По вашему запросу ничего не найдено :(
Убедитесь, что запрос написан правильно, или посмотрите другие
наши статьи:
В этой статье мы рассмотрим протокол маршрутизации Cisco EIGRP. EIGRP (Enhanced Interior Gateway Routing Protocol) - это протокол расширенной векторной маршрутизации, который должен устанавливать отношения соседства перед отправкой обновлений. Из-за этого первое, что нам нужно сделать, это проверить, правильно ли работает соседство. Если это так, мы можем продолжить, проверив, объявляются сети или нет. В этой статье рассмотрим все, что может пойти не так с EIGRP, как это исправить и в каком порядке. Давайте начнем с проверки соседства!
Существует ряд элементов, которые вызывают проблемы соседства EIGRP:
Неизвестная подсеть: соседи EIGRP с IP-адресами, которые не находятся в одной подсети.
Несоответствие значений K: по умолчанию пропускная способность и задержка включены для расчета метрики. Мы можем включить нагрузку и надежность, но мы должны сделать это на всех маршрутизаторах EIGRP.
Несоответствие AS: номер автономной системы должен совпадать на обоих маршрутизаторах EIGRP, чтобы сформировать соседство.
Проблемы уровня 2: EIGRP работает на уровне 3 модели OSI. Если уровни 1 и 2 не работают должным образом, у нас будут проблемы с формированием соседства.
Проблемы со списком доступа: возможно, кто-то создал список доступа, который отфильтровывает многоадресный трафик. EIGRP по умолчанию использует 224.0.0.10 для связи с другими соседями EIGRP.
NBMA: по умолчанию Non Broadcast Multi Access сети, такие как Frame Relay, не разрешают широковещательный или многоадресный трафик. Это может препятствовать тому, чтобы EIGRP формировал соседние отношения EIGRP.
OFF1(config)#int f0/0
OFF1(config-if)#ip address 192.168.12.1 255.255.255.0
OFF1(config-if)#router eigrp 12
OFF1(config-router)#network 192.168.12.0
OFF2(config)#int f0/0
OFF2(config-if)#ip address 192.168.21.2 255.255.255.0
OFF2(config)#router eigrp 12
OFF2(config-router)#network 192.168.21.0
Ошибку неверной подсети легко обнаружить. В приведенном выше примере у нас есть 2 маршрутизатора, и вы можете видеть, что были настроены разные подсети на каждом интерфейсе.
После включения EIGRP всплывают следующие ошибки:
Оба маршрутизатора жалуются, что находятся не в одной подсети.
OFF2(config-router)#int f0/0
OFF2(config-if)#ip address 192.168.12.2 255.25
OFF2(config)#router eigrp 12
OFF2(config-router)#no network 192.168.21.0
OFF2(config-router)#network 192.168.12.0
Мы изменили IP-адрес на OFF2 и убедились, что для EIGRP правильно настроена команда network.
Вуаля! Теперь у нас есть соседство EIGRP.
Проверим это с помощью команды show ip eigrp neighbors.
Извлеченный урок: убедитесь, что оба маршрутизатора находятся в одной подсети.
Case #2
На этот раз IP-адреса верны, но мы используем разные значения K с обеих сторон. OFF1 включил пропускную способность, задержку, нагрузку и надежность. OFF2 использует только пропускную способность и задержку.
Эту ошибку легко обнаружить, поскольку сообщение в консоли гласит "Несоответствие K-значений" на обоих маршрутизаторах.
Мы можем проверить нашу конфигурацию, посмотрев ее на обоих маршрутизаторах. Как вы видите, что значения K были изменены на OFF1.
OFF2(config)#router eigrp 12
OFF2(config-router)#metric weights 0 1 1 1 1 0
Давайте убедимся, что значения K одинаковы на обоих маршрутизаторах, так как мы изменили их на OFF2.
После изменения значений K у нас появилось соседство EIGRP-соседей.
Еще одна проблема решена!
Извлеченный урок: убедитесь, что значения K одинаковы на всех маршрутизаторах EIGRP в одной и той же автономной системе.
Case #3
Давайте продолжим со следующей ошибкой ...
Вот еще один пример типичной проблемы. Несоответствие номера AS. Когда мы настраиваем EIGRP, мы должны ввести номер AS. В отличие от OSPF (который использует ID процесса) этот номер должен быть одинаковым на обоих маршрутизаторах.
В отличие от других неверных настроек конфигурации EIGRP, эта проблема не выдает сообщение об ошибке. Используем команду show ip eigrp neighbors и видим, что соседей нет. Внимательно изучите выходные данные, чтобы обнаружить различия, и вы увидите, что маршрутизаторы используют разные номера AS.
Если посмотреть на работающую конфигурацию, и мы увидим то же самое.
Давайте изменим номер AS на OFF2.
После смены номера AS все заработало как положено.
Извлеченный урок: убедитесь, что номера AS одинаковые, если вы хотите соседства EIGRP.
Case #4
И последнее, но не менее важное: если вы проверили номер AS, значения K, IP-адреса и у вас все еще нет работающего соседства EIGRP, вам следует подумать о безопасности. Возможно, access-list блокирует EIGRP и/или многоадресный трафик.
Следующая ситуация: опять два маршрутизатора EIGRP и отсутствие соседства. Что здесь происходит?
Мы видим, что нет соседей ...
Если вы посмотрите на вывод команды show ip protocols, то увидите, что сеть была объявлена правильно. Если вы посмотрите внимательно на OFF2, вы увидите, что у нас есть пассивный интерфейс.
Удалим настройки пассивного интерфейса!
OFF2(config)#router eigrp 12
OFF2(config-router)#no passive-interface fastEthernet 0/0
Еще одна неправильная настройка создала нам проблемы, но мы ее решили.
Задача решена!
Извлеченный урок: не включайте пассивный интерфейс, если вы хотите установить соседство EIGRP.
Case #5
В приведенном выше примере у нас есть те же 2 маршрутизатора, но на этот раз кто-то решил, что было бы неплохо настроить список доступа на OFF2, который блокирует весь входящий многоадресный трафик.
Здесь можно запутаться. На OFF1 мы видим, что он считает, что установил соседство EIGRP с OFF2. Это происходит потому, что мы все еще получаем пакеты EIGRP от OFF2.
Используем команду debug eigrp neighbors, чтобы посмотреть, что происходит. Очевидно, что OFF1 не получает ответ от своих hello messages, holdtime истекает, и это отбрасывает установление соседства EIGRP.
Быстрый способ проверить подключение - отправить эхо-запрос по адресу многоадресной рассылки 224.0.0.10, который использует EIGRP. МЫ видим, что мы ответа нет от этого запроса. Рекомендуется проверить, есть ли в сети списки доступа.
Так, так! Мы нашли что-то ...
Этот список доступа блокирует весь многоадресный трафик. Давайте сделаем настройку, которая разрешит EIGRP.
OFF2(config)#ip access-list extended BLOCKMULTICAST
OFF2(config-ext-nacl)#5 permit ip any host 224.0.0.10
Мы создаем специальное правило, которое будет разрешать трафик EIGRP.
Как мы видим, что трафик EIGRP разрешен - это соответствует правилу, которое мы выше создали.
Оба маршрутизатора теперь показывают рабочее соседство EIGRP.
Эхо-запрос, который мы только что отправили, теперь работает.
Извлеченный урок: не блокируйте пакеты EIGRP!
Case #6
Рассмотрим очередную ситуацию, в которой нет соседства EIGRP. На картинке выше мы имеем сеть Frame Relay и один канал PVC между OFF1 и OFF2. Вот соответствующая конфигурация:
Оба маршрутизатора настроены для Frame Relay, а EIGRP настроен.
Видно, что нет соседей ... это не хорошо! Можем ли мы пропинговать другую сторону?
Пинг проходит, поэтому мы можем предположить, что PVC Frame Relay работает. EIGRP, однако, использует многоадресную передачу, а Frame Relay по умолчанию - NBMA. Можем ли мы пропинговать адрес многоадресной рассылки EIGRP 224.0.0.10?
Здесь нет ответа на наш вопрос, по крайней мере, теперь мы знаем, что unicast трафик работает, а multicast не работает. Frame Relay может быть настроен для point-to-point или point-to-multipoint соединения. Физический интерфейс всегда является интерфейсом frame-relay point-tomultipoint, и для него требуются frame-relay maps, давайте проверим это:
Мы видим, что оба маршрутизатора имеют DLCI-to-IP карты, поэтому они знают, как связаться друг с другом. Видим, что они используют ключевое слово "статический", а это говорит о том, что это сопоставление было кем-то настроено и не изучено с помощью Inverse ARP (в противном случае вы увидите "динамический"). Мы не видим ключевое слово "broadcast", которое требуется для пересылки широковещательного или многоадресного трафика. На данный момент у нас есть 2 варианта решения этой проблемы:
Настроить EIGRP для использования одноадресного трафика вместо многоадресного.
Проверить конфигурацию Frame Relay и убедится, что многоадресный трафик не перенаправляется.
Давайте сначала сделаем unicast настройку EIGRP:
OFF1(config)#router eigrp 12
OFF1(config-router)#neighbor 192.168.12.2 serial 0/0
OFF2(config)#router eigrp 12
OFF2(config-router)#neighbor 192.168.12.1 serial 0/0
Нам нужна команда neighbor для конфигурации EIGRP. Как только вы введете эту команду и нажмете enter, вы увидите это:
Задача решена! Теперь давайте попробуем другое решение, где мы отправляем multicast трафик по PVC Frame Relay:
OFF1(config)#router eigrp 12
OFF1(config-router)#no neighbor 192.168.12.2 serial 0/0
OFF2(config)#router eigrp 12
OFF2(config-router)#no neighbor 192.168.12.1 serial 0/0
Если это не работает ... не исправляйте это... , но не в этот раз! Пришло время сбросить соседство EIGRP.
OFF1(config)#interface serial 0/0
OFF1(config-if)#frame-relay map ip 192.168.12.2 102 broadcast
OFF2(config)#interface serial 0/0
OFF2(config-if)#frame-relay map ip 192.168.12.1 201 broadcast
Broadcast - это ключевое волшебное слово здесь. Это разрешит широковещательный и многоадресный трафик.
После изменения конфигурации frame-relay map появляется соседство EIGRP! Это все, что нужно сделать.
Извлеченный урок: проверьте, поддерживает ли ваша сеть Frame Relay broadcast или нет. Настройте EIGRP для использования unicast передачи или измените конфигурацию Frame Relay для поддержки широковещательного трафика.
Продолжение цикла про поиск и устранение неисправностей протокола EIGRP можно почитать тут.
Все мы слышали об SSL. SSL – это то, благодаря чему процветают такие вещи, как E-commerce. SSL позволяет нам безопасно взаимодействовать с сайтами… но что нам делать, если нужно конфиденциально подключиться к другой сети, а не сайту? Здесь и пригодится IPSec.
Многие ИТ-специалисты и системные администраторы не до конца понимают IPSec. Конечно же, все мы знаем, что IPSec – это тип защищенной передачи данных, но какие приложения им пользуются? И как работает IPSec?
Давайте в этом разберемся. В данной статье мы обсудим, что такое IPSec, для чего используется, как работает и чем отличается от таких протоколов, как SSL и TLS.
Что такое IPSec?
IPSec – это метод безопасного и зашифрованного обмена данными между клиентом и сетью. Такое «сообщение» передается через общедоступные сети (Интернет). Чаще всего IPSec используется для VPN, а также подключения двух частных сетей.
Сам по себе IPsec не является протоколом. Это, скорее, набор протоколов, которые используются вместе. К таким протоколам относятся:
Authentication Header (Аутентификационный заголовок)
Encapsulating Security Protocol (Инкапсулирующий протокол безопасности)
Security Association (Ассоциация безопасности)
Internet Protocol (Интернет-протокол)
Как работает IPsec?
IPSec позволяет клиенту безопасно обмениваться данными с другой сетью. Необходимо отметить, что данный метод обычно не используется для взаимодействия между устройствами, а применяется для подключения ноутбука к частной сети через общедоступную сеть (по типу Интернета). Кроме того, IPsec может соединять две частные сети.
Обратите внимание, что мы не используем HTTP или TCP для передачи данных. Это потому, что в рамках модели OSI (модель открытого системного взаимодействия) IPSec проходит по уровню Layer 3 сети. То есть, в принципе, IPSec может оказаться безопаснее других методов защищенной передачи данных.
IPSec-соединения по-прежнему устанавливаются между клиентом и хостом через другие сети. И эти другие сети обычно являются общедоступными – как, например, Интернет. Поэтому все взаимодействия между клиентом и хостом зашифрованы. В любом случае, ключи шифрования не согласовываются с каждым новым подключением. До установки соединения и клиент, и хост должны знать закрытые ключи шифрования.
Это последнее предложение очень важное. Дело в том, что в ходе взаимодействия зашифровывается весь пакет данных, включая его заголовок.
Быть может, вы подумаете: чтобы правильно попасть в пункт назначения, пакеты должны иметь читабельные заголовки. И вы правы. Кстати, именно поэтому и используется Encapsulating Security Protocol (ESP). Для транспортировки ESP добавляет в пакет новую информацию о заголовке и конечном управляющем поле (или трейлере; он похож на заголовок, но располагается в конце пакета), тогда как настоящий заголовок остается зашифрованным.
Точно также происходит и аутентификация каждого пакета. Хост IPSec подтверждает, что каждый пакет полученных данных отправлялся тем объектом, который, как считает хост, и был отправителем. В противном случае этот пакет данных отклоняется.
Для чего используется IPSec?
IPSec используется для создания безопасного метода взаимодействия между клиентом и хостом. Клиентом может быть, например, ноутбук. Или же частная сеть. Хостом, как правило, тоже служит частная сеть.
Теперь мы знаем, как работает IPsec, и пора разобраться, для чего он используется? Что же означает предыдущий абзац?
Чаще всего IPSec используется для VPN. VPN – это виртуальная частная сеть. VPN позволяет клиенту подключаться к частной коммерческой сети через общедоступную сеть интернет (например, ноутбук сотрудника). Как только ноутбук подключился к частной коммерческой сети через VPN, то он как бы сам попадает в эту частную сеть – для всех целей и задач.
Иначе говоря, подключившись к коммерческой сети ноутбук получает доступ ко внутренним ИТ-ресурсам. Весь трафик этого ноутбука (входящий и исходящий) циркулирует через частную коммерческую сеть в интернет.
Соединения двух удаленных частных сетей можно настраивать через IPsec-подключения и VPN. Например, вы ведете свою деятельность в двух разных локациях (в Пенсильвании и Калифорнии). Как настроить подключение? Провести кабель не получится – офисы находятся слишком далеко друг от друга. Раньше таким компаниям приходилось оплачивать дорогую выделенную линию (по типу Т1 подключения). Но сейчас они могут обмениваться данными через открытый интернет с помощью IPsec-подключения.
Отличия между IPsec и TLS (или SSL)
IPsec-подключения и TLS (SSL)-подключения во многом похожи. Оба способа служат для безопасного и зашифрованного обмена данными. Оба протокола могут использовать общедоступные сети для взаимодействия и т.д. и т.п.
Но в то же время, IPsec и TLS/SSL во многом отличаются.
Например, IPsec-подключения являются частью уровня Layer 3 в модели OSI, тогда как TLS и SSL-подключения относятся к уровню Layer 7. Получается, что IPsec-подключения выполняются на базовом уровне соединений в модели OSI, тогда как TLS и SSL начинаются выше в стеке. Кроме того, работа TLS и SSL-соединений зависит от прикладного уровня (HTTP) и уровня 4 (TCP). То есть на этих уровнях они также подвержены эксплойтам, чего не скажешь о IPsec.
Еще одно важное отличие между IPsec и SSL или TSL заключается в том, как согласуются подключения. Поскольку TLS и SSL-подключения используют TCP, их типы безопасного подключения необходимо вначале согласовать. После этого клиент и хост дополнительно согласовывают ключ шифрования.
С IPSec все иначе. Передача данных зашифровывается сразу. Кроме того, секретный ключ для шифрования передается клиенту и хосту по отдельности – еще до попытки взаимодействия. Также его можно передавать через DNS (хорошо бы при помощи DNSsec). Метод, который используется для обмена ключами в IPsec, называется IKEv1 или IKEv2. Чаще всего сейчас пользуется IKEv2.
Это подводит нас к еще одной интересной детали. Поскольку IPsec-соединения зашифровываются сразу, тоже самое можно сделать и со всем заголовком IP-пакета. Но IP-пакетам по-прежнему нужен читабельный заголовок, чтобы попасть в правильное место. Для этих целей в зашифрованные пакеты IPsec добавляются дополнительные заголовки и трейлеры. То есть размеры MSS (Maximum segment size) и MTU (Maximum transmission unit) для каждого пакета изменяются. Сетевым администраторам необходимо предусмотреть эту разницу в своих сетях.
Заключение
В этой статье мы рассмотрели множество вопросов. Давайте быстро подведем итог. IPSec – это метод безопасного и зашифрованного обмена данными между клиентом и хостом. Клиентом может быть устройство (например ноутбук) или частная сеть. Хостом чаще всего бывает частная сеть.
Сам IPsec не является протоколом; это набор протоколов, которые используются вместе. Протоколы, которыми пользуется IPsec, начинаются на уровне Layer 3 модели OSI, что, возможно, делает IPsec безопаснее, чем TLS или SSL.
IPsec обычно используется для VPN, то также подходит для подключения двух частных сетей.
Жизнь системного администратора не проста. Поддержка систем, безопасность сетевого контура, решение проблем - уследить за всем сложно. Пользовательские пароли – важный нюанс и их, безусловно, нужно менять с определенной периодичностью.
В статье расскажем, как автоматически заставлять пользователей Linux сменить их пароли.
Срок действия паролей
Чтобы получить информацию о пользовательских паролях и о дате их окончания введите команду:
chage -l
Будет выведена следующая информация:
Когда пароль был последний раз изменен;
Дата окончания действия пароля;
Сколько дней осталось до окончания действия пароля;
Когда учетная запись пользователя будет закончена (можно, пожалуйста, далее мы будем говорить «заэкспайрится»?)
Минимальное количество дней между итерацией смены пароля;
Максимальное количество дней между итерацией смены пароля;
Заставляем пользователя менять пароль каждые 90 дней
Следующей командой вы можете поставить жесткое правило смены паролей:
sudo chage -M 90
Команду можно выполнить от root пользователя или от юзера с sudo правами. Проверить, что настройка установлена корректно, можно с помощью команды chage -l
Срок действия учетной записи
Представьте, у вас есть два юзера: Иван и Петр. И доступ им нужно организовать на 2 дня, с момента сегодняшней даты (сегодня echo rus_date("j F");). Получается, создаем им пользователей:
sudo adduser ivan
sudo adduser petr
Создаем пароли для них:
sudo passwd ivan
sudo passwd petr
Как мы уже сказали, Иван и Петр уезжают через 2 дня. Соответственно, делаем для них следующую конфигурацию:
sudo chage -E echo date("Y-m-d", strtotime("+2 days")); ivan
sudo chage -E echo date("Y-m-d", strtotime("+2 days")); petr
Если вы запустите команду chage -l , то увидите актуальную дату жизни аккаунта. Как только аккаунты Ивана и Петра заэкспайрятся, их можно будет удалить командой:
sudo chage -E -1 ivan
sudo chage -E -1 petr
Сколько времени на смену пароля?
Пароль Геннадия заэкспайрился (истек срок годности) в воскресение. Мы дадим Гене 5 дней, чтобы он зашел в свою учетную запись и сменил пароль. Если он этого не сделает, аккаунт будет заблокирован. Сделать это можно вот так:
sudo chage -I 5 gennady
Ну, а если Геннадий так и не сменит пароль и учетная запись заблокируется, удалить ее можно вот так:
sudo chage -I -1 gennady
Предупреждения для пользователей
Вы – адекватный человек. И наверняка хотите, чтобы ваши юзеры были уведомлены о смене пароля заранее. Например, чтобы Геннадий узнал, что через 7 дней истекает срок годности его пароля, дайте следующую команду:
sudo chage -W 7 gennady
Защищаемся от частой смены паролей
Вдруг в вашем штате завелся очень взволнованный безопасностью сотрудник, который меняет пароли каждый день? Такое. Чтобы сделать минимальное количество дней между сменой паролей в две недели (14 дней), можно указать следующую команду:
sudo chage -m 14 sergey
Сделали большой лимит и передумали? Не проблема – удалить ограничение в днях можно вот так:
sudo chage -m 0 sergey