По вашему запросу ничего не найдено :(
Убедитесь, что запрос написан правильно, или посмотрите другие
наши статьи:
Хочу рассказать, как настроить DHCP Snooping и DAI (Dynamic Arp Inspection). Материал будет полезен начинающим сетевым администраторам.
Коротко о технологии DHCP Snooping и DAI
Данные функции защищают вашу сеть от подмены DHCP сервера. На коммутаторах вручную настраиваются доверенные порты, которые как правило подключены к маршрутизатору или DHCP серверу. Также доверенными портами назначаются UpLink порты.
Другая возможность это Dynamic Arp inspection. Тоже защитная функция, предотвращающая атаку типа Man-in-The-Middle. Это такой вид атаки, когда к вашей сети подключается устройство злоумышленника и, например, объявляет, что IP адрес, принадлежащий авторизованному серверу, принадлежит ему. После этого все данные, которые отправляются на сервер переходят через устройство злоумышленника.
Настройка DHCP Snooping и DAI
Чтобы включить функцию DHCP Snooping нужно для начала задать доверенные и не доверенные порты. Все порты, к которому подключены конечные пользователи считаются не доверенными. Так как DHCP Snooping и DAI настраиваются в связке я не буду делить это на отдельные части:
AccSwitch#conf t
AccSwitch(config)#
AccSwitch(config)#int ra gi1/0/1-46
AccSwitch(config-if-range)#ip dhcp snooping limit rate 15
AccSwitch(config-if-range)#ip arp inspection limit rate 100
Тут мы задаем количество пакетов, которые должны проходить через не доверенный интерфейс. Обычно такого числа пакетов хватает для получения и обновления IP адреса. Далее настраиваем доверенные интерфейсы:
AccSwitch(config)#int ra gi1/0/47-48
AccSwitch(config-if-range)#ip dhcp snooping trust
AccSwitch(config-if-range)#ip arp inspection trustПосле этого глобально включаем DHCP Snooping, но НЕ ARP Inspection:
AccSwitch(config)#ip dhcp snooping
AccSwitch(config)#ip dhcp snooping vlan 200
AccSwitch(config)#no ip dhcp snooping information optionПоследняя команда отключает опцию 82, которая используется коммутатором в DHCP пакетах, идущих от DHCP клиента через коммутатор к DHCP серверу. Опция 82 содержит информацию об устройстве (например, MAC адрес коммутатора) и информацию о номере порта с которого идет запрос для того, чтобы сервер, опираясь на полученную информацию, смог выдать IP адрес DHCP клиенту из нужной подсети.
Далее переходим к настройке DAI. Если у вас в сети есть устройства со статическим IP адресом, то нужно как-то сказать коммутатору, чтобы порты, к которым подключены такие устройства не проверялись. Для этого существуют ARP списки доступа. Важно, чтобы название access-list-а было именно DAI. По личному опыту знаю, что в противном случае нужно вводить дополнительные команды. А так все работает без лишних команд.
AccSwitch(config)#
AccSwitch(config)# arp access-list DAI
AccSwitch(config-arp-nacl)# permit ip host 192.168.200.25 mac host 0017.6111.a309
В таком порядке добавляем IP адреса всех устройств со статическим IP. Дополнительно можно настроить Sorce Guard. Этим мы конкретное устройство к порту коммутатора, таким образом другое устройство подключенное к указанному порту не сможет выдать себя за привязанное:
AccSwitch(config)#ip source binding 0017.6111.a309 vlan 200 192.168.200.14 interface Gi1/0/5
Также под не доверенными интерфейсами нужно ввести команду ip verify source, которые проверяет источник запросов.
Важно! После всех настроек, приведенных выше, ждем сутки-две чтобы DHCP Snooping таблица заполнилась. В противном случае DAI будет блокировать все запросы, и пользователи не смогут работать в сети. Когда таблица заполнена включаем arp inspection:
AccSwitch(config)#ip arp inspection vlan 200
Redis – это высокопроизводительная БД, которая хранит данные в памяти, доступ к которым осуществляется по ключу доступа. Она может использоваться в качестве базы данных, кэша и брокера сообщений и поддерживает различные структуры данных, такие как строки, хэши, списки, наборы и т. Д. Redis обеспечивает высокую доступность через Redis Sentinel и автоматическое разбиение между несколькими узлами Redis с помощью Redis Cluster.
Это руководство описывает установку и настройку Redis в CentOS 8. Подробно про Redis можно прочесть в этой статье.
Установка Redis в CentOS 8
Redis версии 5.0.x включен в стандартные репозитории CentOS 8. Для его установки выполните следующие команды от имени пользователя root или пользователя с привилегиями sudo (про то как получить права sudo можно прочесть тут)
sudo dnf install redis-server
После завершения установки включите и запустите службу Redis:
sudo systemctl enable --now redis
Чтобы проверить, работает ли сервер Redis, введите:
sudo systemctl status redis
Получим следующий вывод:
? redis.service - Redis persistent key-value database
Loaded: loaded (/usr/lib/systemd/system/redis.service; enabled; vendor preset: disabled)
Drop-In: /etc/systemd/system/redis.service.d
L-limit.conf
Active: active (running) since Sat 2020-02-08 20:54:46 UTC; 7s ago
Вот и все! Redis установлен и работает на вашем сервере CentOS 8.
Настройка удаленного доступа Redis
По умолчанию Redis не разрешает удаленные подключения. Вы можете подключиться к серверу Redis только с 127.0.0.1 (localhost) - компьютера, на котором работает Redis.
Если вы используете установку с одним сервером, где клиент, подключающийся к базе данных, также работает на том же хосте, вам не нужен удаленный доступ.
Чтобы настроить Redis для приема удаленных подключений, откройте файл конфигурации Redis в текстовом редакторе:
sudo nano /etc/redis.conf
Найдите строку, начинающуюся с bind 127.0.0.1, и добавьте внутренний IP-адрес вашего сервера после 127.0.0.1.
bind 127.0.0.1 192.168.1.10
Убедитесь, что вы заменили 192.168.1.10 своим IP-адресом. Сохраните файл и закройте редактор. Если вы хотите, чтобы Redis прослушивал все интерфейсы, просто закомментируйте строку.
Перезапустите службу Redis, чтобы изменения вступили в силу:
sudo systemctl restart redis
Используйте следующую команду ss, чтобы убедиться, что сервер Redis прослушивает ваш локальный интерфейс через порт 6379:
ss -an | grep 6379
Вы должны увидеть что-то вроде этого:
tcp LISTEN 0 128 192.168.1.10:6379 0.0.0.0:*
tcp LISTEN 0 128 127.0.0.1:6379 0.0.0.0:*
Затем вам нужно настроить фаервол для доступа трафика с TCP-порта 6379.
Скорее всего вы захотите разрешить доступ к серверу Redis только с определенного IP-адреса или диапазона IP-адресов. Например, чтобы разрешить подключения только с подсети 192.168.2.0/24, выполните следующие команды:
sudo firewall-cmd --new-zone=redis –permanent
sudo firewall-cmd --zone=redis --add-port=6379/tcp –permanent
sudo firewall-cmd --zone=redis --add-source=192.168.2.0/24 –permanent
sudo firewall-cmd --reload
Приведенные выше команды создают новую зону с именем redis, открывают порт 6379 и разрешают доступ из частной сети. На этом этапе сервер Redis будет принимать удаленные подключения через порт TCP 6379.
Убедитесь, что ваш фаервол настроен на прием соединений только из доверенных диапазонов IP-адресов. Чтобы убедиться, что все настроено правильно, вы можете попробовать пропинговать сервер Redis с удаленного компьютера, используя утилиту redis-cli, которая предоставляет интерфейс командной строки для сервера Redis:
redis-cli -h ping
Команда должна вернуть ответ PONG:
PONG
Если это так, то значит, что мы все сделали правильно!
В этой статье рассмотрим как решить следующие неисправности:
При подключении к vCenter Server с помощью веб-клиента vSphere и при переходе к Домашней странице -> Сеть и безопасность возникают следующие симптомы:
Нет доступных менеджеров NSX.
В разделе "Сеть и инвентаризация безопасности" отображается сообщение о том, что менеджеры NSX имеют значение 0.
При выборе NSX Home появляется сообщение об ошибке:
No NSX Managers available. Verify current user has role assigned on NSX Manager
Сбой отмены регистрации и повторной регистрации службы поиска в NSX Manager.
Вы видите ошибку:
NSX Management Service operation failed. Initialization of Admin Registration Service Provider failed. Root Cause: NSX Manager and Lookup service clocks are not in sync. They need to be synchronized. Please check NTP configuration
Эта проблема возникает, когда vCenter Server и разрешение неправильно настроены для учетной записи, в которой выполнен вход.
Решение
Чтобы устранить эту проблему, правильно настройте разрешение для учетной записи.
Чтобы правильно настроить разрешение для учетной записи:
Войдите в диспетчер NSX с помощью веб-интерфейса пользователя.
Щелкните Manage vCenter Registration (Управление регистрацией vCenter).
Перейдите в раздел COMPONENTS > NSX Management (Компоненты -> Служба управления NSX).
Убедитесь, что сервер vCenter настроен правильно.
Также убедитесь, что разрешение настроено правильно для учетной записи, в которой выполнен вход.
Примечания:
Убедитесь, что та же проблема возникает с учетной записью administration@vsphere.local. Если диспетчер NSX виден с этой учетной записи, убедитесь, что учетная запись, которая имеет проблему, правильно настроена с разрешениями.
Проверьте, синхронизированы ли часы службы NSX Manager и Lookup.
Даже после того, как vCenter Server and Lookup Service покажет подключение в пользовательском интерфейсе NSX, выход из системы и возврат к ней с помощью учетной записи administrator@vsphere.local "Нет доступных менеджеров NSX", это может потребовать завершения существующих сеансов VC. Это можно сделать в веб-клиенте vSphere, перейдя на узел & кластеры. Выберите vCenter -> Manage -> Sessions (Управление) > Select All Sessions (кроме "This Session" (Этот сеанс)) -> Click Terminate Sessions (Завершить сеансы). Выйдите из системы и войдите обратно из сеанса. Убедитесь, что диспетчер NSX теперь виден.