Записи с меткой ‘трафик’

Использование ALTQ для управления нежелательным трафиком

До сих пор мы фокусировались на очередях, как способе позволяющем убедиться, что

конкретные  виды  трафика  обрабатываются  настолько  эффективно,   насколько  это возможно с учётом условий вашей сетевой среды и вне её.  Теперь мы рассмотрим два

Продолжение …

Распределение полосы пропускания для небольших сетей на основе классов

Максимально производительная сеть в основном работает хорошо. Однако, вы  можете

обнаружить, что у вашей сети существуют другие потребности. Например, для некоторых видов трафика -почты в частности и других необходимых сервисов,  может быть важно достичь базовой пропускной способности в любой момент  времени, в то время как для других сервисов, типа P2P, должны быть  установлены определённые ограничения на потребление пропускной способности.

Продолжение …

Защита от спуфинга с antispoof

                                               Существует  несколько  очень  полезных  и  общих  действий  для  пакетной  обработки, которые  могут  быть  записаны  как  правила  PF,  но  не  без  них  становится  длинным, сложным и подвержен ошибкам шаблонного набора правил. Таким образом, антиспуф был реализован  для  общего  частного  случая  фильтрации  и  блокировки.  Этот  механизм защищает от  деятельности  подделки или поддельных  IP  адресов, в  основном, путем блокирования   пакетов,   которые   появляются   на   интерфейсах   путешествующих   в

Продолжение …

Минимальный набор правил  PF

Самая  простейшая конфигурация правил PF — набор правил для  автономной  машины, которая не предоставляет сервисов и соединяется только с одной сетью (которая может быть и непосредственно Интернетом). Мы начнем работать с файлом /etc/pf.conf, который выглядит примерно как этот:

Продолжение …

PF: Основы конфигурирования

В  этой  главе  мы  создадим  очень  простую  настройку  PF.  Начнем  с  наипростейшей конфигурации, которая только возможна: единственная  машина  сконфигурирована для соединения с единственной сетью. Этой сетью вполне может быть Интернет.

Продолжение …

Базовый запрещающий набор правил PF

           До этого момента, мы разрешали любой трафик в отношении себя. Разрешающий набор правил  может  быть  очень  полезен  пока  мы  проверяем  наши  основные  соединения находятся на месте, или проверяем какую-нибудь фильтрацию, которая является частью проблемы, которую мы видим. Но, как  только фаза «У нас есть связь?» закончилась, пришло время начать  ужесточение, чтобы создать базовую линию, которая обеспечит контроль.

Продолжение …

Рекомендации для сети

Рекомендации в общем случае следующие.

Разделяйте разные виды трафика  для повышения безопасности  и/или производительности. Разные  виды трафика  – это:

Q  управляющий трафик, то есть сеть Service Console для ESX или интерфейс

VMkernel   с  флажком  «management network».   Изоляция  управляющего трафика  весьма  важна  с точки  зрения безопасности, ибо компрометация ESX(i) означает компрометацию всех работающих на нем ВМ;

Продолжение …

Ограничение пропускной способности (Traffic Shaping)

Для вКоммутатора целиком или для какой-то одной группы портов у нас есть возможность ограничить  пропускную способность его портов.

Обратите  внимание  на то, что ограничению  не подвергается  трафик,  остающийся только на виртуальном коммутаторе.  Если виртуальные машины работают на одном сервере и подключены к одному вКоммутатору, то трафик между ними не выходит за пределы данного вКоммутатора (за исключением случая, когда эти ВМ в разных VLAN). В таком случае ограничения пропускной способности  канала на трафик между этими двумя виртуальными машинами распространяться не будут.

Продолжение …

FIFO (First in first out – Первым вошел, первым вышел)

Метод  выборки-хранения  данных,  при  котором  данные,  раньше  помещенные  в

буфер, раньше из  него и  извлекаются  (первым вошел,  первым вышел).  Противоположный порядок используется в методе LIFO.

File (См. Файл)

File fragmentation (См. Фрагментация файла) File name (См. Имя файла)

Продолжение …

Туннелирование в VPN

Как указывалось выше, основная задача, решаемая VPN, — скрыть пе- редаваемый трафик. При этом необходимо скрыть как передаваемые данные, так и адреса реальных отправителя и получателя пакетов. И кроме того, необ- ходимо обеспечить целостность и подлинность передаваемых данных. Для защиты передаваемых данных и реальных IP-адресов применяются крипто- графические алгоритмы. При отправке пакетов применяется туннелирование, т. е. в пакетах, которые идут в открытой сети, в качестве адресов фигурируют только адреса «черных ящиков». Кроме того, туннелирование предполагает, что внутри локальных сетей трафик передается в открытом виде, а его защита осуществляется только тогда, когда он попадает в «туннель».

Продолжение …