По вашему запросу ничего не найдено :(
Убедитесь, что запрос написан правильно, или посмотрите другие
наши статьи:
Настройка OSPF (Open Shortest Path First) довольна проста и чем-то похожа на протоколы маршрутизации RIP и EIGRP, то есть состоит из двух основных шагов:
включения протокола глобальной командой router ospf PROCESS_NUMBER;
выбора сетей, которые протокол будет «вещать», для чего используется команда(ы) network 255.255.255.255 0.0.0.255 AREA_NUMBER;
Как сразу заметно, в OSPF появляется указание «зоны» - area. Первая команда включения говорит сама за себя, но поясним про PROCESS_NUMBER и AREA_NUMBER – это номер процесса и номер зоны соответственно. Для установления соседства номер процесса OSPF не должен быть одинаковым, но обязательно должен совпадать номер зоны. Интерфейсы и сети указываем через обратную маску.
Видео: протокол OSPF (Open Shortest Path First) за 8 минут
Пример настройки OSPF
В нашей топологии у маршрутизаторов R1 и R2 есть напрямую подключенные подсети.
Нам нужно включить данные подсети в процесс динамической маршрутизации OSPF. Для этого нам сначала нужно включить OSPF на обоих маршрутизаторах и затем «вещать» данные сети с помощью команды network. На маршрутизаторах переходим в глобальный режим конфигурации и вводим следующие команды, в соответствии с нашей схемой:
router ospf 1
network 10.0.1.0 0.0.0.255 area 0
network 172.16.0.0 0.0.255.255 area 0
router ospf 1
network 192.168.0.0 0.0.0.255 area 0
network 172.16.0.0 0.0.255.255 area 0
Далее нам нужно проверить, заработала ли динамическая маршрутизация, и для этого используем команды show ip ospf neighbors и show ip route
Вот и все – также просто, как и настроить RIP: главное не забывать указывать одинаковый номер автономной системы. Первая команда должна показать «соседа» - на обоих маршрутизаторах убедитесь, что там указан адрес другого маршрутизатора в выводе данной команды. Вторая команда выведет таблицу маршрутизации, и, маршруты, получаемые по OSPF, будут отмечены буквой O.
Второй сценарий настройки OSPF
По первому примеру видно, что настройка OSPF довольна проста. Однако, этот протокол маршрутизации имеет довольно много разнообразных фич, которые сильно усложняют процесс настройки, но и делают OSPF очень гибким протоколом. В нашем примере мы настроим мультизонный (multiarea) OSPF с некоторыми дополнительными функциями.
В нашем примере у нас есть две зоны OSPF, area 0 и area 1. Как видно на схеме, маршрутизаторы R1 и R2 находятся в зоне 0, и R2 и R3 в зоне 1. Так как R2 соединяет две зоны, он становится ABR – Area Border Router (граничным маршрутизатором). Нашей задачей является вещание подсетей, напрямую подключенных к R1 и R3. Для этого, на R1 введем следующую команду:
router ospf 1
network 10.0.1.0 0.0.0.255 area 0
network 172.16.0.0 0.0.255.255 area 0
router-id 1.1.1.1
Мы вручную указали идентификатор маршрутизатора, и теперь процесс OSPF будет использовать данный RID при общении с другими OSPF соседями.
Так как R1 подключен только к R2, нам необходимо установить соседство с R2 и вещать напрямую подключенные сети через OSPF. Настройки на R3 выглядят такими же, как на R1, но с другим номером зоны.
router ospf 1
network 192.168.0.0 0.0.0.255 area 1
network 90.10.0.0 0.0.0.255 area 1
router-id 3.3.3.3
Теперь перейдем к настройке R2 – так как он является граничным маршрутизатором, необходимо установить соседство и с R1 и с R3. Для этого, нам необходимо настроить отдельное соседство для каждой зоны – 0 для R1 и 1 для R2.
router ospf 1
network 172.16.0.0 0.0.255.255 area 0
network 192.168.0.0 0.0.0.255 area 1
router-id 2.2.2.2
Для проверки используем команды show ip ospf neighbor и show ip route ospf на маршрутизаторах R1 и R3. Буквы IA означают, что данные маршруты находятся в разных зонах.
Так как R1 и R3 находятся в разных зонах, между ними никогда будет соседства.
Маленькая, но полезная заметка. Однажда, в один прекрасный день у нас перестала работать подмапленная в web - доступ директория (смонтирована она была через /etc/fstab). Браузер возвращал 403 Forbidden Error. Не долго думая, смотрим, что происходит в логах при обращении к web. В режиме реального времени можно посмотреть командой:
tail -f /var/log/httpd/error_log
Итак, у нас там было следующее:
AH01276: Cannot serve directory /var/www/html/merion_directory/: No matching DirectoryIndex (index.html,index.php) found, and server-generated directory index forbidden by Options directive
Хм. Дело в том, что у нас там просто выводится список папок, по файлам. Следовательно, сервак просто не может отрисовать эту структуру. Погнали исправлять
Воркэраунд
Лезем в конфигурационный файл нашего Apache:
vim /etc/httpd/conf/httpd.conf
И в общей области, где идут настройки директорий добавляем следующее:
<Directory "/var/www/html/merion_directory">
Options Indexes FollowSymLinks
</Directory>
Где merion_directory - ваша директория в корне веб - сервера /var/www/html/, при обращении к которой вы получаете 403. Конфигурация проста - мы просто говорим апачу, что у нас там каталог файлов и его нужно "отрисовать" даже несмотря на то, что у нас там нет никаких index.html или index.php. По окончанию настройки ребуетаем Apache:
service httpd restart
Или через systemctl. Ребутаем браузер (Ctrl + F5). Профит!
Привет, друг! Ты, наверное, слышал аббревиатуру DPI. А как это расшифровывается и что это вообще такое? Это сейчас и узнаем.
Что такое DPI?
Deep Packet Inspection (DPI) - это продвинутый метод проверки и управления сетевым трафиком. DPI представляет собой форму фильтрации пакетов, которая обнаруживает, идентифицирует, классифицирует, перенаправляет или блокирует пакеты с конкретными данными или полезной нагрузкой, которые обычная фильтрация пакетов (которая проверяет только заголовки пакетов) не может обнаружить.
Обычно функции глубокой проверки пакетов работают на уровне приложений (Application) модели OSI, в то время как традиционная фильтрация пакетов только сообщает информацию заголовка каждого пакета. Другими словами, традиционная фильтрация пакетов была похожа на чтение названия книги без осознания или оценки содержимого внутри.
Как работает DPI?
DPI проверяет содержимое пакетов, проходящих через заданную точку, и принимает решения в режиме реального времени на основе правил, назначенных компанией, провайдером или сетевым администратором, в зависимости от того, что содержит пакет. До недавнего времени фаерволы не обладали вычислительной мощностью, необходимой для более глубоких проверок больших объемов трафика в режиме реального времени.
Глубокая проверка пакетов может проверить содержимое сообщений и определить конкретное приложение или службу, из которой оно поступает. Кроме того, фильтры могут быть запрограммированы для поиска и перенаправления сетевого трафика из определенного диапазона адресов Интернет-протокола (IP) или определенной онлайн-службы, например, такой как Facebook.
Как используется DPI?
Глубокая проверка пакетов также может использоваться в управлении сетью для оптимизации потока сетевого трафика. Например, сообщение, помеченное как высокоприоритетное, может быть направлено к месту назначения раньше менее важных или низкоприоритетных сообщений, или пакетов, участвующих в случайном просмотре Интернета. DPI также может использоваться для регулирования передачи данных, чтобы предотвратить злоупотребление p2p, что улучшает производительность сети.
Также DPI используется для предотвращения проникновения в вашу корпоративную сеть червей, шпионских программ и вирусов. Кроме того, DPI также можно использовать для расширения возможностей интернет провайдеров по предотвращению использования IoT-устройств при DDOS-атаках путем блокирования вредоносных запросов от устройств. Глубокая проверка пакетов также может предотвратить некоторые типы атак переполнения буфера.
Наконец, глубокая проверка пакетов может помочь вам предотвратить утечку информации, например, при отправке конфиденциального файла по электронной почте. Вместо того, чтобы успешно отправить файл, пользователь вместо этого получит информацию о том, как получить необходимое разрешение и разрешение на его отправку.
Техники DPI
Два основных типа продуктов используют глубокую проверку пакетов: межсетевые экраны, в которых реализованы такие функции IDS (Intrusion Detection System – система обнаружения вторжений), как проверка содержимого, и системы IDS, которые нацелены на защиту сети, а не только на обнаружение атак. Некоторые из основных методов, используемых для глубокой проверки пакетов, включают в себя:
Сопоставление шаблонов или сигнатур (Pattern or signature matching) - Один из подходов к использованию фаерволов, которые используют функции IDS, анализирует каждый пакет на основе базы данных известных сетевых атак. Недостатком этого подхода является то, что он эффективен только для известных атак, а не для атак, которые еще предстоит обнаружить.
Аномалия протокола (Protocol anomaly) - Другой подход к использованию фаерволов с функциями IDS, аномалия протокола использует подход «запрет по умолчанию», который является ключевым принципом безопасности. В этой технике используются определения протокола (protocol definitions), для того чтобы определить, какой контент должен быть разрешен. Основным преимуществом этого подхода является то, что он обеспечивает защиту от неизвестных атак.
Решения IPS - Некоторые решения IPS (Intrusion Prevention System – система предотвращения вторжений) используют технологии DPI. Эти решения имеют функции, аналогичные встроенным IDS, хотя они могут блокировать обнаруженные атаки в режиме реального времени. Одной из самых больших проблем при использовании этого метода является риск ложных срабатываний, который может быть смягчен до некоторой степени, путем создания консервативной политики.
Существуют некоторые ограничения для этих и других методов DPI, хотя поставщики предлагают решения, направленные на устранение практических и архитектурных проблем различными способами. Кроме того, решения DPI теперь предлагают ряд других дополнительных технологий, таких как VPN, анализ вредоносных программ, антиспам-фильтрация, фильтрация URL-адресов и другие технологии, обеспечивающие более комплексную защиту сети.
Недостатки DPI
Ни одна технология не является идеальной, и DPI не является исключением. У нее есть несколько слабых сторон:
Глубокая проверка пакетов очень эффективна для предотвращения таких атак, как атаки типа «отказ в обслуживании», атаки с переполнением буфера и даже некоторых форм вредоносных программ. Но это также может быть использовано для создания подобных атак.
Глубокая проверка пакетов может сделать ваш текущий фаервол и другое программное обеспечение безопасности, которое вы используете, более сложным в управлении. Вы должны быть уверены, что вы постоянно обновляете и пересматриваете политики глубокой проверки пакетов, чтобы обеспечить постоянную эффективность.
Глубокая проверка пакетов может замедлить работу вашей сети, выделив ресурсы для фаервола, чтобы он мог справиться с нагрузкой обработки.
Помимо проблем конфиденциальности и внутренних ограничений глубокой проверки пакетов, некоторые проблемы возникли из-за использования сертификатов HTTPS и даже VPN с туннелированием. Некоторые фаерволы теперь предлагают проверки HTTPS, которые расшифровывают трафик, защищенный HTTPS, и определяют, разрешено ли пропускать контент.
Тем не менее, глубокая проверка пакетов продолжает оставаться ценной практикой для многих целей, начиная от управления производительностью и заканчивая аналитикой сети, экспертизой и безопасностью предприятия.