В основном обновление ядра Linux потребует перезагрузки системы.
Новое ядро не вступает в силу до перезагрузки системы.
В среднем ядро Linux получает обновления безопасности и исправления ошибок примерно раз в месяц.
Для критической системы мы не можем планировать время простоя один раз в месяц, потому что у нее много зависимостей, и мы не получим одобрение руководства.
Как преодолеть это? Да, у нас есть опция в Oracle Premier Support.
Она называется Ksplice.
Что такое Ksplice
Oracle Ksplice позволяет поддерживать безопасность и доступность ваших систем, позволяя вам обновлять свои системы с помощью последних исправлений безопасности ядра и других критических обновлений.
Он обновляет текущее изображение ядра без необходимости перезагрузки.
Он обновляет текущее ядро в памяти.
Обновление Ksplice вступает в силу сразу же после его применения.
Это не изменение на диске, которое вступает в силу только после последующей перезагрузки.
Убедитесь, что ваша система должна быть зарегистрирована в Unbreakable Linux Network (ULN), чтобы использовать Ksplice.
Вы можете использовать Oracle Ksplice, если у вас есть учетная запись поддержки Oracle Linux Premier.
Обратитесь к следующему URL-адресу для регистрации системы с помощью Unbreakable Linux Network (ULN).
После того, как вы прошли регистрацию в Unbreakable Linux Network (ULN), подпишите свои системы на канал Ksplice для Oracle Linux и установите на них программное обеспечение Ksplice Uptrack
Как зарегистрировать систему для использования Oracle Ksplice в ULN
Если у вас уже есть учетная запись в ULN, вы можете зарегистрировать свою систему для использования Ksplice Uptrack.
Нажмите кнопку регистрации Ksplice Uptrack Registration на домашней странице ULN и выберите идентификаторы поддержки клиентов (CSI), которые вы хотите использовать, и нажмите «Register».
На экране отображается подтверждение, что была создана учетная запись Ksplice, и письмо электронной почты, содержащее ключ доступа Ksplice.
То же самое было проверено через портал ULN.
Используйте учетную запись Oracle SSO для входа в веб-интерфейс Ksplice по адресу https://status-ksplice.oracle.com/ и регистрации систем.
На данный момент система не зарегистрирована. То же самое было проверено на следующем скриншоте.
Как установить Ksplice Uptrack
Просто запустите следующие команды для установки Ksplice Uptrack.
Убедитесь, что вы запускаете следующие команды как root.
Он предлагает скрипт установки, поэтому запустите следующие команды как root и замените YOUR_ACCESS_KEY своим ключом доступа.
Если вы хотите включить автоматическое обновление, установите autoinstall = yes в файле /etc/uptrack/uptrack.conf после установки.
# wget -N https://www.ksplice.com/uptrack/install-uptrack
# sh install-uptrack YOUR_ACCESS_KEY
В качестве альтернативы мы можем добавить параметр –autoinstall в команду install-uptrack.
# sh install-uptrack YOUR_ACCESS_KEY --autoinstall
По умолчанию Ksplice Uptrack будет переустанавливать перезагружаемые обновления во время процесса загрузки, чтобы вы оставались в безопасности даже после перезагрузки.
Вы можете настроить это поведение, изменив параметр install_on_reboot в /etc/uptrack/uptrack.conf.
# vi /etc/uptrack/uptrack.conf
install_on_reboot = [no or yes]
Да, теперь я могу видеть список зарегистрированных систем.
Просмотр доступных обновлений и установленных обновлений.
Используйте приведенную ниже страницу, чтобы разрешить или запретить системе использовать ksplice uptrack.
Чтобы перечислить доступные обновления Ksplice, используйте следующие команды uptrack-upgrade.
# uptrack-upgrade -n
или
# uptrack-show --available
Available updates:
[fiq04xbb] CVE-2013-2237: Information leak on IPSec key socket.
[9q4luou3] CVE-2014-3687: Remote denial-of-service in SCTP stack.
Чтобы установить все доступные обновления Ksplice:
# uptrack-upgrade -y
The following steps will be taken:
Install [guclwyc2] CVE-2012-0957: Information leak in uname syscall.
Install [j4d07e02] Kernel panic in IPv4 ARP and IPv6 Neighbor Discovery.
Install [r8og1ec4] CVE-2013-1979: Privilege escalation with UNIX socket credentials.
Install [fiq04xbb] CVE-2013-2237: Information leak on IPSec key socket.
Install [9q4luou3] CVE-2014-3687: Remote denial-of-service in SCTP stack.
Installing [guclwyc2] CVE-2012-0957: Information leak in uname syscall.
Installing [j4d07e02] Kernel panic in IPv4 ARP and IPv6 Neighbor Discovery.
Installing [r8og1ec4] CVE-2013-1979: Privilege escalation with UNIX socket credentials.
Installing [fiq04xbb] CVE-2013-2237: Information leak on IPSec key socket.
Installing [9q4luou3] CVE-2014-3687: Remote denial-of-service in SCTP stack.
Your kernel is fully up to date.
Effective kernel version is 3.8.13-118.20.3.el6uek
Просмотр установленных обновлений.
# uptrack-show
Installed updates:
[guclwyc2] CVE-2012-0957: Information leak in uname syscall.
[j4d07e02] Kernel panic in IPv4 ARP and IPv6 Neighbor Discovery.
[r8og1ec4] CVE-2013-1979: Privilege escalation with UNIX socket credentials.
После запуска команды uptrack-upgrade мы можем видеть, как эффективное ядро запускает компьютер.
Ksplice Uptrack не изменяет вывод uname. Запустите uptrack-uname, чтобы увидеть обновленное запущенное ядро на машине.
# uptrack-remove -y
или
# uptrack-remove --all
The following steps will be taken:
Remove [guclwyc2] CVE-2012-0957: Information leak in uname syscall.
Remove [j4d07e02] Kernel panic in IPv4 ARP and IPv6 Neighbor Discovery.
Remove [r8og1ec4] CVE-2013-1979: Privilege escalation with UNIX socket credentials.
Remove [fiq04xbb] CVE-2013-2237: Information leak on IPSec key socket.
Remove [9q4luou3] CVE-2014-3687: Remote denial-of-service in SCTP stack.
Netflow , протокол, разработанный Cisco, используется для сбора и записи всех IP-трафика, идущих с маршрутизатора или коммутатора Cisco, который включен Netflow. Он позволяет собирать трафик и анализировать его с помощью программы (обычно называемой сборщиком или анализатором Netflow ), которая затем организует записи потока в формате, который позволяет ИТ-администратору или сетевому инженеру дополнительно анализировать трафик (источник, пункт назначения и т. Д.).
Этот протокол позволяет вам действительно развернуться в своем сетевом трафике, чтобы узнать, откуда идет источник трафика, и где он также предназначен, когда устраняются проблемы с медленными сетевыми соединениями LAN или WAN. Сам протокол не анализирует трафик, но, как упоминалось ранее, при правильной настройке он отправляет трафик на сборщик или анализатор , который является либо аппаратным устройством, либо чаще, чем программным обеспечением.
Первоначально Cisco разработала протокол для своих продуктов, и вскоре после этого он стал стандартом, который многие другие производители также внедряют в свои продукты, включая Juniper (который имеет «JFlow»), 3Com / HP, Dell и Netgear (SFlow), Ericsson (RFlow), Huawei (NetStream) и Alcatel-Lucent (который использует CFlow).
Основы Протокола
Netflow состоит из двух компонентов:
NetFlow Cache (иногда называемый источником данных или потоковым кэшем) — хранит информацию о потоке IP.
Механизм экспорта или транспорта Netflow — это отправляет данные в коллекционер для дальнейшей отчетности и анализа данных.
Когда пакет входит в интерфейс, который ранее не видел маршрутизатор / коммутатор, он будет решать, следует ли маршрутизировать датаграмму, и если он переадресует дейтаграмму, он сделает запись в потоковом кэше (в маршрутизаторе или коммутаторе) на основе критериев соответствия в пакете.
Каждый пакет в переадресованном коммутаторе / маршрутизаторе проверяется на определенный набор атрибутов IP-пакетов, которые идентифицируют пакет и другие. (Вы можете думать об этом как о отпечатках пальцев.) Ip Flow состоит из набора из 5 атрибутов и может иметь до 7 баллов.
Атрибуты 1 каждого IP-пакета следующие:
IP-адрес источника
IP-адрес назначения
Порт источника
Порт назначения
Тип протокола 3-го уровня
Класс обслуживания
Интерфейс маршрутизатора или коммутатора
Пакеты имеют следующие атрибуты, которые являются САМЫМИ, сгруппированы в так называемые FLOW, которые затем подсчитываются: IP-адрес источника / получателя, порты источника / адресата, интерфейс протокола и класс обслуживания.
Определение потока масштабируется, поскольку эти данные и информация организованы в базу данных Netflow, называемую Netflow Cache, или Flow Cache.
Кэш потока
Элемент Flow Cache содержит информацию о потоке, включающую следующее:
IP-адреса назначения
Исходные IP-адреса
Номер порта назначения
Номер исходного порта
Исходный интерфейс,
Тип протокола уровня 3,
ToS Byte — (означает байт типа обслуживания и учитывает приоритет, скорость, пропускную способность и надежность
Входной логический интерфейс (ifIndex) (интерфейс маршрутизатора или коммутатора)
Затем пакет маршрутизируется через интерфейс назначения. Поскольку в маршрутизатор входят следующие пакеты, которые соответствуют существующей записи потока, счетчики байтов и пакетов продолжают увеличиваться через каждый дополнительный грамм данных до тех пор, пока соединение между хостом, участвующим в потоке, не будет снесено.
Таким образом, пакеты, которые вводят маршрутизатор, у которого нет соответствующей записи потока, сначала определяются как маршрутизируемые, и если они приняты, они затем отправляются после записи потока потока. Кэш потока может содержать сотни тысяч записей, а в некоторых случаях — в миллионы записей. Когда потоки истекают, они экспортируются в сборщик Netflow , который будет постоянно анализировать и архивировать потоки для дальнейшего использования. Затем сборщик Netflow может предоставить подробную информацию о таких вещах, как обнаруженные угрозы, топология сети, верхние интерфейсы и график этих тенденций. Netflow используется для поиска полосчатых свиней, поиска сетевых угроз, изоляции проблем медленности приложений и даже для биллинга на основе использования некоторыми провайдерами.
Netflow версии 9, которая теперь является стандартом IETF, известным как IP Information Export (IPFIX), является новым стандартом для транспортировки информации от коммутаторов и маршрутизаторов в коллектор . Многие поставщики оборудования теперь используют IPFIX, который является официальным стандартом для всех технологий потока. Как Netflow, так и IPFIX могут выполняться на аппаратном или программном обеспечении, они могут использоваться для экспорта информации в режиме реального времени, вплоть до второго, и они могут использоваться как для выборки потока, так и для пакетов, подобно SFLOW.
История Netflow
Как уже упоминалось ранее, Netflow был задуман в Cisco Systems и в настоящее время является основным стандартом, который включен в почти каждый маршрутизатор бизнес-класса и коммутатор, который производил Cisco и другие производители. До Netflow сетевые инженеры и администраторы в основном полагались на протокол SNMP (Simple Network Management Protocol) для мониторинга сетевого и интернет-трафика в своих LAN и WAN-соединениях.
SNMP отлично подходит для мониторинга сетевых устройств и планирования пропускной способности, но ему не хватает более подробного и интенсивного трафика и использования и использования полосы пропускания. Роланд Добинс, сетевой инженер в группе Internet Services в Cisco, сказал: «Нам нужно более подробное понимание того, как используется пропускная способность Cisco», 1 . Вскоре Cisco представила технологию Netflow в 1996 году, которая позволила глубже понять, характеризовать и обеспечить возможность дальнейшего анализа потоков сетевого трафика с использованием специализированной интегральной схемы (ASIC), связанной с конкретными приложениями, в сочетании с функциями программного обеспечения Cisco IOS Firmware и Catalyst OS.
К 2003 году Netflow версии 9 от Cisco будет выбрана в качестве IETF (Целевая группа по разработке Интернета, которая предлагает стандарты для Интернета, в первую очередь TCP / IP), официально называемые IPFIX , или IP Flow Information Export.
Для дополнительного чтения о том, что Netflow и как вы можете использовать его для мониторинга и анализа вашей сети, ознакомьтесь с этими документами для более глубокого чтения.
Не весь интернет-трафик равен. Потоковое видео высокой четкости или наличие бесплатного Skype-звонка, вероятно, более важно для вас, чем загрузка большого файла. Функция качества обслуживания на вашем маршрутизаторе позволяет вам определять приоритеты в отношении вещей, о которых вы заботитесь, поэтому они происходят быстрее, чем то, что вы не делаете.
Что такое качество обслуживания?
Качество обслуживания — отличный и недостаточно используемый инструмент, который позволяет вам обучать ваш маршрутизатор, чтобы разделить вашу доступную пропускную способность между приложениями. С хорошими правилами QoS вы можете убедиться, что потоковое видео не заикается, потому что большой файл загружается одновременно или что ваш рабочий ноутбук не вялый, когда вы пытаетесь выполнить этот последний крайний срок, пока ваши дети играют в игры онлайн.
Это может помочь подумать о качестве обслуживания следующим образом: давайте притворимся на мгновение, что ваше интернет-соединение — это больница, где доступная полоса пропускания — это количество врачей, доступных для лечения пациентов. Пациенты — это разные приложения, а медсестра-сортировщик — это роутер.
В обычной сети медсестра с сортировкой безразлична к состоянию входящих пациентов и просто назначает их любым доступным врачам, постепенно распространяя персонал больницы тоньше и тоньше, не учитывая тяжести ситуации пациента. Случайно прострелил руку с помощью гвоздя во время проекта DIY? Немедленно обратитесь к врачу. Кто-то просто пробежал грузовик? Они сразу же получают врача. У кого-то еще появляется сломанная рука? Они тоже получают врача (но если он действительно очень занят, то вскоре люди делят врачей, и никто не получает особо быстрого ухода). Вы можете видеть, как в короткие сроки больница будет увязшей в беспорядке, и пациенты с высоким приоритетом не будут получать высокоприоритетную помощь.
То же самое происходит и в вашей сети на дому — пропускная способность выдается по мере необходимости, без особого внимания к тому, что делает каждое приложение. Это означает, что если вы разговариваете по телефону с вашим боссом, и ваши дети начинают смотреть Netflix, качество вашего звонка в Skype может снизиться. Маршрутизатор делает все возможное, чтобы предоставить доступную пропускную способность между двумя службами, а не учитывая, что «более важно».
QoS визуализируется с использованием приоритетной модели на основе сервисов.
Качество обслуживания, чтобы вернуться к аналогии с нашей больницей, похоже на очень компетентную медсестру для кормления, которая направляет пациентов к правильному врачу самым эффективным способом: парень, который только что наткнулся на грузовик, получит несколько врачей и сидящий там парень с гвоздем, застрявшим в руке от птичьего домика, подождет минутку другого врача.
Сети с примененной моделью качества обслуживания будут расставлять приоритеты, как вы укажете, определенным приложениям, службам и/или пользователям над другими, так что важные вещи (Netflix, Skype-звонки, ваш Xbox Live-соединение и т. Д.) Имеют наибольшую пропускную способность и лучшее время пинга.
Как включить качество обслуживания вашего маршрутизатора
Есть сотни разных маршрутизаторов, где есть совершенно разные прошивки и возможности. Некоторые маршрутизаторы имеют параметры качества обслуживания, которые столь же упрощенны, что и вы можете расставить приоритеты трафика с одного компьютера на другой. В некоторых из них вы указываете, какие услуги вы хотите установить приоритет (например, потоковое видео через просмотр веб-страниц), а другие предлагают подробный контроль над почти всеми аспектами процесса.
Хотя мы не можем провести вас через вашу точную настройку маршрутизатора, мы можем выделить ключевые соображения, связанные с настройкой правил качества обслуживания. Для демонстрационных целей мы включим правила качества обслуживания на маршрутизаторе, чтобы запустить универсальную прошивку DD-WRT сторонних производителей . Вам нужно будет зайти на страницу администрирования своего собственного маршрутизатора, чтобы узнать, какие из них доступны для вас. Прежде чем продолжить, мы настоятельно рекомендуем проверить онлайн-документацию для вашего маршрутизатора на веб-сайте производителя, чтобы определить, какие настройки QoS поддерживают ваш маршрутизатор, а также как обращаться к ним.
Шаг первый: определите свою цель
Прежде чем вы откроете свою страницу администратора, подумайте о своих целях. Что вы пытаетесь выполнить с помощью правил качества обслуживания? Вы хотите, чтобы ваш домашний офисный компьютер всегда имел приоритет над всеми другими устройствами в доме (например, весь ваш рабочий трафик всегда должен быть более важным, чем развлечение и игры на других устройствах)? Вы хотите определить приоритет трафика из блока IP-адресов, назначенных вашему домашнему медиа-серверу и серверу Minecraft, чтобы обеспечить быстрый доступ из-за пределов вашей домашней сети? Вы хотите установить приоритет Netflix, чтобы ваше потоковое видео всегда было гладким?
Для использования в жилых помещениях правила QoS должны быть выборочными и минимальными. Не сходите с ума и задайте дюжину различных правил прямо из ворот. Создание множества различных правил качества обслуживания может вызвать больше головных болей, чем они решают, мы рекомендуем вам начать с самой большой проблемы и создать правило для борьбы с ней. Если это устраняет проблемы с вашей сетью, остановите их. Если нет, вы можете продолжить с другим правилом.
Шаг второй: определите скорость соединения
После того, как вы установили свои цели для настройки QoS, пришло время погрузиться в ее запуск и запуск. Сохраните для самых простых систем QoS, почти каждая настройка QoS спросит о вашей скорости загрузки и загрузки, чтобы установить ограничения на то, сколько пользователей и сервисов пропускной способности могут сожрать. Абсолютно не полагайтесь на рекламируемую скорость, которую ваш интернет-провайдер говорит о вашей учетной записи. Испытай сам, чтобы получить истинное измерение.
Во-первых, прекратите все действия с высокой пропускной способностью в вашей сети: прекратите большие загрузки, остановите поток Netflix и так далее. Вы хотите получить точную картину вашей реальной доступной загрузки и загрузки.
Затем нажмите Speedtest.net и нажмите кнопку «Начать тест». В идеале вы должны выполнить этот тест, пока ваш компьютер подключен к кабелю Ethernet или, по крайней мере, к быстрому соединению Wi-Fi (с использованием современных беспроводных технологий, таких как Wireless N или Wireless AC ). Старое сетевое оборудование Wi-Fi может помешать вашему сетевому тесту, и вы не получите точных результатов (например, ваша передача Wi-Fi может обрабатывать только передачу 40 Мбит / с, но ваше соединение действительно способно на 75mpbs).
После того, как у вас есть результаты, преобразуйте числа с Mbps в Kbps (поскольку настройка управления QoS обычно запрашивает эти значения в килобитах, а не в мегабитах). Вы можете сделать это, умножив каждое значение на 1000. Таким образом, в нашем примере выше мы достигли 42 900 Кбит / с для нашей пропускной способности загрузки и 3980 Кбит / с для нашей полосы пропускания.
Шаг третий: включение QoS на вашем маршрутизаторе
Опять же, для акцента мы используем DD-WRT для демонстрационных целей (потому что у него есть надежная система QoS); вам необходимо применить общие принципы, если это применимо.
Сначала откройте страницу администратора вашего маршрутизатора. Откройте веб-браузер и введите IP-адрес вашего маршрутизатора в адресную строку (обычно что-то вроде 192.168.1.1 или 10.0.0.1, хотя вам может потребоваться проверить руководство вашего маршрутизатора). Войдите в систему с вашим именем пользователя и паролем при появлении запроса (опять же, если вы не знаете, что у вас есть, оно может по-прежнему быть по умолчанию, указанным в вашем руководстве).
После входа в систему выберите вкладку NAT / QoS, а затем вкладку QoS. Сначала выберите «Включить» рядом с «Запуск QoS». Оставьте порт установленным в WAN. Оставьте диспетчер пакетов и Queuing Discipline установленным по умолчанию (он должен быть установлен автоматически на основе оборудования маршрутизатора).
Наконец, заполните значения нисходящей линии связи и восходящей линии связи. Значения, которые вы заполняете, должны быть на 80-95% выше, чем у вашего теста скорости. Умножьте оба значения на 0,8 или 0,95, чтобы получить уменьшенную величину Kbps.
Зачем использовать уменьшенное значение? Правила качества обслуживания работают только в том случае, если маршрутизатор и алгоритм качества обслуживания могут создать искусственное узкое место для перенаправления трафика, поскольку обработчик QoS сочтет нужным. Если вы используете значения, равные или превышающие максимальную пропускную способность вашего соединения, вы даете обработчику QoS никакого пространства для маневра, и система становится значительно менее эффективной.
Как определить приоритет трафика
После того, как вы включили Quality of Service, пришло время создать основные правила приоритизации трафика.
Некоторые новые маршрутизаторы имеют мертвые простые параметры QoS, где вы просто выбираете сервисы, которые вы хотите расставить по приоритетам (или перетаскивайте их в список). Вот, к примеру, это скриншот от нового маршрутизатора ASUS, который у нас есть:
Если это все, что вам нужно, и ваш маршрутизатор имеет эту функцию, попробуйте и посмотрите, что работает. Но если вам нужен более мелкий контроль, или у вас есть более старый маршрутизатор, у которого нет такой простой настройки, вот несколько более подробных инструкций по настройке QoS.
Приоритет службы
Если вы хотите, чтобы каждое устройство в вашей сети имело приоритетный доступ к определенному приложению или сервису, вы можете создать правило приоритета службы сети. Скажем, для примера, вы хотите убедиться, что Netflix получает приоритет за менее чувствительные к пропускной способности вещи, такие как общий просмотр веб-страниц. Сначала вы выберите услугу в раскрывающемся меню, как показано ниже, а затем нажмите «Добавить».
После того, как сервис указан, выберите приоритет, который вы хотите использовать для этого.
Приоритет по интерфейсу
В сетевом языке «интерфейс» — это метод, с помощью которого ваше устройство подключено к сети. Вы можете установить приоритеты в локальной сети Ethernet, вы можете назначить приоритеты беспроводным соединениям, или вы даже можете установить правила, которые делают сетевой трафик для гостей невысоким.
Давайте посмотрим, как мы можем сделать гостевой сетевой трафик низким приоритетом. В раскрывающемся меню мы выберем «wl0.1», который в сетевом сокращении будет виртуальной локальной сетью № 0. Виртуальная сеть 1. Нажмите «Добавить».
После того, как вы добавили интерфейс, вы можете указать максимальную скорость загрузки / скачивания и даже приоритизировать службы на конкретном соединении, как показано на скриншоте ниже.
Приоритет интерфейса заключается в том, что из-за необходимых знаний о схемах тайного сетевого наименования используется одна из наиболее сложных систем приоритета.
Приоритет устройства с IP-адресами
Предположите, что вы всегда должны указывать определенное устройство, такое как ваш рабочий компьютер. Если вы используете статические IP-адреса или резервирования DHCP в своей сети, вы можете определить приоритет трафика на определенных компьютерах и устройствах, используя их IP-адрес. Многие маршрутизаторы допускают это, и DD-WRT делает шаг дальше, позволяя вам назначать приоритет группе IP-адресов с помощью «сетевой маски».
Скажем, например, что вы хотите, чтобы ваш домашний сервер, расположенный на статическом IP-адресе 10.0.0.200, имел доступ с наивысшим приоритетом к вашей сети. Вы должны ввести адрес в разделе «Приоритет сетевой маски» и добавить конец с 32, как показано ниже.
Элемент 32 — это сетевая маска. Подробное обсуждение использования netmask немного выходит за рамки этого руководства, но достаточно сказать, что маска / 32 — это сокращение сетевой маски для «только для разрешения этого единственного IP-адреса». Любое другое меньшее число позволит массе охватить большее количество адресов в данном блоке (например, 10.0.0.200/24 приведет к тому, что правило качества обслуживания будет применяться ко всем 254 потенциальным адресам в блоке 10.0.0. *) , Вы можете обратиться к этому краткому справочному руководству сетевой маски, чтобы выбрать номер, который работает для раздела и размера блока адресов, который вы хотите установить приоритет.
Если вы обнаружите, что сетевая маска немного запутана (это не совсем интуитивно понятно), лучше всего просто придерживаться / 32 и вводить вручную каждый IP-адрес.
Как только вы нажмете «Добавить», вы можете назначить приоритетный доступ к адресу, как в предыдущем разделе.
Приоритет устройства с MAC-адресами
Если вы не используете статические IP-адреса в своей сети, вы все равно можете определить приоритеты для определенных компьютеров и устройств с их MAC-адресом. Он будет либо на физическом ярлыке, прикрепленном к устройству, либо где-нибудь в его настройках программного обеспечения.
С MAC-адресом в руке просто введите его в раздел приоритета MAC, нажмите «Добавить», а затем назначьте приоритет устройству, как это было в предыдущих разделах.
Теперь, независимо от того, какой IP-адрес назначает ваш маршрутизатор, скажем, вы можете обеспечить свой рабочий ноутбук, он всегда будет иметь приоритет.
Используя приятное совпадение чисел, компания Canonical, объявила о выходе релиза Ubuntu 18.10 – 18-го октября (18.10). Совпадение? Не думаем. В первую очередь скажем, что новая финальная сборка получила кодовое название Cosmic Cuttlefish («космическая каракатица»).
Что нового?
Не будем перечислять все изменения, остановимся на главных:
В первую очередь системные изменения.
Система:
Рис.1 Ubuntu 18.10 интерфейс
версия ядра теперь 4.18;
прекращение формирование 32-х битных вариантов почти на всех сборках на основе дистрибутива. Постепенно остается, только x86-64;
исправление ошибок совместимости с графическими адаптерами AMD Radeon RX Vega M;
улучшение средств виртуализации;
прочие улучшения, повышающие стабильность и производительность системы.
Внешний вид:
Рис.2 Ubuntu 18.10 интерфейс
теперь в составе сборки GNOME 3.3. Тема по умолчанию Yaru (Communitheme) –разработанная сообществом;
включен набор иконок Suru, добавлены аватарки для пользователей;
оптимизирована работа оболочки GNOME. Добавлены механизмы кэширования и адаптации эффектов к мощностям хоста.
Наконец, о защите новой сборки.
Безопасность:
Рис.3 Ubuntu 18.10 Параметры HDD
поддержка пакета , для шифрования разделов;
библиотека для распознования отпечатков пальцев и разблокировки на их основе;
поддержка протокола OpenSSL 1.1.1;
приложение GS Connect для GNOME Shell, обеспечивающее интеграцию с приложением KDE Connect. Используется для полной интеграции со смартфоном, включая звонки, смс, уровень заряда батареи и прочее. Приложение под Android.
Данный релиз доступен для всей линейки продуктов: desktop, server, cloud.
Следующий релиз по расписанию будет не ранее 04.2019, по нумерации это должен быть 19.04.
Напомним, что на данный момент стабильным релизом (LTS) является Ubuntu 18.04.
Все дистрибутивы можно скачать с официального сайта проекта: ubuntu.com.
MikroTik VRRP (Virtual Router Redundancy Protocol) ensures high available internet network. If any organization requires uninterrupted internet connection, MikroTik VRRP implementation will be a vital solution for them. MikroTik VRRP creates a virtual router accumulating two or more physical routers and ensures uninterrupted internet connection keeping activate one physical router always. That means, if any physical router fails to operate due to any hardware failure, MikroTik VRRP uses another backup router for internet gateway until the running router comes back again. In my previous article, I discussed how to configure MikroTik VRRP to establish a high available internet network. But most of the office network as well as ISP network use DHCP Server to assign their device IP automatically. So, in this article I will show how to configure MikroTik VRRP with active and backup DHCP Server.
Network Diagram
To configure VRRP network with MikroTik DHCP Server, I am following a network diagram like the below image.
MikroTik VRRP Network with DHCP Server
In this network, two MikroTik RouterOS (Master_RouterOS and Backup_RouterOS) are the member of a MikroTik VRRP. So, when both routers are up and running, network traffic will pass through Master_RouterOS. If Master_RouterOS fails to operate due to hardware failure or any other cause, Backup_RouterOS will turn into Master Router and pass network traffic until the Master_RouterOS comes back again. When the Master_RouterOS recovers again, it turns into Master Router and Backup_RouterOS will turn into Back Router. So, a hardware redundancy network will be ensured using MikroTik VRRP. Also DHCP Server is configured in both RouterOS to provide IP address automatically to client devices. These DHCP Servers will be activated depending on their Router_OS state that means if Master_RouterOS is up and running, its DHCP Server will have up and running. Again, if Backup_RouterOS is activated due to Master_RouterOS hardware failure, its DHCP Server will work as active DHCP Server.
In the network diagram, Master_RouterOS is connected to ISP1 through ether1 interface having IP address 192.168.40.2/25 and ether2 port is connected to LAN network having IP address 10.10.200.1/24. VRRP will be configured on ether2 interface and a virtual interface will be created whose IP address will be 10.10.200.254. Similarly, Backup_RouterOS is connected to ISP2 through ether1 interface having IP address 172.30.30.2/25 and ether2 port is connected to LAN network having IP address 10.10.200.2/24. MikroTik VRRP will also be configured on ether2 interface and a virtual interface will be created whose IP address will be 10.10.200.254. Note that, both routers should always have the same type of configuration.
We have also two workstations (PC-1 and PC-2) that are connected to our virtual router (that will be created by MikroTik VRRP) through LAN_Switch and will get IP address automatically from active DHCP Server.
MikroTik VRRP Configuration with DHCP
MikroTik VRRP creates a virtual router accumulating two or more physical routers where one physical router works as a Master Router and others are Backup Router. If Master Router fails to operate due to hardware failure, one of the Backup Routers becomes Master Router based on priority setting. So, we have to configure both Master Router and Backup Routers and all routers should have the same type of configuration. Complete MikroTik VRRP configuration with DHCP can be divided into two parts according to the above network diagram.
MikroTik VRRP and DHCP configuration in Master_RouterOS and
MikroTik VRRP and DHCP configuration in Backup_RouterOS.
MikroTik VRRP and DHCP Configuration in Master_RouterOS
We will now configure MikroTik VRRP and DHCP Server in Master_RouterOS. In MikroTik VRRP, Master Router is identified by priority setting. The router whose priority is higher is identified as Master Router. The following steps will show how to configure Master_RouterOS so that it will act as a network gateway as well as a VRRP Master Router.
Login to Master_RouterOS using Winbox with full permission user credential.
Click on Interfaces menu item. Interface List window will appear.
Click on VRRP tab and then click on PLUS SIGN (+). New Interface window will appear.
Put VRRP interface name in Name input field or you can keep as default name (vrrp1).
Now click on VRRP tab and choose physical interface (ether2 for this article) on which you want to create VRRP.
Put Virtual Router ID (10 for this article) in VRID input filed. This VRID must be same in Master Router as well as all Backup Routers.
Put Master Router priority (100 for this article) in Priority input field. As this is a Master Router, its priority will be higher than any other Backup Router.
Make sure that Preemption Mode is enabled otherwise Master Router cannot be selected as master automatically if Master Router recovers due to any technical failure.
Click on Apply and OK button. You will find a new VRRP interface (vrrp1) has been created in VRRP interface list.
Go to IP > Addresses menu item. Address List window will appear. Click on PLUS SIGN (+). New Address window will appear.
Put Master_RouterOS WAN IP (192.168.40.2/25) in Address input field and choose WAN interface (ether1) from Interface dropdown menu and then click on Apply and OK button. Click on PLUS SIGN (+) again and Put a LAN IP (10.10.200.1/24) in Address input field and choose LAN interface (ether2) from Interface dropdown menu and then click on Apply and OK button. Click on PLUS SIGN (+) again and put VRRP gateway IP (10.10.200.254/24) in Address input field and choose VRRP interface (default interface name is vrrp1) from Interface dropdown menu and then click on Apply and OK button.
Now go to IP > DNS. DNS Settings window will appear. Put your DNS server IP (Public DNS IP: 8.8.8.8 or 8.8.4.4) in Servers input field and then click on Apply and OK button.
Go to IP > Routes. Route List window will appear. Click on PLUS SIGN (+). New Route window will appear. Click on Gateway input box and put your internet gateway IP (192.168.40.1) in this Gateway input field and then click on Apply and OK button.
Go to IP > Firewall menu and click on NAT tab. Now click on PLUS SIGN (+). New NAT Rule window will appear. Choose srcnatfrom Chain dropdown menu. Click on Action tab and choose masqueradefrom Action dropdown menu and then click on Applyand OK button.
Go to IP > DHCP Server menu from your Winbox. DHCP Server window will appear.
In DHCP Server window, click on DHCP Setup button and choose the created VRRP interface (in this article: vrrp1) from DHCP Server Interface drop-down menu and then click on Next
Now put your LAN IP block (10.10.200.0/24) in DHCP Address Spaceinput box and click Next DHCP client/LAN user will get IP address from this network block.
Choose gateway address for the given network (VRRP interface IP: 10.10.200.254) in Gateway for DHCP Networkinput box and then click Next
Put IP range (10.10.200.10-10.10.200.253) from which your DHCP client/LAN user will get IP in Address to Give Outinput box and click Next
Provide preferred DNS server IP and click Next
Now provide IP lease time and click Next Default lease time is 3 days.
DHCP setup is complete now and a successful message will be shown.
Now connect any IP device (Desktop, Laptop, Smartphone etc.) to your network. Automatically an IP will be allocated for that device from your MikroTik DHCP server. Click Leases tab and observe IP lease status of that DHCP client.
MikroTik VRRP DHCP Server
Master_RouterOS configuration with VRRP and DHCP Server has been completed. We will now perform similar configuration in Backup_RouterOS so that it can handle network traffic if Master Router goes down due to any unwanted cause.
MikroTik VRRP Configuration with DHCP in Backup_RouterOS
Backup Router does nothing in VRRP network but check whether Master Router is alive or not. If Master Router goes down, Backup Router handles all network traffics like Master Router. So, Backup Router should have the similar configuration like Master Router but only priority keeps less than Master Router. The following steps will show how to configure Backup_RouterOS so that it can handle network traffic if Master Router fails to operate due to any unwanted issue.
Login to Backup_RouterOS using Winbox with full permission user credential.
Click on Interfaces menu item. Interface List window will appear.
Click on VRRP tab and then click on PLUS SIGN (+). New Interface window will appear.
Put VRRP interface name in Name input field or you can keep as default name (vrrp1).
Now click on VRRP tab and choose physical interface (ether2 for this article) on which you want to create VRRP.
Put Virtual Router ID (10 for this article) in VRID input filed. This VRID must be same in Master Router and all Backup Routers.
Put Backup Router priority (50 for this article) in Priority input field. As this is a Back Router, its priority will be less than Master Router.
Make sure that Preemption Mode is enabled otherwise Master Router cannot be selected as master automatically if Master Router recovers due to any technical failure.
Click on Apply and OK button. You will find a new VRRP interface (vrrp1) has been created in VRRP interface list.
Go to IP > Addresses menu item. Address List window will appear. Click on PLUS SIGN (+). New Address window will appear.
Put Backup_RouterOS WAN IP (172.30.30.2/25) in Address input field and choose WAN interface (ether1) from Interface dropdown menu and then click Apply and OK button. Click on PLUS SIGN (+) again and Put a LAN IP (10.10.200.2/24) in Address input field and choose LAN interface (ether2) from Interface dropdown menu and then click on Apply and OK button. Click on PLUS SIGN (+) again and put VRRP gateway IP (10.10.200.254/24) in Address input field and choose VRRP interface (default interface name is vrrp1) from Interface dropdown menu and then click on Apply and OK button.
Now go to IP > DNS. DNS Settings window will appear. Put your DNS server IP (Public DNS IP: 8.8.8.8 or 8.8.4.4) in Servers input field and then click Apply and OK button.
Go to IP > Routes. Route List window will appear. Click on PLUS SIGN (+). New Route window will appear. Click on Gateway input box and put your internet gateway IP (172.30.30.1) in this Gateway input field and then click on Apply and OK.
Go to IP > Firewallmenu and click on NAT tab. Now click on PLUS SIGN (+). New NAT Rule window will appear. Choose srcnatfrom Chain dropdown menu. Click on Action tab and choose masqueradefrom Action dropdown menu and then click Applyand OK.
Go to IP > DHCP Server menu from your Winbox. DHCP Server window will appear.
In DHCP Server window, click on DHCP Setup button and choose the created VRRP interface (in this article: vrrp1) from DHCP Server Interface drop-down menu and then click on Next
Now put your LAN IP block (10.10.200.0/24) in DHCP Address Spaceinput box and click Next DHCP client/LAN user will get IP address from this network block.
Choose gateway address for the given network (VRRP interface IP: 10.10.200.254) in Gateway for DHCP Networkinput box and then click Next
Put IP range (10.10.200.10-10.10.200.253) from which your DHCP client/LAN user will get IP in Address to Give Outinput box and click Next
Provide preferred DNS server IP and click Next
Now provide IP lease time and click Next Default lease time is 3 days.
DHCP setup is complete now and a successful message will be shown.
Backup_RouterOS configuration with VRRP and DHCP has been completed. If you have more than one Backup Router, you have to apply similar configuration in all the Backup Routers except priority will be different from other VRRP router and must be less than Master Router. As a VRRP network administrator, it is also your responsibility to update Backup Router configuration whenever Master Router changes.
Now you can test your VRRP configuration by connecting any Desktop or Laptop with DHCP client. If everything is OK, your LAN PC will be able to get uninterrupted internet although your Master Router goes down.
If you face any confusion to follow above steps properly, watch the below video about MikroTik VRRP Configuration with DHCP Server. I hope, it will reduce you any confusion.
MikroTik VRRP configuration with DHCP Server has been discussed in this article. I hope, you will able to configure a VRRP network with MikroTik DHCP Server following the above steps properly. However, if you face any confusion to configure MikroTik VRRP network with DHCP, feel free to discuss in comment or contact with me from Contact page. I will try my best to stay with you.
testsl.sh – это бесплатный инструмент командной строки для проверки безопасности SSL, он проверяет сервис сервера на любом порту для поддержки шифров TLS / SSL, протоколов, а также последних криптографических ошибок и т. д.
testssl.sh в значительной степени переносим/ совместим.
Он работает с каждым Linux, Mac OS X, дистрибутивом FreeBSD, на MSYS2 / Cygwin (медленно).
Предполагается также работа с любыми другими системами unixoid.
Однако рекомендуется использовать более новую версию OpenSSL (1.0). / bin / bash является обязательным условием – иначе не было бы сокетов.
Особенности тестирования SSL-безопасности с testsl.ssh
Четкий вывод: вы можете легко сказать, что хорошо или плохо
Простота установки: он работает на Linux, Darwin, FreeBSD и MSYS2 / Cygwin из коробки: нет необходимости в установке или настройке
Гибкость. Вы можете протестировать любые службы SSL / TLS и STARTTLS, а не только веб-серверы на порту 443
Панель инструментов: несколько параметров командной строки помогут вам выполнить ВАШ тест и настроить ВАШ вывод
Надежность: характеристики тщательно протестированы
Многословие: если конкретная проверка не может быть выполнена из-за отсутствия возможности на вашей стороне клиента, вы получите предупреждение
Конфиденциальность. Только вы видите результат, а не сторонние люди
Бесплатно: он на 100% с открытым исходным кодом. Вы можете посмотреть код, посмотреть, что происходит, и вы можете его изменить. Черт, даже разработка открыта (github)
Использование testsl.sh Инструмент тестирования безопасности SSL
userid@somehost:~ % testssl.sh
testssl.sh <options>
-h, --help what you're looking at
-b, --banner displays banner + version of testssl.sh
-v, --version same as previous
-V, --local pretty print all local ciphers
-V, --local <pattern> which local ciphers with <pattern> are available?
(if pattern not a number: word match)
testssl.sh <options> URI ("testssl.sh URI" does everything except -E)
-e, --each-cipher checks each local cipher remotely
-E, --cipher-per-proto checks those per protocol
-f, --ciphers checks common cipher suites
-p, --protocols checks TLS/SSL protocols (including SPDY/HTTP2)
-y, --spdy, --npn checks for SPDY/NPN
-Y, --http2, --alpn checks for HTTP2/ALPN
-S, --server-defaults displays the server's default picks and certificate info
-P, --server-preference displays the server's picks: protocol+cipher
-x, --single-cipher <pattern> tests matched <pattern> of ciphers
(if <pattern> not a number: word match)
-c, --client-simulation test client simulations, see which client negotiates with cipher and protocol
-H, --header, --headers tests HSTS, HPKP, server/app banner, security headers, cookie, reverse proxy, IPv4 address
-U, --vulnerable tests all vulnerabilities
-B, --heartbleed tests for heartbleed vulnerability
-I, --ccs, --ccs-injection tests for CCS injection vulnerability
-R, --renegotiation tests for renegotiation vulnerabilities
-C, --compression, --crime tests for CRIME vulnerability
-T, --breach tests for BREACH vulnerability
-O, --poodle tests for POODLE (SSL) vulnerability
-Z, --tls-fallback checks TLS_FALLBACK_SCSV mitigation
-F, --freak tests for FREAK vulnerability
-A, --beast tests for BEAST vulnerability
-J, --logjam tests for LOGJAM vulnerability
-D, --drown tests for DROWN vulnerability
-s, --pfs, --fs, --nsa checks (perfect) forward secrecy settings
-4, --rc4, --appelbaum which RC4 ciphers are being offered?
special invocations:
-t, --starttls <protocol> does a default run against a STARTTLS enabled <protocol>
--xmpphost <to_domain> for STARTTLS enabled XMPP it supplies the XML stream to-'' domain -- sometimes needed
--mx <domain/host> tests MX records from high to low priority (STARTTLS, port 25)
--ip <ip> a) tests the supplied <ip> v4 or v6 address instead of resolving host(s) in URI
b) arg "one" means: just test the first DNS returns (useful for multiple IPs)
--file <fname> mass testing option: Reads command lines from <fname>, one line per instance.
Comments via # allowed, EOF signals end of <fname>. Implicitly turns on "--warnings batch"
partly mandatory parameters:
URI host|host:port|URL|URL:port (port 443 is assumed unless otherwise specified)
pattern an ignore case word pattern of cipher hexcode or any other string in the name, kx or bits
protocol is one of the STARTTLS protocols ftp,smtp,pop3,imap,xmpp,telnet,ldap
(for the latter two you need e.g. the supplied openssl)
tuning options (can also be preset via environment variables):
--bugs enables the "-bugs" option of s_client, needed e.g. for some buggy F5s
--assume-http if protocol check fails it assumes HTTP protocol and enforces HTTP checks
--ssl-native fallback to checks with OpenSSL where sockets are normally used
--openssl <PATH> use this openssl binary (default: look in $PATH, $RUN_DIR of testssl.sh)
--proxy <host>:<port> connect via the specified HTTP proxy
-6 use also IPv6. Works only with supporting OpenSSL version and IPv6 connectivity
--sneaky leave less traces in target logs: user agent, referer
output options (can also be preset via environment variables):
--warnings <batch|off|false> "batch" doesn't wait for keypress, "off" or "false" skips connection warning
--quiet don't output the banner. By doing this you acknowledge usage terms normally appearing in the banner
--wide wide output for tests like RC4, BEAST. PFS also with hexcode, kx, strength, RFC name
--show-each for wide outputs: display all ciphers tested -- not
