Data Link – Weril

Network Security: L2 (switching) security

Layer 2 attacks

Если разрушить фундамент – разрушиться весь дом. Поэтому безопасность на канальном уровне крайне важна.

Disrupt the bottom of the wall and the top is disrupted too.

Рекомендация/технология и от чего защищает:

Select native vlan as unused vlan on trunk (not vlan 1) – vlan hopping attacks
Configure access ports as access ports – DTP attacks
Limit mac addresses by port security – CAM attacks, mac spoofing

BPDU guard/root guard – STP topology (DOS, MITM attacks)

Disable CDP/LLDP – reconnaissance attacks

Shut unused ports – Implicit deny/whitelisting/default deny: теория в security, пример практики в cisco ios nfp architecture
DHCP snooping – dhcp attacks, basic for DAI/IPSG (IP source guard)

DAI – arp spoofing attacks, rate limit

IPSG – ip spoofing attacks
Storm control – flood/DOS attacks
802.1x – authentication before access to network
ACL – control by policy

Network: DMVPN

Все статьи про VPN
- Базовая теория
- DMVPN
- L2VPN
- Remote Access VPN
- IPsec VPN и множественные его реализации, site-to-site VPN (эта статья)
- Пример практической настройки IPSec
  - IPSec VPN на Linux
  - IPSec VPN на Zyxel Keenetic
Хорошая презентация про DMVPN
DMVP стандартизирован в виде RFC и реализован напр.

Network: коммутаторы, VLAN (dot1q, private VLAN PVLAN, port isolation, traffic segmentation, etc), MAC (learning)

Разное

Настройка VLAN в Linux 1 2
Есть и QinQ
Рекомендации по настройке dot1q trunk на Cisco
- использовать отдельный vlan как native на trunk
- отключить этот vlan

sw2(config)#vlan 999
sw2(config-vlan)#name disabled_NATIVE
sw2(config-vlan)#shutdown
sw2(config-vlan)#end

Под vlan поле в Ethernet фрейме выделено 2^12 бит.

iOS заметки

iPhone c QuickCharge (начиная с iPhone 8) можно заряжать зарядкой от MacBook.
Изменить цвет иконок сверху (оператор, часы, заряд батареи) не просто, но можно путем экспериментов с dark appearance-light or dark theme/accessability->smart invert. Но цвета становятся совсем сумасшедшие/свайпы приложений убогими.

Настройка автоподключения к VPN

Используя L2TP сервер (напр.

Читать дальше

Network: стандарты Ethernet 802.3 (поля, скорость, LLC, SNAP, MTU, CSMA/CD, carrier delay, MAC address)

Разное

На коммутаторах Cisco, если автосогласование было неуспешно, то режим дуплекса будет таким: если скорость 10 или 100 Мбит/с – half-duplex; если выше – full-duplex.
Про qos отдельно
100G Ethernet внутри реализован как объединение 10Gx10 или 25Gx4. Одну линию с нужной частотой (требуется 100 ГГц вместо 10х10 ГГц, а если быть точным 10.3125Ghz или 25х4 ГГц/25.78125Ghz) пока слишком сложно сделать.

Network: эволюция производительности сетевых устройств и трансиверов (100G, 400G, 800G)

С точки зрения физики (про оценку см. глазковые диаграммы)
- 25G достаточно «нежный» интерфейс в сравнении с 10G
- 50G еще более
- 100G – это четыре 25G (4x25G lines), причем может отваливаться один из lane независимо от других (подробнее так же в глазковые диаграммы)
- 50G – это восемь 50G (8x50G)
Про новые модули до 800G в отдельной статье SFP: НОВЫЕ МОДУЛИ SFP28 (25G), QSFP28/CFP2-4 (100G), QSFP-DD (400G-800G), OSFP (400G-800G)
Сервера по линкам в 2021 (данные Ethernet Networking Division Intel на основе предсказания Dell):
50% – 10G
50% – over 10G
25G – 20%
50G – 20%
100G – 10%
100G карточки для серверов есть у Mellanox и Intel
- Mellanox/NVIDIA ConnectX5, ConnectX6
- Intel E810 (Q)SFP28
Ростелеком активно закупает 100G магистральное оборудование (напр.

Network: arp, ip neighbour discovery теория

статья по практике в Linux отдельно
статья по теории отдельно
на каком уровне работает arp – на третьем как mpls

ipv6

Neighbor Discovery Protocol (ND) – по сути аналог arp в сетях IPv6, работает на базе ICMP, а не как отдельное вложение в Ethernet.

Читать дальше

SAN на базе IP

Конспект вебинара HonorCup E=DC2 для сдачи HCNA Storage.

IP SAN – способ построения сети хранения поверх транспортной сети TCP/IP (на L2 может быть Ethernet или даже Wi-Fi). Для реализации IP SAN чаще всего используется протокол iSCSI. SCSI – де факто отраслевой стандарт передачи данных между приложением и СХД, а iSCSI (internet SCSI) позволил использовать его в IP сетях.

Читать дальше

Основы облачных технологий и виртуализации

Частично ниже инфа как конспект вебинара HonorCup E=DC2 для сдачи HCNA Cloud.
Описание терминов облачных вычислений можно посмотреть в документе NIST 800-145.
О облачных архитектурах можно почитать в документе NIST 500-292.
(тут и в НТ) Повторяемость результатов нагрузочных тестирований в облаке – отдельная боль и история.

Category: Data Link

Network Security: L2 (switching) security

Network: DMVPN

Network: коммутаторы, VLAN (dot1q, private VLAN PVLAN, port isolation, traffic segmentation, etc), MAC (learning)

Разное

iOS заметки

Настройка автоподключения к VPN

Network: LLDP, CDP

Network: стандарты Ethernet 802.3 (поля, скорость, LLC, SNAP, MTU, CSMA/CD, carrier delay, MAC address)

Разное

Network: эволюция производительности сетевых устройств и трансиверов (100G, 400G, 800G)

Network: arp, ip neighbour discovery теория

ipv6

SAN на базе IP

Основы облачных технологий и виртуализации