Перевод текста:

Заметки об изучении сетевого оборудования

Этот документ представляет собой сборник заметок и опыта изучения сетевого оборудования в процессе работы и обучения. В нём представлены определения, функции и некоторые приёмы использования различных видов сетевого оборудования, таких как коммутаторы, маршрутизаторы, межсетевые экраны, точки доступа (AP), системы обнаружения вторжений (IDS) и другие.

Целью создания этого открытого проекта является помощь широкому кругу технических специалистов в более глубоком понимании, применении и развёртывании сетевого оборудования. Мы надеемся собрать мудрость всех участников, приветствуем совместные PR-действия, доработки этого проекта, а также просим сообщать о любых идеях или обнаруженных ошибках через issue.

Содержание

• Заметки об изучении сетевого оборудования
  • Обычное сетевое оборудование
    • Сетевая карта
      • Определение сетевой карты
      • Функции сетевой карты
      • Вопросы и ответы о сетевой карте
    • Сетевой мост
      • Определение сетевого моста
      • Функции сетевого моста
      • Вопросы и ответы о сетевом мосте
    • Концентратор
      • Определение концентратора
      • Функции концентратора
      • Особые применения концентратора
    • Коммутатор
      • Определение коммутатора
      • Функции коммутатора
      • Классификация коммутаторов
      • Различия между сетевым мостом, концентратором и коммутатором
    • Маршрутизатор
      • Определение маршрутизатора
      • Функции маршрутизатора
      • Классификация маршрутизаторов
      • Вопросы и ответы о маршрутизаторе
    • Шлюз
      • Определение шлюза
      • Функции шлюза
      • Вопросы и ответы о шлюзе
    • Точка доступа
      • Определение точки доступа
      • Функции точки доступа
    • Беспроводная точка доступа
      • Определение беспроводной точки доступа
      • Функции беспроводной точки доступа
      • Преимущества беспроводной точки доступа
  • Виртуальное оборудование
    • Оборудование виртуальной частной сети (VPN)
      • Определение VPN
      • Функции VPN
      • Вопросы и ответы о VPN
    • TUN и TAP
      • Определение TUN и TAP
      • Функции TUN и TAP
      • Принцип работы TUN и TAP
    • VLAN
      • Определение VLAN
      • Функции VLAN
  • Сетевое защитное оборудование
    • Межсетевой экран
      • Определение межсетевого экрана
      • Функции межсетевого экрана
      • Вопросы и ответы о межсетевом экране
    • Система обнаружения вторжений
      • Определение системы обнаружения вторжений
      • Функции системы обнаружения вторжений
      • Режимы работы системы обнаружения вторжений
      • Вопросы и ответы о системе обнаружения вторжений
    • Система предотвращения вторжений
      • Определение системы предотвращения вторжений
      • Вопросы и ответы о системе предотвращения вторжений
    • Сеть Honeynet
      • Определение Honeynet
      • Honeynet
    • Песочница
      • Определение песочницы
      • Песочница

Обычное сетевое оборудование

Сетевая карта

Определение сетевой карты

Сетевая карта (Network Interface Controller, NIC, контроллер сетевого интерфейса), также известная как сетевой адаптер, представляет собой аппаратное обеспечение компьютера, которое позволяет ему подключаться к компьютерной сети через кабель (проводные RJ45 сетевые карты, оптоволоконные карты) или электромагнитные волны (беспроводные сетевые карты). Она работает на уровне 1 и 2 модели OSI.

Каждая сетевая карта имеет уникальный 48-битный серийный номер, называемый MAC-адресом, который хранится в ПЗУ сетевой карты. Таким образом, каждая сетевая карта на компьютере имеет свой уникальный MAC-адрес.

Функции сетевой карты

1. Упаковка и распаковка данных: при отправке данные из верхнего уровня (сетевого уровня) добавляются с заголовками Ethernet (Macdst, Macsrc, EthProtocol) и хвостами (FCS), образуя кадр Ethernet. При получении кадр Ethernet лишается заголовков и хвостов, после чего передаётся верхнему уровню (сетевому уровню).

Общие протоколы EthProtocol включают:

2. Управление каналом: в основном это реализация протокола множественного доступа с контролем несущей и обнаружением столкновений (Carrier Sense Multiple Access with Collision Detection, CSMA/CD).

3. Кодирование и декодирование: то есть кодирование и декодирование Манчестера.

— Дополнительные функции:

— Функция контрольной суммы: эта функция настраивается в «Свойствах сетевого адаптера» → «Дополнительные свойства» → «Конфигурация» → «Дополнительно».
    — TCP checksum offload: включить/выключить, что означает загрузку и выгрузку функций проверки контрольной суммы TCP на сетевой карте.
    — UDP checksum offload: включить/выключить, что означает загрузку и выгрузку функций проверки контрольной суммы UDP на сетевой карте.

Эта функция включает в себя сетевой уровень и даже транспортный уровень. Обычно только высококачественные сетевые карты имеют вышеупомянутые функции разгрузки контрольной суммы и могут выполнять вычисления отправки контрольной суммы и проверку приёма на аппаратном обеспечении сетевой карты, снижая нагрузку на процессор.

Вопросы и ответы о сетевой карте

1. Что означают зелёный и оранжевый индикаторы на сетевой карте?

Зелёный индикатор: индикатор нормального соединения. Оранжевый индикатор: индикатор передачи данных.

2. Как определить производителя или бренд сетевой карты по MAC-адресу?

Обычно каждый производитель сетевых карт имеет определённый диапазон MAC-адресов, которые они могут назначать своим продуктам. Поэтому можно определить производителя сетевой карты по первым нескольким цифрам MAC-адреса (обычно первые 6 цифр). Вы можете увидеть информацию о производителе сетевой карты с помощью программы захвата пакетов Wireshark. Для реализации этой задачи необходимо настроить маршрутизатор или межсетевой экран (в зависимости от модели и возможностей устройства) таким образом, чтобы он перенаправлял трафик с WAN-порта на указанный IP-адрес и порт LAN-подключения.

Конкретные шаги настройки зависят от модели маршрутизатора и его производителя. Обычно эта функция называется «Port Forwarding» или «Virtual Server».

1. Войдите в веб-интерфейс управления маршрутизатором.
2. Перейдите в раздел «NAT» или «Firewall».
3. Найдите функцию «Port Forwarding».
4. Создайте новое правило переадресации порта, указав WAN-порт, протокол (обычно TCP или UDP), внутренний IP-адрес сервера и номер порта.
5. Сохраните изменения.

После выполнения этих шагов маршрутизатор будет перенаправлять весь трафик, поступающий на определённый WAN-порт и соответствующий указанному протоколу и номеру порта, на внутренний IP-адрес указанного сервера.

Обратите внимание, что для некоторых моделей маршрутизаторов может потребоваться дополнительная настройка безопасности, такая как создание правила доступа для определённого источника трафика.

Также стоит учесть, что некоторые интернет-провайдеры могут ограничивать использование функции переадресации портов. В этом случае потребуется обратиться к провайдеру за дополнительной информацией.

Для получения более точных инструкций по настройке вашего маршрутизатора рекомендуется обратиться к документации производителя или использовать онлайн-руководства.

Важно: если вы не уверены в своих действиях или не обладаете достаточными навыками, рекомендуется обратиться за помощью к специалисту.

2. 综合安全防护：

   路由器通常具有防火墙功能，可以对网络进行防护。

3. 多协议支持：

   支持多种网络协议，包括TCP/IP、PPP等。

4. 负载均衡：

   在高并发情况下，可以实现负载均衡功能。

5. VPN功能：

   提供VPN功能，实现对网络的加密传输。

6. QoS功能：

   可以根据不同应用的特性，对流量进行优先级处理。

7. ACL功能：

   基于ACL规则，对不同类型的流量进行控制。

8. DHCP服务：

   为客户端提供DHCP服务，自动分配IP地址。

9. NAT功能：

   实现网路地址转换，使局域网能够访问互联网。

路由器的分类

按照工作OSI层可分为：两层路由器、三层路由器。

• 两层路由器：顾名思义其工作拥有OSI两层的工作能力，即物理层和数据链路层。是目前非常成熟的路由器技术，这种路由器能够完成端口和MAC的映射，识别数据包中MAC地址信息，根据MAC地址和端口MAC映射，将数据帧发往特定的端口。
• 三层路由器：三层路由器拥有OSI三层的工作能力，在传统两层路由器的基础上，增加了网络层的相关功能。具体体现在对网络数据包中IP进行了识别，能够实现不同子网间数据包的转发。

按运行平台可分为：硬件路由器，软件路由器。

• 硬件路由器：是指具有路由器外观，内部具有路由器电路，路由器芯片的，实现路由器功能的硬件设备。
• 软件路由器：是指在PC机或ARM版上(非路由器专用芯片平台)，通过纯软件的方式，建立虚拟连接，实现数据转发。常见软件路由技术方案有：
  • Quagos
  • VRRP
  • BGP

软路由技术的优劣

优势：高度可控可编程，可以很容易的实现端口动态管理。在虚拟化、云等场景下可以低成本部署，资源分配、管理，甚至二次开发。

劣势：同等成本情况下，性能配置不及硬件路由器，无硬件加速，依赖运行平台的综合参数。

软路由的应用：虚拟化、公有云

总结

网桥、集线器、交换机、路由器都是网络设备，但它们的功能和应用场景不同。

Направляем порт WAN в IP:порт главного хоста LAN как переадресацию канала. Это похоже на статический маршрут. В этом случае, когда главный хост отправляет данные с WAN-порта маршрутизатора к WAN-порту IP:порту, пакет данных существует в таблице переадресации портов, и данные будут преобразованы NAT и отправлены на IP:порт LAN-порта главного хоста.

2. DMZ (демилитаризованная зона):

   Фактически это означает, что один из хостов внутренней сети полностью открыт для Интернета, все порты открыты, что эквивалентно отображению всех портов. Это эквивалентно использованию публичного IP напрямую.

3. DDNS (динамическая система доменных имён):

   Это сопоставляет динамический IP-адрес пользователя с фиксированным сервисом разрешения доменного имени, и каждый раз, когда клиентская программа подключается к сети, она передаёт текущий динамический IP-адрес хоста через информацию на серверную программу на сервере поставщика услуг, которая отвечает за предоставление сервиса DNS и реализует динамическое разрешение доменного имени.

Классификация маршрутизаторов

1. По способу передачи сигнала: проводные маршрутизаторы и беспроводные маршрутизаторы.

2. По назначению: корпоративные маршрутизаторы и домашние маршрутизаторы.

3. По типу встроенного программного обеспечения: маршрутизаторы с открытым исходным кодом и маршрутизаторы с закрытым исходным кодом.

4. По уровню интеллекта: интеллектуальные маршрутизаторы и неинтеллектуальные маршрутизаторы.

Вопросы и ответы о маршрутизаторах

1. Какие устройства имеют функции маршрутизатора:

   • брандмауэр;
   • маршрутизатор;
   • коммутатор уровня L3/L4.

2. Недорогие решения Wi-Fi для лабораторий с высокой пропускной способностью, гостиниц и школ:

   • программный маршрутизатор + толстый AP;
   • программный маршрутизатор + AC + тонкий AP.

3. Интеллектуальные операционные системы с открытым исходным кодом для маршрутизаторов:

   • OpenWRT (LEDE);
   • DD-WRT;
   • Tomato-WRT.

Шлюз

Шлюз (Gateway) также называется межсетевым соединением, шлюз реализует сетевое соединение выше сетевого уровня и является одним из самых сложных устройств сетевого соединения. Он используется только для соединения двух сетей с разными протоколами высокого уровня. Шлюз — это компьютер или устройство, которое выполняет роль переводчика.

Функции шлюза

Шлюзы используются для подключения двух разных сетей. Когда хосты в одной и той же подсети обмениваются данными, шлюзу не нужно вмешиваться. Когда хосты из разных подсетей обмениваются данными, пакеты данных сначала отправляются на шлюз, а затем шлюз пересылает их.

Например, у нас есть две сети: сеть 1 с адресом 192.168.0.0/24 и сеть 2 с адресом 192.168.1.0/24, адрес шлюза — 192.168.2.254.

A хост IP: 192.168.1.1

B хост IP: 192.168.1.2

C хост IP: 192.168.0.1

D хост IP: 192.168.0.2

E — шлюз: 192.168.2.254

Путь:

Таким образом, при захвате пакетов между сетями мы видим, что содержимое пакета обычно включает MAC- и IP-адреса шлюза.

Ответы на вопросы о шлюзе

1. Что такое шлюз?

   Шлюз — это концепция, и любое устройство с функцией шлюза можно назвать шлюзом, включая маршрутизаторы, компьютеры и даже коммутаторы.

2. Какие устройства могут выступать в роли шлюзов:

   • брандмауэры;
   • маршрутизаторы;
   • компьютеры;
   • коммутаторы.

AP

AP (точка доступа, точка беспроводного доступа) преобразует проводную сеть в беспроводную и служит мостом между беспроводной сетью и проводной сетью. Распространённые точки доступа классифицируются по рабочей частоте на 2,4 ГГц и 5 ГГц.

Функции AP

Преобразует проводную сеть в беспроводную, позволяя беспроводной и проводной сетям взаимодействовать друг с другом. Основные параметры для оценки производительности точки доступа включают скорость проводной связи, скорость беспроводной связи и пропускную способность.

Пример параметров точки доступа определённого бренда:

• Скорость проводной связи: 1000 Мбит/с.
• Скорость беспроводной связи: 1200 Мбит/с.
• Пропускная способность: 50 хостов.

Ответы на вопросы об AP

В чём разница между AP и беспроводным сетевым мостом?

Беспроводной сетевой мост использует беспроводный способ передачи для реализации связи между двумя или более сетями, поэтому он обладает функциями приёма и передачи беспроводных сигналов. Беспроводные сетевые мосты предназначены для передачи данных на большие расстояния, поэтому их антенны обычно являются направленными, а расстояние передачи намного больше, чем у точек доступа. Помимо возможности соединения двух беспроводных сетей, беспроводные сетевые мосты также могут соединять проводные и беспроводные сети. Точки доступа служат мостами между проводными и беспроводными сетями.

Что такое FitAP (тонкая точка доступа)?

FitAP — это режим работы точки доступа, в котором точка доступа не имеет функций настройки, не предоставляет веб-интерфейс управления и может только принимать команды от контроллера точки доступа (AC). Поэтому FitAP должен быть подключён непосредственно к маршрутизатору или коммутатору и не может работать самостоятельно. Подходит для крупномасштабного развёртывания и управления.

Что такое FatAP (толстая точка доступа)?

FatAP — это ещё один режим работы точки доступа. В этом режиме точка доступа имеет функции настройки, предоставляет независимый веб-интерфейс управления и может работать независимо. Поэтому FatAP может быть напрямую подключён к маршрутизатору или коммутатору. Подходит для небольших масштабов и управления.

AC

AC (контроллер точки доступа, контроллер беспроводной точки доступа) используется для централизованного управления точками доступа и является ядром беспроводной сети, отвечающим за управление всеми точками доступа в беспроводной сети.

Функции AC

Отправляет конфигурации, изменяет параметры и управляет безопасностью точек доступа.

Преимущества AC

1. Гибкие способы организации сети и отличные возможности расширения.
2. Интеллектуальное управление радиочастотами, автоматическое развёртывание и восстановление после сбоев.
3. Централизованное управление сетью.
4. Мощные функции роуминга.
5. Балансировка нагрузки.
6. Мощное управление доступом и стратегиями безопасности.