По вашему запросу ничего не найдено :(
Убедитесь, что запрос написан правильно, или посмотрите другие
наши статьи:
В этой статье мы расскажем как настроить LACP (Link Aggregation Control Protocol) И PAgP (Port Aggregation Protocol), которые носят гордое название EtherChannels - агрегирование каналов.
На самом деле EtherChannel это технология агрегации (объединения) каналов. Это означает, что мы можем объединить несколько линков в один логический, что позволит увеличить пропускную способность между коммутаторами.
Пример использования
Взглянем на схему ниже:
В рамках данной схемы мы имеем серверную инфраструктуру, которая подключена в коммутатору распределения (distribution switch) через свой коммутатор. За коммутатором распределения сидят коммутаторы доступы, за которым расположились пользовательские рабочие станции:
Если мы подключим два коммутатор линком в 1ГБ/сек, то потенциально, мы можем столкнуться с проблемой «бутылочного горлышка», то есть узкого места. Тогда пользователи испытают проблемы с доступом к серверной ферме.
Используя технологию EtherChannel, мы можем объединить до 8 интерфейсов (физических) в один логический линк (агрегация портов, Port-Channel) и трафик будет распределяться между физическими портами равномерно (балансируя нагрузку).
В нашем примере мы объединили 4 (четыре) гигабитных линка между рабочими станциями и серверами в один, с пропускной способностью 4ГБ/сек. Это увеличило общую пропускную способность и добавило отказоустойчивость линков!
Не забывайте про STP (Spanning-tree protocol). В случае агрегации портов, мы исключаем STP петли.
Режимы EtherChannel
Каждый из протоколов LACP или PAgP имеет по 3 режима работы, которые определяют режим его активности (инициализировать ли построение агрегации со своей стороны, или ждать сигнал с удаленной стороны):
LACP Modes: ON, ACTIVE, PASSIVE;
PAgP Modes: ON, DESIRABLE, AUTO;
Давайте посмотрим, в каком из случае будет установлено соединение EtherChannel при различных режимах настройки. Для LACP:
Коммутатор №1
Коммутатор №2
Установится ли EtherChannel?
ON
ON
Да
ACTIVE
ACTIVE/PASSIVE
Да
ON/ACTIVE/PASSIVE
Not configured (off)
Нет
ON
ACTIVE
Нет
PASSIVE/ON
PASSIVE
Нет
Теперь разберемся с PAgP:
Коммутатор №1
Коммутатор №2
Установится ли EtherChannel?
ON
ON
Да
DESIRABLE
DESIRABLE/AUTO
Да
ON/DESIRABLE/AUTO
Not configured (off)
Нет
ON
DESIRABLE
Нет
AUTO / ON
AUTO
Нет
Настройка
Ок, предположим, что порты с Gi0/0 по Gi0/3 буду использованы для агрегации EtherChannel. Лучше всего настроить логический интерфейс (агрегированный) в качестве транка, чтобы пропускать VLAN между коммутаторами.
Поднимаем LACP
В нашем случае switch1 будет активном (Active) режиме, а switch2 будет в пассивном (Passive) режиме.
switch1(config)# interface range Gi0/0 -3 // выбираем диапазон из 4х интерфейсов;
switch1(config-if-range)# channel-protocol lacp // указываем протокол как LACP;
switch1(config-if-range)# channel-group 1 mode active // указываем активный режим;
switch1(config-if-range)# exit
switch1(config)# interface port-channel 1 // конфигурируем логическую сущность как транк;
switch1(config-if)#switchport trunk encapsulation dot1q
switch1(config-if)#switchport mode trunk
switch2(config)# interface range Gi0/0 – 3 // выбираем диапазон из 4х интерфейсов;
switch2(config-if-range)# channel-protocol lacp // указываем протокол как LACP;
switch2(config-if-range)# channel-group 1 mode passive // указываем пассивный режим;
switch2(config-if-range)# exit
switch2(config)# interface port-channel 1 // конфигурируем логическую сущность как транк;
switch2(config-if)#switchport trunk encapsulation dot1q
switch2(config-if)#switchport mode trunk
Поднимаем PAgP
В этом случае switch1 будет Desirable - режиме, а switch2 будет в автоматическом (Auto) режиме.
switch1(config)# interface range Gi0/0 -3 // выбираем диапазон из 4х интерфейсов;
switch1(config-if-range)# channel-group 1 mode desirable // указываем desirable режим;
switch1(config-if-range)# exit
switch1(config)# interface port-channel 1 // конфигурируем логическую сущность как транк;
switch1(config-if)#switchport trunk encapsulation dot1q
switch1(config-if)#switchport mode trunk
switch2(config)# interface range Gi0/0 – 3 // выбираем диапазон из 4х интерфейсов;
switch2(config-if-range)# channel-group 1 mode auto // указываем автоматический режим;
switch2(config-if-range)# exit
switch2(config)# interface port-channel 1 // конфигурируем логическую сущность как транк;
switch2(config-if)#switchport trunk encapsulation dot1q
switch2(config-if)#switchport mode trunk
Полезные команды
Вот некоторые команды, которые могут понадобиться вам в работе с EtherChannel:
show etherchannel summary
show etherchannel 1 port-channel
show interfaces etherchannel
VMware является лидером в области технологий виртуализации и облачных вычислений и предоставляет решения для виртуализации сетей и настольных ПК. VMware изменила мир технологий с физического на виртуальный на основе программного обеспечения.
Благодаря внедрению виртуальной среды для консолидации аппаратной инфраструктуры на рынке день ото дня растёт необходимость в профильных экспертах. Для управления и обслуживания бизнеса организации требуется опытный персонал. Для выбора лучших талантов на рынке проводятся несколько технических собеседований.
Ниже приведены некоторые основанные на сценариях вопросы и ответы опытных ИТ-администраторов (опыт работы до 5 лет) по технологии виртуализации центров обработки данных, которые могут быть использованы для оценки технических и практических знаний кандидата.
1. Администратор хочет подключить к ESXi хосту непосредственно с веб-клиента vSphere. Какие порты нужно открыть?
Обычно веб-клиент vSphere используется для подключения к серверу vCenter, а VClient - для подключения к хостам ESXi. Но vSphere Web Client также может использоваться для подключения к хостам. Для этого потребуется открыть порты TCP 443, TCP и UDP 902, а также TCP 903, которые должны быть открыты из Security Profile.
2. Неверное время на хосте ESXi 6.x. Что должен сделать администратор для устранения этой проблемы?
Чтобы исправить время на хосте ESXi, нужно изменить время хоста с помощью клиента vSphere и подправить настройки NTP в файле /etc/ntp.conf.
3. Администратор хочет завершить работу хоста ESXi. Какой параметр должен использоваться в Direct Console User Interface (DCUI) для выполнения этой задачи?
Для завершения работы хоста из консоли (DCUI) администратор нажимает клавишу F12.
4. Администратор подключается к хосту ESXi через vCenter Server с помощью веб-клиента vSphere, но напрямую через VClient не может. Что он должен сделать для прямого доступа к хосту ESXi?
Если хост ESXi, доступен через vSphere Web Client, и не доступен напрямую, следует проверить не включена ли блокировка (Lockdown). Если включена, нужно его отключить. Поскольку при включённой функция блокировки доступ к хостам ESXi возможен только через сервер vCenter; получить прямой доступ ни к одному хосту невозможно.
5. Администратор хочет использовать центр сертификации VMware (VMCA) в качестве промежуточного центра сертификации (Intermediate CA). Он уже заменил корневой сертификат и сертификаты машин (Intermediate CA). Что ему делать дальше?
После замены корневого сертификата и сертификата машины (Intermediate CA) необходимо выполнить следующие два шага:
Замена Solution User Certificate (Intermediate CA)
Замена сертификата службы каталогов VMware.
6. Если на хосте ESXi включен режим строгой блокировки, какое действие должен выполнить администратор, чтобы пользователям с правами администратора разрешить доступ к оболочке ESXi или SSH?
Администратор должен добавить пользователей в список исключений и включить службу, чтобы разрешить доступ к оболочке ESXi или SSH.
7. SSO является важным компонентом сервера vCenter. Какой компонент SSO выдает токены SAML (Security Assertion Markup Language)?
Токены SAML предоставляет компонент VMware Security Token Service службы SSO.
8. Какой допустимый источник удостоверений используется для настройки SSO vCenter?
Допустимым источником удостоверений для настройки vCenter SSO является OpenLDAP.
9. Что происходит с файлами в общем хранилище при удалении библиотеки компонентов?
При удалении библиотеки компонентов все хранящиеся в ней файлы будут удалены.
10. Какое максимальное количество процессоров vCPU может быть выделено для виртуальной машины в vSphere 6.0?
Для виртуальной машины vSphere 6.0 может быть выделено не более 128 vCPU.
11. Пользователь домена Windows может войти в систему vSphere с помощью веб-клиента vSphere. Каковы требования к доступности и функциональности этой функции?
Администратор может разрешить пользователям входить в vSphere Web Client используя сеанс Windows. Для этого нужно установить подключаемый модуль браузера vSphere Web Client Integration на каждом компьютере, с которого будет выполняться вход пользователя. Пользователи должны войти в Windows с помощью учетных записей Active Directory. Кроме того, администратор должен создать допустимый источник удостоверений SSO для домена пользователей.
12. Администратор хочет клонировать виртуальную машину с помощью клиента vSphere. Чем можно объяснить отсутствие опции Clone в контекстном меню?
Клонирование виртуальной машины может быть выполнена с сервера vCenter, к которому подключены через веб-клиент vSphere или VClient. При прямом подключении к хосту ESXi клонирование виртуальной машины невозможно.
13. Что произойдет, если файл .nvram будет случайно удален из виртуальной машины?
NVRAM-файл используется для сохранения состояния BIOS виртуальной машины. Если он будет удален по какой-либо причине, то файл .nvram будет создан снова при включении виртуальной машины.
14. Администратор хочет подключиться к хосту ESXi 6.x через клиент vSphere 5.5. Что произойдет?
Если администратор попытается подключиться к хосту ESXi 6.x с клиента vSphere 5.5, система предложит администратору запустить скрипт для обновления клиента vSphere.
15. Какой из дополнительных частных сетей VLAN (PVLAN) может отправлять пакеты в изолированную сеть PVLAN?
Неразборчивый тип PVLAN может передавать пакеты в изолированную PVLAN.
16. При установке vCenter какие роли предлагаются по умолчанию?
При установке vCenter предлагаются роли пользователя виртуальной машины и администратора сети.
17. Что произойдет, если для программного хранилища FCoE произойдет ошибка отказа всех путей (APD)?
Если все пути находятся в нерабочем состоянии, на сетевых портах активируется протокол связующего дерева.
18. Какие методы доступны для обновления ESXi 5.x до ESXi 6.x?
Для обновления могут использоваться vSphere Update Manager (VUM), средство командной строки esxcli и vSphere Auto Deployment.
19. Что должен сделать администратор перед обновлением оборудования виртуальной машины?
Перед обновлением оборудования виртуальной машины необходимо создать резервную копию или моментальный снимок виртуальной машины, обновить VMware Tools до последней версии и убедиться, что виртуальная машина хранится в хранилище данных VMFS или NFS.
20. При установке vCenter Single Sign-On не удается выполнить обновление сервера vCenter. Что необходимо сделать для завершения процесса обновления?
Перед обновлением vCenter Server убедитесь, что служба VMware Directory может остановиться, перезапустив ее вручную. Если сервис может быть остановлен вручную, можно запустить процесс обновления сервера vCenter.
21. Какие предварительные условия следует учитывать перед обновлением vCenter Server Appliance?
И в случае повышения категории vCenter Server Appliance (vCSA) и после новой установки будет установлен подключаемый модуль интеграции клиентов (CIP).
22. После развертывания PSC сервер vCenter Server не устанавливается и выдает следующую ошибку:
Could not contact Lookup Service. Please check VM_ssoreg.log. (Не удалось связаться со службой поиска. Проверьте VM_ssoreg.log).
При появлении этой ошибки убедитесь, что часы на хост-компьютерах, на которых работают PSC, vCenter Server и веб-клиент vSphere синхронизированы. Кроме того, убедитесь, что порт 7444 между PSC и сервером vCenter не блокируется межсетевым экраном.
23. Администратор установил Windows Server 2008 и хочет установить на него vCenter Server, но при установке на виртуальную машину Windows произошел сбой?
Для установки vCenter Server требуется 64-разрядная ОС Windows. Если вы попытаетесь установить его в Windows Server 2008 ничего не получится. vCenter Server может быть установлен на ОС Windows Server 2008 R2 или более поздней версии.
24. Какова минимальная версия виртуального оборудования, необходимая для vFlash Read Cache?
vFlash Read Cache был первым в vSphere 5.5, а минимальная версия виртуального оборудования для vSphere 5.5 - 10.
25. Узел ESXi добавлен в vCenter Server, но не отвечает в vSphere Web Client. Какой порт должен быть открыть в брандмауэре?
Если администратор не получает от хоста ESXi 6.x в vCenter Server, проблема вызвана блокировкой трафика сетевым брандмауэром. Поэтому он должен проверить, что порт 902 (UDP) не заблокирован брандмауэром. В случае блокировки включите порт из профиля безопасности с помощью веб-клиента vSphere, выбрав указанный хост ESXi в vCenter Server.
26. Предположим, что виртуальная машина неожиданно выключилась. Какие файлы журналов виртуальной машины следует просмотреть для выявления причины и устранения этой проблемы?
В данном случае администратор должен проверить файлы журнала vmware.log и hostd.log.
27. В чем может быть причина orphaned (осиротевший) состояния виртуальной машины?
Если виртуальная машина находится в состоянии orphaned, это может по причине ошибки в работе функции отказоустойчивости. Виртуальная машина не была зарегистрирована непосредственно на хосте ESXi.
28. При обновлении хоста ESXi 5.5 до ESXi 6.x появляется следующая ошибка: MEMORY_SIZE. Как устранить проблему?
Это указывает на нехватку памяти на хосте ESXi для завершения процесса обновления хоста ESXi с ESXi 5.5 до ESXi 6.x.
29. При удалении хоста из распределенного коммутатора vSphere (vDS) возникает следующее сообщение об ошибке: Ресурс «10» используется (The resource ’10’ is in use)
Перед удалением vDS убедитесь, что сетевые адаптеры VMkernel на vDS не используются. Если используется какой-либо из ресурсов vDS, появится вышеупомянутое сообщение об ошибке с идентификатором ресурса.
30. Администратор хочет захватить и отследить сетевой трафик для виртуальной машины, но не получает ожидаемого трафика в средстве захвата пакетов. Что он должен сделать, чтобы решить проблему?
Если администратору необходимо захватить сетевой трафик для виртуальной машины, он должен включить режим неразборчивости для соответствующей группы портов. Затем можно захватить сетевой трафик с помощью любого инструмента сбора сетевого трафика.
31. Кластер vSAN создается с шестью узлами вместе с доменом отказа, и три из них перемещаются в домен отказа. Один узел отказоустойчивого домена отказал. Что произойдет с оставшимися двумя узлами в домене отказа?
При отказе узла-члена отказоустойчивого домена оставшиеся два узла будут считаться недоступными.
32. На каком уровне строится отказоустойчивый домен vSAN?
Отказоустойчивый домен настроен на уровне кластера vSAN, и узлы будут добавлены в этот домен. Если какой-либо узел-член отказывает по какой-либо причине, остальные члены также будут рассматриваться как отказавшие.
33. Обнаружено, что активность хранилища виртуальных машин на хосте ESXi 6.x негативно влияет на активность хранилища виртуальных машин на другом хосте, который получает доступ к тому же хранилищу данных VMFS. Какие действия могли бы устранить эту проблему?
Для устранения воздействия работы хранилища одной виртуальной машины на работу другой виртуальной машины необходимо включить контроль ввода-вывода хранилища данных (SIOC). Данная технология обеспечивает столь необходимое управление вводом-выводом систем хранения данных и должно использоваться для обеспечения того, чтобы производительность критически важных виртуальных машин не влияла на работу виртуальных машин других хостов, когда возникает конкуренция за ресурсы ввода-вывода.
34. При обновлении хоста ESXi с версии 5.5 до версии 6.0 администратор выполняет следующую команду: esxcli software vib list --rebooting-image. Что делает данная команда?
Эта команда отображает все активные VIB (vSphere Installation Bundle). VIB представляет собой коллекцию файлов, таких как tarball или zip, упакованных в единый архив для облегчения распространения.
35. Какие счетчики будут использоваться для устранения проблем с производительностью ЦП виртуальной машины, чтобы продемонстрировать конкуренцию ЦП?
Для тестирования производительности хоста ESXi в виде памяти, ЦП и использования сети используется средство ESXTOP. Это отличный инструмент, доступный администраторам VMware для устранения проблем с производительностью. Для настройки ESXTOP потребуется vSphere Client, а также должны быть включены сеансы putty и SSH. Для тестирования производительности ЦП используются счетчики %RDY, %MLMTD и %CSTP.
36. Администратор пытается запустить esxtop, включив SSH и используя putty для устранения проблем с производительностью ЦП, но выходные данные не отображаются. Как решить эту проблему?
Для отображения выходных данных в ESXTOP нажмите f и установите звездочку рядом с каждым полем, которое должно отображаться.
37. Администратор хочет отслеживать виртуальные машины на хосте с помощью vCenter Server и отправлять уведомления, когда использование памяти превышает 80%. Что должен сделать администратор на сервере vCenter для выполнения этой задачи?
Для мониторинга использования памяти виртуальной машины и получения уведомления при достижении определённого порога, нужно создать уведомление в vCenter Server и привязать действие по отправке уведомлений по электронной почте.
38. Администратор создал кластер DRS, и он стал несбалансированным. Что может быть причиной этому?
Кластер DRS может стать несбалансированным, когда правила Affinity препятствуют перемещению виртуальных машин. Кроме того, устройство, подключенное к виртуальной машине, предотвращает миграцию с одного хоста на другой.
39. ИТ-администратор настроил два сервера vCenter в пределах PSC и должен предоставить пользователю право доступа ко всем средам. Какой уровень доступа нужно выдать для этого?
Для доступа к нескольким серверам vCenter в пределах PSC требуется глобальное разрешение на доступ ко всем средам.
40. Администратор создал 10 хостов ESXi 6.x с помощью функции автоматического развертывания для нового кластера Test/Dev, и все хосты настроены на получение своего IP-адреса через DHCP. Какой параметр DCUI должен использоваться администратором для продления аренды DHCP для хостов?
Для возобновления аренды DHCP для хостов используется опция «Reset Management Network» в консоли ESXi (DCUI).
Доскональное понимание принципов работы межсетевых экранов (брандмауэров) и относящихся к ним технологий крайне необходимо для любого человека, который желает развиваться в сфере информационной безопасности. Так же это помогает настраивать и управлять системой информационной безопасности правильно и с минимальным количеством ошибок.
Слово «межсетевой экран» как правило обозначает систему или устройство, которое находится на границе между внутренней(доверенной) сетью и внешней.
Несколько различных межсетевых экранов предлагают пользователям и приложениям особые политики управления безопасностью для различных угроз. Так же они часто обладают способностью записи событий, для предоставления системному администратору возможности идентифицировать, изучить, проверить и избавиться от угрозы.
Кроме того, несколько программных продуктов могут запускаться на рабочей станции только для защиты конкретной машины.
Сетевые брандмауэры обладают несколькими ключевыми особенностями, для того что бы обеспечивать защиту сети по ее периметру. Основной задачей сетевого брандмауэры является запрет или разрешение на пропуск траффика, который попадает в сеть, основываясь на предварительно настроенных политиках. Ниже перечислены процессы, позволяющие предоставлять или блокировать доступ траффику:
Однокритериальные (простые) методики фильтрации пакетов
Многокритериальные методики фильтрации пакетов
Прокси-серверы
Проверка состояния пакетов
Трансляция сетевого адреса
Методы фильтрации пакетов
Основная цель пакетных фильтров – просто контроль доступа к отдельным сегментам сети путем определения разрешенного трафика. Фильтры, как правило, исследуют входящий трафик на 2 уровне модели OSI (транспортном). К примеру, пакетные фильтры способны анализировать пакеты TCP и UDP и оценивать их по ряду критериев, которые называются листами контроля доступа. Они проверяют следующие элементы внутри пакета:
Исходящий сетевой адрес
Адрес назначения
Исходящий порт
Порт назначения
Протокол
Различные брандмауэры основанные на технике пакетной фильтрации так же могут проверять заголовки пакетов для определения источника пакета – т.е из какой сессии он появился: новой или уже существующий.
Простые методики фильтрации пакетов, к сожалению, имеют определенные недостатки:
Листы контроля доступа могут быть крайне велики и трудны для управления
Их можно обойти путем подмены пакетов, злоумышленник может послать пакет, в заголовке которого будет разрешенный листом контроля доступа сетевой адрес.
Очень многие приложения могут постоянно строить множественные соединения со случайно используемыми портами. Из-за этого становится действительно тяжело определить какие порты будут использованы после установления соединения. К примеру, таким приложением являются различные мультимедиа программы – RealAudio, QuickTime и прочие. Пакетные фильтры не воспринимают протоколы выше транспортного и их специфику, связанную с каждым конкретным приложением и предоставление такого доступа с использованием листов контроля доступа, является очень трудоёмкой задачей.
Прокси-серверы
Прокси-серверы — это устройства, которые являются промежуточными агентами, которые действуют от имени клиентов, которые находятся в защищенной или частной сети. Клиенты на защищенной стороне посылают запросы на установление соединения к прокси-серверу для передачи информации в незащищенную сеть или в Интернет. Соответственно, прокси-сервер или приложение совершает запрос от имени внутреннего пользователя. Большинство прокси брандмауэров работает на самом верхнем, седьмом уровне модели OSI (прикладном) и могут сохранять информацию в кэш-память для увеличения их производительности. Прокси-технологии могут защитить сеть от специфических веб-атак, но в общем и целом они не являются панацеей, и, кроме того, они плохо масштабируются.
Трансляция сетевого адреса
Некоторые устройства, работающие на третьем уровне(сетевом) могут совершать трансляцию сетевых адресов, или NAT (Network Address Translation). Устройство третьего уровня транслирует внутренний сетевой адрес хоста в публичный, который может маршрутизироваться в сети Интернет. В следствие малого числа сетевых адресов в протоколе IP, данная технология используется повсеместно.
Брандмауэры с проверкой состояния пакетов
Такие межсетевые экраны имеют дополнительные преимущества по сравнению с брандмауэрами с однокритериальной пакетной фильтрацией. Они проверяют каждый пакет, проходящий через их интерфейсы на корректность. Они исследуют не только заголовок пакета, но и информацию с прикладного уровня и полезную загрузку пакета. Таким образом, возможно создание различных правил, основанных на различных типах трафика. Такие брандмауэры так же позволяют контролировать состояние соединения и имеют базу данных с данной информацию, которая так же называется «база данных состояний». В ней описываются состояния соединений, т.е такие как «установлено», «закрыто», «перезапуск», «в процессе согласования». Такие брандмауэры хорошо защищают сеть от различных сетевых атак.
Количество различных брандмауэров велико, и в настоящее время в них совмещаются различные техники предотвращения атак. Главное – сеть всегда должна находиться под защитой. Однако нельзя забывать, что не стоит увлекаться, и тратить на защиту информации больше средств, чем стоит сама информация.