибок приема;
  • «FCSErrors» — количество принятых фреймов с количеством байт, соответствующим длине, но не прошедших проверку контрольной суммы (FCS);
  • «FrameTooLongs» — количество принятых пакетов с превышением максимально допустимого размера кадра;
  • «InternalMACReceiveErrors» — количество фреймов, которые не были приняты успешно из-за внутренней ошибки приема на уровне MAC.

Страница диагностики «Cable Diagnostics» также доступна в разделе «Monitoring».

Страница диагностики

Рисунок 10 — Страница диагностики

Также в разделе «Monitoring» расположена страница системного лога «System Log». Для сохранения файла на компьютере, из списка выпадающего меню «Save», — выберите пункт «Save Log». Для сохранения файла нажмите кнопку «Backup Log». В результате будет сохранён текстовый файл «systemlog.log».

Таким образом мы провели первичную настройку коммутатора D-link, рассмотрели принцип работы технологии PoE и ее настраиваемые параметры на устройстве, ознакомились со встроенными инструментами диагностики и статистики.

Эти и другие настройки для наших клиентов мы осуществляем в рамках ИТ-аутсорсинга.

голоса
Рейтинг статьи
Ссылка на основную публикацию
ВсеИнструменты
Adblock
detector