Каким компонентам сетевой среды tcp ip, кроме компьютеров, требуется идентификатор узла

Обновлено: 04.07.2024

В этом руководстве объясняются типы сетевых протоколов и их функции. Узнайте о наиболее распространенных типах сетевых протоколов и о том, как они работают в компьютерной сети.

Протоколы TCP и UDP

TCP означает протокол управления передачей. UDP означает протокол пользовательских дейтаграмм. Оба протокола позволяют сетевым приложениям обмениваться данными между узлами. Основное различие между ними заключается в том, что TCP — это протокол, ориентированный на установление соединения, а UDP — протокол без установления соединения.

При использовании протокола TCP между двумя сетевыми устройствами открывается специальное соединение, и канал остается открытым для передачи данных, пока не будет закрыт. С другой стороны, UDP-передача не устанавливает надлежащего соединения и просто передает свои данные по указанному сетевому адресу без какой-либо проверки получения.

Чтобы узнать больше о TCP и UDP, см. следующий учебник.

IP-протокол

IP означает интернет-протокол. Этот протокол работает с протоколами TCP и UDP. Он предоставляет уникальную идентификацию каждому узлу в компьютерной сети. Это удостоверение известно как IP-адрес. IP-адрес — это программный адрес узла в компьютерной сети. Существует две версии протокола IP: IPv4 и IPv6. IPv4 использует 32 бита для создания IP-адреса, а IPv6 использует 128 бит для создания IP-адреса.

Чтобы узнать, как IP-протокол создает IP-адреса и управляет ими, изучите следующий учебник.

DNS расшифровывается как служба доменных имен. Этот сервис позволяет нам получить доступ к узлу по его имени. По умолчанию узлы используют IP-адреса для идентификации друг друга в сети. Служба DNS позволяет нам сопоставить имя с IP-адресом. Когда мы обращаемся к узлу по его имени, служба DNS переводит имя в IP-адрес. Возьмем пример.

Предположим, вы хотите получить доступ к главной странице сайта Yahoo. Для этого введите следующий адрес в веб-браузере.

Ваш веб-браузер подключается к настроенному DNS-серверу и отправляет запрос на преобразование введенного адреса в IP-адрес. DNS-сервер переводит адрес в IP-адрес и отправляет IP-адрес сайта Yahoo. Ваш браузер получает доступ к сайту Yahoo и отображает его в окне просмотра. Без службы DNS ваш браузер не сможет получить доступ к сайту Yahoo.

NAT означает преобразование сетевых адресов. Этот протокол преобразует один IP-адрес в другой. Это может быть адрес источника или адрес назначения. Можно использовать две основные реализации NAT: статическую и динамическую. В статическом NAT выполняется ручная трансляция. В динамическом NAT автоматическое преобразование адресов выполняется устройством преобразования адресов. Статический NAT используется для преобразования IP-адресов назначения в пакетах, когда они поступают в вашу сеть, но вы также можете преобразовывать исходные адреса. Динамический NAT используется для преобразования исходных IP-адресов в пакеты, когда они выходят из вашей сети. В динамическом NAT глобальный адрес, назначенный внутреннему пользователю, не так важен, поскольку внешние устройства не подключаются напрямую к вашим внутренним пользователям — они просто возвращают им трафик, запрошенный внутренним пользователем.

Чтобы узнать больше о NAT, см. следующий учебник.

SNMP (простой протокол управления сетью)

Простой протокол управления сетью — это протокол TCP/IP для мониторинга сетей и сетевых компонентов. SNMP использует небольшие служебные программы, называемые агентами, для мониторинга поведения и трафика в сети. Эти агенты могут быть загружены на управляемые устройства, такие как концентраторы, сетевые адаптеры, серверы, маршрутизаторы и мосты. Собранные данные хранятся в MIB (базе управляющей информации). Чтобы собрать информацию в пригодной для использования форме, консоль программы управления опрашивает этих агентов и загружает информацию из их MIB, которую затем можно отобразить в виде графиков, диаграмм и отправить в программу базы данных для анализа.

SMB (блок сообщений сервера)

SMB – это протокол обмена файлами. Это позволяет сетевым компьютерам получать прозрачный доступ к файлам, которые находятся в удаленных системах, в различных сетях. Протокол SMB определяет ряд команд, передающих информацию между компьютерами. Он в основном используется компьютерами с Microsoft Windows. SMB работает по принципу клиент-сервер, когда клиент отправляет определенные запросы, а сервер отвечает соответствующим образом.

FTP (протокол передачи файлов)

Одним из самых первых применений Интернета, задолго до появления просмотра веб-страниц, была передача файлов между компьютерами. Протокол передачи файлов (FTP) используется для подключения к удаленным компьютерам, составления списка общих файлов, а также загрузки или скачивания файлов между локальными и удаленными компьютерами.

FTP работает поверх TCP, что обеспечивает гарантированную доставку данных с установлением соединения. FTP — это командный интерфейс, основанный на символах, хотя многие FTP-приложения имеют графический интерфейс.FTP по-прежнему используется для передачи файлов, чаще всего в качестве центрального FTP-сервера с файлами, доступными для загрузки. Веб-браузеры могут отправлять FTP-запросы на загрузку программ по ссылкам, выбранным на веб-странице.

TFTP (простой протокол передачи файлов)

TFTP используется, когда передача файла не требует пакета подтверждения во время передачи файла. TFTP часто используется в конфигурации маршрутизатора. TFTP аналогичен FTP. TFTP также является утилитой командной строки.

Одним из двух основных различий между TFTP и FTP является скорость и аутентификация. Поскольку TFTP используется без пакетов подтверждения, он обычно быстрее, чем FTP. TFTP не обеспечивает аутентификацию пользователя, как FTP, поэтому пользователь должен войти в систему клиента, а файлы на удаленном компьютере должны быть доступны для записи. TFTP поддерживает только однонаправленную передачу данных (в отличие от FTP, который поддерживает двунаправленную передачу). TFTP работает через порт 69.

SMTP (простой протокол передачи почты)

SMTP — это стандартный протокол электронной почты, который обрабатывает отправку почты с одного SMTP-сервера на другой SMTP-сервер. Для осуществления транспорта SMTP-сервер имеет запись MX (почтовый обменник) в базе данных DNS, которая соответствует домену, для которого он настроен на получение почты.

При наличии двусторонней связи почтовые клиенты настраиваются с адресом сервера POP3 для получения почты и адресом SMTP-сервера для отправки почты. Клиенты могут настраивать параметры сервера на страницах свойств почтового клиента, основываясь на выборе полного доменного имени или IP-адреса.

POP3/IMAP4 (протокол почтового отделения версии 3/протокол доступа к сообщениям в Интернете версии 4)

Протокол почтового отделения 3 (POP3) и протокол доступа к сообщениям в Интернете 4 (IMAP4) – это два протокола прикладного уровня, используемые для обмена электронными сообщениями через Интернет. POP3 — это протокол, в котором участвуют как сервер, так и клиент. Сервер POP3 получает сообщение электронной почты и хранит его для пользователя. Клиентское приложение POP3 периодически проверяет почтовый ящик на сервере для загрузки почты. POP3 не позволяет клиенту отправлять почту, только получать ее. POP3 передает сообщения электронной почты через TCP-порт 110.

IMAP4 — это альтернативный протокол электронной почты. IMAP4 работает так же, как POP3. При этом сообщение электронной почты хранится на сервере, а затем загружается в клиентское приложение электронной почты. Пользователи могут читать свои сообщения электронной почты локально в клиентском приложении электронной почты, но не могут отправлять сообщения электронной почты с помощью IMAP4. Когда пользователи получают доступ к сообщениям электронной почты через IMAP4, у них есть возможность просмотреть только заголовок сообщения, включая его заголовок и имя отправителя, прежде чем загружать тело сообщения. Пользователи могут создавать, изменять или удалять папки на сервере, а также искать сообщения и удалять их с сервера.

Телнет

Telnet расшифровывается как телекоммуникационная сеть. Это протокол виртуального терминала. Это позволяет пользователю получить доступ к системе удаленно. При удаленном управлении появляется сеанс, в котором пользователь может управлять файлами на удаленном компьютере, хотя сеанс, похоже, работает локально. Telnet — это ранняя версия приложения для удаленного управления.

Telnet очень прост; он предлагает исключительно символьный доступ к другому компьютеру. Вы часто можете использовать Telnet для управления оборудованием без монитора. Например, на большинстве маршрутизаторов включен Telnet, поэтому администратор может войти в систему и управлять маршрутизатором. Telnet также обеспечивает быструю проверку работоспособности сетевого подключения. Поскольку Telnet находится на уровне приложений, если он может подключиться к удаленному узлу, вы можете быть уверены, что сетевое соединение между двумя узлами работает, как и все протоколы более низкого уровня.

SSH (безопасная оболочка)

SSH — это программа для входа в систему и выполнения команд на удаленной машине. Он обеспечивает безопасную зашифрованную связь между двумя ненадежными хостами по незащищенной сети. Когда SSH подключается и входит в систему на указанном компьютере, пользователь должен подтвердить свою личность на удаленном компьютере, который передается через соединение с использованием шифрования данных. Этот процесс делает SSH непроницаемым для интернет-прослушивателей, которые в противном случае могли бы украсть информацию об учетной записи.

ICMP (Интернет-протокол управляющих сообщений)

ICMP предоставляет функции сетевой диагностики и сообщения об ошибках. ICMP также предоставляет небольшую сетевую справку для маршрутизаторов. Когда маршрутизатор перегружен запросами маршрута, он отправляет сообщение об отключении источника всем клиентам в сети, предписывая им снизить скорость запросов данных к маршрутизатору.

Чтобы подробно изучить протокол ICMP, вы можете просмотреть следующий учебник.

ARP (протокол разрешения адресов)

Протокол разрешения адресов (ARP) – это протокол интернет-уровня, который помогает сетевым компонентам TCP/IP находить другие устройства в том же широковещательном домене. ARP использует локальную широковещательную рассылку (255.255.255.255) на уровне 3 и FF:FF:FF:FF:FF:FF на уровне 2 для обнаружения соседних устройств.

RARP (протокол обратного разрешения адресов)

RARP — это своего рода обратная сторона ARP. В ARP устройство знает адрес уровня 3, но не знает адрес уровня канала передачи данных. С RARP устройство не имеет IP-адреса и хочет его получить. Единственный адрес, который имеет это устройство, — это MAC-адрес. Распространенными протоколами, использующими RARP, являются BOOTP и DHCP

NTP (протокол сетевого времени)

Протокол сетевого времени используется для синхронизации времени компьютера-клиента или сервера с другим сервером или эталонным источником времени, таким как радиоприемник, спутниковый приемник или модем. Он обеспечивает точность в пределах миллисекунды в локальных сетях и до нескольких десятков миллисекунд в глобальных сетях.

SCP (протокол безопасного копирования)

Secure Copy или SCP — это средство безопасной передачи компьютерных файлов между локальным и удаленным хостом или между двумя удаленными хостами с использованием протокола Secure Shell (SSH). Сам протокол не обеспечивает аутентификацию и безопасность; он ожидает, что базовый протокол SSH защитит это. Протокол SCP реализует только передачу файлов. Для этого он подключается к хосту с помощью SSH и запускает SCP-сервер (SCP). Сервер SCP соединяется с клиентом SCP и безопасно передает файлы.

LDAP (облегченный протокол доступа к каталогам)

Легкий протокол доступа к каталогам, или LDAP, – это сетевой протокол для запросов и изменения служб каталогов, работающих по протоколу TCP/IP. Каталог — это набор информации с похожими атрибутами, организованный логически и иерархически. Наиболее распространенным примером является телефонный справочник, который состоит из ряда имен, организованных в алфавитном порядке, с присоединенными адресом и номером телефона.

IGMP (протокол многоадресной рассылки групп Интернета)

Протокол управления группами Интернета – это протокол связи, используемый для управления членством в многоадресных группах Интернет-протокола. IGMP используется хостами IP и соседними маршрутизаторами многоадресной рассылки для установления членства в группах многоадресной рассылки. Это неотъемлемая часть спецификации IP-многоадресной рассылки, как и ICMP для одноадресных соединений. IGMP может использоваться для онлайн-видео и игр и позволяет более эффективно использовать ресурсы при поддержке этих целей.

LPD (демон построчного принтера) /LPR (удаленный построчный принтер)

Протокол Line Printer Daemon/протокол Line Printer Remote (или LPD, LPR), также известный как система печати Беркли, представляет собой набор программ, обеспечивающих буферизацию принтера и функции сетевого сервера печати для Unix-подобных систем.

Наиболее распространенными реализациями LPD являются официальная операционная система BSD UNIX и проект LPRng. Общая система печати Unix (или CUPS), более распространенная в современных дистрибутивах Linux, во многом заимствована у LPD.

На этом уроке все. В этом руководстве мы обсудили некоторые наиболее распространенные сетевые протоколы и их функции. Если у вас есть предложения или отзывы об этом руководстве, вы можете написать нам или оставить комментарий на нашей странице в Facebook.

От ComputerNetworkingNotes Обновлено 13 сентября 2021 г., 14:58:54 IST

ComputerNetworkingNotes Учебные пособия по работе в сети Типы сетевых протоколов с описанием функций

Уровень 2, также известный как канальный уровень, является вторым уровнем в семиуровневой эталонной модели OSI для проектирования сетевых протоколов. Уровень 2 эквивалентен канальному уровню (самый нижний уровень) в сетевой модели TCP/IP. Layer2 — это сетевой уровень, используемый для передачи данных между соседними сетевыми узлами в глобальной сети или между узлами в одной и той же локальной сети.

Кадр — это единица данных протокола, наименьшая единица битов в сети уровня 2. Кадры передаются и принимаются от устройств в одной и той же локальной сети (LAN). В отличие от битов, фреймы имеют определенную структуру и могут использоваться для обнаружения ошибок, действий плоскости управления и т.д. Не все кадры несут пользовательские данные. Сеть использует некоторые кадры для управления самим каналом передачи данных..

На уровне 2 одноадресная рассылка означает отправку кадров с одного узла на один другой узел, тогда как многоадресная рассылка означает отправку трафика с одного узла на несколько узлов, а широковещательная рассылка относится к передаче кадров всем узлам в сети. Домен широковещательной рассылки – это логическое подразделение сети, в котором все узлы этой сети могут быть достигнуты на уровне 2 посредством широковещательной рассылки.

Сегменты локальной сети могут быть связаны на уровне фрейма с помощью мостов. Мостовое соединение создает отдельные широковещательные домены в локальной сети, создавая виртуальные локальные сети, которые представляют собой независимые логические сети, объединяющие связанные устройства в отдельные сетевые сегменты. Группировка устройств в VLAN не зависит от физического расположения устройств в локальной сети. Без моста и VLAN все устройства в локальной сети Ethernet находятся в одном широковещательном домене, и все устройства обнаруживают все пакеты в локальной сети.

Пересылка – это ретрансляция пакетов из одного сегмента сети в другой узлами сети. В VLAN кадры, источник и получатель которых находятся в одной и той же VLAN, пересылаются только в пределах локальной VLAN. Сегмент сети – это часть компьютерной сети, в которой каждое устройство обменивается данными на одном и том же физическом уровне.

Слой 2 содержит два подслоя:

Подуровень управления логическим каналом (LLC), отвечающий за управление каналами связи и обработку кадрового трафика.

Подуровень управления доступом к среде (MAC), который управляет протокольным доступом к физической сетевой среде. Используя MAC-адреса, назначенные всем портам коммутатора, несколько устройств на одном физическом канале могут однозначно идентифицировать друг друга.

Порты или интерфейсы на коммутаторе работают либо в режиме доступа, либо в режиме тегированного доступа, либо в режиме магистрали:

Порты

режима доступа подключаются к сетевому устройству, такому как настольный компьютер, IP-телефон, принтер, файловый сервер или камера наблюдения. Сам порт принадлежит к одной VLAN. Кадры, передаваемые через интерфейс доступа, являются обычными кадрами Ethernet. По умолчанию все порты коммутатора находятся в режиме доступа.

Порты

Tagged-Access Mode подключаются к сетевому устройству, такому как настольный компьютер, IP-телефон, принтер, файловый сервер или камера наблюдения. Сам порт принадлежит к одной VLAN. Кадры, передаваемые через интерфейс доступа, являются обычными кадрами Ethernet. По умолчанию все порты коммутатора находятся в режиме доступа. Режим тегированного доступа подходит для облачных вычислений, в частности для сценариев, включающих виртуальные машины или виртуальные компьютеры. Поскольку несколько виртуальных компьютеров могут быть включены в один физический сервер, пакеты, сгенерированные одним сервером, могут содержать совокупность пакетов VLAN от разных виртуальных машин на этом сервере. Чтобы приспособиться к этой ситуации, режим доступа с тегами отражает пакеты обратно на физический сервер через тот же нисходящий порт, когда адрес назначения пакета был получен на этом нисходящем порту. Пакеты также отражаются обратно на физический сервер через нисходящий порт, если место назначения еще не известно. Следовательно, третий режим интерфейса, тегированный доступ, имеет некоторые характеристики режима доступа и некоторые характеристики транкового режима:

Порты

магистрального режима обрабатывают трафик для нескольких сетей VLAN, мультиплексируя трафик для всех этих сетей VLAN по одному и тому же физическому соединению. Магистральные интерфейсы обычно используются для соединения коммутаторов с другими устройствами или коммутаторами.

Если настроена собственная VLAN, кадры, не содержащие тегов VLAN, отправляются через магистральный интерфейс. Если у вас есть ситуация, когда пакеты проходят от устройства к коммутатору в режиме доступа, и вы хотите затем отправить эти пакеты с коммутатора через магистральный порт, используйте собственный режим VLAN. Настройте одну VLAN на порту коммутатора (который находится в режиме доступа) как собственную VLAN. Тогда магистральный порт коммутатора будет обрабатывать эти кадры иначе, чем другие тегированные пакеты. Например, если магистральный порт имеет три VLAN, 10, 20 и 30, назначенные ему, причем VLAN 10 является собственной VLAN, кадры в VLAN 10, покидающие магистральный порт на другом конце, не имеют заголовка (тега) 802.1Q. . Существует еще один вариант родной VLAN. Коммутатор может добавлять и удалять теги для непомеченных пакетов. Для этого сначала необходимо настроить одну VLAN как собственную VLAN на порту, подключенном к устройству на границе. Затем назначьте тег идентификатора VLAN для одной собственной VLAN на порту, подключенном к устройству. Наконец, добавьте идентификатор VLAN к магистральному порту. Теперь, когда коммутатор получает непомеченный пакет, он добавляет указанный вами идентификатор и отправляет и получает помеченные пакеты через магистральный порт, настроенный для приема этой VLAN.

Включая подуровни, уровень 2 в серии QFX поддерживает следующие функции:

Одноадресный, многоадресный и широковещательный трафик.

VLAN 802.1Q. Этот протокол, также известный как тегирование VLAN, позволяет нескольким мостовым сетям прозрачно совместно использовать один и тот же физический сетевой канал путем добавления тегов VLAN к кадру Ethernet.

Расширение VLAN уровня 2 на несколько коммутаторов с использованием протокола связующего дерева (STP) предотвращает образование петель в сети.

Изучение MAC-адресов, включая изучение MAC-адресов для каждой сети VLAN и подавление обучения на уровне 2. Этот процесс получает MAC-адреса всех узлов в сети

Агрегация каналов. Этот процесс группирует интерфейсы Ethernet на физическом уровне для формирования единого интерфейса канального уровня, также известного как группа агрегации каналов (LAG) или пакет LAG

Агрегация каналов не поддерживается на устройствах NFX150.

Управление штормом на физическом порту для одноадресной, многоадресной и широковещательной рассылки

Управление штормом не поддерживается на устройствах NFX150.

Поддержка STP, включая 802.1d, RSTP, MSTP и Root Guard

См. также

Обзор коммутации Ethernet и прозрачного режима уровня 2

Прозрачный режим уровня 2 позволяет развернуть брандмауэр без внесения изменений в существующую инфраструктуру маршрутизации. Брандмауэр развертывается как коммутатор уровня 2 с несколькими сегментами VLAN и обеспечивает службы безопасности в сегментах VLAN. Безопасный провод – это специальная версия прозрачного режима уровня 2, позволяющая выполнять развертывание без подключения к Интернету.

Устройство работает в прозрачном режиме, когда есть интерфейсы, определенные как интерфейсы уровня 2. Устройство работает в режиме маршрутизации (режим по умолчанию), если нет физических интерфейсов, настроенных как интерфейсы уровня 2.

Для устройств серии SRX прозрачный режим обеспечивает полную безопасность функций коммутации уровня 2. На этих устройствах серии SRX можно настроить одну или несколько сетей VLAN для выполнения коммутации уровня 2. VLAN — это набор логических интерфейсов, которые имеют одинаковые характеристики лавинной или широковещательной рассылки. Как и виртуальная локальная сеть (VLAN), VLAN охватывает один или несколько портов нескольких устройств. Таким образом, устройство серии SRX может функционировать как коммутатор уровня 2 с несколькими виртуальными локальными сетями, которые входят в одну и ту же сеть уровня 2.

В прозрачном режиме устройство серии SRX фильтрует пакеты, проходящие через устройство, без изменения какой-либо информации об источнике или получателе в заголовках IP-пакетов. Прозрачный режим удобен для защиты серверов, которые в основном получают трафик из ненадежных источников, поскольку нет необходимости перенастраивать параметры IP-адресов маршрутизаторов или защищаемых серверов.

В прозрачном режиме все физические порты на устройстве назначаются интерфейсам уровня 2. Не направляйте трафик уровня 3 через устройство. Зоны уровня 2 можно настроить для размещения интерфейсов уровня 2, а политики безопасности можно определить между зонами уровня 2. Когда пакеты перемещаются между зонами уровня 2, к этим пакетам могут применяться политики безопасности.

В таблице 1 перечислены функции безопасности, которые поддерживаются и не поддерживаются в прозрачном режиме для коммутации уровня 2.

Шлюзы прикладного уровня (ALG)

Аутентификация пользователя брандмауэра (FWAUTH)

Обнаружение и предотвращение вторжений (IDP)

Единое управление угрозами (UTM)

Преобразование сетевых адресов (NAT)

На устройствах SRX300, SRX320, SRX340, SRX345 и SRX550M распространение DHCP-сервера не поддерживается в прозрачном режиме уровня 2.

Кроме того, устройства серии SRX не поддерживают следующие функции уровня 2 в прозрачном режиме уровня 2:

Протокол связующего дерева (STP), RSTP или MSTP. Пользователь несет ответственность за отсутствие петель лавинной рассылки в топологии сети.

Отслеживание протокола IGMP (Internet Group Management Protocol) — сигнальный протокол между хостом и маршрутизатором для IPv4, используемый для сообщения о членстве в группе многоадресной рассылки соседним маршрутизаторам и определения присутствия членов группы во время многоадресной рассылки IP.

Виртуальные локальные сети с двойным тегированием или идентификаторы VLAN IEEE 802.1Q, инкапсулированные в пакеты 802.1Q (также называемые тегами VLAN «Q in Q»): на устройствах серии SRX поддерживаются только идентификаторы VLAN без тегов или одинарные теги.

Неквалифицированное обучение VLAN, при котором для обучения внутри VLAN используется только MAC-адрес — обучение VLAN на устройствах серии SRX квалифицировано; то есть используются как идентификатор VLAN, так и MAC-адрес.

Кроме того, на устройствах SRX100, SRX110, SRX210, SRX220, SRX240, SRX300, SRX320, SRX340, SRX345, SRX550 или SRX650 некоторые функции не поддерживаются. (Поддержка платформы зависит от версии ОС Junos в вашей установке.) Следующие функции не поддерживаются для прозрачного режима уровня 2 на указанных устройствах:

G-ARP на интерфейсе уровня 2

Мониторинг IP-адресов на любом интерфейсе

Транзит трафика через IRB

Интерфейс IRB в экземпляре маршрутизации

Обработка интерфейса IRB трафика уровня 3

Интерфейс IRB является псевдоинтерфейсом и не принадлежит к интерфейсу reth и группе резервирования.

Прозрачный режим уровня 2 на концентраторе портов линейного модуля SRX5000

Концентратор портов линейного модуля SRX5000 (SRX5K-MPC) поддерживает прозрачный режим уровня 2 и обрабатывает трафик, когда устройство серии SRX настроено на прозрачный режим уровня 2.

Когда SRX5K-MPC работает в режиме уровня 2, вы можете настроить все интерфейсы на SRX5K-MPC как коммутационные порты уровня 2 для поддержки трафика уровня 2.

Блок обработки безопасности (SPU) поддерживает все службы безопасности для функций коммутации уровня 2, а MPC доставляет входящие пакеты в SPU и пересылает исходящие пакеты, инкапсулированные SPU, на исходящие интерфейсы.

Если устройство серии SRX настроено в прозрачном режиме уровня 2, вы можете включить интерфейсы на MPC для работы в режиме уровня 2, определив одно или несколько логических устройств на физическом интерфейсе с типом адреса семейства как коммутацию Ethernet. Позже вы можете приступить к настройке зон безопасности уровня 2 и настройке политик безопасности в прозрачном режиме.После этого настраиваются топологии следующего перехода для обработки входящих и исходящих пакетов.

Понимание потоков IPv6 в прозрачном режиме на устройствах безопасности

В прозрачном режиме устройство серии SRX фильтрует пакеты, проходящие через устройство, без изменения какой-либо информации об источнике или получателе в заголовках MAC пакетов. Прозрачный режим удобен для защиты серверов, которые в основном получают трафик из ненадежных источников, поскольку нет необходимости перенастраивать параметры IP-адресов маршрутизаторов или защищаемых серверов.

Устройство работает в прозрачном режиме, когда все физические интерфейсы на устройстве настроены как интерфейсы уровня 2. Физический интерфейс является интерфейсом уровня 2, если он настроен с параметром Ethernet-коммутации на уровне иерархии [ edit interfaces interface-name unit unit-number family ]. Нет команды для определения или включения прозрачного режима на устройстве. Устройство работает в прозрачном режиме, когда есть интерфейсы, определенные как интерфейсы уровня 2. Устройство работает в режиме маршрутизации (режим по умолчанию), если все физические интерфейсы настроены как интерфейсы уровня 3.

По умолчанию потоки IPv6 удаляются на устройствах безопасности. Чтобы включить обработку функциями безопасности, такими как зоны, экраны и политики брандмауэра, необходимо включить пересылку на основе потока для трафика IPv6 с параметром конфигурации режима на основе потока на уровне иерархии [ edit security forwarding-options family inet6 ]. При изменении режима необходимо перезагрузить устройство.

В прозрачном режиме вы можете настроить зоны уровня 2 для размещения интерфейсов уровня 2, а также определить политики безопасности между зонами уровня 2. Когда пакеты перемещаются между зонами уровня 2, к этим пакетам могут быть применены политики безопасности. Для трафика IPv6 в прозрачном режиме поддерживаются следующие функции безопасности:

Кластеры шасси уровня 2 в прозрачном режиме.

Следующие функции безопасности не поддерживаются для потоков IPv6 в прозрачном режиме:

Сетевые протоколы – это набор правил, соглашений и структур данных, которые определяют, как устройства обмениваются данными в сети. Другими словами, сетевые протоколы можно приравнять к языкам, которые два устройства должны понимать для беспрепятственного обмена информацией, независимо от различий в их инфраструктуре и дизайне.

Модель OSI: как работают сетевые протоколы

Чтобы понять нюансы сетевых протоколов, необходимо сначала ознакомиться с моделью взаимодействия открытых систем (OSI). Считающаяся основной архитектурной моделью для рабочих коммуникаций в Интернете, большинство используемых сегодня сетевых протоколов структурно основаны на модели OSI.

Модель OSI разделяет процесс связи между двумя сетевыми устройствами на 7 уровней. Каждому из этих 7 слоев назначается задача или группа задач. Все слои автономны, и назначенные им задачи могут выполняться независимо.

Чтобы понять контекст, вот представление процесса связи между двумя сетевыми устройствами в соответствии с моделью OSI:

Семь уровней модели OSI можно разделить на две группы: верхние уровни, включая уровни 7, 6 и 5, и нижние уровни, включая уровни 4, 3, 2 и 1. Верхние уровни относятся к приложениям. проблемы, а нижние уровни занимаются проблемами передачи данных.

Сетевые протоколы делят процесс связи на отдельные задачи на каждом уровне модели OSI. На каждом уровне обмена данными работает один или несколько сетевых протоколов.

Ниже приведены подробные описания функционирования сетевых протоколов на каждом уровне модели OSI:

Предоставляет стандартные услуги, такие как виртуальный терминал, передача файлов и заданий, а также операции.

Скрывает различия в форматах данных между разными системами.
Кодирует и декодирует данные, шифрует и расшифровывает данные, а также сжимает и распаковывает данные.

Управляет сеансами пользователей и диалогами.
Устанавливает и завершает сеансы между пользователями.

Управляет сквозной доставкой сообщений в сетях.
Обеспечивает надежную и последовательную доставку пакетов с помощью механизмов восстановления после ошибок и управления потоком.

Направляет пакеты в соответствии с уникальными адресами сетевых устройств.
Осуществляет управление потоком и перегрузкой для предотвращения истощения сетевых ресурсов.

Пакеты кадров.
Обнаруживает и исправляет ошибки передачи пакетов.

Интерфейсы между сетевой средой и устройствами.
Определяет оптические, электрические и механические характеристики.

Несмотря на то, что некоторые говорят, что модель OSI в настоящее время является избыточной и менее значимой, чем сетевая модель протокола управления передачей (TCP)/IP, ссылки на модель OSI по-прежнему встречаются даже сегодня, поскольку структура модели помогает вести обсуждение протоколов и противопоставлять их друг другу. различные технологии.

Классификация сетевых протоколов

Теперь, когда вы знаете, как работает модель OSI, вы можете сразу перейти к классификации протоколов. Ниже приведены некоторые из наиболее известных протоколов, используемых в сетевой связи.

Сетевые протоколы прикладного уровня

1. DHCP: протокол динамической конфигурации хоста

DHCP — это протокол связи, который позволяет сетевым администраторам автоматизировать назначение IP-адресов в сети. В IP-сети каждому устройству, подключающемуся к Интернету, требуется уникальный IP-адрес. DHCP позволяет сетевым администраторам распределять IP-адреса из центральной точки и автоматически отправлять новый IP-адрес, когда устройство подключается из другого места в сети. DHCP работает по модели клиент-сервер.

Преимущества использования DHCP

Централизованное управление IP-адресами.
Бесшовное добавление новых клиентов в сеть.
Повторное использование IP-адресов, уменьшающее общее количество требуемых IP-адресов.

Недостатки использования DHCP

Отслеживание активности в Интернете становится утомительным, поскольку одно и то же устройство может иметь несколько IP-адресов в течение определенного периода времени.
Компьютеры с DHCP нельзя использовать в качестве серверов, так как их IP-адреса со временем меняются.

2. DNS: протокол системы доменных имен

Протокол DNS помогает переводить или сопоставлять имена хостов с IP-адресами. DNS работает по модели клиент-сервер и использует распределенную базу данных по иерархии серверов имен.

Хосты идентифицируются на основе их IP-адресов, но запоминание IP-адреса затруднено из-за его сложности. IP-адреса также являются динамическими, что делает еще более необходимым сопоставление доменных имен с IP-адресами. DNS помогает решить эту проблему, преобразовывая доменные имена веб-сайтов в числовые IP-адреса.

Преимущества

DNS упрощает доступ в Интернет.
Устраняет необходимость запоминать IP-адреса.

Недостатки

Запросы DNS не содержат информацию о клиенте, который их инициировал. Это связано с тем, что DNS-сервер видит только IP-адрес, с которого пришел запрос, что делает сервер уязвимым для манипуляций со стороны хакеров.
Корневые серверы DNS, если они будут скомпрометированы, могут позволить хакерам перенаправить на другие страницы для получения фишинговых данных.

3. FTP: протокол передачи файлов

Протокол передачи файлов обеспечивает обмен файлами между хостами, как локальными, так и удаленными, и работает поверх TCP. Для передачи файлов FTP создает два TCP-соединения: управление и соединение для передачи данных. Управляющее соединение используется для передачи управляющей информации, такой как пароли, команды для извлечения и сохранения файлов и т. д., а соединение для передачи данных используется для передачи фактического файла. Оба этих соединения выполняются параллельно в течение всего процесса передачи файла.

Преимущества

Позволяет предоставлять общий доступ к большим файлам и нескольким каталогам одновременно.
Позволяет возобновить обмен файлами, если он был прерван.
Позволяет восстановить потерянные данные и запланировать передачу файлов.

Недостатки

FTP не обеспечивает безопасность. Данные, имена пользователей и пароли передаются в виде простого текста, что делает их уязвимыми для злоумышленников.
FTP не имеет возможности шифрования, что делает его несовместимым с отраслевыми стандартами.

Преимущества

Использование памяти и ЦП низкое из-за меньшего количества одновременных подключений.
Сообщать об ошибках можно, не закрывая подключения.
Благодаря меньшему количеству TCP-подключений снижается перегрузка сети.

Недостатки

5. IMAP и IMAP4: протокол доступа к сообщениям в Интернете (версия 4)

IMAP – это протокол электронной почты, который позволяет конечным пользователям получать доступ к сообщениям, хранящимся на почтовом сервере, и управлять ими из своего почтового клиента, как если бы они находились локально на удаленном устройстве. IMAP следует модели клиент-сервер и позволяет нескольким клиентам одновременно получать доступ к сообщениям на общем почтовом сервере. IMAP включает операции по созданию, удалению и переименованию почтовых ящиков; проверка новых сообщений; безвозвратное удаление сообщений; установка и снятие флагов; и многое другое. Текущая версия IMAP — версия 4, редакция 1.

Преимущества

Поскольку электронные письма хранятся на почтовом сервере, использование локального хранилища минимально.
В случае случайного удаления сообщений электронной почты или данных их всегда можно восстановить, так как они хранятся на почтовом сервере.

Недостатки

Электронная почта не будет работать без активного подключения к Интернету.
Высокое использование электронной почты конечными пользователями требует большего пространства для хранения почтовых ящиков, что увеличивает затраты.

6. POP и POP3: протокол почтового отделения (версия 3)

Протокол почтового отделения также является протоколом электронной почты. Используя этот протокол, конечный пользователь может загружать электронные письма с почтового сервера в свой собственный почтовый клиент. После того, как электронные письма загружены локально, их можно прочитать без подключения к Интернету. Кроме того, когда электронные письма перемещаются локально, они удаляются с почтового сервера, освобождая место. POP3 не предназначен для выполнения обширных манипуляций с сообщениями на почтовом сервере, в отличие от IMAP4. POP3 — это последняя версия протокола почтового отделения.

Преимущества

Читайте электронные письма на локальных устройствах без подключения к Интернету.
Почтовый сервер не должен иметь большой объем хранилища, так как электронные письма удаляются при локальном перемещении.

Недостатки

Если локальное устройство, на которое были загружены электронные письма, выйдет из строя или будет украдено, электронные письма будут потеряны.

7. SMTP: простой протокол передачи почты

SMTP – это протокол, предназначенный для надежной и эффективной передачи электронной почты. SMTP — это push-протокол, который используется для отправки электронной почты, тогда как POP и IMAP используются для получения электронной почты на стороне конечного пользователя. SMTP передает электронные письма между системами и уведомляет о входящих электронных письмах. Используя SMTP, клиент может передавать электронную почту другому клиенту в той же или другой сети через ретранслятор или шлюз, доступный для обеих сетей.

Преимущества

Простота установки.
Подключается к любой системе без каких-либо ограничений.
Это не требует каких-либо разработок с вашей стороны.

Недостатки

Обмен сообщениями между серверами может привести к задержке отправки сообщения, а также увеличивает вероятность того, что сообщение не будет доставлено.
Некоторые брандмауэры могут блокировать порты, используемые с SMTP.

8. Telnet: протокол эмуляции терминала

Telnet – это протокол прикладного уровня, который позволяет пользователю обмениваться данными с удаленным устройством. На компьютере пользователя устанавливается клиент Telnet, который обращается к интерфейсу командной строки другого удаленного компьютера, на котором запущена серверная программа Telnet.

Telnet в основном используется сетевыми администраторами для доступа к удаленным устройствам и управления ими. Чтобы получить доступ к удаленному устройству, сетевой администратор должен ввести IP-адрес или имя хоста удаленного устройства, после чего ему будет представлен виртуальный терминал, который может взаимодействовать с хостом.

Преимущества

Совместимость с несколькими операционными системами.
Экономит много времени благодаря быстрому подключению к удаленным устройствам.

Недостатки

Telnet не имеет возможности шифрования и отправляет важную информацию в виде открытого текста, что упрощает работу злоумышленников.
Дорого из-за низкой скорости печати.

9. SNMP: простой протокол управления сетью

SNMP – это протокол прикладного уровня, используемый для управления узлами, такими как серверы, рабочие станции, маршрутизаторы, коммутаторы и т. д., в IP-сети. SNMP позволяет сетевым администраторам отслеживать производительность сети, выявлять сбои в сети и устранять их. Протокол SNMP состоит из трех компонентов: управляемого устройства, агента SNMP и диспетчера SNMP.

Агент SNMP находится на управляемом устройстве. Агент представляет собой программный модуль, обладающий локальной информацией об управлении и преобразующий эту информацию в форму, совместимую с диспетчером SNMP. Диспетчер SNMP представляет данные, полученные от агента SNMP, помогая сетевым администраторам эффективно управлять узлами.

В настоящее время существует три версии SNMP: SNMP v1, SNMP v2 и SNMP v3. Обе версии 1 и 2 имеют много общего, но SNMP v2 предлагает усовершенствования, такие как дополнительные операции протокола. SNMP версии 3 (SNMP v3) добавляет возможности безопасности и удаленной настройки по сравнению с предыдущими версиями.

Сетевые протоколы уровня представления

LPP: облегченный протокол презентации

Протокол упрощенного представления помогает упростить поддержку служб приложений OSI в сетях, использующих протоколы TCP/IP, для некоторых сред с ограничениями. LPP разработан для определенного класса приложений OSI, а именно для тех объектов, контекст приложения которых содержит только элемент службы управления ассоциацией (ACSE) и элемент службы удаленных операций (ROSE). LPP не применим к объектам, чей контекст приложения является более обширным, т. е. содержит элемент службы надежной передачи.

Сетевые протоколы сеансового уровня

RPC: протокол удаленного вызова процедур

RPC — это протокол для запроса службы от программы на удаленном компьютере по сети, и его можно использовать, не разбираясь в базовых сетевых технологиях.RPC использует TCP или UDP для передачи сообщений между взаимодействующими программами. RPC также работает по модели клиент-сервер. Запрашивающая программа — это клиент, а программа, предоставляющая услуги, — это сервер.

Преимущества

В RPC отсутствуют многие уровни протоколов для повышения производительности.
При использовании RPC усилия по переписыванию или повторной разработке кода сводятся к минимуму.

Недостатки

Эффективность работы в глобальных сетях еще не доказана.
Кроме TCP/IP, RPC не поддерживает другие транспортные протоколы.

Сетевые протоколы транспортного уровня

1. TCP: протокол управления передачей

TCP — это протокол транспортного уровня, который обеспечивает надежную доставку потоков и службу виртуального подключения к приложениям с помощью последовательного подтверждения. TCP — это протокол, ориентированный на установление соединения, поскольку он требует установления соединения между приложениями перед передачей данных. Благодаря управлению потоком и подтверждению данных TCP обеспечивает расширенную проверку ошибок. TCP обеспечивает последовательность данных, то есть пакеты данных поступают на принимающую сторону по порядку. Повторная передача потерянных пакетов данных также возможна с помощью TCP.

Преимущества

TCP обеспечивает три вещи: данные достигают места назначения, достигают его вовремя и достигают его без дублирования.
TCP автоматически разбивает данные на пакеты перед передачей.

Недостатки

TCP нельзя использовать для широковещательных и многоадресных подключений.

2. UDP: протокол пользовательских дейтаграмм

UDP – это протокол транспортного уровня без установления соединения, предоставляющий простую, но ненадежную службу сообщений. В отличие от TCP, UDP не добавляет функций надежности, управления потоком или восстановления после ошибок. UDP полезен в ситуациях, когда механизмы надежности TCP не нужны. Повторная передача потерянных пакетов данных невозможна по протоколу UDP.

Преимущества

Широковещательные и многоадресные соединения возможны с UDP.
UDP быстрее, чем TCP.

Недостатки

В UDP пакет может не быть доставлен, быть доставлен дважды или вообще не быть доставлен.
Необходима ручная дезинтеграция пакетов данных.

Протоколы сетевого уровня

1. IP: интернет-протокол (IPv4)

IPv4 – это протокол сетевого уровня, который содержит адресную и управляющую информацию, помогающую маршрутизировать пакеты в сети. IP работает в тандеме с TCP для доставки пакетов данных по сети. В IP каждому хосту назначается 32-битный адрес, состоящий из двух основных частей: номера сети и номера хоста. Номер сети идентифицирует сеть и назначается Интернетом, а номер хоста идентифицирует хост в сети и назначается администратором сети. IP отвечает только за доставку пакетов, а TCP помогает вернуть их в правильном порядке.

Преимущества

IPv4 шифрует данные для обеспечения конфиденциальности и безопасности.
Благодаря IP маршрутизация данных становится более масштабируемой и экономичной.

Недостатки

IPv4 трудоемок, сложен и подвержен ошибкам.

2. IPv6: Интернет-протокол версии 6

IPv6 — это последняя версия Интернет-протокола, протокола сетевого уровня, который содержит адресную и управляющую информацию для обеспечения маршрутизации пакетов в сети. IPv6 был создан для борьбы с исчерпанием IPv4. Он увеличивает размер IP-адреса с 32 бит до 128 бит, чтобы поддерживать больше уровней адресации.

Преимущества

Более эффективная маршрутизация и обработка пакетов по сравнению с IPv4.
Более высокий уровень безопасности по сравнению с IPv4.

Недостатки

IPv6 несовместим с компьютерами, работающими на IPv4.
Проблема при обновлении устройств до IPv6.

3. ICMP: протокол управляющих сообщений Интернета

ICMP – это протокол сетевого уровня, поддерживающий протокол, используемый сетевыми устройствами для отправки сообщений об ошибках и оперативной информации. Сообщения ICMP, доставляемые в IP-пакетах, используются для внеполосных сообщений, связанных с работой сети или неправильной работой. ICMP используется для оповещения об сетевых ошибках, перегрузке и тайм-аутах, а также для помощи в устранении неполадок.

Преимущества

Недостатки

Отправка большого количества сообщений ICMP увеличивает сетевой трафик.
Конечные пользователи страдают, если злонамеренные пользователи отправляют много недостижимых пакетов назначения ICMP.

Сетевые протоколы канального уровня

1. ARP: протокол разрешения адресов

Протокол разрешения адресов помогает сопоставлять IP-адреса с физическими машинными адресами (или MAC-адресами для Ethernet), распознаваемыми в локальной сети. Таблица, называемая кешем ARP, используется для поддержания корреляции между каждым IP-адресом и соответствующим ему MAC-адресом. ARP предлагает правила для создания этих корреляций и помогает преобразовывать адреса в обоих направлениях.

Преимущества

MAC-адреса не нужно знать или запоминать, так как кэш ARP содержит все MAC-адреса и автоматически сопоставляет их с IP-адресами.

Недостатки

ARP подвержен атакам безопасности, называемым атаками с подменой ARP.
При использовании ARP иногда хакер может полностью остановить трафик. Это также известно как отказ в обслуживании ARP.

2. SLIP: IP-адрес последовательной линии

SLIP используется для двухточечных последовательных соединений с использованием TCP/IP. SLIP используется на выделенных последовательных каналах, а иногда и для удаленного доступа. SLIP полезен для того, чтобы позволить нескольким хостам и маршрутизаторам взаимодействовать друг с другом; например, хост-хост, хост-маршрутизатор и маршрутизатор-маршрутизатор — все это общие конфигурации сети SLIP. SLIP — это просто протокол кадрирования пакетов: он определяет последовательность символов, которые кадрируют IP-пакеты в последовательной линии. Он не обеспечивает адресацию, идентификацию типа пакета, обнаружение или исправление ошибок или механизмы сжатия.

Преимущества

Поскольку у него небольшие накладные расходы, он подходит для использования в микроконтроллерах.
Он повторно использует существующие коммутируемые соединения и телефонные линии.
Его легко развернуть, так как он основан на Интернет-протоколе.

Недостатки

SLIP не поддерживает автоматическую настройку сетевых подключений одновременно на нескольких уровнях OSI.
SLIP не поддерживает синхронные подключения, такие как подключение, созданное через Интернет от модема к интернет-провайдеру (ISP).

Возникли проблемы с управлением сетью?

ManageEngine OpManager — это комплексный инструмент мониторинга сети, который отслеживает работоспособность, производительность и доступность всех сетевых устройств в IP-сети прямо из коробки. OpManager использует для работы большинство протоколов, перечисленных выше, что позволяет вам иметь полный контроль над вашими сетевыми устройствами. Чтобы узнать больше об OpManager, зарегистрируйтесь для получения бесплатной демоверсии или загрузите бесплатную пробную версию.

По умолчанию Elasticsearch привязывается только к локальному хосту, что означает, что удаленный доступ к нему недоступен. Этой конфигурации достаточно для локального кластера разработки, состоящего из одного или нескольких узлов, работающих на одном хосте. Чтобы сформировать кластер из нескольких хостов или доступный для удаленных клиентов, необходимо настроить некоторые сетевые параметры, например network.host .

Будьте осторожны с конфигурацией сети!

Никогда не открывайте незащищенный узел в открытом доступе в Интернете. Если вы это сделаете, вы разрешаете кому угодно в мире загружать, изменять или удалять любые данные в вашем кластере.

Настройка Elasticsearch для привязки к нелокальному адресу приведет к преобразованию некоторых предупреждений в неустранимые исключения. Если узел отказывается запускаться после настройки сетевых параметров, перед продолжением необходимо устранить зарегистрированные исключения.

Часто используемые сетевые настройки

Большинству пользователей потребуется настроить только следующие параметры сети.

По умолчанию _local_ .

По умолчанию 9200-9300 .

(Статический) Порт для привязки для связи между узлами. Принимает одно значение или диапазон. Если указан диапазон, узел будет привязан к первому доступному порту в диапазоне. Задайте для этого параметра один порт, а не диапазон, на каждом узле, имеющем право на роль главного.

По умолчанию 9300–9400 .

Специальные значения для сетевых адресов

_local_ Любые петлевые адреса в системе, например 127.0.0.1 . _site_ Любые локальные адреса сайта в системе, например 192.168.0.1 . _global_ Любые глобальные адреса в системе, например 8.8.8.8 . _[networkInterface]_ Используйте адреса сетевого интерфейса с именем [networkInterface]. Например, если вы хотите использовать адреса интерфейса с именем en0, установите network.host: _en0_. 0.0.0.0 Адреса всех доступных сетевых интерфейсов.

В некоторых системах эти специальные значения преобразуются в несколько адресов. Если это так, Elasticsearch выберет один из них в качестве своего адреса публикации и может изменить свой выбор при каждом перезапуске узла. Убедитесь, что ваш узел доступен по всем возможным адресам.

Любые значения, содержащие : (например, IPv6-адрес или некоторые специальные значения), должны быть заключены в кавычки, поскольку : является специальным символом в YAML.

IPv4 против IPv6edit

Эти специальные значения по умолчанию дают адреса IPv4 и IPv6, но вы также можете добавить суффикс :ipv4 или :ipv6, чтобы ограничить их только адресами IPv4 или IPv6 соответственно. Например, network.host: "_en0:ipv4_" установит адреса этого узла в IPv4-адреса интерфейса en0 .

Открытие в облаке

При работе в облаке с установленным подключаемым модулем обнаружения EC2 или подключаемым модулем обнаружения Google Compute Engine доступны дополнительные специальные настройки.

Привязка и публикацияредактирования

Elasticsearch использует сетевые адреса для двух разных целей, известных как привязка и публикация.Большинство узлов будут использовать один и тот же адрес для всего, но более сложные настройки могут потребовать настройки разных адресов для разных целей.

Использование одного адреса

Использование нескольких адресов

Дополнительные настройки сети

Эти дополнительные настройки позволяют выполнять привязку к нескольким адресам или использовать разные адреса для привязки и публикации. В большинстве случаев они не требуются, и вам не следует их использовать, если вместо них можно использовать часто используемые настройки.

network.bind_host (Статический) Сетевые адреса, к которым узел должен привязываться, чтобы прослушивать входящие соединения. Принимает список IP-адресов, имен хостов и специальных значений. По умолчанию используется адрес, заданный network.host . Используйте этот параметр только при привязке к нескольким адресам или использовании разных адресов для публикации и привязки. network.publish_host (Статический) Сетевой адрес, который клиенты и другие узлы могут использовать для связи с этим узлом. Принимает IP-адрес, имя хоста или специальное значение. По умолчанию используется адрес, заданный network.host . Используйте этот параметр только при привязке к нескольким адресам или использовании разных адресов для публикации и привязки.

Вы можете указать список адресов для network.host и network.publish_host . Вы также можете указать одно или несколько имен хостов или специальные значения, которые разрешаются в несколько адресов. Если вы сделаете это, Elasticsearch выберет один из адресов для своего адреса публикации. Этот выбор использует эвристику, основанную на предпочтениях и доступности стека IPv4/IPv6, и может измениться при перезапуске узла. Убедитесь, что каждый узел доступен по всем возможным адресам публикации.

Дополнительные настройки TCP

network.tcp.no_delay (статический) Включение или отключение параметра TCP без задержки. По умолчанию истинно. network.tcp.keep_alive (статический) Настраивает параметр SO_KEEPALIVE для этого сокета, который определяет, отправляет ли он проверки активности TCP. network.tcp.keep_idle (Static) Настраивает параметр TCP_KEEPIDLE для этого сокета, который определяет время в секундах, в течение которого соединение должно быть бездействующим, прежде чем начнется отправка проверок активности TCP. По умолчанию используется значение -1 , которое использует системное значение по умолчанию. Это значение не может превышать 300 секунд. Применимо только в Linux и macOS и требует Java 11 или новее. network.tcp.keep_interval (Статический) Настраивает параметр TCP_KEEPINTVL для этого сокета, который определяет время в секундах между отправкой проверок активности TCP. По умолчанию используется значение -1 , которое использует системное значение по умолчанию. Это значение не может превышать 300 секунд. Применимо только в Linux и macOS и требует Java 11 или новее. network.tcp.keep_count (Статический) Настраивает параметр TCP_KEEPCNT для этого сокета, который определяет количество неподтвержденных проверок активности TCP, которые могут быть отправлены по соединению до его разрыва. По умолчанию используется значение -1 , которое использует системное значение по умолчанию. Применимо только в Linux и macOS и требует Java 11 или новее. network.tcp.reuse_address (Статический) Должен ли адрес использоваться повторно или нет. По умолчанию имеет значение true на компьютерах, отличных от Windows. network.tcp.send_buffer_size (Static) Размер буфера отправки TCP (указывается в единицах измерения). По умолчанию явно не задан. network.tcp.receive_buffer_size (статический) Размер буфера приема TCP (указывается в единицах измерения). По умолчанию явно не установлено.

По умолчанию используется адрес, заданный network.host .

Если клиент не отправляет предварительный запрос с заголовком Origin или не проверяет заголовки ответа от сервера для проверки заголовка ответа Access-Control-Allow-Origin, безопасность между источниками скомпрометирована. Если CORS не включен в Elasticsearch, единственный способ для клиента узнать об этом — отправить предварительный запрос и понять, что необходимые заголовки ответа отсутствуют.

Подстановочный знак ( * ) является допустимым значением, но считается угрозой безопасности, поскольку ваш экземпляр Elasticsearch открыт для запросов из разных источников из любого места.

http.cors.max-age (Static) Браузеры отправляют предварительный запрос OPTIONS для определения настроек CORS. max-age определяет, как долго результат должен кэшироваться. По умолчанию 1728000 (20 дней).

(Static) Следует ли возвращать заголовок Access-Control-Allow-Credentials. По умолчанию false .

Этот заголовок возвращается, только если для параметра установлено значение true .

(Static) Если задано значение true , разрешает вывод подробных сообщений об ошибках и трассировки стека в выходных данных ответа. По умолчанию истинно .

Если установлено значение false , используйте параметр error_trace, чтобы включить трассировку стека и вернуть подробные сообщения об ошибках. В противном случае будет возвращено только простое сообщение.

Расширенные настройки транспорта

По умолчанию используется адрес, заданный network.host .

Транспортные профилиизменить

Elasticsearch позволяет привязываться к нескольким портам на разных интерфейсах с помощью транспортных профилей. См. этот пример конфигурации

Профиль по умолчанию особенный.Он используется в качестве запасного варианта для любых других профилей, если для них не задан определенный параметр конфигурации, и именно так этот узел подключается к другим узлам в кластере. Другие профили могут иметь любое имя и использоваться для настройки конкретных конечных точек для входящих подключений.

В каждом транспортном профиле можно настроить следующие параметры, как в приведенном выше примере:

port : порт для привязки.
bind_host : Хост, к которому выполняется привязка.
publish_host : Хост, опубликованный в информационных API.

Профили также поддерживают все остальные параметры транспорта, указанные в разделе параметров транспорта, и используют их по умолчанию. Например, transport.profiles.client.tcp.reuse_address может быть явно настроен, а по умолчанию — transport.tcp.reuse_address .

Долгоживущие бездействующие соединения

Транспортное соединение между двумя узлами состоит из нескольких долгоживущих TCP-соединений, некоторые из которых могут простаивать в течение длительного периода времени. Тем не менее, Elasticsearch требует, чтобы эти соединения оставались открытыми, и это может нарушить работу вашего кластера, если какие-либо межузловые соединения будут закрыты из-за внешнего воздействия, такого как брандмауэр. Важно настроить вашу сеть так, чтобы сохранять долгоживущие незанятые соединения между узлами Elasticsearch, например, оставив *.tcp.keep_alive включенным и убедившись, что интервал проверки активности короче, чем любой тайм-аут, который может привести к закрытию простаивающих соединений, или настройка transport.ping_schedule, если не удается настроить поддержку активности. Устройства, которые разрывают соединения по достижении определенного возраста, являются распространенным источником проблем для кластеров Elasticsearch, и их нельзя использовать.

Запросить сжатие

Редактировать сжатие ответа

Параметры сжатия не настраивают сжатие ответов. Elasticsearch будет сжимать ответ, если входящий запрос был сжат, даже если сжатие не включено. Точно так же Elasticsearch не будет сжимать ответ, если входящий запрос был несжатым, даже если сжатие включено. Схема сжатия, используемая для сжатия ответа, будет той же схемой, которую удаленный узел использовал для сжатия запроса.

Запросить трассировку

Трассировка может генерировать чрезвычайно большие объемы журналов, которые могут дестабилизировать ваш кластер. Не включайте отслеживание запросов на занятых или важных кластерах.

Отслеживание запроса REST

Вы также можете контролировать, какие URI будут отслеживаться, используя набор шаблонов включения и исключения. По умолчанию каждый запрос будет отслеживаться.

Трассировка транспорта

На транспортном уровне есть специальный трассировщик, который регистрирует входящие и исходящие запросы и ответы. Активируйте трассировщик, установив уровень регистратора org.elasticsearch.transport.TransportService.tracer на TRACE :

Вы также можете указать, какие действия будут отслеживаться, используя набор шаблонов включения и исключения. По умолчанию каждый запрос будет отслеживаться, за исключением ping-запросов для обнаружения ошибок:

Читайте также: