CNick

Кстати да. Интересно изменился ли выбор за последние два года? Я вот кроме возросшей популярности Retina/4k дисплеев никаких улучшений не заметил. З.Ы. 15" pro/retina по вашему уже 160 тысяч, по нашему уже 60. Посмотрим что через два года будет :)

Ох и тяжко вам будет без сапорта, приходилось мне быть в подобной ситуации. Комьюнити и открытой документации в открытом доступе можно сказать что нет вообще как класс.

Меня заинтересовало, так что решил проверить как это, благо Nexus 9K был под рукой, вот что нашел. Можно native использовать родной Unix, Bash, XML API, собирать RPM для native инсталяции прямо на нексус. а можно ставить отдельно LXC с своим linux. Если нужно могу накидать ссылок на документацию :) C9396TX# run bash bash-4.2$ uname -a Linux C9396TX 3.4.43-WR5.0.1.13_standard #3 SMP Mon Nov 2 19:23:52 PST 2015 x86_64 GNU/Linux bash-4.2$ rpm -qa dhcp-server-config-4.2.3+P2-r2.1.x86_64 shadow-securetty-4.1.4.3-r1.n9000_gdb pciutils-ids-3.2.0-r0.x86_64 eglibc-binary-localedata-en-us-2.15-r21.x86_64 python-re-2.7.2-r5.19.x86_64 eglibc-binary-localedata-en-us.utf8-2.15-r21.x86_64 base-files-3.0.14-r74.2.n9000 ...... C9396TX# sh virtual-service global Virtual Service Global State and Virtualization Limits: Infrastructure version : 1.9 Total virtual services installed : 1 Total virtual services activated : 1 Machine types supported : LXC Machine types disabled : KVM Maximum VCPUs per virtual service : 1 Resource virtualization limits: Name Quota Committed Available ----------------------------------------------------------------------- system CPU (%) 20 1 19 memory (MB) 3840 256 3584 bootflash (MB) 8192 250 7942

Кстати по поводу Nexus, на 9000 серии можно LXC контейнеры запускать, ну и цена там более гуманная по сравнению с другими сериями Nexus которые не на broadcom чипах.

Cisco Nexus серия тоже python умеет, ну а Arista уже упомянули выше, там насколько я слышал совсем хорошо с этим :)

Чуть не забыл. Спасибо за помощь :)

Хм, действительно очень похоже на нашу проблему. ASR#show platform hardware slot 0 spa stat Bay SPA Type State PST POK SOK PENB RST DENB HSS ------------------------------------------------------------------------------- 0 ASR1001-NG-BUILTIN Online 0 0 0 0 0 0 0 1 Unknown Detection 0 0 0 0 0 1 0 2 Empty Detection 0 0 0 0 0 0 0 ASR# *Sep 25 14:14:21.963: %IOSXE-4-PLATFORM: R0/0: kernel: ERROR: SPA bay 0 has no GPIO *Sep 25 14:14:21.964: %IOSXE-4-PLATFORM: R0/0: kernel: ERROR: Unknow SPA bay number 2 Правда версия IOS совсем другая, но как показывает практика это обычное дело когда баг присутствует в версии которая не указана в баге. Спасибо. Попробую перегрузить.

Нет, а даже если бы стояло, то модуль бы определялся во время OIR ну и "show hw-module subslot all oir" тоже бы показал что модуль есть, но он shutdown. Складывается впечатление что либо софт не тот или нужно шасси перегрузить, но в документации об этом ни слова.

Добрый день, Посдкажите может кто сталкивался. Поставили SPA-1X10GE-L-V2 в ASR1001-X, а в логах тишина полная, "show hw-module subslot all oir" тоже ничего не показывает. Думали что DOA, заказали RMA, но с новой картой та же проблема.

Ничего особенного, парочку как офисные роутеры 2x BGP + ACL + NAT, парочку как пограничные в небольшом колокейшине с тем же набором, но с MPLSoGRE и без NAT. Везде advipservicesk9-mz.152-4.M7, нареканий нет, но и нагрузки на маршрутизаторы почти нет, от силы 100-200 мегабит в пике. Сейчас планируем менять на ASR1001x :)

Еще что-то нужно? У меня данная балалайка на сапорте, так что могу скачать :)

Добрый день, Подскажите пожалуйста. Хотим поменять Cisco 7206VXR-G1 на ASR1001-2.5G. Из функций это MPLS L3VPN over GRE, но я вот не могу понять нужна ли для этого дополнительная лицензия на MPLS и есть ли там привязка к шасси на который ту лицензию выписывают? Спасибо.

У меня вчера умерла 7206 NPE-G2 с точно такими симптомами как в описании проблемы.

Мне идея не понравилась, наверно просто потому что мне такое не нужно :) , но если выбирать между вариантами реализации именно вашей идеи то ИМХО нужно что-то в форм факторе как Ipod/ipod nano или если с хардварной клавиатурой как Nokia Asha 210. 5 хардварных кнопок на плеере это слишком уныло если прийдется вводить новый пароль вручную.

Может гораздо рациональней усилия на создания девайса с офлайновой забой паролей потратить на усиление безопасности воркстейшина? Например разделить ворстейшин виртуализацией на разные безопасные зоны. Мне вот приходилось в одном большом банке работать, там просто интранет с виндовым доменом где политиками все запрещенно + хардварный OTP токен. Дальше разве что полностью изолированый интранет без выходов в другие сети или полностью оффлайновый комьютер как у вояк :)

А какой смысл так париться с офлайновой хранилке паролей если потом этот пароль вбивать на основном онлайновом воркстейшине? :) Если дошло до того что есть вероятность что сольют базу паролей с этого воркстейшина, то есть такая же вероятность что на этот онлайновый воркстейшине зальют какойнить руткит с кейлогером. ИМХО такая секюрность нужна только в интранетах, но там все проще потому что централизованная политика безопасности.

В Киеве прикольный офис IPNet, как заходишь за стойкой ресепшина стеклянная стена и стеклянные двери за которым стойки с серверами и коммутаторами. Жаль не додумался сфоткать, особенно порадовал какой-то из старых Cisco Catalist то ли 4506 то ли 6500, вообще без проводов воткнутых, просто так в стойке стоит для красоты :)

Зато им интересно что бы клиент не ушел к другому провайдеру у которых эта услуга есть. По поводу принимать или нет, во время атаки он в любом случаи принимать его будет, в не зависимости есть у него flowspec или нет, просто если есть он его кастомеру не отправит. Так что для них это просто еще один сервис который выгодно отличает их перед теми операторами у которых его нет. И еще один момент, у тирванов нету трафика который им не выгоден. Даже DOS атака это трафик который идет от операторов ниже за который эти самые операторы им платят.

Повторю еще раз https://tools.ietf.org/html/rfc5575

Такая проблема есть не только в linux боксах, как показала практика балансировщика нагрузки таким как F5 тоже плохеет, если не от трафика и pps то от количества записей в таблице трансляции или соединений. Иногда даже небольшое количество трафика которое прошло через фильтрацию убивает CPU/RAM на них.

Можно через BGP Flow Spec. Не знаю кто его поддерживает из провайдеров, надеюсь что все Tier 1, сейчас вот как раз стоит задача это чудо изучить и по возможности внедрить.

Может проблема с реализацией шифрования? То есть в VPN софте нету поддержки AES-NI или ESXi не передает эту функцию аппаратно на гостевую ОС, но это так, мысли в слух.

Вы правы, просто я не так вас понял в начале. А вот тут я снова не понял только уже идею SDN, в чем разница между контроллером SDN и контроллером для MPLS-TE? В том что первый использует открытый openflow, а не RSVP/GMPLS и это проще и позволяет сделать то же самое только до конечного устройства, а не только в ядре на крутых железках? А может это очередной способ подогреть продажи? :) Раньше все платили за железо, а сейчас за контроллеры будут и лицензии на 50, 100 и 200 устройств :) Можно как с виртуализацией сделать, навязать всем что она нужна, что это спасение и что странно как раньше без нее все работало, даже тем кому она и даром не сдалась навязать и продавать потом лицензии на vSphere и Windows с Hyper-V :)

Честно признаюсь с SDN не сталкивался, но из того что понял по одному из докладов гугла и коментариям к нему то перрфлоу это не иллюзия, просто работает это на подобии RSVP-TE только через Openflow :) Вот доклад если кому интересно http://www.opennetsummit.org/archives/apr12/hoelzle-tue-openflow.pdf гугл уже два года как полностью на SDN внутри.

дык на сайте уже месяц или два :) https://meraki.cisco.com/products/