По вашему запросу ничего не найдено :(
Убедитесь, что запрос написан правильно, или посмотрите другие наши статьи:
img
Всем привет! Сегодня в статье мы расскажем про настройку Point-to-Point GRE VPN туннелей на оборудовании Cisco и о том, как сделать их защищенными при помощи IPsec. Generic Routing Encapsulation (GRE) - это протокол туннелирования, разработанный компанией Cisco, который позволяет инкапсулировать широкий спектр протоколов сетевого уровня в point-to-point каналах. Туннель GRE используется, когда пакеты должны быть отправлены из одной сети в другую через Интернет или незащищенную сеть. В GRE виртуальный туннель создается между двумя конечными точками (маршрутизаторами Cisco), а пакеты отправляются через туннель GRE. Важно отметить, что пакеты, проходящие внутри туннеля GRE, не шифруются, поскольку GRE не шифрует туннель, а инкапсулирует его с заголовком GRE. Если требуется защита данных, IPSec должен быть настроен для обеспечения конфиденциальности данных - тогда GRE-туннель преобразуется в безопасный VPN-туннель GRE. На приведенной ниже схеме показана процедура инкапсуляции простого незащищенного пакета GRE, проходящего через маршрутизатор и входящего в туннельный интерфейс: Хотя многие могут подумать, что туннель GRE IPSec между двумя маршрутизаторами похож на VPN-соединение IPSec между сайтами, это не так. Основное отличие состоит в том, что туннели GRE позволяют multicast пакетам проходить через туннель, тогда как IPSec VPN не поддерживает multicast пакеты. В больших сетях, где необходимы протоколы маршрутизации, такие как OSPF, EIGRP, туннели GRE - ваш лучший выбор. По этой причине, а также из-за того, что туннели GRE гораздо проще в настройке, инженеры предпочитают использовать GRE, а не IPSec VPN. В этой статье объясняется, как создавать простые незащищенные (unprotected) и безопасные (IPSec encrypted) туннели GRE между конечными точками. Мы объясним все необходимые шаги для создания и проверки туннеля GRE (незащищенного и защищенного) и настройки маршрутизации между двумя сетями. Создание Cisco GRE туннеля Туннель GRE использует интерфейс «туннель» - логический интерфейс, настроенный на маршрутизаторе с IP-адресом, где пакеты инкапсулируются и декапсулируются при входе или выходе из туннеля GRE. Первым шагом является создание нашего туннельного интерфейса на R1: R1(config)# interface Tunnel0 R1(config-if)# ip address 172.16.0.1 255.255.255.0 R1(config-if)# ip mtu 1400 R1(config-if)# ip tcp adjust-mss 1360 R1(config-if)# tunnel source 1.1.1.10 R1(config-if)# tunnel destination 2.2.2.10 Все туннельные интерфейсы участвующих маршрутизаторов всегда должны быть настроены с IP-адресом, который не используется где-либо еще в сети. Каждому туннельному интерфейсу назначается IP-адрес в той же сети, что и другим туннельным интерфейсам. В нашем примере оба туннельных интерфейса являются частью сети 172.16.0.0/24. Поскольку GRE является протоколом инкапсуляции, мы устанавливаем максимальную единицу передачи (MTU - Maximum Transfer Unit) до 1400 байт, а максимальный размер сегмента (MSS - Maximum Segment Size) - до 1360 байт. Поскольку большинство транспортных MTU имеют размер 1500 байт и у нас есть дополнительные издержки из-за GRE, мы должны уменьшить MTU для учета дополнительных служебных данных. Установка 1400 является обычной практикой и гарантирует, что ненужная фрагментация пакетов будет сведена к минимуму. В заключение мы определяем туннельный источник, который является публичным IP-адресом R1, и пункт назначения - публичный IP-адрес R2. Как только мы завершим настройку R1, маршрутизатор подтвердит создание туннеля и сообщит о его состоянии: R1# *May 21 16:33:27.321: %LINEPROTO-5-UPDOWN: Line protocol on Interface Tunnel0, changed state to up Поскольку интерфейс Tunnel 0 является логическим интерфейсом, он останется включенным, даже если туннель GRE не настроен или не подключен на другом конце. Далее мы должны создать интерфейс Tunnel 0 на R2: R2(config)# interface Tunnel0 R2(config-if)# ip address 172.16.0.2 255.255.255.0 R2(config-if)# ip mtu 1400 R2(config-if)# ip tcp adjust-mss 1360 R2(config-if)# tunnel source 2.2.2.10 R2(config-if)# tunnel destination 1.1.1.10 Интерфейс туннеля R2 настроен с соответствующим IP-адресом источника и назначения туннеля. Как и в случае с R1, маршрутизатор R2 сообщит нам, что интерфейс Tunnel0 работает: R2# *May 21 16:45:30.442: %LINEPROTO-5-UPDOWN: Line protocol on Interface Tunnel0, changed state to up Маршрутизация сетей через туннель GRE На этом этапе обе конечные точки туннеля готовы и могут «видеть» друг друга. Echo icmp от одного конца подтвердит это: R1# ping 172.16.0.2 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 172.16.0.2, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 1/2/4 ms R1# Опять же, этот результат означает, что две конечные точки туннеля могут видеть друг друга. Рабочие станции в любой сети по-прежнему не смогут достичь другой стороны, если на каждой конечной точке не установлен статический маршрут: R1(config)# ip route 192.168.2.0 255.255.255.0 172.16.0.2 На R1 мы добавляем статический маршрут к удаленной сети 192.168.2.0/24 через 172.16.0.2, который является другим концом нашего туннеля GRE. Когда R1 получает пакет для сети 192.168.2.0, он теперь знает, что следующим переходом является 172.16.0.2, и поэтому отправит его через туннель. Та же конфигурация должна быть повторена для R2: R2(config)# ip route 192.168.1.0 255.255.255.0 172.16.0.1 Теперь обе сети могут свободно общаться друг с другом через туннель GRE. Защита туннеля GRE с помощью IPSec Как упоминалось ранее, GRE является протоколом инкапсуляции и не выполняет шифрование. Создание туннеля GRE точка-точка без какого-либо шифрования чрезвычайно рискованно, поскольку конфиденциальные данные могут быть легко извлечены из туннеля и просмотрены другими. Для этого мы используем IPSec для добавления уровня шифрования и защиты туннеля GRE. Это обеспечивает нам необходимое шифрование военного уровня и спокойствие. Наш пример ниже охватывает режим туннеля GRE IPSec. Настройка шифрования IPSec для туннеля GRE (GRE over IPSec) Шифрование IPSec включает в себя два этапа для каждого маршрутизатора. Эти шаги: Настройка ISAKMP (ISAKMP Phase 1) Настройка IPSec (ISAKMP Phase 2) Настройка ISAKMP (ISAKMP Phase 1) IKE существует только для установления SA (Security Association) для IPsec. Прежде чем он сможет это сделать, IKE должен согласовать отношения SA (ISAKMP SA) с партнером. Для начала, мы начнем работать над R1. Первым шагом является настройка политики ISAKMP Phase 1: R1(config)# crypto isakmp policy 1 R1(config-isakmp)# encr 3des R1(config-isakmp)# hash md5 R1(config-isakmp)# authentication pre-share R1(config-isakmp)# group 2 R1(config-isakmp)# lifetime 86400 Приведенные выше команды определяют следующее (в указанном порядке): 3DES - метод шифрования, который будет использоваться на этапе 1 Phase 1 MD5 - алгоритм хеширования Authentication pre-share - использование предварительного общего ключа в качестве метода проверки подлинности Group 2 - группа Диффи-Хеллмана, которая будет использоваться 86400 - время жизни ключа сеанса. Выражается в килобайтах или в секундах. Значение установлено по умолчанию. Далее мы собираемся определить Pre Shared Key (PSK) для аутентификации с партнером R1, 2.2.2.10: R1(config)# crypto isakmp key merionet address 2.2.2.10 PSK ключ партнера установлен на merionet. Этот ключ будет использоваться для всех переговоров ISAKMP с партнером 2.2.2.10 (R2). Создание IPSec Transform (ISAKMP Phase 2 policy) Теперь нам нужно создать набор преобразований, используемый для защиты наших данных. Мы назвали это TS: R1(config)# crypto ipsec transform-set TS esp-3des esp-md5-hmac R1(cfg-crypto-trans)# mode transport Вышеуказанные команды определяют следующее: SP-3DES - метод шифрования MD5 - алгоритм хеширования Установите IPSec в транспортный режим. Наконец, мы создаем профиль IPSec для соединения ранее определенной конфигурации ISAKMP и IPSec. Мы назвали наш профиль IPSec protect-gre: R1(config)# crypto ipsec profile protect-gre R1(ipsec-profile)# set security-association lifetime seconds 86400 R1(ipsec-profile)# set transform-set TS Теперь мы готовы применить шифрование IPSec к интерфейсу туннеля: R1(config)# interface Tunnel 0 R1(config-if)# tunnel protection ipsec profile protect-gre Ну и наконец пришло время применить ту же конфигурацию на R2: R2(config)# crypto isakmp policy 1 R2(config-isakmp)# encr 3des R2(config-isakmp)# hash md5 R2(config-isakmp)# authentication pre-share R2(config-isakmp)# group 2 R2(config-isakmp)# lifetime 86400 R2(config)# crypto isakmp key merionet address 1.1.1.10 R2(config)# crypto ipsec transform-set TS esp-3des esp-md5-hmac R2(cfg-crypto-trans)# mode transport R2(config)# crypto ipsec profile protect-gre R2(ipsec-profile)# set security-association lifetime seconds 86400 R2(ipsec-profile)# set transform-set TS R2(config)# interface Tunnel 0 R2(config-if)# tunnel protection ipsec profile protect-gre Проверка GRE over IPSec туннеля Наконец, наш туннель был зашифрован с помощью IPSec, предоставляя нам столь необходимый уровень безопасности. Чтобы проверить и проверить это, все, что требуется, это попинговать другой конец и заставить туннель VPN IPSec подойти и начать шифрование/дешифрование наших данных: R1# ping 192.168.2.1 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 192.168.2.1, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 1/3/4 ms Используя команду show crypto session, мы можем быстро убедиться, что шифрование установлено и выполняет свою работу: R1# show crypto session Crypto session current status Interface: Tunnel0 Session status: UP-ACTIVE Peer: 2.2.2.10 port 500 IKE SA: local 1.1.1.10/500 remote 2.2.2.10/500 Active IPSEC FLOW: permit 47 host 1.1.1.10 host 2.2.2.10 Active SAs: 2, origin: crypto map Поздравляю! Мы только что успешно создали Point-to-point GRE over IPSec VPN туннель между двумя маршрутизаторами Cisco.
img
Зевс, вечный царь богов, преодолел немало сложностей сохраняя свою власть. Аид почти узурпировал своего брата Зевса в битве за трон. Когда началось столкновение, большинство богов приняло сторону Зевса, так как никто не хотел бы выйти против парня, который метет молнии. Но некоторые боги, недовольные властью Зевса, перешли на сторону Аида и битва бушевала. Бэк-энд программирование мало отличается от горы Олимп. До сих пор идет вечная борьба за превосходство, и в 2020 ом эта борьба продолжается между Python и Java. И, подобно древним грекам, большинство девелоперов выбирают в качестве "вероисповедания" один или два наиболее используемых языков программирования. Тем не менее, в отличии от древних греков, современные программисты гораздо гибче. Есть полиглоты-кодеры, которые используют более чем один язык программирования и пользуются одной средой для написания кода. Кто-то зовёт их богохульниками, мы же предпочитаем звать их миротворцами. Если вы один из таких и ищете способ эффективного программирования на питоне в среде IntelliJ IDEA то этот пост для вас. Мы составили список расширений, которые добавят функцию кодирования на питоне, а также помогут сделать это эффективнее. Программирования на Python в IntelliJ IDEA против PyCharm. Прежде чем углубиться в поддержку IntelliJ IDEA Питона, стоит отметить среду программирования от JetBrain для Python и Django PyCharm. Имеющая бесплатную версию PyCharm, неудивительно что является самым популярным автономным IDE для программирования на Python и имеет большую поддержку профессионалов. Он предоставляет простой интерфейс для управления проектами, настройки среды разработки и другие возможности. Основное преимущество IntelliJ IDEA над PyCharm это полный спектр функций поддержки Jython (многоязычная навигация, компиляция и рефакторинг). Jython это реализация языка Python на языке Java. PyCharm поддерживает только Jython. как среду выполнения для запуска приложений. Поэтому, если в проекте совместили Java и Pyhon, то PyCharm в одиночку с этим не справится. Другая причина, по которой отношения между средами разработки JetBrain актуальны этот тот факт, кто плагины поддерживание PyCharm обычно совместимы с IntelliJ IDEA. Идеальная связь стала возможной благодаря тому, что основаны они на одинаковой среде разработки. Итак, давайте начнем с азов: установки расширения для поддержки Python на IntelliJ IDEA. Как добавить Python в IntelliJ IDEA Чтобы добавить IntelliJ IDEA всю функциональность популярной PyCharm все что вам нужно это установить официальное расширении Python от JetBrains. Единственное, что нужно проверить прежде чем скачать и установить расширение это тип лицензии IntelliJ IDEA. Расширение Python совместимо только с платной версией IntelliJ IDEA. 7 расширений Python для IntelliJ IDEA Базовое расширение даст вам возможность умного редактирования сценариев Python, эффективно расширяя функциональность IntelliJ IDEA, чтобы соответствовать всем возможностям PyCharm. Тем не менее, опытные программисты имеют несколько дополнительных плагинов, чтобы сделать разработки на Python в среде IntelliJ IDEA более эффективным и продуктивным. 1. Pylint Как и говорит само название, этот плагин анализатор Python. Он предоставляет возможность сканирование файлов Python как в реальном времени, так и по запросу через IntelliJ IDEA. Pylint проект с открытым исходным кодом, так что он может быть полностью настроен под ваши нужды. Кроме этого, на сайте плагина можете найти подробную документацию. 2. Python Smart Execute Этот удобный небольшой плагин является умной альтернативой команде "Выполнить строку в консоли". Он автоматически определяет строк для отправки на консоль Python и легко доступен с помощью сочетания клавиш Alt+Shift+A. Нужно отметить, что этот плагин может устареть в предстоящей версии Intellij IDEA и PyCharm, так как запрос на его реализацию в JetBrains IDEs был подан в конце 2019 года. 3.Tabnine Tabnine не является плагином Python в прямом смысле. Скорее это инструмент для повышения производительности, который помогает писать код быстрее. Tabnine использует GPT-2 (нейросеть) для обеспечения точных подсказок как для языка Python, так и для других языков. Tabnine сейчас входит в семейство Codota. 4. MyPy MyPy является опциональным средством проверки статического типа и анализатором исходного кода для Python, призванным сочетать преимущества динамического и статического ввода. Среди прочих, он ищет ошибки программирования, помогает применять стандарт кодирования и обнаруживает некоторые кодовые паттерны. Этот плагин от JetBrains интегрирует MyPy в ваш Intellij IDEA. Если вам нужны рекомендации, веб-сайт MyPy содержит обширную документацию, помогающую установить и использовать MyPy для улучшения кода Python. 5. DeepBugs for Python Плагин, разработанный отделом исследования JetBrains призван обнаруживать потенциальны ошибки и проблемы с качеством в коде Python используя при этом модели глубокого обучения. DeepBugs обнаруживает такие ошибки как неверные аргументы функций, неправильные операции сравнения и другие ошибки на основе извлечённой семантики кода. 6. Live Coding in Python Зачем ждать запуска программы, чтобы увидеть, как происходит магия? Этот подключаемый модуль позволяет запускать код Python по мере ввода. Она будет отображать переменные значения, matplotlib и Pyglet в выделенной панели справа от рабочего пространства Intellij IDEA. 7. Python Enhancements Этот последний плагин в нашем списке представляет собой удобную коллекцию из трех проверок, которые вы можете запустить на вашем Python код, чтобы попытаться обнаружить потенциально мертвый код и намерения для генерации безликого кода. Этот плагин будет искать потенциально неиспользуемые классы, функции (включая методы) и имена (в глобальных назначениях и назначениях на уровне классов) в вашем коде.
img
В этой серии статей мы обсуждаем темы администрирования RHEV 3.5. RHEV - это решение для виртуализации Red Hat Enterprise Virtualization, основанное на проекте oVirt (open-source Virtualization project). Red Hat Enterprise Virtualization - это комплексное решение управления виртуализацией для виртуализированных серверов и настольных компьютеров. В этой статье мы обсуждаем среду RHEV и базовое использование. RHEV состоит из двух основных компонентов, таких как гипервизор и система управления. RHEV-H - это гипервизор платформы RHEV, который используется для размещения виртуальных машин. В основе его лежит KVM и RHEL. RHEVM - это система управления средой, которая управляет гипервизорами среды. Он также используется для создания, перемещения, изменения и управления виртуальными машинами, размещенными на гипервизорах. Особенности RHEV 3.5 Это решение с открытым исходным кодом основывается на ядре Red Hat Enterprise Linux с технологией гипервизора виртуальной машины на основе ядра (KVM). Поддерживаемый предел до 160 логических процессоров и 4 ТБ для каждого узла и до 160 виртуальных процессоров и до 4 ТБ памяти на виртуальную машину. Интеграция с OpenStack. Поддерживаются ежедневные задачи, такие как автономное перемещение, высокая доступность, кластеризация и т. д. Необходимые условия для использования Мы будем работать на двух узлах: "гипервизоры" и "хосты" с одним менеджером и одним узлом хранения iscsi. Потом мы добавим один IPA-и DNS-сервер в нашу среду. Мы планируем два сценария использования: Физическое использование - реальная среда, поэтому вам понадобится как минимум три или более физических машины. Виртуальное использование - тестовые лаборатории/среда, поэтому вам понадобится одна физическая машина с большими ресурсами, например, процессор i3 или i5 с оперативной памятью 8G или 12G, в дополнение к другому программному обеспечению виртуализации, например Vmware workstation. В этой серии статей мы работаем над вторым сценарием: Physical Host OS : Fedora 21 x86_64 with kernel 3.18.9-200 RHEV-M machine OS : RHEL6.6 x86_64 RHEV-H machines hypervisor : RHEV-H 6.6 Virtualization software : Vmware workstation 11 Virtual Network interface : vmnet3 Network : 11.0.0.0/24 Physical Host IP : 11.0.0.1 RHEV-M machine : 11.0.0.3 В будущих статьях мы добавим дополнительные компоненты, такие как ноды хранения и IPA-сервер, чтобы сделать среду максимально масштабируемой.Для RHEV-M позаботьтесь заранее об: RHEL / CentOS6. 6 x86_64 new минимальная установка (чистая установка). Убедитесь, что система обновлена. Выделен статический IP-адрес. Машине назначено имя и она доступна по FQDN, например Обновите файл файл /etc/hosts с именем хоста и IP-адресом (убедитесь, что имя хоста резолвится). Минимальные требования - 4G для памяти и 25 GB для жесткого диска. Mozilla Firefox 37 - это рекомендуемый браузер для доступа к WUI. Установка Red Hat Enterprise Virtualization Manager 3.5 1. Чтобы получить доступ к пакетам и обновлениям RHEV, вы должны получить бесплатную 60-дневную пробную подписку с официального сайта red hat, используя корпоративную почту отсюда: Red Hat Enterprise Virtualization 60-дневный пробный период Примечние: после 60-дневного периода ваша виртуалка будет работать в нормальном режиме, однако без доступа к обновлениям системы, если таковые появятся. 2. Затем зарегистрируйте свою машину в RHN (Red Hat Network). 3. Далее установим пакет rhevm и его зависимости с помощью yum. [root@rhevm ~]# yum install rhevm 4. Теперь пришло время настроить rhevm, запустив команду "engine-setup", которая проверит состояние rhevm и любые доступные обновления, делая это в интерактивном режиме и задавая вам вопросы следующего характера: Вопросы, связанные с устанавливаемым продуктом Пакеты Конфигурация сети Конфигурация базы данных Конфигурация движка oVirt Конфигурация PKI Конфигурация Apache Конфигурация системы Предварительный просмотр конфигурации Подсказка: предлагаемые значения конфигурации по умолчанию указаны в квадратных скобках; если предлагаемое значение является приемлемым для вас (а чаще всего так и бывает), нажмите Enter, чтобы принять это значение.Выполните команду и понеслась! [root@rhevm ~]# engine-setup 1. Параметры продукта Первое, о чем инсталлятор спросит вас, это установить и настроить движок на том же хосте. В рамках пробной инсталляции оставьте значение по умолчанию (да). Если вы хотите, чтобы прокси-сервер WebSocket был настроен этом же хосте, оставьте значение по умолчанию (да). 2. Пакеты Скрипт проверит наличие любых обновлений. На этом этапе не требуется никакого пользовательского ввода. 3. Конфигурация сети Далее скрипт автоматически настроит iptables. Мы пока не используем DNS, поэтому убедитесь, что имя хоста (как мы и говорили ранее) резолвится, дополнительно проверим /etc/hosts, как мы делали это ранее. 4. Конфигурация базы данных Базой данных по умолчанию для RHEV3.5 является PostgreSQL. У вас есть возможность настроить его на том же хосте или на внешнем. В статье мы будем использовать локальный вариант и пусть скрипт настроит его автоматически. 5. Конфигурация движка oVirt В этом разделе укажите пароль администратора и application mode для вашей инсталляции. Мы укажем Both: 6. Конфигурация PKI RHEVM использует сертификаты для секьюрного подключения к хосту. Здесь указываем organization name для сертификата: 7. Конфигурация Apache Для веб-интерфейса пользователя RHEVM, необходимо установить и настроить веб-сервер Apache. Инсталлятор дает возможность выполнить автоматическую настройку апач - сервера, ее мы и выберем: 8. Конфигурация системы Среда RHEV содержит библиотеку ISO - файлов, в которой вы можете хранить множество ISO ОС - то есть это просто набор исо - файлов (образов) нужных операционных систем. Эта ISO библиотека называется также доменом ISO и этот домен является общей сетевой шарой. Эта шара будет находиться на том же хосте RHEVM и вы смонтировать его вручную или позволить скрипту настроить его автоматически. 9. Предварительный просмотр конфигурации В этом разделе вы увидите все предыдущие настройки и убедитесь, что все в порядке. Заключение Это последний этап, который показывает дополнительную информацию о том, как получить доступ к панели администратора и запускает службы для работы продукта: Подсказка: На этом этапе вы можете получить Warning (предупреждение), если ПО будет не хватать оперативной памяти. Будем честными: для тестовой среды это не очень важно, просто продолжайте работать. Однако на продуктивном контуре надо быть внимательным и прислушиваться к таким предупреждениям. Чтобы открыть веб-интерфейс пользователя RHEVM откройте URL в броузере: http://$your-ip/ovirt-engine Затем выберите Administrator Portal и укажите свои учетные данные пользователя: admin и пароль, который вы ввели во время установки. Нажмите кнопку Login. Обратите внимание, что вкладка hosts пуста, так как мы еще не добавили ни одного хоста/гипервизора в нашу среду.
ВЕСЕННИЕ СКИДКИ
40%
50%
60%
До конца акции: 30 дней 24 : 59 : 59