CNick
-
Публикации
478 -
Зарегистрирован
-
Посещение
Сообщения, опубликованные пользователем CNick
-
-
Ох и тяжко вам будет без сапорта, приходилось мне быть в подобной ситуации. Комьюнити и открытой документации в открытом доступе можно сказать что нет вообще как класс.
-
Меня заинтересовало, так что решил проверить как это, благо Nexus 9K был под рукой, вот что нашел.
Можно native использовать родной Unix, Bash, XML API, собирать RPM для native инсталяции прямо на нексус. а можно ставить отдельно LXC с своим linux.
Если нужно могу накидать ссылок на документацию :)
C9396TX# run bash
bash-4.2$ uname -a
Linux C9396TX 3.4.43-WR5.0.1.13_standard #3 SMP Mon Nov 2 19:23:52 PST 2015 x86_64 GNU/Linux
bash-4.2$ rpm -qa
dhcp-server-config-4.2.3+P2-r2.1.x86_64
shadow-securetty-4.1.4.3-r1.n9000_gdb
pciutils-ids-3.2.0-r0.x86_64
eglibc-binary-localedata-en-us-2.15-r21.x86_64
python-re-2.7.2-r5.19.x86_64
eglibc-binary-localedata-en-us.utf8-2.15-r21.x86_64
base-files-3.0.14-r74.2.n9000
......
C9396TX# sh virtual-service global
Virtual Service Global State and Virtualization Limits:
Infrastructure version : 1.9
Total virtual services installed : 1
Total virtual services activated : 1
Machine types supported : LXC
Machine types disabled : KVM
Maximum VCPUs per virtual service : 1
Resource virtualization limits:
Name Quota Committed Available
-----------------------------------------------------------------------
system CPU (%) 20 1 19
memory (MB) 3840 256 3584
bootflash (MB) 8192 250 7942
-
Кстати по поводу Nexus, на 9000 серии можно LXC контейнеры запускать, ну и цена там более гуманная по сравнению с другими сериями Nexus которые не на broadcom чипах.
-
Cisco Nexus серия тоже python умеет, ну а Arista уже упомянули выше, там насколько я слышал совсем хорошо с этим :)
-
Чуть не забыл. Спасибо за помощь :)
-
похоже вы не одиноки :)
Хм, действительно очень похоже на нашу проблему.
ASR#show platform hardware slot 0 spa stat
Bay SPA Type State PST POK SOK PENB RST DENB HSS
-------------------------------------------------------------------------------
0 ASR1001-NG-BUILTIN Online 0 0 0 0 0 0 0
1 Unknown Detection 0 0 0 0 0 1 0
2 Empty Detection 0 0 0 0 0 0 0
ASR#
*Sep 25 14:14:21.963: %IOSXE-4-PLATFORM: R0/0: kernel: ERROR: SPA bay 0 has no GPIO
*Sep 25 14:14:21.964: %IOSXE-4-PLATFORM: R0/0: kernel: ERROR: Unknow SPA bay number 2
Правда версия IOS совсем другая, но как показывает практика это обычное дело когда баг присутствует в версии которая не указана в баге. Спасибо. Попробую перегрузить.
-
может стоит что-то вроде hw slot 0 shutdown?
Нет, а даже если бы стояло, то модуль бы определялся во время OIR ну и "show hw-module subslot all oir" тоже бы показал что модуль есть, но он shutdown.
Складывается впечатление что либо софт не тот или нужно шасси перегрузить, но в документации об этом ни слова.
-
Добрый день,
Посдкажите может кто сталкивался. Поставили SPA-1X10GE-L-V2 в ASR1001-X, а в логах тишина полная, "show hw-module subslot all oir" тоже ничего не показывает. Думали что DOA, заказали RMA, но с новой картой та же проблема.
-
Да только привезли её, ещё даже не знаю )) кстати, вы какой софт пользуете и для чего?
Ничего особенного, парочку как офисные роутеры 2x BGP + ACL + NAT, парочку как пограничные в небольшом колокейшине с тем же набором, но с MPLSoGRE и без NAT. Везде advipservicesk9-mz.152-4.M7, нареканий нет, но и нагрузки на маршрутизаторы почти нет, от силы 100-200 мегабит в пике. Сейчас планируем менять на ASR1001x :)
-
Еще что-то нужно? У меня данная балалайка на сапорте, так что могу скачать :)
-
Добрый день,
Подскажите пожалуйста. Хотим поменять Cisco 7206VXR-G1 на ASR1001-2.5G. Из функций это MPLS L3VPN over GRE, но я вот не могу понять нужна ли для этого дополнительная лицензия на MPLS и есть ли там привязка к шасси на который ту лицензию выписывают? Спасибо.
-
У меня вчера умерла 7206 NPE-G2 с точно такими симптомами как в описании проблемы.
-
Это и есть хардварный OTP токен. Просто не черный ящик с возможными закладками, а открытая реализация. Тем более все равно эти OTP токены используют стандартизованные алгоритмы.
Мне идея не понравилась, наверно просто потому что мне такое не нужно :) , но если выбирать между вариантами реализации именно вашей идеи то ИМХО нужно что-то в форм факторе как Ipod/ipod nano или если с хардварной клавиатурой как Nokia Asha 210. 5 хардварных кнопок на плеере это слишком уныло если прийдется вводить новый пароль вручную.
-
Смысл в то, что таким образом кейлоггеру будет доступны только некоторые пароли. Те, которые на ней набирались. А не вся база и ключевая фраза к ней.
Может гораздо рациональней усилия на создания девайса с офлайновой забой паролей потратить на усиление безопасности воркстейшина? Например разделить ворстейшин виртуализацией на разные безопасные зоны. Мне вот приходилось в одном большом банке работать, там просто интранет с виндовым доменом где политиками все запрещенно + хардварный OTP токен. Дальше разве что полностью изолированый интранет без выходов в другие сети или полностью оффлайновый комьютер как у вояк :)
-
А какой смысл так париться с офлайновой хранилке паролей если потом этот пароль вбивать на основном онлайновом воркстейшине? :)
Если дошло до того что есть вероятность что сольют базу паролей с этого воркстейшина, то есть такая же вероятность что на этот онлайновый воркстейшине зальют какойнить руткит с кейлогером.
ИМХО такая секюрность нужна только в интранетах, но там все проще потому что централизованная политика безопасности.
-
В Киеве прикольный офис IPNet, как заходишь за стойкой ресепшина стеклянная стена и стеклянные двери за которым стойки с серверами и коммутаторами. Жаль не додумался сфоткать, особенно порадовал какой-то из старых Cisco Catalist то ли 4506 то ли 6500, вообще без проводов воткнутых, просто так в стойке стоит для красоты :)
-
сколько раз еще повторить что тирванам (и любым другим ISP тем более) нет интереса принимать трафик и не получать за него денег ?
Зато им интересно что бы клиент не ушел к другому провайдеру у которых эта услуга есть. По поводу принимать или нет, во время атаки он в любом случаи принимать его будет, в не зависимости есть у него flowspec или нет, просто если есть он его кастомеру не отправит. Так что для них это просто еще один сервис который выгодно отличает их перед теми операторами у которых его нет.
И еще один момент, у тирванов нету трафика который им не выгоден. Даже DOS атака это трафик который идет от операторов ниже за который эти самые операторы им платят.
-
+1
Повторю к "знающим" вопрос, может я чего не понимаю, но как они собираются фильтровать "чудо-железками от ддоса" udp поток шириной в канал, который уже здесь?
Повторю еще раз https://tools.ietf.org/html/rfc5575
-
но есть проблемы, что даже если пару гигабит долетит до linux бокса, который не был подготовлен должным образом и имеет гигабит в мир, то ему поплохеет.
Такая проблема есть не только в linux боксах, как показала практика балансировщика нагрузки таким как F5 тоже плохеет, если не от трафика и pps то от количества записей в таблице трансляции или соединений. Иногда даже небольшое количество трафика которое прошло через фильтрацию убивает CPU/RAM на них.
-
нет способа отбиться от ддоса кроме выявление таргета и его блэкхола. т.е. ддос в любом случае будет успешен
Можно через BGP Flow Spec. Не знаю кто его поддерживает из провайдеров, надеюсь что все Tier 1, сейчас вот как раз стоит задача это чудо изучить и по возможности внедрить.
-
Может проблема с реализацией шифрования? То есть в VPN софте нету поддержки AES-NI или ESXi не передает эту функцию аппаратно на гостевую ОС, но это так, мысли в слух.
-
Блджад! Учите уже матчасть, и учитесь абстрактному мышлению ;) Вопрос только в том, какой набор содержимого пакетов и таблиц форвардинга используется для принятия решения "в какой интерфейс выпинывать пакет". Но решение-то принимается для каждого пакета ;)
Вы правы, просто я не так вас понял в начале.
В общем, вся идея СДН - это централизация контрол-плейна в одной точке сегмента сети. Все, более там ничего нет. Это имеет свои плюсы и минусы, при сегодняшнем раскладе плюсов стало больше. Усе, больше за этой идеей ничего нет.
А вот тут я снова не понял только уже идею SDN, в чем разница между контроллером SDN и контроллером для MPLS-TE? В том что первый использует открытый openflow, а не RSVP/GMPLS и это проще и позволяет сделать то же самое только до конечного устройства, а не только в ядре на крутых железках?
Есть, если абстрагироваться от низкоуровневой технологии. Это еще один виток сделать телекоммуникации дешевле. Сильно дешевле.
А может это очередной способ подогреть продажи? :) Раньше все платили за железо, а сейчас за контроллеры будут и лицензии на 50, 100 и 200 устройств :)
Можно как с виртуализацией сделать, навязать всем что она нужна, что это спасение и что странно как раньше без нее все работало, даже тем кому она и даром не сдалась навязать и продавать потом лицензии на vSphere и Windows с Hyper-V :)
-
Прикол тут каг-бэ в том, что форвард-енжин всегда и по определению работает с каждым пакетом. Поэтому "перфлоу" - это иллюзия ;) Вопрос только в том, какой набор атрибутов ты используешь для решения по форвардингу.
Честно признаюсь с SDN не сталкивался, но из того что понял по одному из докладов гугла и коментариям к нему то перрфлоу это не иллюзия, просто работает это на подобии RSVP-TE только через Openflow :)
Вот доклад если кому интересно http://www.opennetsummit.org/archives/apr12/hoelzle-tue-openflow.pdf гугл уже два года как полностью на SDN внутри.
-
Почему же не слышно?
Очень даже слышно - они замутили совместный проект с Facebook по предостаставлению Wi-Fi, в котором и используют Мераки-роутеры.
Бесплатный Wi-Fi в обмен на чекин:
дык на сайте уже месяц или два :)
Популярность продукции Apple среди работников телекома.
в У нага
Опубликовано · Жалоба на ответ
Кстати да. Интересно изменился ли выбор за последние два года? Я вот кроме возросшей популярности Retina/4k дисплеев никаких улучшений не заметил.
З.Ы. 15" pro/retina по вашему уже 160 тысяч, по нашему уже 60. Посмотрим что через два года будет :)