Меню Рубрики

Сетевой монитор windows server 2012

Windows Server 2012 R2 — NIC Teaming

Всем привет, сегодня будем агрегировать две сетевухи на сервере HPE Proliant DL120 Gen9 штатными средствами операционной системы Windows Server 2012 R2. Вы ещё не агрегируете? Тогда мы идём к вам!

  • Железный сервер HPE Proliat DL120 Gen9.
  • На борту две сетевухи, на одной из них работает iLO в режиме Shared Network — это важно.
  • ОС — Windows Server 2012 R2
  • Есть возможность настроить порты коммутаторов.

Оффтопик

На серверах HP с iLO на Shared Network Port используйте режим Switch Independent. Адаптеры настраивайте в режим Active-Standby.

Причины для интересующихся ниже.

NIC Teaming в Windows

NIC Teaming или Load Balancing/Failover (LBFO) входит в Windows начиная с Windows Server 2012. Технология позволяет объединить в группу (team) до 32 сетевых адаптеров Ethernet. В группу можно объединять адаптеры разных производителей, условие — наличие цифровой подписи драйвера сетевухи. В группу можно объединять адаптеры одинаковой скорости.

Что даёт NIC Teaming:

  • Отказоустойчивость на уровне сетевухи. Перестала работать одна — включается вторая. С точки зрения системного администрирования это позволяет админу перетыкать по очереди провода в стойке не опасаясь, что всё перестанет работать.
  • Агрегирование полосы пропускания адаптеров. Один гигабит хорошо, а два ещё лучше.
  • Вы можете использовать NIC Teaming не по назначению. Никто не запрещает в группу добавить только один адаптер и использовать NIC Teaming для разделения трафика по VLAN. Я не особо представляю для чего это может понадобиться. Возможно, для работы с виртуальными машинами или ещё для чего-то.

Teaming mode

Тут на ровном месте развели путаницы. Есть три режима:

  • Зависимый от коммутатора (switch dependent) — статическая настройка коммутатора (IEEE 802.3ad draft v1).
  • Зависимый от коммутатора (switch dependent) — Link Aggregation Control Protocol (LACP, IEEE 802.1ax).
  • Независимый от коммутатора (switch independent) — есть возможность подключения к разным коммутаторам для обеспечения ещё большей отказоустойчивости.

Мы с вами сегодня полностью настроим LACP. А потом разберём его и переделаем на switch independent. Потому как iLO нам всю агрегацию портит.

Load balancing mode

Есть три режима балансировки:

  • Hyper-V Port. Сделано для Hyper-V. Сетевуха привязывается к виртуалке.
  • Address Hash. Хеш на основе отправителя и получателя:
  • MAC адреса (для не IP трафика)
  • IP адреса (для не TCP и UDP трафика)
  • Порт — обычно.
  • Dynamic.

Standby adapter

Есть возможность один из адаптеров назначить как резервный. Тогда трафик будет гоняться только через активный.

Давайте для примера настроим LACP. У нас есть два гигабитных физических адаптера. Винда их видит.

Источник

Вcтроенный межсетевой экран (firewall) Windows Server 2012 Теретический материал

Вcтроенный межсетевой экран (firewall) Windows Server 2012

Firewall (сетевой экран, брандмауэр) — это система компонентов, предназначенная для защиты информационной системы от внешних и внутренних атак. Он также может служить средством управления доступом к информационным ресурсам вашей компании для внешних и внутренних пользователей.

В круг его задач входит не только обеспечение безопасности, но и другие:

Кэширование, это свойство характерно для сетей, содержащих Web-серверы с большим объемом информации, доступной из Internet; Трансляция сетевых адресов (NAT), возможность применения во внутренней сети любого IP адреса; Фильтрация контента, то есть ограничение информации, получаемой из Internet; Переадресация, путем изменения запросов, распределение нагрузки между несколькими серверами.

Сочетание этих возможностей дает определенные преимущества в защите рабочих станций и серверов.

Основные механизмы для пропускания и блокирования трафика:

Фильтр пакетов, принимающий решения на основе анализа заголовков пакетов; Proxy-серверы, контроль на уровне приложений; Шифрование трафика.

Обычно используют сочетание этих механизмов для грамотного планирования системы безопасности сети.

Фильтрацию пакетов осуществляют маршрутизаторы или компьютер, с соответствующим программным обеспечением, в которых заданы наборы правил, устанавливающие разрешенные типы сетевого трафика, имеющие право проходить через подключенные к нему сетевые интерфейсы. Им приходится принимать решения только на основе информации в заголовке пакета. В заголовок пакета не включены детали, которые могли бы помочь фильтру решить, следует ли пропускать пакет через межсетевой экран. Поэтому нет возможностей распознать тип запроса. Proxy-сервер — это программа, которая выполняется на брандмауэре и перехватывает трафик приложений определенного типа. Пакетный фильтр гарантирует определенную степень защиты, а proxy-серверы обеспечивают дальнейшее блокирование нежелательного трафика между локальной и внешней сетью. Если proxy-сервер выйдет из строя, пакетный фильтр останется вашей первой линией обороны, пока работа proxy-сервера не будет восстановлена. Наиболее продвинутые фаерволы, обладают функцией proxy-сервера.

Персональный межсетевой экран появился в операционных системах семейства Windows, начиная с Windows XP / Windows Server 2003. В Windows Server 2012 возможности этого компонента существенно расширены, что позволяет более гибко производить настройки.

Текущие настройки можно посмотреть, запустив из Диспетчера серверов брандмауэр.

Брандмауэр позволяет настраивать правила для входящих и исходящих подключений. А также – правила безопасности подключений.

Правила настраиваются отдельно для входящих и отдельно – для исходящих подключений.

Щелкаем (справа) «Создать правило».

Данный файервол является шлюзом как сетевого, так и прикладного уровней.

Поэтому мы можем создать правило как для программы, так и для порта.

Задание №1. Создайте правило, разрешающее исходящие соединения с сервером по порту 80 (TCP).

Далее необходимо выбрать протокол, по которому будет произведено соединение

После этого мы можем настроить действие с пакетами: можем разрешить подключение по указанному порту, можем – разрешить безопасное подключение (pptp, l2tp+ipsec), либо заблокировать подключение.

Далее создаём профиль, для которого применяется подключение.

И задаём имя правила.

Создайте правило, разрешающее подключение по протоколам PPTP, SSL, HTTP, FTP, Telnet для данного сервера.

Сделайте ваш сервер веб-сервером и FTP-сервером и попросите друга (с другой виртуалки!), чтобы он попытался подключиться к вашему серверу. Если это удалось сделать, то задание выполнено частично правильно.

Проверять, удаётся ли подключиться по протоколу PPTP и SSL, мы будем позже.

Задание №3. Изучите возможности средства «Наблюдение» за фаерволом. Опишите их назначение в отчёте.

Задание №4. Создайте правило, разрешающее отсылку ICMP-пакетов echo reguest. Проверьте его работу для какого-нибудь узла из локальной или внешней сети, используя его ip-адрес (например, командой ping 192.168.0.10 можно проверить доступность компьютера с указанным адресом). Если ответ пришел, можно переходить ко второй части задания. Если ответа нет, попробуйте найти такой узел, который пришлет ответ.

Задание №5. Создайте правило, запрещающее отсылку icmp-пакетов на данный узел. Проверьте его работу.

Задание №6. Изучите возможности мастера создания правил безопасности для нового подключения. Опишите их назначение в отчёте.

Задание №7. Создайте правило безопасности для туннеля.

Обеспечьте проверку подлинности отправителя (компьютера клиента) сервером на основе сертификата компьютера.

Обеспечьте проверку подлинности соединения между любыми конечными точками туннеля.

Создайте VPN туннель между вашим компьютером и компьютером друга.

Задача №8. Обеспечить обмен электронной почтой между внутренним и внешним SMTP серверами.

Настройте правила в соответствие с таблицей:

Задача №9 (доработка задачи №8). Защитите свою сеть от троянских программ (обращаем внимание и на порт источника).

Защищаемая организация имеет сеть 123.45.0.0/16

Запретить из Интернет доступ в сеть 123.45.0.0/16

Но разрешить доступ в подсеть 123.45.6.0/24 данной сети из сети 135.79.0.0/16

При этом специально запретить в защищаемую сеть доступ из подсети 135.79.6.0/24, за исключением доступа к подсети 123.45.6.0/24

Защищаемая организация имеет сеть 123.4.0.0/16

Входящие соединения TELNET разрешаются только с хостом 123.4.5.6

Входящие соединения SMTP разрешаются только с хостами 123.4.5.7 и 123.4.5.8

Входящий обмен по NNTP разрешается только от сервера новостей 129.6.48.254 и только с хостом 123.4.5.9

Входящий протокол NTP (сетевого времени) — разрешается для всех

ВТОРАЯ ЧАСТЬ ПРАКТИЧЕСКОЙ РАБОТЫ

«Изучение настройки файервола в командной строке».

Все задания этой части (№12-№18) необходимо выполнить в командной строке. Не через графический интерфейс!

Программа netsh. exe позволяет администратору настраивать компьютеры с ОС Windows и наблюдать за ними из командной строки или с помощью пакетного файла.

При использовании средства netsh вводимые команды направляются соответствующим помощникам, которые и производят их выполнение.

Многие из описанных параметров конфигурации можно настроить и с помощью программы netsh.

Расмотрим несколько примеров как создавать правила из командной строки, также эти команды можно использовать при написании своих пакетных сценариев cmd, bat, powershell.

Задача №12. Включите файервол.

Включение и выключение файервола:

Включить брандмауэр: netsh advfirewall set allprofiles state on

Выключить брандмауэр: netsh advfirewall set allprofiles state off

Включение отдельных профилей:

netsh advfirewall set domainprofile state on

netsh advfirewall set privateprofile state on

netsh advfirewall set publicprofile state on

Отключите частный профиль. Включите профиль в домене и публичный профиль.

Запретите все входящие соединения и разрешите все исходяшие:

netsh advfirewall set allprofiles firewallpolicy blockinbound, allowoutbound

Для всех профилей Блокировать Разрешать

входящий трафик исходящий

netsh advfirewall firewall add rule name=»HTTP» protocol=TCP localport=80 action=allow dir=IN

Добавляет правило, разрешающее (action=allow) соединения по протоколу TCP (protocol=TCP) для 80 порта (localport=80) для входящего трафика (dir=IN, dir – от direction – направление. OUT – исходящий трафик, IN – входящий трафик).

Разрешите входящие соединения для 80 порта по протоколам TCP и UDP с консоли.

Запретите исходящие соединения на 80 порт.

Откройте диапазон портов для исходящего UDP трафика

netsh advfirewall firewall add rule name=» =»Port range» protocol=UDP localport=5000-5100 action=allow dir=OUT

Задача №15. Ограничения по IP адресам

netsh advfirewall firewall add rule name=»HTTP» protocol=TCP localport=80 action=allow dir=IN remoteip=192.168.0.1

Разрешите входящий трафик от веб-сервера с dns-именем yandex. ru (вы должны определить ip-адрес по dns-имени!)

Разрешите входящий трафик от серверов с адресами 192.168.1.4, 192.168.1.5, 192.168.1.6 и запретите от 192.168.1.10, 192.168.1.11

Возможно ограничение и по подсетям.

netsh advfirewall firewall add rule name=»HTTP» protocol=TCP localport=80 action=block dir=IN remoteip=10.0.0.0/16

netsh advfirewall firewall add rule name=»HTTP» protocol=TCP localport=80 action=allow dir=IN remoteip=10.0.0.1-10.0.0.10

netsh advfirewall firewall add rule name=»HTTP» protocol=TCP localport=80 action=block dir=IN remoteip=localsubnet

Доработайте правило из задачи №15 с использованием адресов подсетей для блокировки и разрешения трафика.

Создайте правило, разрешающее входящий трафик программе C:\Windows\explorer. exe

netsh advfirewall firewall add rule name=»My Application» dir=in action=allow program=»C:\Windows\Explorer. exe» enable=yes

Дополнительно (не к №17):

При необходимости – возможно и комбинирование параметров. Например:

netsh advfirewall firewall add rule name=»My Application» dir=in action=allow program=»C:\MyApp\MyApp. exe» enable=yes remoteip=157.60.0.1,172.16.0.0/16,LocalSubnet profile=domain

Настройте файервол в соответствие со следующими требованиями:

Запретить доступ в подсеть 172.16.0.0/16 Разрешить доступ в подсеть 192.168.2.0/24 Разрешить входящий и исходящий трафик первым 10 адресам подсети 192.168.3.0/24, всем остальным – запретить. Разрешить входящий и исходящий трафик к серверам (их адреса указаны в таблице).

Контроллер домена и DNS-сервер.

Сервер, к которому необходимо обеспечить доступ по SSH и Telnet.

Причём необходимо запретить доступ к SSH серверу, если пользователь в домене организации. Если находится в своей сети – доступ разрешить.

Разрешить полный доступ в сеть приложениям C:\torrent\torrent. exe, C:\windows\explorer. exe C:\Program Files\radmin\radmin. exe

Определите назначение программы Брандмауэр. Перечислите функции, выполняемые программой Брандмауэр. Каким образом исключить программу или сервис из списка с запрещенным доступом? Какие порты могут быть у клиентских приложений и какие – у серверных? Перечислите порты наиболее популярных серверных приложений.

Источник

NIC Teaming в Windows Server 2012

С выходом Windows Server 2012 технология NIC Teaming стала штатным средством серверной операционной системы. Долгое время решения по объединению (группировке) сетевых адаптеров для платформы Windows предоставлялись только сторонними производителями, прежде всего, поставщиками оборудования. Теперь Windows Server 2012 содержит инструменты, которые позволяют группировать сетевые адаптеры, в том числе, адаптеры разных производителей.

Что дает NIC Teaming?

Технология NIC Teaming, именуемая также как Load Balancing/Failover (LBFO), доступна во всех редакциях Windows Server 2012 и во всех режимах работы сервера (Core, MinShell, Full GUI). Объединение (тиминг) нескольких физических сетевых адаптеров в группу приводит к появлению виртуального сетевого интерфейса tNIC, который представляет группу для вышележащих уровней операционной системы.

Объединение адаптеров в группу дает два основных преимущества:

  • Отказоустойчивость на уровне сетевого адаптера и, соответственно, сетевого трафика. Выход из строя сетевого адаптера группы не приводит к потери сетевого соединения, сервер переключает сетевой трафик на работоспособные адаптеры группы.
  • Агрегирование полосы пропускания адаптеров, входящих в группу. При выполнении сетевых операций, например, копирования файлов из общих папок, система потенциально может задействовать все адаптеры группы, повышая производительность сетевого взаимодействия.

Особенности NIC Teaming в Windows Server 2012

Windows Server 2012 позволяет объединять в группу до 32 сетевых адаптеров Ethernet. Тиминг не Ethernet адаптеров (Bluetooth, Infiniband и пр.) не поддерживается. В принципе, группа может содержать только один адаптер, например, для разделения трафика по VLAN, но, очевидно, отказоустойчивость в этом случае не обеспечивается.

Драйвер сетевого адаптера, включаемого в группу, должен иметь цифровую подпись Windows Hardware Qualification and Logo (WHQL). В этом случае можно объединять в группу адаптеры разных производителей, и это будет поддерживаемая Microsoft конфигурация.

В одну группу можно включать только адаптеры с одинаковой скоростью подключения (speed connections).

Не рекомендуется использовать на одном сервере встроенный тиминг и тиминг третьих фирм. Не поддерживаются конфигурации, когда адаптер, входящий в тиминг стороннего производителя, добавляется в группу, создаваемую штатными средствами ОС, и наоборот.

Параметры NIC Teaming

При создании тиминговой группы необходимо указать несколько параметров (рассмотрены ниже), два из которых имеют принципиальное значение: режим тиминга (teaming mode) и режим балансировки трафика (load balancing mode).

Режим тиминга

Тиминговая группа может работать в двух режимах: зависимый от коммутатора (switch dependent) и не зависимый от коммутатора (switch independent).

Как следует из названия, в первом варианте (switch dependent) потребуется настройка коммутатора, к которому подключаются все адаптеры группы. Возможны две опции – статическая настройка свича (IEEE 802.3ad draft v1), либо использование протокола Link Aggregation Control Protocol (LACP, IEEE 802.1ax).

В режиме switch independent адаптеры группы могут быть подключены к разным коммутаторам. Подчеркиваю, могут быть, но это необязательно. Просто если это так, отказоустойчивость может быть обеспечена не только на уровне сетевого адаптера, но и на уровне коммутатора.

Режим балансировки

Кроме указания режима работы тиминга, необходимо еще указать режим распределения или балансировки трафика. Таких режимов по сути два: Hyper-V Port и Address Hash.

Hyper-V Port. На хосте с поднятой ролью Hyper-V и n-ым количеством виртуальных машин (ВМ) данный режим может оказаться весьма эффективным. В этом режиме порт Hyper-V Extensible Switch, к которому подключена некоторая ВМ, ставится в соответствие какому-либо сетевому адаптеру тиминговой группы. Весь исходящий трафик данной ВМ всегда передается через этот сетевой адаптер.

Address Hash. В этом режиме для сетевого пакета вычисляется хэш на основе адресов отправителя и получателя. Полученный хэш ассоциируется с каким-либо адаптером группы. Все последующие пакеты с таким же значением хэша пересылаются через этот адаптер.

Хэш может вычисляться на основе следующих значений:

  • MAC-адрес отправителя и получателя;
  • IP-адрес отправителя и получателя (2-tuple hash);
  • TCP-порт отправителя и получателя и IP-адрес отправителя и получателя (4-tuple hash).

Вычисление хэша на основе портов позволяет распределять трафик более равномерно. Однако для трафика отличного от TCP или UDP применяется хэш на основе IP-адреса, для не IP-трафика – хэш на основе MAC-адресов.

Таблица ниже описывает логику распределения входящего/исходящего трафика в зависимости от режима работы группы и выбранного алгоритма распределения трафика. Отталкиваясь от этой таблицы, вы сможете выбрать наиболее подходящий для вашей конфигурации вариант.

Address Hash Hyper-V Port
Switch Independent
  • Исходящий трафик распределяется между всеми активными адаптерами группы
  • Входящий трафик поступает только на один интерфейс (основной адаптер группы). В случае сбоя в работе основного адаптера группы, его функции передаются другому сетевому адаптеру, и весь входящий трафик направляется к нему
  • К исходящим пакетам присоединяется тег со ссылкой на порт коммутатора Hyper-V, через который эти пакеты были переданы. Все пакеты с одного порта направляются одному и тому же адаптеру группы
  • Входящий трафик, предназначенный для конкретного порта Hyper-V, поступает тому же адаптеру группы, который используется для отправки пакетов
    с этого порта

Static, LACP
  • Исходящий трафик распределяется между всеми активными адаптерами группы
  • Входящий трафик будет перенаправляться
    в соответствии с алгоритмом распределения нагрузки, который реализован в коммутаторе

  • К исходящим пакетам присоединяется тег со ссылкой на порт коммутатора Hyper-V, через который эти пакеты были переданы. Все пакеты с одного порта направляются одному и тому же адаптеру группы. Если группа была переведена в режим распределения портов коммутатора Hyper-V, но не была подключена к коммутатору Hyper-V, весь исходящий трафик будет отправлен одному адаптеру группы
  • Входящий трафик будет перенаправляться в соответствии с алгоритмом распределения нагрузки, который реализован в коммутаторе

Необходимо отметить еще один параметр. По умолчанию все адаптеры группы являются активными и задействуются для передачи трафика. Однако вы можете один из адаптеров указать в качестве Standby. Это адаптер будет использоваться только в качестве «горячей» замены, если один из активных адаптеров выходит из строя.

NIC Teaming в гостевой ОС

По разным причинам вы можете не захотеть включать тиминг на хостовой машине. Или же установленные адаптеры не могут быть объединены в тиминг штатными средствами ОС. Последнее справедливо для адаптеров с поддержкой SR-IOV, RDMA или TCP Chimney. Тем не менее, если на хосте более одного даже такого физического сетевого адаптера, можно использовать NIC Teaming внутри гостевой ОС. Представим, что на хосте две сетевые карточки. Если в некоторой ВМ два виртуальных сетевых адаптера, эти адаптеры через два виртуальных свича типа external подключены к, соответственно, двум физическим карточкам, и внутри ВМ установлена ОС Windows Server 2012, то вы можете сконфигурировать NIC Teaming внутри гостевой ОС. И такая ВМ сможет воспользоваться всеми преимуществами тиминга, и отказоустойчивостью, и повышенной пропускной способностью. Но для того, чтобы Hyper-V понимал, что при выходе из строя одного физического адаптера, трафик для этой ВМ нужно перебросить на другой физический адаптер, нужно установить чекбокс в свойствах каждого виртуального NIC, входящего в тиминг.

В PowerShell аналогичная настройка задается следующим образом:

Добавлю, что в гостевой ОС можно объединить в группу только два адаптера, и для группы возможен только switch independent + address hash режим.

Настройка NIC Teaming

Настройка тиминга возможна в графическом интерфейсе Server Manager, либо в PowerShell. Начнем с Server Manager, в котором необходимо выбрать Local Server и NIC Teaming.

В разделе TEAMS в меню TASKS выбираем New Team.

Задаем имя создаваемой группы, помечаем включаемые в группу адаптеры и выбираем режим тиминга (Static, Switch Independent или LACP).

Выбираем режим балансировки трафика.

Если необходимо, указываем Standby-адаптер.

В результате в списке адаптеров появляется новый сетевой интерфейс, для которого необходимо задать требуемые сетевые настройки.

При этом в свойствах реальных адаптеров можно увидеть включенный фильтр мультиплексирования.

В PowerShell манипуляции с тимингом реализуются набором команд с суффиксом Lbfo. Например, создание группы может выглядеть так:

Здесь TransportPorts означает балансировку с использованием 4-tuple hash.

Замечу, что вновь созданный сетевой интерфейс по умолчанию использует динамическую IP-адресацию. Если в скрипте нужно задать фиксированные настройки IP и DNS, то сделать это можно, например, так:

Таким образом, встроенными средствами Windows Server 2012 вы можете теперь группировать сетевые адаптеры хостовой или виртуальной машины, обеспечивая отказоустойчивость сетевого трафика и агрегирование пропускной полосы адаптеров.

Увидеть технологию в действии, а также получить дополнительную информацию по этой и другим сетевым возможностям Windows Server 2012 вы можете, просмотрев бесплатные курсы на портале Microsoft Virtual Academy:

  • Новые возможности Windows Server 2012. Часть 1. Виртуализация, сети, хранилища
  • Windows Server 2012: Сетевая инфраструктура

Надеюсь, материал был полезен.
Спасибо!

Источник

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

  • Сетевой медиаплеер на windows
  • Сетевой драйвер windows xp virtualbox
  • Сетевой драйвер foxconn для windows 7
  • Сетевой доступ гость windows 10
  • Сетевой диск windows протокол