Сергей | Как настроить? - ageomash.ru https://ageomash.ru Блог про настройку компьютеров, роутеров, мобильных устройств Mon, 18 Aug 2025 09:38:14 +0000 ru-RU hourly 1 https://wordpress.org/?v=6.8.2 https://ageomash.ru/wp-content/uploads/2016/03/cropped-chip-32x32.png Сергей | Как настроить? - ageomash.ru https://ageomash.ru 32 32 Как работает LACP и зачем нужно агрегирование каналов - ageomash.ru https://ageomash.ru/lacp-chto-eto-i-zachem/ https://ageomash.ru/lacp-chto-eto-i-zachem/#respond Mon, 18 Aug 2025 09:17:26 +0000 https://ageomash.ru/?p=11828 Представьте ситуацию: у вас сервер с двумя или четырьмя сетевыми картами. Каждая из них по отдельности не справляется с потоком данных — либо не хватает скорости, либо риски простоев слишком велики. Вот здесь и приходит на помощь агрегация каналов (LAG) с помощью протокола LACP (Link Aggregation Control Protocol). Протокол стандартизирован в IEEE 802.3ad и позволяет ... Читать далее

The post Как работает LACP и зачем нужно агрегирование каналов first appeared on Как настроить?.]]>
LACP LAG

Представьте ситуацию: у вас сервер с двумя или четырьмя сетевыми картами. Каждая из них по отдельности не справляется с потоком данных — либо не хватает скорости, либо риски простоев слишком велики. Вот здесь и приходит на помощь агрегация каналов (LAG) с помощью протокола LACP (Link Aggregation Control Protocol).

Протокол стандартизирован в IEEE 802.3ad и позволяет объединять несколько физических соединений в единый виртуальный интерфейс. Для приложений и ОС он выглядит как одна сетевая карта, а «под капотом» работает несколько портов одновременно.

Зачем использовать LACP

  • Увеличение пропускной способности. Несколько интерфейсов складывают свою скорость.

  • Отказоустойчивость. Один порт «упал»? Остальные продолжают работу.

  • Балансировка нагрузки. Трафик распределяется между линиями, снижая вероятность перегрузок.

Как это работает

  1. Устройства на обеих сторонах (сервер и коммутатор) договариваются, какие порты войдут в группу.

  2. LACP следит за состоянием соединений: выпал кабель — порт исключается из группы.

  3. Для пользователя всё выглядит так, будто работает один интерфейс без перебоев.

Настройка LACP на практике

Теперь — самое интересное: как включить агрегацию на разных платформах.

Linux (пример для systemd-networkd)

# /etc/systemd/network/10-bond0.netdev
[NetDev]
Name=bond0
Kind=bond[Bond]
Mode=802.3ad
MIIMonitorSec=1s
TransmitHashPolicy=layer3+4
# /etc/systemd/network/20-eth0.network

[Match]
Name=eth0[Network]
Bond=bond0

# /etc/systemd/network/20-eth1.network

[Match]
Name=eth1[Network]
Bond=bond0

# /etc/systemd/network/30-bond0.network

[Match]
Name=bond0[Network]
Address=192.168.1.10/24
Gateway=192.168.1.1

Windows Server

  1. Открыть Server Manager -> Local Server -> NIC Teaming.

  2. Включить teaming для выбранных интерфейсов.

  3. Выбрать режим LACP (Dynamic).

  4. Задать IP для созданного виртуального интерфейса.

windows server lacp

Cisco IOS (пример для 2 портов)

interface range GigabitEthernet0/1 - 2
channel-group 1 mode active
exitinterface Port-channel1
switchport mode access
switchport access vlan 10

Juniper (JunOS)

set interfaces ge-0/0/0 ether-options 802.3ad ae0
set interfaces ge-0/0/1 ether-options 802.3ad ae0
set interfaces ae0 aggregated-ether-options lacp active
set interfaces ae0 unit 0 family inet address 192.168.1.10/24

MikroTik (RouterOS)

/interface bonding add name=bond1 slaves=ether1,ether2 mode=802.3ad
/ip address add address=192.168.1.10/24 interface=bond1

Где это реально помогает?

  • Дата-центры: несколько 10G-портов складываются в единый канал для работы с огромными массивами данных.

  • Серверные фермы: LACP спасает, когда один кабель или порт вылетает — пользователи даже не замечают сбоя.

  • Корпоративные сети: балансировка нагрузки между интерфейсами разгружает трафик VoIP и видеоконференций.

Настройка LACP

<strong>Важно</strong>!<br />
LACP работает только при поддержке с обеих сторон (сервер + свитч)<br />
LAG не удваивает скорость для одного TCP-соединения, но позволяет нескольким соединениям распределяться по разным каналам<br />
Лучше всего работает с хешированием по Layer3+4 (IP + порт)

Типичные ошибки при настройке LACP и как их избежать

Хотя настройка LACP на первый взгляд кажется простой — «объединил порты и готово», — на практике многие сталкиваются с проблемами. Ошибки могут привести к нестабильности соединения, падению пропускной способности или даже к полному отсутствию связи.

Разберём самые распространённые ситуации.

1. Несовпадение режимов LACP

  • Ошибка: на одной стороне канал работает в режиме active, а на другой — passive. В таком случае соединение не поднимется, потому что «активный» ждёт ответа, а «пассивный» не начинает переговоры.

  • Решение: всегда выставляйте хотя бы одну сторону в режим active. В корпоративных сетях обычно обе стороны делают active для надёжности.

2. Разные параметры портов

  • Ошибка: интерфейсы в группе настроены по-разному: разные скорости (1G и 10G), разные дуплексы, VLAN или MTU.

  • Результат: LACP просто не соберёт такой «гибрид» в один канал.

  • Решение: проверяйте, чтобы все порты имели одинаковые характеристики и принадлежали одной VLAN.

3. Неправильный выбор хэш-функции

  • Ошибка: хэширование только по MAC-адресам или IP-адресам может привести к тому, что весь трафик «ляжет» на один порт, а другие простаивают.

  • Решение: используйте комбинированные алгоритмы (layer2+3, layer3+4), которые распределяют потоки равномернее.

4. Несогласованность между устройствами

  • Ошибка: на сервере настроен LACP, а на коммутаторе выбран статический режим channel-group (без LACP).

  • Результат: соединение будет работать некорректно, возможны обрывы.

  • Решение: проверяйте, что и сервер, и коммутатор используют одинаковый протокол.

5. Смешение динамического и статического LAG

  • Ошибка: часть портов в группе работает через LACP, а часть добавлена вручную.

  • Результат: нестабильность и «фантомные» обрывы.

  • Решение: используйте либо полностью LACP, либо полностью статический агрегированный канал.

6. Игнорирование приоритета портов

  • Ошибка: администратор не задаёт приоритеты портам. Если основной линк падает, LACP может выбрать не тот интерфейс в качестве ведущего.

  • Решение: используйте приоритеты, чтобы контролировать порядок включения каналов.

7. Попытка объединить порты на разных устройствах

  • Ошибка: подключение портов к разным коммутаторам, которые не поддерживают MLAG (Multi-Chassis Link Aggregation).

  • Результат: LACP не сможет собрать их в один логический канал.

  • Решение: проверяйте поддержку MLAG или используйте один коммутатор.

Большинство проблем с LACP связаны с невнимательностью к деталям.

The post Как работает LACP и зачем нужно агрегирование каналов first appeared on Как настроить?.]]>
https://ageomash.ru/lacp-chto-eto-i-zachem/feed/ 0
Что такое IPv6 SLAAC и как взять его под контроль - ageomash.ru https://ageomash.ru/chto-takoe-ipv6-slaac-i-kak-vzyat-ego-pod-kontrol/ https://ageomash.ru/chto-takoe-ipv6-slaac-i-kak-vzyat-ego-pod-kontrol/#respond Wed, 16 Jul 2025 13:58:21 +0000 https://ageomash.ru/?p=11823 В эпоху IPv6 все чаще звучит термин SLAAC — Stateless Address Autoconfiguration. Это удобный способ автоматической настройки IP-адресов, при котором устройства получают их без участия DHCP-сервера. Но стоит ли полагаться на автоматизацию без ограничений, особенно в корпоративной сети? Давайте разберёмся. SLAAC: Автонастройка по-новому Когда устройство подключается к IPv6-сети, оно выполняет несколько шагов: Получает префикс сети ... Читать далее

The post Что такое IPv6 SLAAC и как взять его под контроль first appeared on Как настроить?.]]>
IPv6 SLAAC

В эпоху IPv6 все чаще звучит термин SLAAC — Stateless Address Autoconfiguration. Это удобный способ автоматической настройки IP-адресов, при котором устройства получают их без участия DHCP-сервера. Но стоит ли полагаться на автоматизацию без ограничений, особенно в корпоративной сети? Давайте разберёмся.

SLAAC: Автонастройка по-новому

Когда устройство подключается к IPv6-сети, оно выполняет несколько шагов:

  • Получает префикс сети из Router Advertisement (RA) — специальных объявлений от ближайшего маршрутизатора.
  • Формирует собственный глобальный IPv6-адрес, комбинируя этот префикс с уникальным идентификатором (например, MAC-адресом).
  • Проверяет уникальность полученного адреса с помощью DAD (Duplicate Address Detection).

После этого устройство готово к работе в сети — без DHCP, без ручной настройки.

Чем SLAAC может быть опасен?

Хотя SLAAC и кажется идеальным решением, в некоторых сценариях он может принести больше проблем, чем пользы:

Потенциальный обход политики доступа

Устройства смогут выходить в интернет даже при отключенном DHCP — достаточно получить RA от маршрутизатора. Это усложняет контроль.

? Ограниченные возможности управления

В отличие от DHCPv6, SLAAC не предоставляет расширенных настроек: нельзя централизованно задать DNS, lease time и другие параметры.

Уязвимость для атак

SLAAC подвержен угрозам, таким как RA spoofing — злоумышленник может раздавать поддельные RA-пакеты и перенаправлять трафик на себя.

Как контролировать SLAAC: Практические советы

Если вы администрируете корпоративную или чувствительную к безопасности сеть, стоит рассмотреть следующие меры:

1. Ограничьте работу SLAAC на маршрутизаторе

Вы можете:

  • Полностью отключить RA-сообщения.
  • Установить флаг Managed в RA, чтобы устройства использовали только DHCPv6 для получения адреса.

Применимо на устройствах Cisco, Mikrotik, Linux и др.

что такое SLAAC

2. Используйте RA Guard на коммутаторах

RA Guard позволяет блокировать нежелательные RA-пакеты от клиентов. Это защищает сеть от подмены маршрутизаторов и атаки типа «человек посередине».

3. Перейдите на DHCPv6 для полной управляемости

С DHCPv6 вы получаете:

  • Централизованную выдачу IP-адресов
  • Гибкое управление настройками
  • Журналы событий и аудит

4. Мониторьте активность NDP

Используйте инструменты, такие как:

  • ndpmon
  • scapy
  • Wireshark

Они помогут выявить устройства, работающие по SLAAC, и анализировать поведение в сети.

Вывод

SLAAC — удобный, но «свободолюбивый» механизм, который не всегда подходит для сетей с жесткими требованиями к безопасности и управляемости. Чтобы сохранить контроль, стоит ограничивать его использование и внедрять защитные меры — особенно в корпоративной среде.

The post Что такое IPv6 SLAAC и как взять его под контроль first appeared on Как настроить?.]]>
https://ageomash.ru/chto-takoe-ipv6-slaac-i-kak-vzyat-ego-pod-kontrol/feed/ 0
SELinux — что это такое и стоит ли его выключать?! - ageomash.ru https://ageomash.ru/selinux-what-is-this/ https://ageomash.ru/selinux-what-is-this/#respond Wed, 16 Jul 2025 07:07:03 +0000 https://ageomash.ru/?p=11820 Если вы хоть немного работали с Linux, возможно, сталкивались с загадочной аббревиатурой SELinux. А может, даже пробовали его отключить, когда что-то «вдруг не работает». Давайте разберёмся, что это за механизм, почему его не стоит игнорировать — и как он помогает сделать систему намного безопаснее. SELinux — это не просто защита, а усиленная безопасность Security-Enhanced Linux ... Читать далее

The post SELinux — что это такое и стоит ли его выключать?! first appeared on Как настроить?.]]>
selinux что это такое

Если вы хоть немного работали с Linux, возможно, сталкивались с загадочной аббревиатурой SELinux. А может, даже пробовали его отключить, когда что-то «вдруг не работает». Давайте разберёмся, что это за механизм, почему его не стоит игнорировать — и как он помогает сделать систему намного безопаснее.

SELinux — это не просто защита, а усиленная безопасность

Security-Enhanced Linux (SELinux) — это система контроля доступа, встроенная прямо в ядро Linux. Её изначально разработали в NSA (Агентство национальной безопасности США) совместно с Red Hat, и главная её задача — добавить дополнительный уровень защиты поверх стандартных прав доступа.

То есть даже если у процесса есть root-доступ, SELinux всё равно может его остановить. Да, настолько серьёзно.

DAC vs MAC: в чём разница?

Обычная модель прав в Linux называется DAC (Discretionary Access Control) — это когда пользователь или админ сам решает, кто и что может делать с файлами.

А вот SELinux использует MAC (Mandatory Access Control) — модель, в которой права задаются централизованной политикой безопасности. И эта политика обязательна для всех — даже для root. Это позволяет гораздо точнее управлять поведением приложений и процессов в системе.

Контексты безопасности — ключ к пониманию SELinux

Каждому процессу и файлу SELinux присваивает контекст безопасности. Он включает:

тип объекта, например: httpd_sys_content_t — контент для веб-сервера;

роль и домен процесса, например: httpd_t — сам веб-сервер.

Когда процесс пытается обратиться к файлу, SELinux проверяет: разрешает ли политика такие действия с учётом их контекстов. Если нет — доступ блокируется. И неважно, что пользователь root.

Почему SELinux так важен?

Представьте, что злоумышленник получил доступ к системе. В обычной Linux-модели он может делать почти всё, если взломал пользователя с нужными правами. А SELinux не даст этому «всё» произойти, потому что процессы не смогут выйти за пределы строго определённых правил.

Это особенно критично на серверах с публичным доступом — веб-серверы, почтовики, базы данных. Там SELinux помогает изолировать процессы, минимизировать последствия уязвимостей и сдерживать вредоносные действия.

Главная отрицательная черта системы — несколько «кривая» обучения, мешающая «работать как привыкли», если не иметь понимать, как SELinux устроен. Ошибки конфигурации могут блокировать нужные процессы, а диагностика требует навыков чтения журналов (/var/log/audit/audit.log).

Если безопасность — ваш приоритет, SELinux однозначно стоит включать. Но как и с любым инструментом, важно сначала его понять.

Режимы работы SELinux:

Enforcing — политика активна, запрещенные действия блокируются
Permissive — действия не блокируются, но журналируются:
Disabled — SELinux отключен

Проверить режим можно так:

getenforce

Или через:

sestatus

Вывод:

SELinux — мощный инструмент для усиления защиты Linux-систем. Он может показаться сложным и даже мешающим на первых порах, но на деле — это один из самых эффективных способов ограничить потенциальный ущерб от уязвимостей и ошибок конфигурации.

Если вы работаете с сервером — не спешите его отключать. Лучше понять, как он работает. А в следующих постах я расскажу, как настраивать SELinux-политики и разбирать ошибки доступа

The post SELinux — что это такое и стоит ли его выключать?! first appeared on Как настроить?.]]>
https://ageomash.ru/selinux-what-is-this/feed/ 0
Быстрый запуск DHCP-сервера в Linux - ageomash.ru https://ageomash.ru/bystryj-zapusk-dhcp-servera-v-linux/ https://ageomash.ru/bystryj-zapusk-dhcp-servera-v-linux/#respond Wed, 25 Jun 2025 10:32:39 +0000 https://ageomash.ru/?p=11816 Ситуации бывают разные. Например, Вам экстренно понадобилось запустить DHCP- сервер на Linux. Не спрашивайте почему вдруг возникла такая странная необходимость. Ну вот так сложились обстоятельства. Что делать? Сейчас всё покажу! Я буду рассматривать установку DHCP-сервера на примере Ubuntu или Debian, так как они наиболее распространены. Выполните вот такую команду: sudo apt-get install isc-dhcp-server 2. Вся ... Читать далее

The post Быстрый запуск DHCP-сервера в Linux first appeared on Как настроить?.]]>
dhcp сервер linux

Ситуации бывают разные. Например, Вам экстренно понадобилось запустить DHCP- сервер на Linux. Не спрашивайте почему вдруг возникла такая странная необходимость. Ну вот так сложились обстоятельства. Что делать? Сейчас всё покажу!

Я буду рассматривать установку DHCP-сервера на примере Ubuntu или Debian, так как они наиболее распространены. Выполните вот такую команду:

sudo apt-get install isc-dhcp-server

2. Вся необходимая настройка  выполняется в файле dhcpd.conf. Это основной файл конфигурации DHCP-сервера, в котором нужно указать настройки: подсети, диапазоны IP-адресов, шлюзы, DNS-серверы и т. д.

3. В файле dhcpd.conf определите подсети и диапазоны IP-адресов, доступные для выдачи.
Например, для подсети 192.168.1.0/24 и диапазона IP-адресов от 192.168.1.10 до 192.168.1.100, добавляем вот такие строки в файл dhcpd.conf:

subnet 192.168.1.0 netmask 255.255.255.0 {
range 192.168.1.10 192.168.1.100;
}

4. В файле dhcpd.conf можно так же указать и другие настройки. Например, шлюзы (routers), DNS-серверы (domain-name-servers) и другие параметры.

5. Перед запуском DHCP-сервера убедитесь, что настройки в файле dhcpd.conf указаны правильно.
Чтобы проверить конфигурационный файл — выполните команду:

sudo dhcpd -t

6. Если проверка не выявила ошибок — запустите DHCP-сервер. В Ubuntu/Debian это делается так:

sudo service isc-dhcp-server start 

The post Быстрый запуск DHCP-сервера в Linux first appeared on Как настроить?.]]>
https://ageomash.ru/bystryj-zapusk-dhcp-servera-v-linux/feed/ 0
Как повысить редакцию Windows без переустановки ОС - ageomash.ru https://ageomash.ru/kak-povysit-redakcziyu-windows-bez-pereustanovki-os/ https://ageomash.ru/kak-povysit-redakcziyu-windows-bez-pereustanovki-os/#respond Mon, 16 Jun 2025 13:41:47 +0000 https://ageomash.ru/?p=11813 А Вы в курсе, что ОС Windows позволяет изменить редакцию с младшей на старшую, сохранив при этом все установленные программы, документы и настройки?! Так вот она умеет и так!!! Это очень удобно, ведь так не хочется тратить уйму драгоценного времени на переустановку операционной системы. И сейчас я покажу Вам как это делается! Изменение редакции в ... Читать далее

The post Как повысить редакцию Windows без переустановки ОС first appeared on Как настроить?.]]>
повысить редакцию Windows

А Вы в курсе, что ОС Windows позволяет изменить редакцию с младшей на старшую, сохранив при этом все установленные программы, документы и настройки?! Так вот она умеет и так!!! Это очень удобно, ведь так не хочется тратить уйму драгоценного времени на переустановку операционной системы. И сейчас я покажу Вам как это делается!

Изменение редакции в Windows 10/11

Для обычных десктопных версий Windows (например, для перехода с «Домашней»(Home) на «Профессиональную»(Pro) используется встроенная специальная утилита changepk.exe.

Вот пример использования этой команды:

changepk.exe /ProductKey XXXXX-XXXXX-XXXXX-XXXXX-XXXXX

XXXXX-XXXXX-XXXXX-XXXXX-XXXXX — это ключ продукта. Вы можете использовать ваш лицензионный ключ или универсальный ключ. Универсальный ключ обычно применяется при установке Windows, если вы выбираете пункт «Пропустить ввод ключа».

Шаги для изменения редакции Windows 10/11:

1. Откройте командную строку с правами администратора.
2. Выполните команду с вашим ключом.
3. Перезагрузите систему по запросу.

Апгрейд редакции в Windows Server

Для серверных систем (например, Windows Server Standard или Evaluation -> Datacenter) используется утилита DISM. Пример процесса:

Узнать текущую редакцию:

DISM /online /Get-CurrentEdition

Посмотрим доступные редакции для апгрейда:

DISM /online /Get-TargetEditions

Выполнить апгрейд до нужной редакции:

DISM /online /Set-Edition:ServerDatacenter /ProductKey:XXXXX-XXXXX-XXXXX-XXXXX-XXXXX /AcceptEula

 

The post Как повысить редакцию Windows без переустановки ОС first appeared on Как настроить?.]]>
https://ageomash.ru/kak-povysit-redakcziyu-windows-bez-pereustanovki-os/feed/ 0