По вашему запросу ничего не найдено :(
Убедитесь, что запрос написан правильно, или посмотрите другие наши статьи:
img
Привет! Сегодня мы оговорим немного о базовой сетевой безопасности, а именно о Port-Security и о том, как его настроить на коммутаторах Cisco. Для начала разберемся, что же вообще такое Port-Security. Port-Security – это функция коммутатора, при помощи которой мы можем указать каким устройствам можно пропускать трафик через определенные порты. Устройство определяется по его MAC-адресу. Эта функция предназначена для защиты от несанкционированного подключения к сети и атак, направленных на переполнение таблицы MAC-адресов. При помощи нее мы можем указывать конкретные адреса, с которых разрешен доступ или указывать максимальное количество MAC-адресов, которые могут передавать трафик через порт. Типы Port-Security Существует несколько способов настройки port-security: Статические MAC-адреса – MAC-адреса, которые вручную настроены на порту, из режима конфигурации порта при помощи команды switchport port-security mac-address [MAC-адрес] . MAC-адреса, сконфигурированные таким образом, сохраняются в таблице адресов и добавляются в текущую конфигурацию коммутатора. Динамические MAC-адреса - MAC-адреса, которые динамически изучаются и хранятся только в таблице адресов. MAC-адреса, сконфигурированные таким образом, удаляются при перезапуске коммутатора. Sticky MAC-адреса - MAC-адреса, которые могут быть изучены динамически или сконфигурированы вручную, затем сохранены в таблице адресов и добавлены в текущую конфигурацию. Sticky MAC-адреса Если необходимо настроить port-security со sticky MAC-адресами, которые преобразуются с из динамически изученных адресов и добавляются в текущую конфигурацию, то необходимо настроить так называемое sticky изучение. Для того чтобы его включить необходимо на интерфейсе коммутатора выполнить команду switchport port-security mac-address sticky из режима конфигурации интерфейса. Когда эта команда введена, коммутатор преобразует все динамически изученные MAC-адреса (включая те, которые были динамически изучены до того, как было включено sticky обучение) к sticky MAC-адресам. Все sticky MAC-адреса добавляются в таблицу адресов и в текущую конфигурацию. Также sticky адреса можно указать вручную. Когда sticky MAC-адреса настроены при помощи команды switchport port-security mac-address sticky [MAC-адрес], все указанные адреса добавляются в таблицу адресов и текущую конфигурацию. Если sticky MAC-адреса сохранены в файле конфигурации, то при перезапуске коммутатора или отключении интерфейса интерфейс не должен будет переучивать адреса. Если же sticky адреса не будут сохранены, то они будут потеряны. Если sticky обучение отключено при помощи команды no switchport port-security mac-address sticky , то эти адреса будут оставаться в таблице адресов, но удалятся из текущей конфигурации. Обратите внимание, что port-security не будут работать до тех пор, пока не будет введена команда, включающая его - switchport port-security Нарушение безопасности Нарушением безопасности являются следующие ситуации: Максимальное количество MAC-адресов было добавлено в таблицу адресов для интерфейса, а устройство, MAC-адрес которого отсутствует в таблице адресов, пытается получить доступ к интерфейсу. Адрес, полученный или сконфигурированный на одном интерфейсе, отображается на другом интерфейсе в той же VLAN. На интерфейсе может быть настроен один из трех режимов реагирования при нарушении: Protect - когда количество MAC-адресов достигает предела, разрешенного для порта, пакеты с неизвестными исходными адресами отбрасываются до тех пор, пока не будет удалено достаточное количество MAC-адресов или количество максимально допустимых адресов для порта не будет увеличено. Уведомление о нарушении безопасности отсутствует в этом случае. Restrict – то же самое, что и в случае Protect, однако в этом случае появляется уведомление о нарушении безопасности. Счетчик ошибок увеличивается Shutdown – стандартный режим, в котором нарушения заставляют интерфейс немедленно отключиться и отключить светодиод порта. Он также увеличивает счетчик нарушений. Когда порт находится в этом состоянии (error-disabled), его можно вывести из него введя команды shutdown и no shutdown в режиме конфигурации интерфейса. Чтобы изменить режим нарушения на порту коммутатора, используется команда port-security violation {protect | restrict |shutdown} в режиме конфигурации интерфейса. .tg {border-collapse:collapse;border-spacing:0;} .tg td{font-family:Arial, sans-serif;font-size:14px;padding:10px 5px;border-style:solid;border-width:1px;overflow:hidden;word-break:normal;border-color:black;} .tg th{font-family:Arial, sans-serif;font-size:14px;font-weight:normal;padding:10px 5px;border-style:solid;border-width:1px;overflow:hidden;word-break:normal;border-color:black;} .tg .tg-fymr{font-weight:bold;border-color:inherit;text-align:left;vertical-align:top} .tg .tg-0pky{border-color:inherit;text-align:left;vertical-align:top} Режим реагирования Передача траффика Отправка сообщения syslog Отображение сообщения об ошибке Увеличение счетчика нарушений Выключение порта Protect Нет Нет Нет Нет Нет Restrict Нет Да Нет Да Нет Shutdown Нет Нет Нет Да Да Настройка Рассмотрим пример настройки: Switch#interface fa0/1 – заходим в режим конфигурации порта Switch(config-ig)#switchport mode access – делаем порт access Switch(config-ig)#switchport port-security – включаем port-security Switch(config-ig)#switchport port-security maximum 50 – задаем максимальное количество адресов на порту Switch(config-ig)#switchport port-security mac-address sticky – включаем sticky изучение Если мы не будем ничего уточнять и просто включим port-security командой switchport port-security в режиме конфигурации интерфейса, то максимальное количество адресов на порту будет один, sticky изучение будет выключено, а режим нарушения безопасности будет shutdown. Проверка порта Чтобы отобразить параметры port-security используется команда show port-security [номер_интерфейса] . Чтобы отобразить все защищенные MAC-адреса используется команда show port-security address.
img
API расшифровывается как Application Programming Interface (программный интерфейс приложения). Что же это такое? По сути, это описание способов взаимодействия между программами, как они могут общаться и передавать данные друг другу. Рассмотрим пример из жизни: Приходя в ресторан вы взаимодействуйте с официантом - можете попросить меню, сделать заказ, попросить принести счет. Официант является интерфейсом вашего взаимодействия с рестораном - вам не нужно знать о том как готовится еда, ингредиенты, как рассчитывать чек, все это сделает ресторан, и отдаст вам результаты при помощи официанта, который в этом примере представляет собой API ресторана. От вас скрываются сложные детали и просто происходит общение между двумя системами - клиентом и рестораном. Вернемся к компьютерам. Предположим, что у нашей платформы доступного айти образования Merion Academy есть интерфейс работы с клиентами - тот самый API, в котором есть определенные функции, куда можно отправить какой - то запрос, и получить ответ. Представим, что у нашего API есть функция вернуть список курсов по Linux, на которые сейчас действует скидка 50% - в такой случае браузер должен сделать запрос к нашему API на получение такого списка курсов, а ответ получить эти данные и отрисовать на странице. Важно учесть, что API интерфейсы не всемогущи - вы получите только те функции, которые заложил разработчик. Например, если помимо курсов по Linux со скидкой 50% вы захотите еще получить прогноз погоды в селе “Добрые Пчёлы” - то сорри, наш API пока так не умеет. Для добавления каждой такой новой функции программист должен разработать ее. API состоит из двух частей: это сам интерфейс взаимодействия, скажем так некий мост, портал, окно, а вторая часть - это его описание, которое отвечает на вопрос “а как этой штукой то пользоваться?” Взаимодействие может быть не только между клиентом и сервером, как в примере с нашей ИТ платформой, но и между серверами. Представьте: решили вы полететь в солнечный Дубай, купили билетик на сайте, а он вам еще и погоду показывает. Как же так! Неужели у компании по продаже билетов еще и метеорологические датчики по всему миру стоят, которые сообщают о погоде? Конечно нет - сайт с билетами взаимодействует с каким - то сервисом погоды по API, который как раз занимается погодными данными. А сайт с билетиками еще и скорее всего платит за каждый запрос небольшую денюжку. Кстати, API может быть не только у веб - сервисов, где общение происходит по протоколу HTTP. API есть и у операционных систем, для взаимодействия с самой операционкой и железом. Например, если вы создаете свой аналог инстаграма, то для работы с камерой на устройстве вам нужно взаимодействовать с API системы, которая уже знает как работать с камерой, а не придумывать что-то самому с нуля, да еще и для миллиона разных устройств. API действительно делает жизнь разработчика удобнее, а чтобы работа с API не превратилась в бардак, оно стандартизировано. Самый популярный, это конечно же REST API, но перед тем как перейти к нему, скажем пару слов про SOAP (Service Object Access Protocol), который появился несколько раньше и описывал правила синтаксиса для сообщений запросов и ответов, отправляемых веб-приложениями. Подробнее про SOAP - тут. Ну и все, кто поддерживал SOAP должны были обмениваться XML-сообщениями между системами через HTTP или SMTP. XML (Extensible Markup Language), он же расширяемый язык разметки - это формат для хранения и передачи данных, в котором данные размещены в тегах, что делает их легко читаемыми как для компьютера, так и для человека. Развиваясь, люди перешли на REST, который в отличии от SOAP не является протоколом, а является архитектурным стилем. В SOAP приходилось писать в разы больше кода и заворачивать каждое сообщение в XML. REST же делает данные доступными в качестве ресурсов, которые представлены уникальным URL-адресом, и можно запросить этот ресурс, указав его URL-адрес. Например чтобы посмотреть свои подписки на ютубе нужно выполнить запрос на вот такой адрес https://www.youtube.com/feed/subscriptions. Веб-API, соответствующие стандартам подхода REST, называются RESTful API. Они используют различные HTTP-запросы для работы с ресурсами, такие как GET - запрос, который используется для получения информации или POST, который в свою очередь нужен для отправки данных. RESTful системы поддерживают обмен сообщениями в различных форматах, таких как самый обычный текст, HTML формат, YAML, XML и JSON, в то время как SOAP разрешает только XML, как мы и сказали ранее. Самый популярный это конечно JavaScript Object Notation, он же JSON - простой и универсальный формат, который содержит в себе набор пар ключ:значение. Также хотим сказать про штуку, которая называется gRPC (Remote Procedure Calls) которая в основном используется для связи между разными сервисами и работает очень быстро благодаря тому что тут используется протокол HTTP/2 который работает гораздо быстрее засчет всяких новинок вроде сжатия хедеров, а вместо JSON или XML используется формат Protocol Buffers (protobuf), который работает быстрее и потребляет меньше ресурсов при работе с ним. Работает все это настолько быстро, что можно делать вызов к функции на другом сервере с такой же скоростью, как если бы она находилась на нашем. Подробнее про gRPC и Protobuf - тут Ну и не можем не сказать про модный GraphQL - это язык запросов для API который позволяет указывать точные данные, которые ему нужны, и упрощает получение и склейку данных из нескольких источников, поэтому разработчик может использовать один вызов API для запроса всех необходимых ему данных.
img
Друг! Приходилось ли тебе сталкиваться с задачами, связанными с настройкой захвата (копирования/зеркалирования) сетевого трафика на сетевом маршрутизаторе? И это не классическая SPAN/RSPAN или даже ERSPAN сессия. Начиная с версий 12.3 Cisco анонсировала фичу под названием IP Traffic Exporter. Настройка IP Traffic Exporter Давайте представим, что у нас есть IP – телефон с адресом 192.168.2.13 и его трафик мы хотим зеркалировать. Условно говоря, процесс настройки мы можем разбить на следующие конфигурационные шаги: Создаем ACL (access control list) для сопоставления трафика, который нас интересует; Создаем профиль для экспортера; Добавляем интерфейс в профиль; Конфигурируем направления для ACL; Назначаем IP Traffic Exporter на интерфейс; Начнем? Создаем ACL: access-list 100 permit 192.168.2.13 Далее, мы создадим профиль экспорта и назовем его EXP_PHONE. Настройку его сделаем в режиме захвата (capture). Внутри настройки профиля, мы укажем длину пакетов в 512 и повесим свежесозданный ACL 100: ip traffic-export profile EXP_PHONE capture outgoing access-list 100 length 512 Как и в других системах, в IOS необходимо применить вашу конфигурацию. Мы прыгаем в режим настройки интерфейса и включаем захват трафика. Сделать это можно следующим образом: interface FastEthernet1 ip traffic-export apply EXP_PHONE size 1024 В команде size мы задаем размер буфера для пакетов. Теперь, нам нужно включить экспортер трафика :) Чтобы сделать это, укажем следующие команды: interface FastEthernet1 merion# traffic-export interface fa1 start //данная команда начинает захват трафика merion# traffic-export interface fa1 stop //данная команда останавливает захват трафика merion# traffic-export interface fa1 copy flash: Capture buffer filename []? merion_dump Capture buffer copy operation to flash may take a while. Continue? [confirm] Copying capture buffer to flash:merion_dump 806 bytes copied. merion# Жара. Мы сделали копирование на flash память маршрутизатора. Помимо прочего ,вы можете указать следующие опции, кроме flash: archive, ftp, http, https, null, nvram, pram, rcp, scp, syslog, system, tftp, tmpsys, xmodem, ymodem. Проверить дамп очень просто – вы можете воспользоваться любой утилитой анализа сетевого трафика, например, Wireshark.
ВЕСЕННИЕ СКИДКИ
40%
50%
60%
До конца акции: 30 дней 24 : 59 : 59