По вашему запросу ничего не найдено :(
Убедитесь, что запрос написан правильно, или посмотрите другие
наши статьи:
В данной статье мы опишем настройки сети, которые могут очень пригодится для малых и средних сетей. Мы настроим на Cisco ASA DHCP сервер с несколькими внутренними локальными сетями.
У нас есть три разных внутренних локальных сети с ПК пользователей и другой инфраструктурой – серверами, принтерами и так далее.
Нашей задачей является разделение этих сетей с помощью использования Cisco ASA (данная задача решается как на старых моделях 5500, так и на новых 5500-X). Три внутренних локальных сети будут подключены к одному коммутатору второго уровня с тремя VLAN-ами на данном коммутаторе
ASA будет предоставлять доступ к интернету для всех внутренний ЛВС. Кроме того, ASA также будет выполнять функции DHCP сервера для каждой из ЛВС, назначая нужные IP – адреса для каждой из сетей, используя разные DHCP пулы. Кроме того, мы будем использовать один физический интерфейс на ASA для размещения внутренних зон безопасности (“inside1”,“inside2”,“inside3”). Для этого нам необходимо настроить саб-интерфейсы на физическом интерфейсе нашего МСЭ, который подключен к транковому порту коммутатора. Каждый саб-интерфейс будет служить шлюзом по умолчанию для соответствующих подсетей.
Касаемо настроек свитча – нам необходим один порт Dot1Q, который будет подключен к фаерволлу, и также необходимо будет настроить порты доступа для внутренних хостов.
Топология изображена ниже:
Убедитесь, что вы используете лицензию security-plus.
Из топологии мы видим:
Интерфейс GE1 на ASA – внешняя зона с адресом 100.1.1.1 будет подключен к провайдеру
Интерфейс GE0 на ASA – интерфейс, подключенный к транковому порту на коммутаторе. Данный интерфейс будет разбит на три саб-интерфейса, каждый из которых принадлежит свой зоне безопасности и VLAN.
Саб-интерфейс GE0.1 - VLAN10 (адрес 10.1.1.254) – зона безопасности “inside 1”
Саб-интерфейс GE0.2 - VLAN10 (адрес 10.2.2.254) – зона безопасности “inside 2”
Саб-интерфейс GE0.3 - VLAN10 (адрес 10.3.3.254) – зона безопасности “inside 3”
Интерфейс Eth0/1, Eth0/2, Eth 0/3 на коммутаторе – настраиваются как порты доступа для соответствующих VLAN-ов (10, 20, 30)
Хосты в VLAN 10 – получат адреса с ASA через DHCP (10.1.1.0/24) на интерфейсе “inside1”
Хосты в VLAN 20 - получат адреса с ASA через DHCP (10.2.2.0/24) на интерфейсе “inside2”
Хосты в VLAN 30 – получат адреса с ASA через DHCP (10.3.3.0/24) на интерфейсе “inside3”
Все внутренние локальные сети – данные сети получат доступ к интернету через ASA с использованием PAT (NAT Overload) на внешнем интерфейсе МСЭ
Важно отметить, что в данном примере настройка меж-VLAN маршрутизации проведена не была – есть только доступ в интернет.
Конфигурация Cisco ASA
Ниже указан конфиг для МСЭ
! Данный физический интерфейс разбиваем на три саб-интерфейса (порт подключен к транковому порту коммутатора)
interface GigabitEthernet0
no nameif
no security-level
no ip address
!
! Это саб-интерфейс GE0.1 для VLAN10
interface GigabitEthernet0.1
vlan 10
nameif inside1
security-level 100
ip address 10.1.1.254 255.255.255.0
! Это саб-интерфейс GE0.2 для VLAN20
interface GigabitEthernet0.2
vlan 20
nameif inside2
security-level 90
ip address 10.2.2.254 255.255.255.0
! Это саб-интерфейс GE0.3 для VLAN30
interface GigabitEthernet0.3
vlan 30
nameif inside3
security-level 80
ip address 10.3.3.254 255.255.255.0
! This is the WAN interface connected to ISP Это WAN интерфейс, подключенный к ISP
interface GigabitEthernet1
nameif outside
security-level 0
ip address 100.1.1.1 255.255.255.0
! Настраиваем сетевые объекты для трех ЛВС
object network inside1_LAN
subnet 10.1.1.0 255.255.255.0
object network inside2_LAN
subnet 10.2.2.0 255.255.255.0
object network inside3_LAN
subnet 10.3.3.0 255.255.255.0
! Данный ACL полезен тем, что разрешает ходить ICMP трафику (пинг и так далее)
access-list OUT extended permit icmp any any
access-group OUT in interface outside
! Разрешаем доступ в Интернет – для этого настраиваем PAT (NAT Overload) на внешнем интерфейсе
object network inside1_LAN
nat (inside1,outside) dynamic interface
object network inside2_LAN
nat (inside2,outside) dynamic interface
object network inside3_LAN
nat (inside3,outside) dynamic interface
access-group OUT in interface outside
route outside 0.0.0.0 0.0.0.0 100.1.1.2
! Создаем три разных DHCP cущности
! DHCP сущность для VLAN10 – “inside1”
dhcpd address 10.1.1.1-10.1.1.100 inside1
dhcpd enable inside1
! DHCP сущность для VLAN20 – “inside2”
dhcpd address 10.2.2.1-10.2.2.100 inside2
dhcpd enable inside2
! DHCP сущность для VLAN30 – “inside3”
dhcpd address 10.3.3.1-10.3.3.100 inside3
dhcpd enable inside3
! Назначаем DNS cервер для внутренних хостов
dhcpd dns 200.1.1.1
На этом все, переходим к настройке свитча.
Настройка коммутатора
Настройка коммутатора очень проста – необходимо настроить транковый порт и три порта доступа, с указанием VLAN.
! Транковый порт, который подключается к GE0
interface Ethernet0/0
switchport trunk encapsulation dot1q
switchport mode trunk
duplex auto
! Порт доступа для VLAN10
interface Ethernet0/1
switchport access vlan 10
switchport mode access
duplex auto
! Порт доступа для VLAN20
interface Ethernet0/2
switchport access vlan 20
switchport mode access
duplex auto
! Порт доступа для VLAN30
interface Ethernet0/3
switchport access vlan 30
switchport mode access
duplex auto
У вас возникли проблемы с контролем использования пропускной способности вашей сети Linux? Вам нужна помощь? Здесь важно, чтобы вы могли визуализировать то, что происходит в вашей сети, чтобы вы могли понять, что вызывает замедление работы сети, или просто наблюдать за своей сетью.
В данной статье мы рассмотрим 17 полезных средств контроля пропускной способности для анализа использования сети в системе Linux.
Перечисленные ниже средства имеют открытый исходный код и смогут помочь вам ответить на вопрос из серии «почему сеть сегодня так медленно работает?» Эта статья включает в себя описание средств контроля пропускной способности на одном компьютере с Linux и описание комплексных решений контроля, которые способны обрабатывать несколько хостов в LAN (Local Area Network – локальная вычислительная сеть) или даже в WAN (Wide Area Network – глобальная вычислительная сеть).
1. vnStat – контроль сетевого трафика
vnStat – это полнофункциональная программа на основе командной строки для контроля сетевого трафика Linux и использования полосы пропускания сети в режиме реального времени в системах Linux и BSD.
Одно из преимуществ этого средства перед аналогичными средствами заключается в том, что он регистрирует статистику сетевого трафика и использования полосы пропускания сети для последующего анализа – это его поведение по умолчанию. Фактически вы можете просматривать эти журналы даже после перезагрузки системы.
Установка vnStat в Linux
$ sudo yum install sysstat [On Older CentOS/RHEL & Fedora]
$ sudo dnf install sysstat [On CentOS/RHEL/Fedora/Rocky Linux & AlmaLinux]
$ sudo apt-get install sysstat [On Debian/Ubuntu & Mint]
$ sudo pacman -S sysstat [On Arch Linux]
2. iftop – отображение использования полосы пропускания сети
iftop – это простое и удобное в использовании средство контроля пропускной способности сети в режиме реального времени на основе командной строки, который используется для быстрого обзора операций сетевого трафика в интерфейсе. Оно отображает обновленные данные пропускной способности сети в среднем каждые 2, 10 и 40 секунд.
Установка iftop в Linux
$ sudo yum install iftop [On Older CentOS/RHEL & Fedora]
$ sudo dnf install iftop [On CentOS/RHEL/Fedora/Rocky Linux & AlmaLinux]
$ sudo apt-get install iftop [On Debian/Ubuntu & Mint]
$ sudo pacman -S iftop [On Arch Linux]
3. nload – отображение использование сети
nload – еще одно простое и удобное средство командной строки для контроля сетевого трафика и использования полосы пропускания сети в режиме реального времени. Оно использует графическое представление информации, чтобы у вас была возможность контролировать входящий и исходящий трафик. Помимо этого, оно также отображает такую информацию, как общий объем переданных данных и минимальное/максимальное использование сети.
Установка nload в Linux
$ sudo yum install nload [On Older CentOS/RHEL & Fedora]
$ sudo dnf install nload [On CentOS/RHEL/Fedora/Rocky Linux & AlmaLinux]
$ sudo apt-get install nload [On Debian/Ubuntu & Mint]
$ sudo pacman -S nload [On Arch Linux]
4. NetHogs – контроль пропускной способности сетевого трафика
NetHogs – это текстовое средство, чем-то похожее на предыдущее, для контроля использования пропускной способности сетевого трафика каждым процессом или приложением в режиме реального времени, которое работает в системе Linux. Оно отображает статистику использования пропускной способности вашей сети в режиме реального времени для каждого процесса.
Установка NetHogs в Linux
$ sudo yum install nethogs [On Older CentOS/RHEL & Fedora]
$ sudo dnf install nethogs [On CentOS/RHEL/Fedora/Rocky Linux & AlmaLinux]
$ sudo apt-get install nethogs [On Debian/Ubuntu & Mint]
$ sudo pacman -S nethogs [On Arch Linux]
5. bmon – контроль пропускной способности и оценка скорости
bmon – это простое в использовании средство командной строки для контроля использования пропускной способности сети и оценки скорости в Linux. Оно собирает сетевую статистику и визуализирует ее в удобном для пользователя формате, чтобы он мог наблюдать за работой своей системы.
Установка bmon в Linux
$ sudo yum install bmon [On Older CentOS/RHEL & Fedora]
$ sudo dnf install bmon [On CentOS/RHEL/Fedora/Rocky Linux & AlmaLinux]
$ sudo apt-get install bmon [On Debian/Ubuntu & Mint]
$ sudo pacman -S bmon [On Arch Linux]
6. Darkstat – захват сетевого трафика
Darkstat – это небольшой, простой в использовании, кросс-платформенный, работающий в режиме реального времени, эффективный веб-анализатор сетевого трафика. Это средство контроля сетевой статистики, которое работает за счет захватывания сетевого трафика и статистики использования компьютера и предоставляет отчеты по протоколу HTTP в графическом формате. Его также можно использовать через командную строку, результаты будут те же.
Установка Darkstat в Linux
$ sudo yum install darkstat [On Older CentOS/RHEL & Fedora]
$ sudo dnf install darkstat [On CentOS/RHEL/Fedora/Rocky Linux & AlmaLinux]
$ sudo apt-get install darkstat [On Debian/Ubuntu & Mint]
$ sudo pacman -S darkstat [On Arch Linux]
7. IPTraf – контроль IP-сети
IPTraf – это простое в использовании настраиваемое средство, основанное на ncurses, для контроля входящего и исходящего сетевого трафика, проходящего через интерфейс. Это важно для контроля IP-трафика и просмотра общей и подробной статистики интерфейса и многого другого.
Установка IPTraf в Linux
$ sudo yum install iptraf [On Older CentOS/RHEL & Fedora]
$ sudo dnf install iptraf [On CentOS/RHEL/Fedora/Rocky Linux & AlmaLinux]
$ sudo apt-get install iptraf [On Debian/Ubuntu & Mint]
$ sudo pacman -S iptraf [On Arch Linux]
8. CBM – (Color Bandwidth Meter)
CBM – это небольшая утилита командной строки для отображения текущего сетевого трафика на всех подключенных устройствах в цветах Ubintu Linux и его производных, таких как Linux Mint, Lubuntu и других. Она показывает каждый подключенный сетевой интерфейс, полученные и переданные байты, а также общее количество байтов, что позволяет контролировать пропускную способность сети.
Установка CBM в Linux
$ sudo yum install cbm [On Older CentOS/RHEL & Fedora]
$ sudo dnf install cbm [On CentOS/RHEL/Fedora/Rocky Linux & AlmaLinux]
$ sudo apt-get install cbm [On Debian/Ubuntu & Mint]
$ sudo pacman -S cbm [On Arch Linux]
9. Iperf/Iperf3 – средство измерения пропускной способности сети
Iperf/Iperf3 – это мощный инструмент для измерения пропускной способности сети по таким протоколам, как TCP, UDP и SCTP. В первую очередь он создан для настройки TCP-соединений по определенному пути, а поэтому полезен и в тестировании и контроле максимально достижимой пропускной способности в IP-сетях (поддерживает как IPv4, так и IPv6).
Для проведения тестирований, которые сообщают информацию о пропускной способности, потерях и других полезных параметрах производительности сети, требуются сервер и клиент.
Установка Iperf3 в Linux
$ sudo yum install iperf3 [On Older CentOS/RHEL & Fedora]
$ sudo dnf install iperf3 [On CentOS/RHEL/Fedora/Rocky Linux & AlmaLinux]
$ sudo apt-get install iperf3 [On Debian/Ubuntu & Mint]
$ sudo pacman -S iperf3 [On Arch Linux]
10. Netperf – тестирование пропускной способности сети
Netperf чем-то похож на iperf для тестирования производительности сети. Он может помочь в контроле пропускной способности сети в Linux путем измерения передачи данных с использованием TCP, UDP. Также он поддерживает измерения через интерфейсы Berkeley Sockets, DLPI, Unix Domain Sockets и другие. Для запуска тестов потребуется сервер и клиент.
Установка Netperf в Linux
$ sudo yum install netperf [On Older CentOS/RHEL & Fedora]
$ sudo dnf install netperf [On CentOS/RHEL/Fedora/Rocky Linux & AlmaLinux]
$ sudo apt-get install netperf [On Debian/Ubuntu & Mint]
$ sudo pacman -S netperf [On Arch Linux]
11. SARG – (Squid Analysis Report Generator)
SARG – это анализатор лог-файлов Squid и инструмент для контроля скорости Интернет-соединения. Он формирует отчеты в формате HTML, которые включают в себя информацию об IP-адресах и общем использовании полосы пропускания сети. Это удобное в использовании средство контроля скорости Интернет-соединения отдельными устройствами в одной сети.
12. Monitorix – средство контроля системы и сети
Monitorix – это небольшое приложение для контроля ресурсов системы и сети, предназначенное для небольших серверов Linux/Unix, а также обеспечивающее отличную поддержку встроенных устройств.
Это приложение поможет вам отслеживать сетевой трафик и статистику использования с неограниченного количества сетевых устройств. Оно поддерживает соединения IPv4 и IPv6, включая пакетный трафик и графики сбоя трафика, а также поддерживает до 9 дисков на каждый сетевой интерфейс.
Установка Monitorix в Linux
$ sudo yum install monitorix [On Older CentOS/RHEL & Fedora]
$ sudo dnf install monitorix [On CentOS/RHEL/Fedora/Rocky Linux & AlmaLinux]
$ sudo apt-get install monitorix [On Debian/Ubuntu & Mint]
$ sudo pacman -S monitorix [On Arch Linux]
13. Cacti – средство контроля сети и отображения графической информации
Cacti – это полнофункциональное веб-приложение PHP для построения сетевых трафиков с интуитивно понятным и простым в использовании интерфейсом. Для хранения собранных данных о производительности, которые в дальнейшем будут использоваться для построения графиков, оно использует базу данных MySQL. Это интерфейс для RRDTool, полезный для контроля небольших и сложных сетей с тысячами устройств.
14. Observium – платформа контроля сети
Observium – это полнофункциональная платформа для контроля сети с изящным и мощным, надежным, но простым в использовании и интуитивно понятным интерфейсом. Оно поддерживает ряд платформ, таких как Linux, Windows, FreeBSD, Cisco, HP, Dell и другие, а также имеет функцию автоматического определения устройств. Данное приложение помогает пользователям собирать сетевые показатели и предлагает интуитивно понятное графическое представление показателей устройств, на основе собранных данных о производительности.
15. Zabbix – средство контроля приложений и сети
Zabbix – это многофункциональная, широко известная и используемая платформа контроля сети, разработанная по модели «клиент-сервер» для контроля сетей, серверов и приложений в режиме реального времени. Она собирает данные различных типов, которые в дальнейшем использует для визуализации производительности сети или показателей нагрузки отслеживаемых устройств.
Она может работать со многими широко известными протоколами, такими как HTTP, FTP, SMTP, IMAP и другими, без необходимости устанавливать какое-то дополнительное программное обеспечение на контролируемые устройства.
16. Nagios – контроль систем, сетей и инфраструктуры
Nagios – это надежное, мощное, многофункциональное, широко известное и используемое программное обеспечение для контроля. Оно позволяет контролировать локальные и удаленные сетевые устройства, и их службы из единого окна.
Оно предлагает контроль пропускной способности сетевых устройств, таких как коммутаторы и маршрутизаторы, через протокол SNMP, что позволяет легко выявлять чрезмерно используемые порты и возможных злоумышленников в сети.
Помимо этого, Nagios также помогает отслеживать использования полосы пропускания сети для каждого порта и ошибки, а также может быстро обнаружить сбой в работе сети или протокола.
Заключение
В данной статье мы рассмотрели ряд полезных средств контроля пропускной способности сети и системы для Linux.
Все мы слышали об SSL. SSL – это то, благодаря чему процветают такие вещи, как E-commerce. SSL позволяет нам безопасно взаимодействовать с сайтами… но что нам делать, если нужно конфиденциально подключиться к другой сети, а не сайту? Здесь и пригодится IPSec.
Многие ИТ-специалисты и системные администраторы не до конца понимают IPSec. Конечно же, все мы знаем, что IPSec – это тип защищенной передачи данных, но какие приложения им пользуются? И как работает IPSec?
Давайте в этом разберемся. В данной статье мы обсудим, что такое IPSec, для чего используется, как работает и чем отличается от таких протоколов, как SSL и TLS.
Что такое IPSec?
IPSec – это метод безопасного и зашифрованного обмена данными между клиентом и сетью. Такое «сообщение» передается через общедоступные сети (Интернет). Чаще всего IPSec используется для VPN, а также подключения двух частных сетей.
Сам по себе IPsec не является протоколом. Это, скорее, набор протоколов, которые используются вместе. К таким протоколам относятся:
Authentication Header (Аутентификационный заголовок)
Encapsulating Security Protocol (Инкапсулирующий протокол безопасности)
Security Association (Ассоциация безопасности)
Internet Protocol (Интернет-протокол)
Как работает IPsec?
IPSec позволяет клиенту безопасно обмениваться данными с другой сетью. Необходимо отметить, что данный метод обычно не используется для взаимодействия между устройствами, а применяется для подключения ноутбука к частной сети через общедоступную сеть (по типу Интернета). Кроме того, IPsec может соединять две частные сети.
Обратите внимание, что мы не используем HTTP или TCP для передачи данных. Это потому, что в рамках модели OSI (модель открытого системного взаимодействия) IPSec проходит по уровню Layer 3 сети. То есть, в принципе, IPSec может оказаться безопаснее других методов защищенной передачи данных.
IPSec-соединения по-прежнему устанавливаются между клиентом и хостом через другие сети. И эти другие сети обычно являются общедоступными – как, например, Интернет. Поэтому все взаимодействия между клиентом и хостом зашифрованы. В любом случае, ключи шифрования не согласовываются с каждым новым подключением. До установки соединения и клиент, и хост должны знать закрытые ключи шифрования.
Это последнее предложение очень важное. Дело в том, что в ходе взаимодействия зашифровывается весь пакет данных, включая его заголовок.
Быть может, вы подумаете: чтобы правильно попасть в пункт назначения, пакеты должны иметь читабельные заголовки. И вы правы. Кстати, именно поэтому и используется Encapsulating Security Protocol (ESP). Для транспортировки ESP добавляет в пакет новую информацию о заголовке и конечном управляющем поле (или трейлере; он похож на заголовок, но располагается в конце пакета), тогда как настоящий заголовок остается зашифрованным.
Точно также происходит и аутентификация каждого пакета. Хост IPSec подтверждает, что каждый пакет полученных данных отправлялся тем объектом, который, как считает хост, и был отправителем. В противном случае этот пакет данных отклоняется.
Для чего используется IPSec?
IPSec используется для создания безопасного метода взаимодействия между клиентом и хостом. Клиентом может быть, например, ноутбук. Или же частная сеть. Хостом, как правило, тоже служит частная сеть.
Теперь мы знаем, как работает IPsec, и пора разобраться, для чего он используется? Что же означает предыдущий абзац?
Чаще всего IPSec используется для VPN. VPN – это виртуальная частная сеть. VPN позволяет клиенту подключаться к частной коммерческой сети через общедоступную сеть интернет (например, ноутбук сотрудника). Как только ноутбук подключился к частной коммерческой сети через VPN, то он как бы сам попадает в эту частную сеть – для всех целей и задач.
Иначе говоря, подключившись к коммерческой сети ноутбук получает доступ ко внутренним ИТ-ресурсам. Весь трафик этого ноутбука (входящий и исходящий) циркулирует через частную коммерческую сеть в интернет.
Соединения двух удаленных частных сетей можно настраивать через IPsec-подключения и VPN. Например, вы ведете свою деятельность в двух разных локациях (в Пенсильвании и Калифорнии). Как настроить подключение? Провести кабель не получится – офисы находятся слишком далеко друг от друга. Раньше таким компаниям приходилось оплачивать дорогую выделенную линию (по типу Т1 подключения). Но сейчас они могут обмениваться данными через открытый интернет с помощью IPsec-подключения.
Отличия между IPsec и TLS (или SSL)
IPsec-подключения и TLS (SSL)-подключения во многом похожи. Оба способа служат для безопасного и зашифрованного обмена данными. Оба протокола могут использовать общедоступные сети для взаимодействия и т.д. и т.п.
Но в то же время, IPsec и TLS/SSL во многом отличаются.
Например, IPsec-подключения являются частью уровня Layer 3 в модели OSI, тогда как TLS и SSL-подключения относятся к уровню Layer 7. Получается, что IPsec-подключения выполняются на базовом уровне соединений в модели OSI, тогда как TLS и SSL начинаются выше в стеке. Кроме того, работа TLS и SSL-соединений зависит от прикладного уровня (HTTP) и уровня 4 (TCP). То есть на этих уровнях они также подвержены эксплойтам, чего не скажешь о IPsec.
Еще одно важное отличие между IPsec и SSL или TSL заключается в том, как согласуются подключения. Поскольку TLS и SSL-подключения используют TCP, их типы безопасного подключения необходимо вначале согласовать. После этого клиент и хост дополнительно согласовывают ключ шифрования.
С IPSec все иначе. Передача данных зашифровывается сразу. Кроме того, секретный ключ для шифрования передается клиенту и хосту по отдельности – еще до попытки взаимодействия. Также его можно передавать через DNS (хорошо бы при помощи DNSsec). Метод, который используется для обмена ключами в IPsec, называется IKEv1 или IKEv2. Чаще всего сейчас пользуется IKEv2.
Это подводит нас к еще одной интересной детали. Поскольку IPsec-соединения зашифровываются сразу, тоже самое можно сделать и со всем заголовком IP-пакета. Но IP-пакетам по-прежнему нужен читабельный заголовок, чтобы попасть в правильное место. Для этих целей в зашифрованные пакеты IPsec добавляются дополнительные заголовки и трейлеры. То есть размеры MSS (Maximum segment size) и MTU (Maximum transmission unit) для каждого пакета изменяются. Сетевым администраторам необходимо предусмотреть эту разницу в своих сетях.
Заключение
В этой статье мы рассмотрели множество вопросов. Давайте быстро подведем итог. IPSec – это метод безопасного и зашифрованного обмена данными между клиентом и хостом. Клиентом может быть устройство (например ноутбук) или частная сеть. Хостом чаще всего бывает частная сеть.
Сам IPsec не является протоколом; это набор протоколов, которые используются вместе. Протоколы, которыми пользуется IPsec, начинаются на уровне Layer 3 модели OSI, что, возможно, делает IPsec безопаснее, чем TLS или SSL.
IPsec обычно используется для VPN, то также подходит для подключения двух частных сетей.