По вашему запросу ничего не найдено :(
Убедитесь, что запрос написан правильно, или посмотрите другие
наши статьи:
Предыдущая статья про установление и прекращение TCP соединения.
Списки управления доступом IPv4 (ACL) дают сетевым инженерам возможность запрограммировать фильтр в маршрутизатор. Каждый маршрутизатор на каждом интерфейсе как для входящего, так и для исходящего направления может включать разные ACL с разными правилами. Правила каждого ACL сообщают маршрутизатору, какие пакеты отбрасывать, а какие пропускать.
В этой лекции обсуждаются основы списков ACL IPv4 и, в частности, один тип ACL IP: стандартные нумерованные списки ACL IP. Стандартные нумерованные списки ACL используют простую логику, сопоставление только по полю IP-адреса источника и используют стиль конфигурации, который ссылается на ACL с помощью номера. Эта лекция призвана помочь сначала изучить этот более простой тип ACL. Следующая лекция, по теме "Расширенные списки управления доступом IPv4", завершает обсуждение описанием других типов списков контроля доступа IP. В других типах ACL используются функции, основанные на концепциях, которые вы изучаете в этой лекции, но с большей сложностью и дополнительными параметрами конфигурации.
Основы Access Control Lists IPv4
Access Control Lists IPv4 (IP ACL) дают системным администраторам возможность идентифицировать различные типы пакетов. Для этого в настройках ACL перечислены значения, которые роутер может видеть в заголовках IP, TCP, UDP и других. Например, ACL может соответствовать пакетам с исходным IP-адресом 1.1.1.1 или пакетам, чей целевой IP-адрес является некоторым адресом в подсети 10.1.1.0/24, или пакетам с портом назначения TCP-порта 23 (Telnet).
Access Control Lists IPv4 выполняют множество функций в роутерах Cisco, чаще всего используются в качестве фильтра пакетов. Системные администраторы могут включить Access Control Lists на роутере, чтобы эти списки управления находились на пути пересылки пакетов, проходящих через роутер. После его включения маршрутизатор определяет, будет ли каждый IP-пакет отброшен или разрешен для продолжения, как если бы ACL не существовал.
Однако списки ACL можно использовать и для многих других функций IOS. Например, списки ACL могут использоваться для сопоставления пакетов для применения функций качества обслуживания (QoS). QoS позволяет роутеру предоставлять одним пакетам лучшее обслуживание, а другим - худшее. Например, пакеты, содержащие оцифрованный голос, должны иметь очень низкую задержку, чтобы списки ACL могли соответствовать голосовым пакетам, а логика QoS, в свою очередь, пересылает голосовые пакеты быстрее, чем пакеты данных.
В этом первом разделе представлены списки управления доступом IP, используемые для фильтрации пакетов, с упором на эти аспекты списков управления доступом: расположение и направление включения списков управления доступом, сопоставление пакетов путем проверки заголовков и выполнение действий после сопоставления пакета.
Места и направление деятельности ACL
Маршрутизаторы Cisco могут применять логику ACL к пакетам в точке, в которой IP-пакеты входят в интерфейс, или в точке, в которой они выходят из интерфейса. Другими словами, ACL связывается с интерфейсом и направлением потока пакетов (входящий или исходящий). То есть ACL может применяться для входящего трафика к роутеру до того, как маршрутизатор принимает решение о пересылке (маршрутизации), или для исходящего, после того как маршрутизатор примет решение о пересылке и определит выходной интерфейс для использования.
Стрелки на рис. 1 показывают места, в которых вы можете фильтровать пакеты, идущие слева направо в топологии. Например, представьте, что вы хотите разрешить отправку пакетов хостом A на сервер S1, но отклонить пакеты, отправленные хостом B на сервер S1. Каждая линия со стрелкой представляет местоположение и направление, в котором маршрутизатор может применить ACL, фильтруя пакеты, отправленные хостом B.
Четыре линии со стрелками на рисунке указывают местоположение и направление потоков с интерфейсов роутера, используемых для пересылки пакета от хоста B к серверу S1. В данном конкретном примере эти интерфейсы и направление являются входящими на интерфейсе F0/0 маршрутизатора R1, исходящими данными на интерфейсе S0/0/0 роутера R1, входящими данными на интерфейсе S0/0/1 роутера и исходящими данными на интерфейсе F0/0 роутера R2. Если, например, вы включили ACL на порту R2 F0/1 в любом направлении, этот ACL не сможет фильтровать пакет, отправленный с хоста B на сервер S1, потому что интерфейс R2 F0/1 не является частью маршрута от B к S1.
Короче говоря, для фильтрации пакета необходимо включить ACL на интерфейсе, который обрабатывает пакет, в том же направлении, в котором пакет проходит через этот интерфейс. Если этот параметр включен, маршрутизатор обрабатывает каждый входящий или исходящий IP-пакет, используя этот ACL. Например, если он включен на R1 для пакетов, входящих на интерфейс F0/0, R1 будет сравнивать каждый входящий IP-пакет на F0/0 с ACL, чтобы решить судьбу этого пакета: продолжать без изменений или отбрасывать.
Следующая статья про соответствие пакетов в IP ACL.
Планировщик распределенных ресурсов VMware (VMware DRS) — это система, которая позволяет автоматически сбалансировать виртуальные машины (ВМ) в кластерной среде VMware vSphere. В этой статье мы рассмотрим некоторые советы и рекомендации по планированию, настройке и использованию vSphere DRS.
Сбалансированный кластер обозначает то, что ваши хосты в кластере будут одинаково (или почти) распределены. Если ваш кластер не сбалансирован, ваши ВМ будут автоматически перенесены с помощью vMotion на хосты с минимальным использованием ресурсов. Например, если в вашей среде есть DRS, вы не будете видеть, что один хост используется на 99%, а другой на 50%.
DRS заботится о балансировке ВМ с помощью vMotion.
В этой статье мы дадим вам несколько советов, которые позволят получить максимальную отдачу от VMware DRS и сделать эту технологию оправдывающей вложения.
VMware DRS не является частью vSphere Standard и входит только в версии Enterprise Plus или Platinum. Всегда возникает вопрос, стоит ли переходить на версию vSphere с DRS. Если бы у меня была возможность выбора, я бы предпочел лицензионный вариант VMware DRS.
Чтобы дать вам представление о том, что нужно, давайте начнем с основ. Для VMware vSphere Distributed Resources Scheduler (DRS) требуется следующее:
VMware vCenter Server
Кластер VMware vSphere ESXi
Включенная сеть vMotion на хостах кластера
Лицензия Enterprise Plus (или выше)
Общее хранилище между хостами ESXi (традиционное или гиперконвергентное через VMware VSAN)
При использовании Predictive DRS вам также будет нужно запустить лицензированный vRealize Operations Manager (vROPs).
Советы и хитрости VMware DRS
Используйте однородное оборудование.
Первый совет касается оборудования при формировании кластеров. Основное правило VMware - выбирать хосты с одинаковым или похожим оборудованием.
Для этого есть причина. Решая, какие хосты группировать в кластеры DRS, попытайтесь выбрать те, которые являются максимально однородными с точки зрения процессора и памяти. Это улучшает предсказуемость и стабильность производительности.
Скорость DRS и снижение использования ресурсов.
Обновитесь до последней версии vSphere. Последняя vSphere, 6.7, гораздо более эффективна, когда речь идет о скорости DRS и использовании ресурсов.
Несмотря на то, что сама скорость vMotion не может быть выше, поскольку она зависит от базовой архитектуры сети и хранилища, VMware оптимизирует скорость принятия решений до того, как произойдет vMotion.
Фактически, они достигли в 2-3 раза более быстрого принятия решений в vSphere 6.7. Одним из улучшений стало упрощенное начальное размещение, которое теперь не делает снимок всей среды, а просто использует непрерывный мониторинг, позволяя сохранять 1-2 секунды перед принятием каждого решения.
Это особенно ценно в средах с высокой степенью затрат, где вы сможете увидеть снижение потребления ресурсов из-за улучшений DRS и уменьшенной задержки при создании VMotions для балансировки нагрузки. Также вы увидите быстрое начальное размещение ВМ.
Используйте полностью автоматический режим.
Уровень автоматизации DRS может быть установлен на ручной, частично автоматический или полностью автоматический. Какая разница? Давайте объясним:
Вручную — vCenter будет рекомендовать только перемещение ресурсов.
Частично автоматизировано — после того, как вы создадите ВМ и включите ее, vCenter автоматически разместить виртуальную машину на более подходящем хосте, чтобы поддерживать баланс кластера. После включения ВМ vCenter представит рекомендации по переходу с учетом использования процессора и памяти. Администратор vSphere должен одобрить переход.
Полностью автоматизированный — vCenter контролирует начальное размещение и переход виртуальных машин. Всё полностью автоматически, и администратор не видит сообщений, касающихся рекомендаций. Никакое решение от администратора не нужно, чтобы держать кластер сбалансированным.
По умолчанию, когда вы включаете DRS в кластере, уровень автоматизации, выбранный на уровне кластера, будет применён ко всем ВМ, которые находятся в этом кластере. Однако вы можете создать отдельные правила для виртуальных машин, которые необходимо разделить (или хранить вместе).
Порог миграции
Эта опция позволяет вам установить порог, который при ударе заставляет DRS срабатывать и перемещать виртуальные машины, чтобы достичь идеально сбалансированного состояния. Поскольку производительность каждой ВМ варьируется, процессор и использование памяти хоста также различаются.
Вы можете переместить ползунок порога, чтобы использовать одну из пяти настроек, от консервативных до активных. Пять параметров миграции генерируют рекомендации на основе назначенного им уровня приоритета.При перемещении ползунка вправо каждый параметр позволяет включить один из более низких уровней приоритета. Консервативный параметр генерирует только рекомендации с приоритетом один (обязательные рекомендации), следующий уровень справа генерирует рекомендации с приоритетом два и выше и т. д. до уровня активный, который генерирует рекомендации с приоритетом пять и выше (то есть все рекомендации).
Для этого выберите «Кластер» -> «Настроить» -> «vSphere DRS» -> «Редактировать». Ползунок позволяет перейти от консервативного (слева) к активному (правому) положению.
Вы должны определить, насколько активно или консервативно вы хотите запустить DRS. Я обычно держу его на середине, потому что, если вы слишком активны, скорее всего, будете слишком часто перемещать свои виртуальные машины. И помните, что при каждом перемещении вы создаете нагрузку на базовую инфраструктуру, такую как хранилище или загрузка ЦП. Это связано с тем, что операции копирования во время vMotion могут насыщать сетевые ссылки, и, если у вас нет 10 Гб (или более), операции vMotion будут бесконечными.
Если вы оставите настройку слишком низкой (слишком консервативной), ваши виртуальные машины не будут достаточно двигаться, и дисбаланс вашего кластера будет расти или будет происходить чаще, без исправления.
Выключите виртуальные машины, которые вы не используете
Оставьте включенными только те ВМ, которые вам действительно нужны. Виртуальные машины с включенным питанием потребляют ресурсы памяти и некоторые ресурсы ЦП даже в режиме ожидания.
Даже неиспользуемые виртуальные машины с их малым пользованием ресурсов могут повлиять на решения DRS. Вы можете получить небольшое увеличение производительности, выключив или приостановив ВМ, которые не используются.
Правила соответствия DRS.
Правила соответствия DRS могут хранить две или более ВМ на одном хосте ESXi («соответствие VM / VM»), или с другой стороны, они могут быть уверены, что они всегда находятся на разных хостах («несоответствие VM / VM»). Правила соответствия DRS также можно использовать, чтобы убедиться, что группа виртуальных машин работает только на определенных хостах ESXi («соответствие VM / Хост») или никогда не запускается на определенных хостах («несоответствие VM / Хост»)
Зачастую лучше оставить настройки соответствия без изменений. Однако в некоторых конкретных и редких случаях указание правил соответствия может повысить производительность.
Чтобы изменить настройки соответствия: Выберите кластер -> Настроить -> Правила виртуальной машины/хоста -> Добавить, введите имя для нового правила, выберите тип правила и перейдите через GUI в соответствии с выбранным типом правила.
Помимо настроек по умолчанию, типами настроек соответствия являются:
Хранение виртуальных машин вместе— этот тип соответствия может повысить производительность благодаря меньшим задержкам связи между машинами.
Разделение виртуальных машин — этот тип соответствия может поддерживать максимальную доступность ВМ. Например, если они являются интерфейсными веб-серверами для одного и того же приложения, вы можете убедиться, что на них не повлияет сбой сервера (если это произойдет). Таким образом, эти две виртуальные машины не будут отключены одновременно. Это также позволит разделить два контроллера домена на двух разных хостах, чтобы пользователи могли проходить аутентификацию и получать доступ к ресурсам.
ВМ к хостам — этот тип соответствия может быть полезен для кластеров с ограничениями лицензирования программного обеспечения или конкретными требованиями зоны доступности.
Финальные заметки
Как видите, VMware vSphere DRS является адаптивным для многих сценариев. Настройки по умолчанию будут сразу работать , но у вас есть много вариантов, чтобы адаптировать его к вашей среде, если это необходимо.
При понимании ваших рабочих процессов и требований, вы сможете настроить vSphere DRS, чтобы получить максимальную производительность и максимальную выгоду от вашей виртуальной инфраструктуры.
Десятая часть тут.
Вы входите в комнату и кричите: «Игорь!» Ваш коллега Игорь оборачивается и начинает разговор о будущем IT-индустрии. Эта способность использовать один носитель (воздух, по которому движется ваш голос) для обращения к одному человеку, даже если многие другие люди используют этот же носитель для других разговоров в одно и то же время, в сетевой инженерии называется мультиплексированием. Более формально:
Мультиплексирование используется, чтобы позволить нескольким объектам, подключенным к сети, обмениваться данными через общую сеть.
Почему здесь используется слово объекты, а не хосты? Возвращаясь к примеру «разговор с Игорем", представьте себе, что единственный способ общения с Игорем — это общение с его ребенком-подростком, который только пишет (никогда не говорит). На самом деле Игорь-член семьи из нескольких сотен или нескольких тысяч человек, и все коммуникации для всей этой семьи должны проходить через этого одного подростка, и каждый человек в семье имеет несколько разговоров, идущих одновременно, иногда на разные темы с одним и тем же человеком. Бедный подросток должен писать очень быстро, и держать много информации в голове, например: "Игорь имеет четыре разговора с Леной", и должен держать информацию в каждом разговоре совершенно отдельно друг от друга. Это ближе к тому, как на самом деле работает сетевое мультиплексирование- рассмотрим:
К одной сети могут быть подключены миллионы (или миллиарды) хостов, и все они используют одну и ту же физическую сеть для связи друг с другом.
Каждый из этих хостов на самом деле содержит много приложений, возможно, несколько сотен, каждое из которых может связываться с любым из сотен приложений на любом другом хосте, подключенном к сети.
Каждое из этих приложений может фактически иметь несколько разговоров с любым другим приложением, запущенным на любом другом хосте в сети.
Если это начинает казаться сложным, то это потому, что так оно и есть. Вопрос, на который должен ответить эта лекция, заключается в следующем:
Как эффективно мультиплексировать хосты через компьютерную сеть?
Далее рассматриваются наиболее часто используемые решения в этом пространстве, а также некоторые интересные проблемы, связанные с этой основной проблемой, такие как multicast и anycast.
Адресация устройств и приложений
Компьютерные сети используют ряд иерархически расположенных адресов для решения этих проблем. Рисунок 1 иллюстрирует это. На рисунке 1 показаны четыре уровня адресации:
На уровне физического канала существуют адреса интерфейсов, которые позволяют двум устройствам обращаться к конкретному устройству индивидуально.
На уровне хоста существуют адреса хостов, которые позволяют двум хостам напрямую обращаться к конкретному хосту.
На уровне процесса существуют номера портов, которые в сочетании с адресом хоста позволяют двум процессам обращаться к конкретному процессу на конкретном устройстве.
На уровне диалога (разговора) набор порта источника, порта назначения, адреса источника и адреса назначения может быть объединен, чтобы однозначно идентифицировать конкретный разговор или поток.
Эта схема и объяснение кажутся очень простыми. В реальной жизни все гораздо запутаннее. В наиболее широко развернутой схеме адресации - интернет-протоколе IP отсутствуют адреса уровня хоста. Вместо этого существуют логические и физические адреса на основе каждого интерфейса.
Идентификаторы (адреса) мультиплексирования и мультиплексирование иерархически расположены друг над другом в сети.
Однако есть некоторые ситуации, в которых вы хотите отправить трафик более чем на один хост одновременно. Для этих ситуаций существуют multicast и anycast. Эти два специальных вида адресации будут рассмотрены в следующих лекциях.
О физических каналах, Broadcasts, и Failure Domains
Простая модель, показанная на рисунке 1, становится более сложной, если принять во внимание концепцию широковещательных доменов и физического подключения. Некоторые типы мультимедиа (в частности, Ethernet) разработаны таким образом, что каждое устройство, подключенное к одной и той же физической линии связи, получает каждый пакет, передаваемый на физический носитель—хосты просто игнорируют пакеты, не адресованные одному из адресов, связанных с физическим интерфейсом, подключенным к физическому проводу. В современных сетях, однако, физическая проводка Ethernet редко позволяет каждому устройству принимать пакеты любого другого устройства. Вместо этого в центре сети есть коммутатор, который блокирует передачу пакетов, не предназначенных для конкретного устройства, по физическому проводу, подключенному к этому хосту.
В этих протоколах, однако, есть явные адреса, отведенные для пакетов, которые должны передаваться каждому хосту, который обычно получал бы каждый пакет, если бы не было коммутатора, или что каждый хост должен был получать и обрабатывать (обычно это некоторая форма версия адреса все 1 или все 0). Это называется трансляцией (broadcasts). Любое устройство, которое будет принимать и обрабатывать широковещательную рассылку, отправленную устройством, называется частью широковещательной рассылки устройства. Концепция широковещательного домена традиционно тесно связана с областью сбоев, поскольку сбои в сети, влияющие на одно устройство в широковещательном домене, часто влияют на каждое устройство в широковещательном домене.
Не удивляйтесь, если вы найдете все это довольно запутанным, потому что на самом деле это довольно запутанно. Основные понятия широковещания и широковещательных доменов все еще существуют и по-прежнему важны для понимания функционирования сети, но значение этого термина может измениться или даже не применяться в некоторых ситуациях. Будьте осторожны при рассмотрении любой ситуации, чтобы убедиться, что вы действительно понимаете, как, где и, что такие широковещательные домены действительно существуют, и как конкретные технологии влияют на отношения между физической связью, адресацией и широковещательными доменами.