📝 Разбор квиза: NQ IP-адрес

Нурхат Габдоллаев (@networkthor) - эксперт по сетям (CCIE, HCIE) и автор блога в TikTok и Instagram.

Он объясняет доступным языком о сетях и DevOps для начинающих и не только. Network Quiz рекомендует 👍🏻

Ответ на вопрос “Есть IP-адрес 192.168.0.255. Что это за адрес?”, который он ранее задавал на своём TikTok-канале, на видео выше 👆🏻, либо по этой ссылке.

#netquiz_explanation #netquiz_ip_address

👤 Автор разбора квиза: @networkthor

📝 Разбор квиза: NQ Протокол в сетях Ethernet

Unidirectional Link Detection (UDLD) — проприетарный Cisco протокол второго уровня, созданный для автоматического обнаружения односторонней коммуникации на линиях связи до того, как это создаст проблемы, например петлю на уровне L2.

UDLD может быть использован, как для оптических, так и для линий связи на основе UTP (медный кабель).

#netquiz_explanation #netquiz_ethernet

👤 Автор разбора квиза: Surgeon

📝 Разбор квиза: NQ Механизм SSH

Проброс портов (SSH port forwarding) — это механизм в SSH, позволяющий безопасно “туннелировать” любой сетевой трафик поверх зашифрованного соединения SSH.

Представьте, что у нас есть два компьютера: «Локальная машина» и «Удалённый сервер». При обычном подходе, когда мы работаем с удалённым ресурсом, всё сообщение идёт напрямую в открытом виде (или через другие протоколы). Но при SSH Forwarding весь трафик перенаправляется через зашифрованный SSH-канал, обеспечивая безопасность передачи данных.

Вот несколько ключевых моментов, которые помогают понять, как это работает:

1️⃣ Локальный проброс (Local forwarding)

Вы «поднимаете» локальный порт (например, 9999) у себя на машине. Всё, что отправлено на этот локальный порт, автоматически шифруется и направляется к удалённому серверу. Там данные могут, например, попасть в какую-нибудь базу данных, веб-приложение или другой сервис, работающий на самом сервере или на машине, доступной серверу в сети.

2️⃣ Удалённый проброс (Remote forwarding)

Вы «открываете» порт на удалённом сервере. Данные, приходящие на этот порт на сервере, переадресовываются через SSH-туннель на ваш локальный компьютер. Это удобно, когда нужно, например, дать внешним пользователям доступ к какому-то сервису, который развёрнут у вас локально, не выставляя его напрямую в Интернет.

3️⃣ Динамический проброс (Dynamic forwarding)

SSH может выступать в роли прокси-сервера (SOCKS-прокси), принимая запросы на одном порту и перенаправляя их через зашифрованный канал к нужному пункту назначения. Это удобно для просмотра веб-страниц через зашифрованное соединение, чтобы спрятать ваш реальный источник трафика и обеспечить дополнительную безопасность.

Таким образом, SSH Forwarding (проброс портов) помогает обернуть небезопасное или нежелательное в прямом виде сетевое соединение в зашифрованный канал SSH. Другие предложенные варианты (Mirroring, Proxy SSH Routing, SSH VPN Mode и т.д.) — это не устоявшиеся или неверные названия стандартных функций, а «SSH Forwarding» (SSH Port Forwarding) — именно тот термин, который описывает данный механизм.

#netquiz_explanation #netquiz_protocol

👤 Автор разбора квиза: @Oleh_C

📝 Разбор квиза: NQ Маршруты по умолчанию

Часто команда "ip default-gateway" используется на оборудовании Cisco, которое не имеет функции маршрутизации: L2-коммутаторы.

Команда "ip route 0.0.0.0 0.0.0.0" используется на оборудовании с функцией маршрутизации: маршрутизаторы, L3-коммутаторы.

#netquiz_explanation #netquiz_routing #netquiz_cisco

👤 Автор разбора квиза: Surgeon

📝 Разбор квиза: NQ Перекрестный кабель

Итоги квиза про пары устройств, которые соединены между собой кабелем 100BASE-T UTP и требуют использования перекрестного кабеля, который ДОКТОРСОФТ✅️ ранее задавала на нашем и своём канале, доступны в её TikTok-канале.

Также в видео были выбраны лучшие комментарии от каждого из каналов.

#netquiz_explanation #netquiz_cable

👤 Автор разбора квиза: doctorsoft.pro - канал про сетевое и системное администрирование в TikTok

​​📝 Разбор квиза: NQ Адреса назначения

• Квиз:

С компьютера PC1 был отправлен пакет на SRV1. Какие будут MAC-адрес и IP-адрес назначения на промежуточном этапе 3?

Рассмотрим промежуточные этапы, указанные желтым цветом в топологии квиза:

▶️ Промежуточный этап 1-2

PC1 собирается отправить пакет на SRV1. IP-адрес известен - 10.2.0.20. MAC-адрес нет.

При вычислении выявлено, что SRV1 находится в другой сети, поэтому пакет будет отправлен на шлюз - 10.0.0.1 (R1 Gi0/1). В качестве MAC-адреса назначения будет указан MAC-адрес на интерфейсе Gi0/1 маршрутизатора R1.

MAC-адрес назначения - .DDD1
MAC-адрес источника - .AAAA
IP-адрес источника - 10.0.0.10
IP-адрес назначения - 10.2.0.20

▶️ Промежуточный этап 3

Маршрутизатор R1 отбрасывает заголовок канального уровня (L2) и рассматривает заголовок сетевого уровня (L3). В пакете указан IP-адрес назначения - 10.2.0.20. В таблице маршрутизации будет указано, что сеть 10.2.0.0/24 доступна через интерфейс Gi0/0.

Поэтому, к пакету будет добавлен заголовок L2 с другими MAC-адресами. Источник - MAC-адрес на Gi0/0 R1, назначение - Gi0/0 R2.

MAC-адрес назначения - .EEE2
MAC-адрес источника - .DDD2
IP-адрес источника - 10.0.0.10
IP-адрес назначения - 10.2.0.20

▶️ Промежуточный этап 4-5

Маршрутизатор R2 при получении пакета делает то же самое, что и R1. Отбрасывает заголовок L2 и рассматривает заголовок L3. IP-адрес назначения 10.2.0.20 доступен через интерфейс Gi0/1.

Будет добавлен заголовок L2 с MAC-адресом SRV1 в качестве назначения.

MAC-адрес назначения - .CCCC
MAC-адрес источника - .EEE3
IP-адрес источника - 10.0.0.10
IP-адрес назначения - 10.2.0.20

Итог: в ходе всего пути пакета IP-адресация остается неизменной, MAC-адресация будет меняться при прохождении через оборудование L3.

#netquiz_explanation #netquiz_layers

👤 Автор разбора квиза: @nurkeynw

Попытка 2: ping 172.10.200.2 size 1400

Такой пакет необходимо будет фрагментировать, чтобы передать через vlan200 на sw2, потому что MTU 1300 байт меньше, чем размер IP пакета. Sw2 получает пакет размера 1400 от sw1 и фрагментирует его.

Sw2 отправляет в сторону ПК:
🌼Фрагмент 1: 14 (ethernet заголовок) + 20 (IP заголовок) + 104 = 138 байт
🌼Фрагмент 2: 14 + 20 + 1276 = 1310 байт
Исходный пакет: 20 + 104 + 1276 = 1400 байт

В дампе мы можем видеть фрагментацию на примере пакетов 125-127.

Длина кадров под номерами 126-127 на 4 байта больше, чем выше в расчете, потому что в них присутствует тег 802.1q. Их вообще не должно быть видно на интерфейсе sw2 gi0/1, но, как выше было сказано, это особенности интерфейсов в eve-ng.

1️⃣ ⬇️ sw1 vlan100 (MTU: 1500)
2️⃣ ⬇️ sw1 Gi0/1 (MTU: 1500)
3️⃣ ⬇️ sw2 Gi0/1 (MTU: 1500)
4️⃣ ⬇️ sw2 vlan100 (MTU: 1500)
5️⃣ ⬇️⬇️ sw2 vlan200 (MTU: 1300)
6️⃣ ⬇️⬇️ sw2 Gi0/2 (MTU: 1500)
7️⃣ ⬇️⬇️✅ ПК Eth1 (MTU: 1300)

Попытка 3: ping 172.10.200.2 size 1400 df-bit

В команде указана опция df-bit, и в заголовке IP пакета бит Don't Fragment будет иметь значение 1.

Sw2, получив такой пакет, не сможет его фрагментировать и передать через интерфейс vlan200 и отправит источнику сообщение ICMP Destination Unreachable - fragmentation needed and DF set. Внутри этого сообщения есть указание Next hop MTU, которое используется в Path MTU Discovery (RFC1191). На скриншоте выше в дампе как раз видно, что Next hop MTU = 1300.

Когда Cisco получает такое ICMP-сообщение в ответ на ping, в выводе появляется буква M - она указывает на проблему с MTU (Could not fragment).

1️⃣ ⬇️ sw1 vlan100 (MTU: 1500)
2️⃣ ⬇️ sw1 Gi0/1 (MTU: 1500)
3️⃣ ⬇️ sw2 Gi0/1 (MTU: 1500)
4️⃣ ⬇️ sw2 vlan100 (MTU: 1500)
5️⃣ ❌ sw2 vlan200 (MTU: 1300)
6️⃣ sw2 Gi0/2 (MTU: 1500)
7️⃣ ПК Eth1 (MTU: 1300)

Некоторые моменты:

▫️ Речь идёт только об IPv4;

▫️ MTU - Maximum Transmission Unit - максимальный размер payload фрейма в байтах. Payload не включает в себя заголовки L2 (в данном примере это Ethernet, 802.1q)

▫️ Cisco при указании size в команде ping формирует IP-пакет указанного размера. То есть, если указали 64, то (IP заголовок + ICMP заголовок + данные) = 64 байта. Немного сравнения с поведением других ОС здесь.

▫️ Почему отправлено 5 пингов, но получено всего 3 сообщения ICMP Unreachable?

Для ICMP Unreachable есть rate-limit, который по умолчанию на Cisco равен 500 мс. Его можно проверить командой show ip icmp rate-limit.

#netquiz_explanation #netquiz_routing #netquiz_cisco

👤 Автор разбора квиза: @prinesite_popugaya

📝 Разбор квиза: NQ Согласование параметров Ethernet

Auto-Negotiation – это механизм, определенный стандартом IEEE 802.3u, который позволяет автоматизированно согласовать между двумя подключаемыми устройствами их рабочие параметры, такие как скорость и режим дуплекса (duplex mode). Вместо передачи служебных пакетов, в этом процессе используются специальные сигнальные импульсы, известные как Fast Link Pulses (FLP bursts).

Подробно механизм работает следующим образом:

1️⃣ Инициализация соединения

При установлении физической связи каждое устройство начинает периодически отправлять FLP bursts. Эти короткие импульсные сигналы предназначены для уведомления соседа о текущих возможностях устройства.

2️⃣ Обмен информацией о возможностях

Каждый FLP burst содержит зашифрованную информацию о поддерживаемых скоростях (например, 10 Mbps, 100 Mbps, 1 Gbps) и режимах дуплекса (half или full duplex). Получая такие сигналы от другого устройства, оборудование фиксирует список возможностей для дальнейшего сопоставления.

3️⃣ Алгоритм выбора общих параметров

После обмена информацией устройства сопоставляют свои возможности. Алгоритм Auto-Negotiation выбирает наибольшую общую конфигурацию, зачастую отдавая предпочтение более высокой скорости и full-duplex режиму, если оба устройства это поддерживают. Это обеспечивает оптимальное использование физического канала без необходимости ручной настройки.

4️⃣ Установка параметров

Как только общий набор параметров найден, оба устройства «перезагружают» свои интерфейсы с выбранными настройками, обеспечивая корректное функционирование канала связи. При этом процесс происходит автоматически, без вмешательства администратора.

#netquiz_explanation #netquiz_ethernet

👤 Автор разбора квиза: @europeiz

📝 Разбор квиза: NQ Unique Local IPv6

Рассмотрим все типы IPv6 Unicast адресов:

▫️ Global Unicast - 2000::/3

Аналогичен публичным адресам IPv4, которые маршрутизируются в Интернете. В настоящее время для Global Unicast могут использоваться только первые три бита IPv6-адреса (001).

▫️ Link-Local - fe80::/10

Используются для связи внутри одного канала и не маршрутизируются за пределы этого канала. Могут генерироваться или устанавливаться вручную на оборудовании IPv6. Генерация производится либо рандомно, либо с помощью метода EUI-64.

▫️ Loopback - ::1/128

Для проверки стека протоколов TCP/IP на сетевом адаптере, или другими словами - для отправки пакета самому себе. Адрес не может быть назначен на физический интерфейс.

▫️ Unspecified - ::/128

Не должен назначаться на интерфейс и может быть использован только в качестве IPv6-адреса источника в пакете IPv6. Такая ситуация может возникнуть в случае, если пакет будет сгенерирован устройством, ещё не изучившим свой IPv6-адрес.

▫️ Unique Local - fc00::/7

Есть что-то схожее с частными (private) IP-адресами, которые не маршрутизируются в Интернете и используются только внутри локальной сети. Но нюанс в том, что Unique Local IPv6-адрес не может быть преобразован в Global Unicast. Например, такой адрес можно назначить устройству, который должен быть доступен внутри локальной сети, но которому никогда не нужно выходить в Интернет.

▫️ Embedded IPv4 - ::/80

Используются для перехода с IPv4 на IPv6. В поле IPv6-адреса последние 32 бита выделены под IPv4-адрес.

#netquiz_explanation #netquiz_ipv6_address

👤 Автор разбора квиза: @nurkeynw

Источники: RFC 4291, IANA, Cisco Press

📝 Разбор квизов от Сергея Бочарникова

Сергей Бочарников - автор канала @like_a_bus_channel. Он пишет о сетевых технологиях, с акцентом на ЦОДы, IP/MPLS и автоматизацию. Рекомендуем к подписке 👍🏻

NQ Link-local в сетях ЦОДов

💡Где нашла применение технология link-local в сетях ЦОДов?

С помощью BGP unnumbered можно автоматизировать настройку пиров и упростить тем самым конфигурацию BGP. Реализуется это с помощью link-local адресов и RFC 8950, которое позволяет анонсировать IPv4-адреса поверх IPv6-адресов.

NQ Технология FlowSpec

💡С помощью какого протокола реализована технология FlowSpec?

С помощью BGP, т.к. это одно из его расширений (AFI/SAFI 1/133 и 1/134), которое позволяет с помощью аттрибута extcommunity передавать пиру информацию по необходимым параметрам QoS и тем самым реализовывать защиту от DDoS атак. Более детально описана в RFC 8955.

#netquiz_explanation #netquiz_technologies

👤 Автор разбора квиза: @like_a_bus