среда, 24 декабря 2008 г.

Смена адреса сетевого интерфейса при помощи команды NETSH

Небольшая памятка по изменению адреса интерфейса при помощи команды netsh.

  • Для Windows 2000/2003/XP -

    netsh interface ip set address "Local Area Connection" static 192.168.201.1 255.255.255.0 192.168.201.254 1
    - назначение статического адреса;
    netsh interface ip set address "Local Area Connection" dynamic - получение динамического адреса;
    netsh interface ipv4 show interface - вывод имен сетевых интерфейсов, нужно для указания в приведенных выше командах.

  • Для Windows Vista -

    netsh interface ipv4 set address "Подключение по локальной сети" static 192.168.1.200 255.255.255.0 192.168.1.1 - назначение статического адреса;
    netsh interface ipv4 set address "Подключение по локальной сети" dhcp - получение динамического адреса;
    netsh interface ipv4 show interface - вывод имен сетевых интерфейсов, нужно для указания в приведенных выше командах.

воскресенье, 21 декабря 2008 г.

Настройка клиентов сервера WSUS

Краткая памятка, как настраивать клиент на использование сервера WSUS.

  1. Как самостоятельно настроить рабочую станцию на использование сервера WSUS?
    Запустите gpedit.msc. Перейдите в узел Конфигурация компьютера > Административные шаблоны > Компоненты Windows > Windows Update. Задайте два параметра: "Указать размещение службы обновлений Microsoft в интрасети" и "Настройка автоматического обновления". Для вступления в силу измененной групповой политики следует перезагрузиться или в командной строке выполнить команду gpupdate /force.
  2. Как немедленно начать обновление?
    В консоли наберите и выполните wuauclt /detectnow.
  3. Как проверить, работает ли клиент обновлений?
    См. содержимое файла %WINDIR%\WindowsUpdate.log (не перепутайте с Windows Update.log). Также можно заглянуть в системный журнал. В качестве источника событий будет указан Windows Update Agent.
  4. Куда качаются обновления?
    Обновления качаются в папку %WINDIR%\SoftwareDistribution\Download\. В принципе, можете их скопировать и установить на другие рабочие станции с такой же ОС, только имена при этом будут в виде значений хэш-функции

вторник, 2 декабря 2008 г.

Запланированные задания (Scheduled Tasks) в Windows 2003.

В планировщике было размещено задание на запуск скрипта. Скрипт соединялся с FTP-сервером и копировал туда файл. Задание запускалось от имени локальной учетной записи, входившей в локальную группу "Users" этого сервера. Сервер входил в домен Windows 2003. Для этой учетной записи присутствовали права на чтение и исполнение копируемого файла и файла скрипта. При этом задание не выполнялось, в логе задания появлялась ошибка "0x80070005: Access is denied". Лог запланированных заданий находится в папке "С:\WINDOWS\Tasks\" и называется "SchedLgU.Txt". Доступен, помимо проводника, из меню "Start -> Control Panel -> Scheduled Tasks (надо открыть папку чтобы появлась окно с заданиями) -> Advanced -> View Log".
Выполнение задания было возможно только в том случае, если учетную запись добавляли в локальную группу "Administrators" этого сервера, что было неприемлемо.

Оказалось, что причиной сбоя являлось отсутствие прав у используемой учетной записи на запуск командного процессора cmd.exe.

In Windows Server 2003, the Users group does not have Read and Execute permissions to the command processor (сmd.exe). By default, the Cmd.exe program has the following permissions settings:
  • The Interactive implicit group and the Service implicit group have Read and Execute permissions.

    Note: оn a member server, the Telnet Clients group also has Read and Execute permissions. On a domain controller, the Batch implicit group also has Read and Execute permissions.

  • The Administrators group and the System implicit group have Full Control permissions.
Проблема была решена включением учетной записи задания в группу "Telnet Clients".

Проблему помог решить форум - http://support.microsoft.com/kb/867466

понедельник, 1 декабря 2008 г.

Microsoft 70-293 - Planning and Maintaining a Windows Server 2003 Network Infrastructure. Заметки.


  • Для отключения разрешения имени с помощью NetBIOS на рабочих станциях можно использовать функцию DHCP "001 Microsoft Disable Netbios Option". Это позволит увеличить безопасность сети.
  • Если на сервере DHCP сконфигурирована привязка IP-адресов к mac-адресам клиентских машин вручную, но при этом эти IP-адреса находятся в диапазоне исключений, то адреса серверам выдаваться не будут.
  • Если в филиале есть потребность в файловых ресурсах, расположенных в главном офисе и канал между ними загружен, следует создать доменную структуру DFS с корнем в главном офисе и настроить репликацию в филиал в незагруженные часы.
  • При настройке кластера NLB в закладке Port Rule можно назначать порты, которые будут обслуживаться этим кластером.
  • В кластере высокой доступности для исключения участника группы из подменных серверов надо удалить его запись из группы "Possible owner list".
  • При активированной настройке "Microsoft Network server: Digitally sign communication - Always" для корректного обращение к нему клиента надо на клиенте активировать одну из настроек "Microsoft Network client: Digitally sign communication".
  • Чтобы узнать IP-адреса клиентов, осуществляющих попытки аутентификации, надо собирать сетевой трафик с помощью Network Monitor - только этот инструмент (из стандартных инструментов MS) позволяет определить IP адреса запрашивающей стороны.
  • Для успешной публикации сертификатов в AD надо включать центр сертификации (учетную запись компьютера) в группу AD "Cert Publishers".

четверг, 27 ноября 2008 г.

Семинар по продуктам VMWare

Вводные данные.

Продукты VMWare в компании OCS курирует Алексей Симинихин.
В связи со всемирным кризисом, VMWare опустило цены на свои продукты к уровню августа – отменили 10% поднятие цен.
За работу с партнерами в VMWare сейчас отвечают Антон Антич (Директор по работе с партнерами, aantich@vmware.com), Виталий Савченко (Консультант по решениям) и Дмитрий Тихович (Консультант по решениям). Общий адрес - channel-russia@emc.com.

Одно из главных преимуществ продуктов виртуализации – в снижении параметров OPEX (operating expense - операционные расходы, например снижение потребления энергии).
Примитивный расчет преимуществ использования Virtual Infrastructure (VI) –
В обычной ситуации - закупка 10 физических серверов по 3500 $ и ОС - итого 50 000 $.
С продукцией VMWare - закупка 2 мощных физических сервера по 10000 $ и VI3 Enterprise за 7000 $ и ОС - итого те же 50 000 $ но возможность запустить и использовать значительно большее количество виртуальных серверов. Для продавца выше маржинальная отдача.

Безопасность.

Сторонние разработчики выпускают продукты по автоматической проверки корректности настроек гипервизоров VMWare. Tripwire Config check for ESX -
Бесплатная утилита по проверке корректности общих настроек сервера ESX, а также настроек его безопасности.

http://www.tripwire.com/configcheck/configcheckdownload.cfm



Стали появляться virtual appliance с установленными системами IPS и FW от произовдителей IBM, Check Point, Stone Soft. Эти устройства копируются на сервер и конфигурируются в разрыве между сетью и продуктивными виртуальными серверами.

VMSafe - технология обеспечения безопасности в среде продуктов VMWare. Технология интегрирована в гипервизоры.

Виртуальные рабочие места.

По общим операционным издержкам наибольшее количество ресурсов тратится на обслуживание рабочих мест персонала.
VDI (Virtual Desktop Infrastructure) позволяет снизить OPEX рабочих мест.
Теперь этот продукт называется VMWare View.
VMWare Composer - позволяет в среде виртуальных рабочих место создавать одну золотую копию типового рабочего места и далее на каждое виртуальное рабочее место создается разностная копия этого первичного рабочего места и специфичных пользователю настроек и программ. При этом значительно экономится объем диского пространства, занимаемого данными.
Позволяет экономить до 80% дискового пространства. Позволяет устанавливать обновления на ОС непосредственно на золотой образ.
По приблизительной оценке стоимость хранения 1 ТБ данных на hi-end массиве в течение 5 лет составляет около 100 000 $. При такой стоимости применение золотой копии рабочих мест является особенно оправданным.

ThinApp - технологическое решение, позволяющее виртуализовать приложения. Аналог - виртуальные пузыри (bubble) у виртуальной инфраструктуры Microsoft.
Решение не требует установку агентов, приложение передается по сети в виде .exe файла.

Реализована функция виртуальной печати - технология SANPrint. Не требует установки драйвера печатающего устройства. Все драйверы установлены на одной машине, к которой подключен физически сам принтер.

К новинкам относится автономный рабочий стол - виртуальная машина, которая переносится между физической рабочей станцией, ноутбуком и рабочим гипервизором. При этом сотрудник всегда работает в одной среде.

RDP, используемый в вреде виртуальных рабочих станций, переработан. Теперь можно настраивать и пользоваться несколькими мониторами в полноценном режиме.

У Microsoft есть типы лицензирования рабочих ОС, позволяющие снизить затраты при развертывании виртуальной инфраструктуры.

При переносе рабочей среды с физической машины на виртуальную иногда возникают затруднения с повторной активацией ОС. При этом рекомендуется пользоваться активацией по телефону.

Управление ESX.

VIMA - VI management assistant - appliance, является заменой консоли ESX. В будущих версиях VI консоль будет убираться и произойдет ее полна замена на готовую виртуальную машину управления.

Ко всем гипервизорам и виртуальным машинам сервера ESX можно подключаться по WEB-интерфейсу, без установки VI-клиента.

Veeam Reporter - сторонняя утилита, позволяет выполнять удобную и наглядную инвентаризацию виртуальных машин.

http://www.veeam.com/vmware-esx-reporting_enterprise.html




К выпуску планируется Power Path для виртуальных машин.

Решение Site Recovery Manager позволяет реализовать катастрофоустойчивое решение с 2 ЦОДами и быстро провести восстановление среды на виртуальных машинах при аварии части инфраструктуры или всего основного ЦОДа.

понедельник, 17 ноября 2008 г.

Microsoft 70-291 - Implementing, Managing, and Maintaining a Windows Server 2003 Network Infrastructure. Заметки.


  • При переводе неинтегрированной, обычной зоны DNS в MS AD репликацию надо отключать, т.к. в домене репликация осуществляется автоматически.
  • Активированный и сконфигурированный сервер DHCP надо авторизовать в домене для начала раздачи адресов. Сделать это может член группы Enterprise Admins.
  • Пакетные фильтры L2TP/IPSec надо cконфигурировать на внешних интерфейсах защищенного туннеля.
  • Для проверки утилизации интерфейса надо наблюдать с помощью Performance monitor за счетчиком Bytes Total/sec.
  • Чтобы назначать разные обновления определенным группам надо в консоли WSUS создать группы компьютеров и отметить функцию «Use group policy or registry settings on computers»
  • Если серверу назначена политика Server (Request Security) и присвоен сертификат, то клиентам необходимо установить действующие сертификаты для соединения по VPN с этим сервером.
  • За ошибками репликации AD и встроенного в него DNS можно наблюдать с помощью утилиты replmon.
  • Для добавления доменных суффиксов в поисковые запросы клиентов можно добавить в GPO функцию «DNS suffix search list policy».
  • Для просмотра всех политик IPSec, которые применились к хосту в итоге, можно использовать инструмент Resultant Set of Policy.
  • Если поставлена задача сконфигурировать DNS с минимальной затратой трафика, надо выбирать DNS в своей подсети с настроенными «forwarders» и работающий в режиме кэширования.
  • Для предоставления доступа клиентских машин к серверу DHCP, удаленному за роутер, надо настроить либо "BOOTp" поддержку в маршрутизаторе, либо агента DHCP relay agent.
  • Чтобы общение машины с сеть происходило с помощью IPSec в обязательном порядке надо активировать политику «SecureServer (Request Security)».
  • Получить список всех зон, расположенных на сервере можно с помощью утилиты DNSCMD /unumzonelist.
  • Чтобы перенести зону DNS с первичного сервера на другой сервер и сделать его первичным, сперва надо сделать получателя вторичным, перенести зону, затем повысить получателя до первичного, удалить первичную зону на начальном сервере и потом создать на старом хозяине вторичную зону.
  • Для разрешения использовать куки определенного сайта надо добавить его в список разрешенных сайтов на закладке Privacy в свойствах IE.

Microsoft WSUS 3 - перенос базы обновлений на новый сервер.


1. Установить новый сервер Microsoft WSUS 3.

2. Экспортировать БД на "старом" при помощи команды: C:\Program Files\Update Services\Tools\wsusutil.exe export export.cab export.log

3. Перенести на "новый" сервер директорию с обновлениями и файлы экспорта БД export.cab и export.log.

4. Импортировать БД на "новом" сервере командой: C:\Program Files\Update Services\Tools\wsusutil.exe import export.cab export.log

5. Изменить GPO или скрипт для клиентов в целях перенаправления их на новый сервер

Источник - http://social.technet.microsoft.com/forums/ru-RU/wsusru/thread/0ebdb036-8a2c-46e0-a608-46702f119f73/


Вопрос: как можно перенести базу обновлений WSUS 3 SP1 на ОДНОМ сервере с одного диска на другой?

Ответ: при помощи команды wsusutil movecontent.

C:\Program Files\Update Services\Tools>wsusutil.exe help movecontent
movecontent command details:

Changes the file-system location where the WSUS server stores content, and
optionally copies any content from the old location to the new location.

movecontent [-skipcopy]
: The new root for content files. The path must exist.
: Path and filename of the log file to create.
-skipcopy : Indicates that only the server configuration should be changed
and that the content files should not be copied.

Например:

C:\Program Files\Update Services\Tools>wsusutil.exe movecontent D:\wsuscontent D
:\wsuscontent\movelog.txt

http://technet.microsoft.com/en-us/library/cc720466.aspx



Дедупликация данных


Технология дедупликации данных сейчас стала активно применяться в продуктах и устройствах, связанных с хранением, резервным копированием и передачей данных по каналам глобальных сетей.
Этот механизм позволяет значительно сократить место на дорогостоящих дисковых массивах, занимаемое данными или сузить полосу пропускания, занимаемую передаваемыми данными.
В случае устройств хранения этот механизм востребован на рынке дисковых библиотек - специализированных дисковых массивов, на которых хранятся резервные копии продуктивных данных. Это такие устройства, как:
  • EMC DL3D 1500, DL3D 3000;
  • Sepaton S2100-ES2;
  • HP D2D2500, D2D4000, VLS6000, VLS9000;
  • IBM TS7650G, Data ONTAP;
  • Hitachi Virtual Tape Library Appliance 1000E, 1000L, 500M
  • и др.
В понятии дедупликации интересно обратить внимание на технологии, с помощью которых добиваются удаления дубликатов данных и условий применения этих технологий.

Когда говорится о степени сжатия данных и сокращении пространства хранения необходимо учитывать какой тип данных будет сохранятся. Первая полная резервная копия позволяет сократить объем занимаемого пространства на накопителе благодаря дедупликации в 2 - 4 раза. Дальнейшие инкрементальные копии возможно дедуплицировать в 6 - 7 раз. И только дальнейшие полные резервные копии возможно сократить в 50 - 60 раз.

Не следует путать технологии "Single-Instance Storage (SIS)" и "Deduplication". SIS является механизмом сокращения количества данных, но не является дедубликацией. SIS работает на файловом уровне и позволяет не сохранять дубликаты файлов, в хранилище уникальный файл сохраняетя один раз, далее сохраняются ссылки на него.

Следует различать технологии "Block-level deduplication" и "Variable segment deduplication". Если блоки данных не изменились, но переместились внутри структуры файла, то в случае технологии Variable segment deduplication остается возможность дедуплицировать измененный файл. Если применяется первая технология, анализирующая фиксированные блоки данных, измененный файл будет рассматриваться как новый и его блоки будут сохраняться дополнительно.

На скорости восстановления и резервного копирования может оказать существенное значение фрагментация данных - чем она выше, тем больше времени будет тратиться на указанные операции. Это надо учитывать при планировании систем.

Эта полезная информация почерпнута с ресурса www.SearchStorageChannel.com.

пятница, 14 ноября 2008 г.

EMC Networker Training

В статье приводятся заметки, сделанные на недельном курсе, посвященном системе резервного копирования EMC Networker, принадлежавшей ранее компании Legato. Ныне Legato является частью компании EMC.


EMC Networker, версия 6.14

Дополнительно основному дистрибутиву ставятся руководства и Legato Manager.
На все машины ставится клиентский софт, на node еще ставится starage node, на server помимо этого еще ставится серверные компоненты.

Вся база СРК хранится на севере для единого бекапа.

Файлы типа Cfi (client file identification) нужны для восстановления настроек клиента. Хранятся также на сервере.

База данных с информацией называется Wiss – bliss (Basic legato information storage system).

18 экзабайт – техническое ограничение хранилища, которое может поддерживать Networker.

Media db – это база, содержащая информацию где находится файл и сколько места он занимает.

Res – база данных ресурсов, хранит конфигурацию ПО для клиента, сервера и узла хранения.

СРК Networker используется, в основном, в датацентрах, т.к. дорога для рабочих станций.

Networker пытается сделать 20 циклов записи – чтения, если все неудачны, то носитель помечается как битый.

Xdr формат из SAN – трансформирует данные в общий формат. External data representation.

Find mark – данные, записываемые на магнитной ленте после 32-кбайтного лейбла, содержат информацию, где находятся данные РК.

Tape –
Label – fmk – label – fmk – fmk ___________________-bot Leot. eot


При лицензировании происходит ограничение пробной версии, в которой изначально возможно все.

Клонирование – перенос только ссылок на новый носитель. Том остается старым. Это значить что проистходит копирование не носителя а логических блоков на носителе.

Пулы используются для реализации одновременной записи и чтения (архивации и восстанвления).

В директорию дебаг можно добавлять файлы нулевой длины для регулирования сетевых потоков.

Нетворкер.лог хранит лог только действий, выполненных в графической оболочке. Полный лог хранится в файле демон.лог

Файлы конфигурации можно переместить на другую машину и там протестировать конфигурацию.

Можно манипулировать содержимым файлов вручную.
На узле архивирования запущен listener, ожидающих команду от сервера.

Все имена серверов, клиентов, узлов должны разрешаться или в DNS или быть записаны в файл HOSTS локальной машины.

Nsrd – серверный процесс.
Nsrmmd – node.
Nsrexecd – client process.

Весь траблшутинг следует вести из командрой строки. Все файлы находятся в директории nsr – как в linux.

Tdocs –Support page - ftp.legato.com/pub/NetWorker/German - документация на немецком.

Экзамены – e22-128 – Specialist – нужен продолжительный опыт работы с ПО.
e22-128 – Administrator - довольно простой.

Nsradmin – командный интерфейс управления администратором. Нет документации.

Nmc – интерфейс управления на Java. Большой – до 200 МБ. Хотя сама программа управления в старых версиях 8 МБ.

EMC Networker, версия 7.4

Jukebox – библиотека с лентами. Упрвляется демоном nsrlcpd.

Nmc использует порты 9000 9001 для присоединения клиента к серверу Java.

Параллелизм – до 512 потоков. Зависит от лицензии. Не важно – восстановление или сохранение. Считаются потоки.

Data zone passphrase – пароль для соединения по ssl для резервного копирования.

Для использования архивирования надо иметь дополнительную лицензию

Директивы – скрипт поведения нетворкера во время бекапа.

<<>>
Directive: site(s)

+ - опустить операцию для нижеследующих путей.

Директивы – список исключений для usm сервиса. Директивы локальные и глобальные.
Logasm – сохраняет логи сервера прикопировании остальных бекапов в исходном виде, независимо от изменения ими размера при копировании другой инфы. Информация о директивах содержится в cookbook.

Smtpmail – программа не поддерживаемая, требует разные лицензии. Для оповещения по notification лучше пользоваться своей почтовой программой из командного интерфейса.

Есть коды для пробной версии на 45 дней. Можно запросить у EMC. Если в Auth code ввести "grace" – прибавится еще 15 дней.


Host id – на нем основывается лицензирование. У Windows – sid , у unix – в железке зашита. Linux – ip address.
При смене host id надо менять auth code.

Если не применить расписание, выполняется полное архивирование каждый день.

В расписании дифференциальное копирование указано уровнями 1 - 9.

Уровни делают дифференциальный бекап если распологать их друг после друга в порядке убывания – 5 4 3 2 1. они будут обращаться к последнему с меньшим числом. Фулл – 0 отметка. Скорее всего к нему. Если расположить 4 5 то 5 будет инкрементальным – бекап того, что изменилось после 4 бекапа. Обращается к меньшему номеру за отправную точку бекапа. Юниксовая манера. Т.о. 054321 – дифференциальный 012345 – инкрементальный.

Консолидация проверяет большой ли по длине инкрементальный хвост, прибавляемый к фул бекапу.

Стейджинг – создание КЭШа при копировании бекапа на носитель.

User groutps в административной консоли могут обращаться к домену.

Nsrinfo Mminfo -команда для получения информации о состоянии savesets. Около 100 параметров, сложная, полезная.

Save set – all сохранить все, или вводить пути к сохраняемым данным вручную.

Properties for client.
Remote user & password – для dos и net ware – устаревшие системы. Нет учетной записи суперпользователя.

Ndmp – network data management protocol

Savepsm – команда для бекапа базы данных

Filer – pc + storage via FiberChannel. Простая система с софтом около 10 мб. Предоставляет простой файловый сервис в сеть. Обслуживает любые операционные системы. Нельзя ничего больше поставить. Использует механизм ndmp.

Server network interface – вводится в многоинтерфейсных машинах.

Remote access – пользователи для восстановления информации

Сжатие данных на пленке может привести к тому, что индикатор укажет 100 процентов емкости, при этом данные могут поступать далее.

У устройств-файлов может быть 0% заполненность если не указать в настройках их максимальную емкость.

\\.\Tape0 - имя физического ленточного устройства в виндах.

Adv-file – позволяет писать и читать в файл архива одновременно. Фактически дублируется сохраняемая информация. Один файл для записи, другой для чтения.

Savesgrp- проводит ручной бекап группы с клиента.

Добавить задание из гуи nmc можно с помощью программы nwwiz.exe (configuration – start client wizard). Создается группа, добавляются настройки задания.

Pool определяет какие хранилища использовать для бекапа.

Пул выбирается по отбору из группы, клиентов, сэйв сетс, левелс. Если неверное совпадение по порядку, то отправляется в дифолтный пул. Может быть указано несколько параметров в группе, клиенте… – совпадение одного считается достаточным.

Не выделять в пуле устройства. Тогда возможно будет использовать любой пул для сохранения информации. Иначе в случае выхода из строя устройства пул перестанет работать.

C:\\Temp\\123 – обозначение save set. Такая нотация в обозначении настроек пулов. Запомнить, иначе работать не будет.

Бекап начатый с сервера не может быть уровня manual. Процесс клонирования может демультиплексировать запись на носителе.

Базы данных системы - bliss and wiss. Последняя – bliss. В блисс введены client id – шестнадцатеричное число.

Архивирование должно быть запущено до бекапа.
У wiss ограничение в 2 гига. Bliss не надо сжимать и очищать. Она всегда полна на 100%.

Можно вручную работать с базой, например добавлять информацию, удалять, изменять.

Mminfo – самая важная командра нетворкера. Изучить ман. Все команды для запроса описаны в Мане.

Полиси применяется до бекапа.

Mminfo –q “ssid=24114” –r “ssid,”

Nsrmm –d volume – удаляет том из медиа индекса.

Nsrmm –o ……. – меняет статус.

Nsrls – запрос размера базы cfi.

nsrmm -w "01/01/2008" -e "01/01/2009" -S 3975900206 – смена времени browsable и retention – для определенного ssid.

savepnpc – метод сохранения файлов чере скрипт.

Nsrclone – клонирование имеющихся сохраненных данных на носителе.

пятница, 31 октября 2008 г.

EMC training – CLARiiON

Статья содержит заметки, сделанные на семинаре, посвященном системам хранения данных среднего класса EMC CLARiiON.

При использовании дисков больших емкостей (от 750 ГБ) рекомендуется использовать RAID-6, т.к. при перестроении группы после сбоя одного из дисков может выйти из строя второй диск из-за высокой нагрузки.
Из-за наличия кэша на запись в массиве, для хоста быстрее проходит операция записи.
У EMC владельцем LUN является один SP. Для переноса LUN на другой SP нужно заметить перекос нагрузки, и инициировать перенос на незагруженный SP.
Почти всегда желательно иметь 2 изолированные фабрики.
Коммутаторы не надо соединять друг с другом для избежания пересбора всей фабрики при крахе одного из коммутаторов.
Предполагается, что в последних SAN-OS и FOS фабрику между ними собрать не получится из-за ограничений, введенных вендорами.
У Microsoft есть драйверы для store-port, работает лучше чем iscsi драйвер.
Обсчет в FC коммутаторах идет в ASIC, даже у Cisco – данные передаются в IVR после инициализации в ASIC.
FC работает быстрее scsi.
Trafic isolation zone у Brocade позволяет указывать путь для устройств в фабрике.
Ошибка 1 бит происходит на 4 GB - 1 раз в 16 минут.
Технология Cisco FCC препятствует переполнению буферов. Притормаживает посылку данных источником. У Brocade есть Traffic isolation c аналогичным функционалом. Вместе технологии не работают.
Wwn это аналог mac, используется для маскинга. Fc_id для роутинга. Wwn есть для порта и для устройтсва. Софтзонинг и хардзонинг. Есть 64 и 128 бит. Чаще используется 128 бит. Есть Fabric-id 24 bit, switch id, port id, id ноды. Fc id делает роутинг на 2 уровне.
OE FLARE – это среда на основе Windows Storage Server. В устройствах NetApp находится переработанная FreeBDS.
Nx4 позволяет реализовать nas, FC и iSCSI – дешево и функционально. Таргеты iSCSI Celerra работают быстрее чему у CLARiiON CX3.
CLARiiON AX4 поддерживает диски SAS и SATA. Диски стоят горизонтально, 12 дисков на полке. Всего до 60 дисков на 5 полках. Системных дисков 4.
Серия CX3 Ultra point – 4 Gb скорость.
Cx4-960 может переводить внешние порты во внутренние.
У HP EVA XP есть vraid – вопрос с производительностью.
Металун позволяет расшириться страйпингом или конкатенацией.
Виртуал лун – миграция данных. Виртуал лун позволят мигрировать только в LUN аналогичного объема. Миграция проходит без остановки ввода/вывода для конечного хоста.
Navisphere Analyzer это камень в огород HP - у их систем данных такого функционала нет. Снепшот нельзя присоединять к тому серверу, с которого делали снепшот. Иначе снесет ОС.
SnapView делает снепшоты и клоны. Когда создается клон, рвется связь между pfs и клоновой системой. Клон требует первичной синхронизации.
В паре MirrorView FLARE не должна отставать более чем на 2 версии.
SanCopy делает снепшот и переносит данных с этого снепшота.
Hot Spare диск надо привязывать к LUN обязательно! Операция выполняется в 2 действия. При настройке не забытвать проверять сообщения предупреждений.
Максимальная группа RAID может содержать 16 дисков. Рекомендуется для RAID-5 группа из 9 дисков (8+1).
Offset – рекомендуют сдвигать блоки LUN для Windows систем. Связано с записью служебной информации в первые байты диска в обычной файловой системе. Сдвиг около 64 КБ.
Часто выходит из строя кабель COM от SP до батарейки.
Брокейд ставит теперь только свои SFP.
Ставить драйверы для HBA следует только из раздела по вендорам СХД. Специальные драйверы для EMC. Ставить советуют и драйверы и утилиты HBA.
На хост надо ставить NaviCli, NaviAgent, перестартовать агент и через минуты агент зарегистрирует хост. "Logged by" в Naivsphere у хоста означает что выполнена операция PLOGI.
Для драйвера HBA ставить storport miniport, а не scsiport miniport, иначе будет хуже работать.
Для сервера LUN клариона видится как lunz (такое название).
В свойствах SP можно прописать адрес и пользователя для управления массивом – нужно для доступа по NaviCli.
Следует драйвер интегрировать энлайтом в Windows, если мы делаем бездисковую станцию. При SANboot надо чтобы хост видел только один массив по одному пути. Надо создать зону на коммутаторе и прописать в нее порт массива и сервер для загрузки из SAN.
MirrorView работает только с портами дискового массива самых высоких номеров.
CLARiiON Сх3 отключается кнопкой на SPS. После этого сбрасывается кэш и устройство отключается в течении 3-10 мин. Бывают сервисные процедуры перезагружающие массив несколько раз. Следует проверять по индикатору сбоя на SP.
128.221.1.250 и 128.221.1.251 с маской 255.255.255.252 - это сервисные адреса по-умолчанию.
Обновление FLARE ведет к дополнительному обновлению LCC на дисковых полках. Надо дождаться обновления этого firmware при общем обновлении FLARE.
Логи надо смотреть с двух процессоров от одного времени. Spcollect.
Диски выходят из строя в 90% всех сбоев. CLARproc_3.8.7 – процедур генератор.
При замене диски вытаскивают с интервалом 1 минуту. Пустые дырки не оставляют, вставляют диск или заглушку.
Серийный номер массива на SP слева внизу на шасси.
ClarAlert рекомендуют ставить когда в организации много массивов . Если мало массивов, то достаточно оповещения по e-mail.
На iscsi настраивают на 3 портах миррорвью.
После создания зон в SanCopy надо сделать update connection, после этого массивы должны увидеть друг друга в connection status.В SanCopy надо делать группы хранения в обоих массивах.
При загрузке сп мигание лам означает следующее
  • один раз в 4 секунды – POST,
  • раз в секунду – extended POST,
  • четыре раза в секунду – Windows boot.

Microsoft System Center Day


Статья содержит заметки, сделанные на дне, посвященном продуктам Microsoft System Center.

Семейство System Center включает в себя:
  • Operation Manager,
  • Configuration Manager,
  • Virtual Machine Manager,
  • Service Manager,
  • Data Protection Manager,
  • Essentials,
  • Mobil Device Manager.
На хостах ставится Desktop Optimization Pack.

Для виртуальных машин применяется разрабатываемый Failover Cluster Manager, позволяет переносить виртуальную машину на другой гипервизор, при этом обмен данными с виртуальным сервером не прекращается.

Приложения и данные виртуализуются очень хорошо. Введено определение пузыря, куда устанавливается программа и который содержит все необходимые ветки реестра и файлы внутри себя. Очень удобно для часто изменяемых приложений.

Скоро ожидается Service Manager. продукт позволяющий организовать MOF/ITSM. В Европе применяется регуляторные правила - Базель II.

SCOM2007 SP1

К 2010 ожидается выпуск V4. Появились кросплатформенные расширения системы. Теперь можно осуществлять мониторинг за Unix - системами. Используется для этого Open Pegasus. Сейчас установка агентов для Unix сложная и комплексная.

Configuration Manager 2007.

Включает WSUS 3.0. Позволяет развертывать образы систем, мобильные системы.

Технология IntelVPro - позволяет мониторить и контролировать работу системы, аналог ILO. Active Management Technology.

CM может поддерживать до 200 000 агентов. Asset Intelligent 1.5. Отслеживает ПО сторонних разработчиков. SQL Repository Services.

Теперь можно накатывать образы на "неизвестные" клиенты. Client Helth Tool - позволяет осуществлять мониторинг за клиентами.

Application Virtualisation 4.5

L-bubble - файл с приложениями и настройками. Приложения из разных пузырей могут видеть друг друга. Desktop Optimisation Pack устанавливается на конечных машинах, нужен для работы виртуализатора приложений.

Data Protection Manager - система резервного копирования от Microsoft.

пятница, 24 октября 2008 г.

Конференция CiscoExpo 2008

C 14 по 16 октября в гостинице Рэдиссон Славянская прошла конференция Cisco Expo 2008. Это традиционное мероприятие проводится уже в 9 раз. Я посетил разные доклады конференции в течение всех трех дней, общее впечатление от мероприятия осталось положительным. Материалы докладов доступны на сайте вендора -
http://ciscoexpo.ru/moscow/2008/rus/download.html
Традиционно высокого уровня и наполненности содержанием были доклады Дмитрия Бугрименко и Михаила Кадера. В докладах содержалось много новой и полезной информации. Привожу краткие заметки наиболее запомнившихся фактов.



Iron Port.

Выступал региональный менеджер Мико Шнайдер, приятно порадовал уровень владения русским языком этого специалиста.

Заявляется, что системами IronPort, конкретно SenderBase, осуществляется мониторинг за 25% всего мирового почтового трафика.
Появляются все новые виды спама, в том числе MP3 спам. 83% текущего спама составляет URL-спам.

Развивается новый тип атак – порожденных червем «Storm», атака отказа в обслуживании от ботнетов. Для ее реализации существует даже ПО на основе php – MPack. Его можно купить и получить техническую поддержку.

Как действует Storm -
Зараженные червем Storm машины производят серию атак на другие компьютеры, поэтапно рассылая ряд исполняемых файлов. Примерный порядок их действий приведен ниже.

1. game0.exe — открывает лазейку и производит загрузку
2. game1.exe — ретранслирует SMTP
3. game2.exe — считывает адреса электронной почты
4. game3.exe — рассылает вирус по электронной почте
5. game4.exe — производит распределенную атаку типа “отказ в обслуживании” (DDOS)
6. game5.exe — обновляет копию червя Storm

На каждом из этапов зараженная система связывается с бот-сетью, но обнаружить такое подключение в огромном потоке запросов DNS невероятно трудно.
Источник: Wikipedia.

Аппарат IronPort можно взять на тестирование на месяц и после этого заплатить за него. Или вернуть и ничего не платить.

Outbreak filter - функция, позволяющая предотвращать угрозы "нулевого дня". Системой Sender Base производится анализ почтового потока в реальном времени. Если выявляется аномальное количество вложений определённого содержания, активируется анализ вероятности вирусной эпидемии. Если наблюдается тенденция увеличения количества вложений определённой группы, система объявляет вероятность вирусной эпидемии и обновляет конфигурации исполнительных устройств серии E-mail security. При получении писем с подозрительными вложениями они помещаются в карантин. При уточнении характера угрозы и выяснении деталей опасных вложений, из карантина освобождаются полезные письма.

Явление поляризации CEF.

При распределении нагрузки по нескольким каналам в случае использования CEF, возможно возникновение явления «поляризации» CEF. При работе по параллельным подключениям следует добавлять некоторое число, уникальное для данного адресного пространства. Это нужно для избежания ситуации, когда при подключении к двум cef-маршрутизаторам трафик из-за хеширования всегда идёт по одному каналу, тем самым не позволяя сделать Load balancing.

Общие заметки

Для межсетевых экранов существует прозрачный режим - при этом все интерфейсы находятся в одном VLAN, в передаче трафика не участвует маршрутизация.

Контексты в FWSM - это виртуальные межсетевые экраны.

IOS firewall использует режим зон безопасности.

IDS обычно является сенсором без IP адреса на интерфейсе, анализирует копию трафика с определенного порта (метод дублирования трафика, например, SPAN).

IPS обычно является поточным монитором, пропускающим трафик через себя.

Текущая версия IPS - 6. Появилась возможность взаимодействовать с CSA. Система может определить вид и версию ОС клиента по структуре TCP-потока.

У модуля IDSM-2 производительность всего 500 Мб/с. Поэтому сейчас не рекомендуется использовать эти модули в больших сетях. Рекомендуют использовать внешние устройства - например Cisco IPS 4270 Sensor с пропускной способностью 2 Гб/с.

IPS, встроенная в IOS, поддерживает около 2000 сигнатур. Надо проверять, активирована ли проверка на все сигнатуры, либо только на их часть, т.к. по умолчанию часть из них не активна. Их надо активировать, про это надо помнить.

VLAN parring, каскадная поточная схема. На один интерфейс размещается 2 VLAN. Используется общий транк. Технология используется в ips 4260 и 4270. Позволяет реализовывать отказоустойчивость при подключении внешних устройств парой.

Рекомендуется использовать web-интерфейс ADSM при настройке IPS и IDS из-за высокой сложности настройки устройств из командной строки.

Следующая ступень в развитии DSM - Configuration Professional.

Приложение IPS Manager Express позволяет наблюдать за IPS, поддерживает до 5 устройств, бесплатное.

URL-filter поддерживает IronPort WebSense, TrendMicro.

На сайте Cisco присутствует портал безопасности с отслеживанием уязвимостей в реальном времени - IntelliShield Alert Manager - Cisco BugTrack.

Существуют атаки на DHCP - подмера сервера DHCP и выбор всего пула адресов DHCP.

Рекомендуют отключать для BGP рандомизацию TCP пакетов.

Возможности по наблюдению за ресурсами устройств -

  1. SNMP, есть нескольких версий.
  2. RMON, RFC 1757, мониторит ключевые события.
  3. ERM, встроенный диспетчер ресурсов. Позволяет реализовывать политики контроля ресурсов.
  4. ESM, embedded syslog manager.

WAAS - Wide Area Application Service - крайне интересная технология оптимизации передачи данных по WAN-каналам. Позволяет ускорить передачу, уменьшить время отклика. Конкурирующая система RiverBed.

MDS, SAN

Модели MDS 9124, 9134, 9140, 9216, 9222i. Порты FC 2-4-8 Гб. Используют сейчас SAN-OS и NX-OS.

MDS 9134 имеет 32 порта 4 Гб/с и 2 порта 10 Гб/с.

Позволяют лицензировать порты инкрементально, по 8 портов.

9222i имеет VSAN и IVR функционал. Модели 91ХХ - IVR не поддерживают.

MDS 9513 до 528 портов. У MDS 9000 появилось 3 поколение модулей - 8 Гб/с, Gen 3.

Все коммутаторы 92ХХ готовы к 8 Гб/с.

На транзитное соединение рекомендуют выделять отдельный VSAN.

Flex Attach - технология WWN NAT - F-порт имеет виртуальный адрес WWN.

Появилась поддержка PortChannel для F-портов.

Storage Services Module. Появился модуль Cisco SME, позволяющий шифрвать данные, отправляемые на ленту. Внедряется бесшовно. Шифрует открытым ключом. Один модуль работает со скоростью 10 ГБ в час, позволяет записать 4 - 5 лент LTO-4.

Переподписка происходит везде по фабрике. PCI-express дает 4 Гб\с, LTO-4 дает 1 Гб\с, диски дают 1 Гб\с. Все дизайны имеют переподписку.

FSCP security protocol защищает switch-to-switch и device-to-switch соединения.

Для небольших и средних сетей рекомендуют применять Collapsed Core с объединенным ядром и доступом. Для больших сетей (более 1000 портов) рекомендуют модель Core - Edge.

Рекомендуют переподписку 10-12 hosts \ 1-2 storage.

Store - Core - Access, Edge - Hosts.

четверг, 16 октября 2008 г.

Разрешение имен в Windows XP/2003


При подготовке к экзамену по продукту EMC Celerra (сетевая система хранения данных), мне попался ряд интересных вопросов по порядку разрешения имен в ОС Windows XP/2003. Дело в том, что устройство Celerra поддерживает протокол CIFS и эмулирует работу файловых серверов Windows, предоставляя в сеть общие файловые ресурсы.

Один из вопросов экзамена спрашивал, в каком порядке разрешаются имена, и предлагал список из механизмов разрешения. Задача была выбрать правильный порядок. И так как на этот вопрос правильно ответить с первого раза не смог ни я, ни мои коллеги, то ничего не оставалось делать, как отправиться на замечательный ресурс www.microsoft.com. И вот какую информацию об алгоритме преобразования имени в IP-адрес удалось почерпнуть оттуда.

  1. ОС просматривает свои локальные имена, пытаясь определить, не является ли запрашиваемое имя её собственным.
  2. Если имя не найдено, ОС просматривает кэш DNS. В кэш DNS, помимо результатов предыдущих запросов на разрешение имен, при загрузке системы автоматически загружается содержимое файла hosts (\WINDOWS\system32\drivers\etc\hosts).
  3. Если имя не найдено, посылается запрос на сконфигурированный DNS-сервер.
  4. Если имя не найдено, было «плоским» (например “server1”) и короче 16 символов, то оно превращается в NetBIOS-имя и производится поиск в кэше NetBIOS. Если имя длиннее 16 символов или FQDN, то дальнейший поиск не производится и выдается ошибка разрешения имени.
  5. Если NetBIOS-имя не найдено, отправляется запрос к сконфигурированному WINS-серверу.
  6. Если NetBIOS-имя не найдено, то отсылается широковещательный запрос в подключенную подсеть.
  7. Если 3 запроса NetBIOS-имени не дали результата, то ОС осуществляет просмотр файла lmhosts (\WINDOWS\system32\drivers\etc\lmhosts).
Вот такую интересную судьбу переживает наш, казалось бы, обычный запрос на разрешение имени.

Источник - http://technet.microsoft.com/en-us/library/bb727005.aspx

четверг, 9 октября 2008 г.

EMC RepliStor

Интересный продукт EMC, позволяющий выполнять репликацию данных, размещенных на Windows-платформе, по IP-сети в реальном времени. При этом не важно, на каком типе носителя эти данные размещены. Для сохранения консистентности реплицируемых данных используется технология Microsoft VSS. Текущая версия продукта – 6.3.

Key Features:
  • Windows host-based file replication
  • Asynchronous, real-time, byte-level replication
  • Replicates deltas after full synchronization
  • Incremental synchronization after connectivity failure
  • Replicates individual files, directories, or registry
  • Replicates open and closed files
  • Replicates over LAN or WAN
  • Easy to use – no professional service required
  • Supports Windows 2000, Windows 2003, Windows XP, Windows Storage Server
Управление ПО осуществляется с любого клиента, централизованной точки управления нет. Реплицируются файлы, директории, общие папки и реестр системы с источника на получателя. Изначально проводится полная синхронизация данный, далее только инкрементальное обновление измененных данных.

ПО для работы требует .NET FrameWork 2.0 и VisualStudio2008. Если это ПО не установлено, то установщик предлагает автоматически скачать его из Интернета и установить. Установщик предлагает ввести ключ или выбрать полноценную временную лицензию на 1 месяц.

После установки ПО необходимо создать «спецификацию» - описание чего и куда надо реплицировать. После создания спецификации необходимо провести процесс синхронизации – переноса данных на целевую систему и установление систем в зеркальное состояние. Только после этого стартует процесс репликации.

ПО обладает следующими функциями –
• Mirroring – собирает изменения на системе-источнике,
• Forwarding – передает изменения на целевую систему,
• Updating – применяет полученные изменения.

Система-источник регулярно посылает пакеты с сообщениями о своей работоспособности. В случае аварии на сервере-источнике, ПО производит переключение целевой системы в основную роль, переводит на нее ведущую роль. Переключение происходит автоматически.

Основное нишевое применение этого продукта в Exchange Server 2003, Exchange Server 2007, SQL Server 2005, and file system shadow copy backups with the Volume Shadow Copy Service (VSS).



понедельник, 6 октября 2008 г.

642-901 - Building Scalable Cisco Internetworks

Еще один шаг к статусу CCNP сделан. После относительно короткой подготовки сдал экзамен Cisco BSCI. Один из классической четверки, увенчанной лаврами Cisco Certified Network Professional. Следующий после Cisco BCMSN.
Материлы для подготовки -
  1. CCNP Self-Study BSCI Official Exam Certification Guide 642-901, 4th Edition, - Brent Stewart.
  2. CCNP BSCI Quick Reference Sheets, - Brent Stewart, Denise Donohue.
  3. Популярный образец вопросов экзамена.
Экзамен сдавал в САМАН МАТИ. На экзамен ушло все 2 часа и вот почему. В самом начале как обычно меня посадил на место тестирования администратор, бурча что вот сейчас при регистрации теста все, скорее всего, поломается и придется прохдить вводный опросник заново. Так и случилось! В конце стандартного опроса, посвященного общей информации, типа сколько мне лет и как я готовлися к экзамену, тестовое приложение выдало код ошибки и с радостью вылетело. Администратор ругаясь открыл приложение заново, и со второго раза удось успешно зарегистрироваться и начать тестирование. Но самый "веселый" сюрприз ожидал меня в конце теста, когда времени оставалось мало и открылась последняя лабораторная работа с конфигурированием stub-зоны OSPF. В самом конце я попытался выполнить ping внешнего маршрутизатора и тестовое приложение со знакомой радостью мигнуло сообщение об ошибке и вылетело. После запуска теста по новой я оказался в начале этой лабораторной работы с другими IP-адресами и чистой конфигурацией. В итоге я успел ответить на последний вопрос ровно под занавес экзамена, только успев отметить правильные ответы. Адреналин в небольшом количестве экзамен мне прибавил.

Осталось еще два экзамена -
  • 642-825 ISCW Implementing Secure Converged Wide Area Networks
  • 642-845 ONT Optimizing Converged Cisco Networks
Взгляд и ожидания остановились на ONT, т.к. в текущем проекте очень могут пригодиться освеженные знания по QoS. Передача данных в NAS-систему через магистральные каналы ЛВС требует особого отношения к полосе пропускания и целостности потока.

воскресенье, 14 сентября 2008 г.

Английская раскладка при аутентификации в русском Windows 2003.

Старые забытые грабли. Ввод пароля при аутентификации в Windows 2003, а раскладка клавиатуры русская. Надо переключаться, а это неудобно, особенно когда к этому не готов.

Чтобы подлечить -> regedit.exe -> HKEY_USERS - .DEFAULT - Keyboard Layout - Preload. Обычно два параметра:
  • 1 - основная раскладка в окне логона,
  • 2 - дополнительная раскладка в окне логона.

Изменить значения параметров, поменять их местами:

  • 1 - 00000409 - это английская раскладка,
  • 2 - 00000419 - это русская раскладка.

Reload and have fun!

четверг, 11 сентября 2008 г.

О паролях в конфигурационных файлах оборудования Cisco.

Мы часто обмениваемся конфигурационными файлами сетевого оборудования Cisco Systems для решения проблем конфигурирования или просто для обмена опытом. При этом даже иногда публикуем свои конфиги на общедоступных ресурсах - форумах, порталах. И тут вот совсем не надо забывать о наших учетных данных.

Для скрытого отображения пароля в конфигурационном файле надо использовать команду service password-encryption с односторонним шифрованием.
Тогда в конфигурационном файле отобразится зашифрованные пароли -

enable secret 5 $1$uHSM$ZmGh9.mwpKQkbJ.rqDBxR1

www.cisco.com помогает нам в атаке -
To determine which scheme has been used to encrypt a specific password, check the digit preceding the encrypted string in the configuration file. If that digit is a 7, the password has been encrypted using the weak algorithm. If the digit is a 5, the password has been hashed using the stronger MD5 algorithm.

Конкретно по поводу enable secret циска пишет что
Enable secrets are hashed using the MD5 algorithm. As far as anyone at Cisco knows, it is impossible to recover an enable secret based on the contents of a configuration file (other than by obvious dictionary attacks).

Но все равно, я бы поостерегся выкладвать конфигурацию с открытым зашифрованным паролем. В теории он вскрывается прямым перебором, который, при несложном пароле, может быть и не таким долгим.

На одном из весьма посещаемых форумов наткнулся на выложенный конфиг с

enable secret 5 $1$uHSM$ZmGh9.mwpKQkbJ.rqDBxR1
password 7 02575D035F54567118
password 7 0000160855025352
username denis privilege 15 password 7 0000160855025352

Уважаемая и бесплатная утилита "Каин и Авель" на лету открывает слова с обратимым шифрованием.

19842904 и den1984 - вот это интересно
т.е. пароль den1984, а первый пасс - это дата дня рождения горя-Дениса

Получается что человек не открыл нам enable, но открыл себя с привилегией 15 - что есть то что надо.
правда это конфиг точки доступа без адреса даже, но, утечка конкретная и серьезная! Коллеги, будьте бдительны в обмене конфигурационным файлами и уж тем более при их публикации.

Источник -http://www.cisco.com/en/US/tech/tk59/technologies_tech_note09186a00801d7efa.shtml

Организация механизма NAT в сетевых устройствах Cisco.

Зачем нужна трансляция сетевых адресов? Причин много, основная - нехватка адресного пространства IPv4. При текущих темпах развития сети свободные IPv4 адреса кончатся уже через 2-4 года. В качестве временной меры, предлагается начать распределение адресов из резервной подсети класса Е (сеть 240.0.0.0/4 в которую входят 268 миллионов IP начинающихся на номера с 240 по 255), это поможет продлить жизнь IPv4 приблизительно еще на год. Все с нетерпением осваиваем IPv6 и протоколы динмической маршрутизации, с ним связанные.

Поэтому трансляция сетевых адресов является неотъемлемой частью любой корпоративной сети, имеющей выход в глобальную сеть.

Does NAT occur before or after routing?

The order in which the transactions are processed using NAT is based on whether a packet
is going from the inside network to the outside network, or from the outside network to the
inside network. Inside to outside translation occurs after routing, and outside to inside
translation occurs before routing.

How does PAT work?

PAT works with either one IP address or multiple addresses.

PAT with one IP address:

  1. NAT/PAT inspects traffic and matches it to a translation rule.
  2. Rule matches to a PAT configuration. If PAT knows about the traffic type, and that traffic type has "a set of specific ports or ports it negotiates" that it will use, PAT sets them aside and does not allocate them as unique identifiers.
  3. If a session with no special port requirements attempts to connect out, PAT translates the IP source address and checks availability of the originated source port (433, for example).
    Note: For Transmission Control Protocol (TCP) and User Datagram Protocol (UDP), the ranges are: 1−511, 512−1023, 1024−65535. For Internet Control Message Protocol (ICMP), the first group starts at 0.
  4. If the requested source port is available, PAT assigns the source port, and the session continues.
  5. If the requested source port is not available, NAT starts searching from the beginning of the relevant group (starting at 1 for TCP or UDP applications, and from 0 for ICMP).
  6. If a port is available it is assigned, and the session continues.
  7. If no ports are available, the packet is dropped.


PAT with multiple IP addresses:

Note: The first seven conditions are the same as with a single IP address.
If no ports are available in the relevant group on the first IP address, NAT
flips to the next IP address in the pool and tries to allocate the original source
port requested.

  1. If the requested source port is available, NAT assigns the source port and the session continues.
  2. If the requested source port is not available, NAT starts searching from the beginning of the relevant group (starting at 1 for TCP or UDP applications, and from 0 for ICMP).
  3. If a port is available, it is assigned and the session continues
  4. If no ports are available, the packet is dropped, unless another IP address is available in the pool.

среда, 10 сентября 2008 г.

Решение проблемы подключения USB-устройств к виртуальным машинам VMWare.

Нашлось программное решение данной проблемы - "USB to Ethernet Connector" компании Eltima.
http://www.eltima.com/products/usb-over-ethernet/
Теперь можно делать доступным локальные устройства USB для виртуальных машин.


вторник, 9 сентября 2008 г.

HP ProLiant Network Adapter Teaming

Удалось прояснить вопрос с механизмом работы объединения сетевых адаптеров в серверах Hewlett-Packard (Network Adapter Teaming). Сам по себе вопрос возник в связи с необходимостью обеспечить отказоустойчивое сетевое подключение серверов, устойчивое к сбоям коммутаторов уровня доступа или, в терминах центра обработки данных, агрегации. Эти коммутаторы соединяют серверный парк с сетью предприятия. Было интересно, как ведет себя таблица MAC-адресов коммутаторов при переключении сетевых адаптеров под управлением механизмов отказоустойчивости.

Существует 4 основных вида отказоустойчивых сетевых подключений сетевых адаптеров в терминологии HP:
  • NFT (Network Fault Tolerance)
  • TLB (Transmit Load Balancing with Fault Tolerance)
  • SLB (Switch-assisted Load Balancing with Fault Tolerance)
  • 802.3ad Dynamic with Fault Tolerance
Что они означают и какие выгоды предоставляют.

NFT (Network Fault Tolerance)

Технология объединения от 2 до 8 сетевых адаптеров в группу, выступающую как единый виртуальный адаптер с отдельным IP-адресом для внешней сети. Передает и принимает данные только один основной адаптер, остальные (резервыне) находятся в режиме ожидания и передают только служебную информацию протокола группировки адаптеров. Между сетевыми адаптерами группы пересылаются кадры состояния (heartbeat). Кадры передаются по на 2 уровне модели OSI в широковещательном режиме. Это означает, что при подключении адаптеров одного сервера к разным коммутаторам, необходимо обеспечить транковые соединения между этими коммутаторами для организации единого широковещательного домена. В противном случае адаптеры будут исключаться из группы при непрохождении кадров состояния (по умолчанию таймер истекает через 3 секунды). На ARP-запросы из внешней сети отвечает только основной интерфейс, анонсируя свой MAC-адрес для IP-адреса виртуального адаптера. В случае выхода из строя основного адаптера один из резерных адаптеров меняется своим MAC-адресом с бывшим основным интерфейсом и начинает отвечать на запросы из внешней сети, обращенные на MAC-адрес вышедшего из строя основного интерфейса. После решения проблемы с основным интерфейсом он возвращается в группу, но играет роль резервного интерфейса до следующего сбоя текущего основного интерфейса. Данные передаются и принимаются на скорость единичного интерфейса, сложения скоростей не происходит. Есть режим "Network Fault Tolerance Only with Preference Order" в котором администратор может выставить приоритеры адаптерам, согласно которым они вступают в роль основного адаптера.


TLB (Transmit Load Balancing with Fault Tolerance)

Технология объединения от 2 до 8 сетевых адаптеров в группу, выступающую как единый виртуальный адаптер с отдельным IP-адресом для внешней сети. Ранее технология называлась "Adaptive Load Balancing (ALB)". Основной адаптер способен принимать и передавать данные во внешнюю сеть, остальные (резервные) адаптеры только передают данные обратно во внешнюю сеть, осуществляя балансировку исходящей нагрузки. Балансировка нагрузки осуществляется:
  1. автоматически;
  2. по TCP-соединению;
  3. по IP-адресу получателя;
  4. по MAC-адресу получателя;
  5. последовтельным перебором.
Между сетевыми адаптерами группы пересылаются кадры состояния (heartbeat). Кадры передаются по на 2 уровне модели OSI в широковещательном режиме. Это означает, что при подключении адаптеров одного сервера к разным коммутаторам, необходимо обеспечить транковые соединения между этими коммутаторами для организации единого широковещательного домена. В противном случае адаптеры будут исключаться из группы при непрохождении кадров состояния (по умолчанию таймер истекает через 3 секунды). На ARP-запросы из внешней сети отвечает только основной интерфейс, анонсируя свой MAC-адрес для IP-адреса виртуального адаптера. При ответной передачи данных от другого адаптера, в кадре указывается MAC-адрес этого интерфейса. Принимающий сервер не фиксирует этот адрес в своей таблице MAC-адресов, для него важно получить ответ с IP-адреса виртуального адаптера сервера. В случае выхода из строя основного адаптера один из резерных адаптеров меняется своим MAC-адресом с бывшим основным интерфейсом и начинает отвечать на запросы из внешней сети, обращенные на MAC-адрес вышедшего из строя основного интерфейса. После решения проблемы с основным интерфейсом он возвращается в группу, но играет роль резервного интерфейса до следующего сбоя текущего основного интерфейса. Данные принимаются на скорость единичного интерфейса, передаются в целом на скоростях всех интерфейсов группы. Есть режим "Transmit Load Balancing with Fault Tolerance and Preference Order" в котором администратор может выставить приоритеры адаптерам, согласно которым они вступают в роль основного адаптера.
SLB (Switch-assisted Load Balancing with Fault Tolerance)

Технология объединения от 2 до 8 сетевых адаптеров в группу, выступающую как единый виртуальный адаптер с отдельным IP-адресом и MAC-адресом для внешней сети и объединяет аналогичное количество портов коммутатора в один логический агрериованный интерфейс. Необходимо чтобы коммутатор поддерживал одну из перечисленный ниже технологий агрегации портов - "HP ProCurve Port Trunking, Cisco Fast EtherChannel (FEC)/Gigabit EtherChannel (GEC) (Static Mode Only – no PAgP), IEEE 802.3ad Link Aggregation (Static Mode only – no LACP), Nortel’s Multilink Trunking (MLT), and Extreme Network Load Sharing." Принимать и передавать данные во внешнюю сеть могут все адаптеры группы. Балансировка нагрузки для исходящих данных осуществляется аналогично методу TLB. Балансировка входящих данных осуществляется коммутатором согласно протоколу агрегации каналов, который им используется. Все исходящие от сервера кадры содержат MAC-адрес виртуального порта. Данные передаются и принимаются в целом на скоростях всех интерфейсов, входящих в группу.
802.3ad Dynamic with Fault Tolerance.

Технология полностью соответствует SLB за исключением того, что порты на коммутаторе конфигурирются в транковый режим протоколом LACP автоматически.



Источник - ftp://ftp.compaq.com/pub/products/servers/networking/proliant-teaming-whitepaper-march%2008.pdf