DataCenter Bridging / Networking (DCB/DCN) в Windows Server 2012 R2

Привет.

Технологии семейства DCB (они же DCN – DataCenter Networking) – редкая тема для обсуждения, хотя их поддержка появилась ещё в Windows Server 2012. Отсутствие информации в авторизованных курсах плюс традиционно слабая подготовка преподавателей Microsoft в сетевых технологиях сделали своё чёрное дело – “технология есть, а плода – нет” (ц) к/ф “ДМБ”. Около 100% рекомендаций выглядят как “ну типа клёвая штука, на серверах можно включать, оно там чего-то лучше станет делать”.

Попробуем разобраться, что, зачем и почему следует из включения данной одинокой галки в Add Roles and Features. Я предполагаю, что Вы знакомы с сетевыми технологиями хотя бы на уровне азбучных вопросов курсаCisco ICND1. Если нет – лучше вначале изучить его, это бесплатно.

DCB в Windows Server

• Ветхий завет технологий управления трафиком
• DCB: 802.1Q и его друзья
• Включаем поддержку DCB на сервере
• Настройки DCB в Windows Server

Начнём.

Ветхий завет технологий управления трафиком

Вначале никакого QoS не было. Была радость, что кадры и ячейки вообще иногда доходят до другого конца провода.

Потом стало выясняться, что радость не очень полная – ведь протоколы канального уровня в подавляющем большинстве не могли сделать ничего, что выходит за рамки LLC1, т.е. могли лишь зафиксировать факт того, что к ним что-то приехало, и у этого чего-то сошлась FCS. Был, конечно, вариант, как в потомстве HDLC – с LAP-x, чтобы с восстановлением данных, надёжно, но подходил он только для медленных линий, высокого процента проблем, связанных с физикой канала и логикой “надёжно доставить не смотря на потери времени и полосы пропускания”. Читать далее…

Как писать письма

Письма-неудачники

Сегодня опять пришло по работе несколько писем с вопросом
«Саша, что ты думаешь по этому поводу?» Казалось бы, что такого?
Но очень хочется выматериться.
И вот почему. Потому что Саша думает по этому поводу примерно
следующее:
 «Я не очень понимаю, чего от меня хотят».
 «Чтобы мне понять, чего от меня хотят мне, видимо, придется
прочесть всю эту простыню обсуждений. Особенно удобно читать
то, с чего все началось, там уже три мейл клиента так все
отформатировали, что медицина бессильна». Читать далее…

Бронируем TLS в Windows Server 2012 R2

Привет.

Защита TLS – штука крайне нужная. У неё много аспектов – как безопасность самой хостовой ОС, на которой развёрнут веб-сервер, так и безопасность работающих приложений, криптографические аспекты и многое другое. Я попробую написать про то, что с моей точки зрения, является важным и не сильно документированным / очевидным. На этом вода про то, что с TLS лучше, чем без TLS, а с настроенным TLS лучше, чем с не настроенным TLS, официально объявляется закончившейся.

Стартовые ограничения статьи – не будет рассматриваться тюнинг SSL, т.к. уже 13 лет как есть TLS, SSL мы будем выключать полностью. Не будет рассматриваться настройка систем младше NT 6.0, т.к. про это можно найти в предыдущей статье, да и те, кто думает о безопасности TLS, наружу Windows Server 2003й в 2014м году не выставляет.

Для большинства операций я буду использовать ATcmd – им проще делать тонкий тюнинг SSL/TLS. Если хотите – можете найти другие методы по выполнению аналогичных действий на своей ОС, это некритично – функционал называется стандартно, и ту же фрагментацию TLS можно настраивать чем удобно.

Бронируем TLS в Windows Server 2012 R2

• Версия SSL/TLS на сервере
• Отключаем неиспользуемые версии SSL/TLS и PCT/MPUH
• Пересогласование TLS
• Фиксируем только нужные cipher suites
• Блокируем небезопасные криптоалгоритмы
• Настраиваем фрагментацию TLS
• SSL Close-Notify
• Журналирование TLS
• Отправка клиенту списка доверенных CA в CTL-формате
• Логика проверки x.509-сертификата клиента
• Проверка промежуточных сертификатов через Интернет

Поехали.

Версия SSL/TLS на сервере

Первым делом – проведём инвентаризацию того, что умеет поддерживать SCHANNEL в Windows NT. Это будут:

• Очень старый и просто старый варианты SSL – 2.0 и 3.0
• Редкие и давно устаревшие PCT 1.0 и MPUH
• Протоколы TLS 1.0, TLS 1.1, TLS 1.2 и их вариант для работы поверх UDP – DTLS

Разберемся по порядку.

Читать далее…

Data Center TCP (DCTCP) в Windows Server 2012 R2

Привет.

Сети датацентров – пожалуй, одно из самых высокотехнологичных и передовых мест в современных сетевых технологиях, которое вдобавок находится на стыке массы технологий. Задача вида “выжать максимум” здесь является не уникальной, а операционной, поэтому надо быть во всеоружии. Давайте поговорим про то, кто такой новый TCP – DCTCP и чем он нам поможет.

Я предполагаю, что читатель знаком с сетевыми технологиями хотя бы на уровне базового бесплатного курса Cisco ICND1. Если нет – не страшно, но для полного понимания логики происходящего всё ж лучше представлять, как работает TCP и его отдельные подсистемы.

DCTCP в Windows Server 2012 R2

• Проблемы протокола TCP
• TCP Flow Control
• TCP Global Syncronization
• Управление заторами – ECN
• Включение поддержки ECN и DCTCP
• Настройка профилей TCP / DCTCP в Windows Server 2012 R2

Начнём.

Проблемы протокола TCP

Протокол TCP – очень хороший протокол. Количество решаемых им задач и имеющегося функционала – очень велико. И потоком он управлять умеет, и sequencing делает, и полнодуплексно работает, и разные логики изменения размера окна знает, и всякие out-of-band данные отправлять умеет. Но есть минус. В протоколе TCP нет поддержки телепатии.
Читать далее…