vurd Опубликовано 5 декабря, 2018 · Жалоба 1 час назад, YuryD сказал: Ничего, что с крутой крипто киски ввозить нельзя. Ничего, что 3750серия давно снята и с поддержки. Ничего, что она занимает 2 юнита и жрет как не в себя. У меня последняя в работе осталась, но уже заказана замена. Вам, как представителю циско надо бы это знать, и про санкции тоже. Скопирую Ваш ответ " мы как представитель циско " чутьчуть :) Логи загрузки циско читали ? Что она там про криптографию пишет ? show version, пожалуйста Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
fractal Опубликовано 6 декабря, 2018 · Жалоба 7 часов назад, YuryD сказал: Ничего, что с крутой крипто киски ввозить нельзя. Ничего, что 3750серия давно снята и с поддержки. Ничего, что она занимает 2 юнита и жрет как не в себя. У меня последняя в работе осталась, но уже заказана замена. Вам, как представителю циско надо бы это знать, и про санкции тоже. Скопирую Ваш ответ " мы как представитель циско " чутьчуть :) Логи загрузки циско читали ? Что она там про криптографию пишет ? Занимает она один юнит, в продаже со складов она ещё есть, про замену знаем, но менять или нет решает клиент, там крипто aes 256 и ничего что мы пишем письма во фстэк и фсб и они нам отвечают и дают разрешение на эксплуатацию? И кстати, ещё раз напомню, заказали, молодцы, как провайдеру Вам проще, а клиенту в финансовой сфере поставить серию 9300 пока нет возможности - разрешения как раз на неё нет, появится в перечне примерно к лету 2019 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vvertexx Опубликовано 6 декабря, 2018 · Жалоба 6 часов назад, fractal сказал: там крипто aes 256 Cisco TrustSec uses AES-128 GCM and GMAC and is compliant with the 802.1AE standard. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
fractal Опубликовано 6 декабря, 2018 · Жалоба 21 минуту назад, vvertexx сказал: Cisco TrustSec uses AES-128 GCM and GMAC and is compliant with the 802.1AE standard. 3750x да, верно 128, The Cisco 3850 and 3650 switches running IOS XE 16.x support GCM-AES-256 cipher suite. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
YuryD Опубликовано 6 декабря, 2018 · Жалоба 20 часов назад, vvertexx сказал: @YuryD 3750x в два юнита? жрёт много, но в целом какие альтернативы менее жрущие? Ну полтора. WS-C2970G-24TS-E жрет при том-же функционале в 2.5 раза меньше. 75Вт против 175Вт. Меряли лично мы, и энергетик этого БЦ, когда меняли. По факту безперебойник стал жить в 3 раза дольше. Все порты и sfp заняты, обычный коммутатор с кучей vlan, только с pvst+, причем образ lanbase. Switch Ports Model SW Version SW Image ------ ----- ----- ---------- ---------- * 1 28 WS-C2970G-24TS-E 12.2(44)SE5 C2970-LANBASEK9-M Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
YuryD Опубликовано 6 декабря, 2018 · Жалоба 13 часов назад, fractal сказал: Занимает она один юнит, в продаже со складов она ещё есть, про замену знаем, Ну у меня были полутораюнитовые. киско говорит что такое было :) Говорят что и одноюнитовые бывают - не попадались... https://shop.nag.ru/uploads/docs/Doc/catalyst3x00.pdf Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
YuryD Опубликовано 6 декабря, 2018 · Жалоба 19 часов назад, vurd сказал: show version, пожалуйста Вас этот кусок sho ver удовлетворит ? This product contains cryptographic features and is subject to United States and local country laws governing import, export, transfer and use. Delivery of Cisco cryptographic products does not imply third-party authority to import, export, distribute or use encryption. Importers, exporters, distributors and users are responsible for compliance with U.S. and local country laws. By using this product you agree to comply with applicable laws and regulations. If you are unable to comply with U.S. and local laws, return this product immediately. Если кто-то имеет выходы на фстэк и фсб, для таких частных решений - да на здоровье, придворный видимо поставщик, или заказчик... Ввезти официально киску с суровой криптографией видимо невозможно, ввозят с образом без крипты, затем будучи партнёром киско - можно скачать нужный образ, или у пиратов. И вообще - киско хоть планирует гостовское шифрование в себя встроить ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
fractal Опубликовано 6 декабря, 2018 · Жалоба 7 минут назад, YuryD сказал: Вас этот кусок sho ver удовлетворит ? This product contains cryptographic features and is subject to United States and local country laws governing import, export, transfer and use. Delivery of Cisco cryptographic products does not imply third-party authority to import, export, distribute or use encryption. Importers, exporters, distributors and users are responsible for compliance with U.S. and local country laws. By using this product you agree to comply with applicable laws and regulations. If you are unable to comply with U.S. and local laws, return this product immediately. Если кто-то имеет выходы на фстэк и фсб, для таких частных решений - да на здоровье, придворный видимо поставщик, или заказчик... Ввезти официально киску с суровой криптографией видимо невозможно, ввозят с образом без крипты, затем будучи партнёром киско - можно скачать нужный образ, или у пиратов. И вообще - киско хоть планирует гостовское шифрование в себя встроить ? это предупреждение о том, что надо соблюдать законы на территории страны где будет установлено оборудование, в банковской сфере разрешены устройства определяемые как мсэ 4го класса с лицензией на ipsec, https://www.s-terra.ru/products/kak-pravilno-vybrat-vpn/ специально для оборудования циско производят сервисные модули которые выполняют шифрование по госту - оно используется для связи с ЦБ. Вероятно для госучреждений и используется только специализированное оборудование, так как там другие классы доступов, но также и предполагаю что могут быть к примеру checkpoint или та же asa + s-terra, Вообщем у Вас не полная инфа 35 минут назад, YuryD сказал: Ну у меня были полутораюнитовые. киско говорит что такое было :) Говорят что и одноюнитовые бывают - не попадались... https://shop.nag.ru/uploads/docs/Doc/catalyst3x00.pdf мы о разных линейках говорим, я про 3750x, а Вы про 3750 вот такой запросили - Cisco Catalyst 3750X-48P-L Switch 25 минут назад, YuryD сказал: Вас этот кусок sho ver удовлетворит ? This product contains cryptographic features and is subject to United States and local country laws governing import, export, transfer and use. Delivery of Cisco cryptographic products does not imply third-party authority to import, export, distribute or use encryption. Importers, exporters, distributors and users are responsible for compliance with U.S. and local country laws. By using this product you agree to comply with applicable laws and regulations. If you are unable to comply with U.S. and local laws, return this product immediately. Если кто-то имеет выходы на фстэк и фсб, для таких частных решений - да на здоровье, придворный видимо поставщик, или заказчик... Ввезти официально киску с суровой криптографией видимо невозможно, ввозят с образом без крипты, затем будучи партнёром киско - можно скачать нужный образ, или у пиратов. И вообще - киско хоть планирует гостовское шифрование в себя встроить ? кстати нам на склад приходят уже с hsec лицензией Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
fractal Опубликовано 6 декабря, 2018 · Жалоба вообщем бессмысленно, тема уже не туда ушла Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
YuryD Опубликовано 6 декабря, 2018 · Жалоба 20 минут назад, fractal сказал: это предупреждение о том, что надо соблюдать законы на терри кстати нам на склад приходят уже с hsec лицензией На сайте циско есть pdf на русском https://www.cisco.com/c/dam/global/ru_ru/assets/downloads/crypto_faq.pdf, о криптографии и ввозе, но он древний, с древними инструкциями куда и кому в РФ надо пойти, при ввозе, продаже и использовании. Как киска пишет , если у вас есть K8-9 в букве продукта - идите сдаваться сами. 17 минут назад, fractal сказал: вообщем бессмысленно, тема уже не туда ушла Вообще-то впаривать клиентам древнее запрещённое решение, работающее конечно - против моих скреп :) Чтобы сбыть древнее 3750 - на что только манагеры не пойдут.... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vurd Опубликовано 6 декабря, 2018 · Жалоба 1 час назад, YuryD сказал: Вас этот кусок sho ver удовлетворит ? This product contains cryptographic features and is subject to United States and local country laws governing import, export, transfer and use. Delivery of Cisco cryptographic products does not imply third-party authority to import, export, distribute or use encryption. Importers, exporters, distributors and users are responsible for compliance with U.S. and local country laws. By using this product you agree to comply with applicable laws and regulations. If you are unable to comply with U.S. and local laws, return this product immediately. Если кто-то имеет выходы на фстэк и фсб, для таких частных решений - да на здоровье, придворный видимо поставщик, или заказчик... Ввезти официально киску с суровой криптографией видимо невозможно, ввозят с образом без крипты, затем будучи партнёром киско - можно скачать нужный образ, или у пиратов. И вообще - киско хоть планирует гостовское шифрование в себя встроить ? Нет, не устроит. Вы сказали, что она снята с поддержки. Я захожу на сайт и вижу - https://www.cisco.com/c/en/us/products/collateral/switches/catalyst-3560-x-series-switches/eos-eol-notice-c51-736139.html Вы человеку не поможете ничем, у вас устаревшее древнее оборудование и никаких перспектив роста. Вы лучше чем срать на форуме во всех темах пошли бы и город построили соседний, глядишь и стали бы отличать -X серию от остальных. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
YuryD Опубликовано 6 декабря, 2018 · Жалоба 24 минуты назад, vurd сказал: Вы лучше чем срать на форуме во всех темах пошли бы и город построили соседний, глядишь и стали бы отличать -X серию от остальных. А мы так и делаем, только не на древнем гуано. И не надо путать 3750 с 3560. 29xx серия вполне неплоха. Для начала, я писал про 3570 снятое, вы впариваете про новое 35хх. У меня, как предпенсионного , конечно плохое зрение, и память плохая, но копипаст версий и с сайта киски - мышка пока работает. Бойтесь приходящих от сааба :) Мне - если доживу до пенсии - уже это будет по барабану, весь мир будет в мокротиках. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vvertexx Опубликовано 6 декабря, 2018 · Жалоба @YuryD ещё раз. мы пишем про 3750x, и x обозначает не любую букву, а конкретную модель, например, 3750x-24t-s При чем тут полутароюнитовые доисторические циски - понять никто не может Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
fork Опубликовано 6 декабря, 2018 · Жалоба 3 часа назад, YuryD сказал: А мы так и делаем, только не на древнем гуано. И не надо путать 3750 с 3560. 29xx серия вполне неплоха. Для начала, я писал про 3570 снятое, вы впариваете про новое 35хх. Коллега, Вы что то вбили себе в голову не то, Вы сравниваете теплое с мягким, 1.5 3750G был снят с поддержки в 2014г. 3750Х серия вполне еще себе поддерживаемая до 2021 года, под нее даже софт еще будут год поддерживать и обновлять. https://www.cisco.com/c/en/us/products/collateral/switches/catalyst-3560-x-series-switches/eos-eol-notice-c51-736139.html Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
fork Опубликовано 6 декабря, 2018 · Жалоба В 05.12.2018 в 12:10, fractal сказал: вообщем macsec работает со скоростью порта между оборудованием соединенным напрямую (темная оптика, витая пара) или посредством технологий eompls, vpls, evpn, шифруется на уровне phy (чип порта или asic коммутационной фабрики), 3750x, 3650x могут шифровать на всех портах со скоростью 1G, либо купить плату SM SFP 10G и шифровать со скоростью 10G если надо отработать macsec через влан (промежуточные устройства между устройствами, то это технология macsec-wan насколько я понял, даже в случае macsec-wan шифрануть можно только р2р, если в транзите "чужие" L2 свитчи, ничего не получиться Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
fractal Опубликовано 7 декабря, 2018 · Жалоба 4 часа назад, fork сказал: насколько я понял, даже в случае macsec-wan шифрануть можно только р2р, если в транзите "чужие" L2 свитчи, ничего не получиться В macsec-wan есть доп. Команда, очистить тэг 802.1q, в итоге в формате кадра поле 802.1.q смещается вперёд заголовка macsec и нормально работает с транзитным оборудованием, Cisco обещает это и на свитчах новых сделать Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
StSphinx Опубликовано 7 декабря, 2018 · Жалоба 9 часов назад, fractal сказал: В macsec-wan есть доп. Команда, очистить тэг 802.1q, в итоге в формате кадра поле 802.1.q смещается вперёд заголовка macsec и нормально работает с транзитным оборудованием, Cisco обещает это и на свитчах новых сделать Подтверждаю. У нас есть клиент, которому продаём L2 VPN и клиент гоняет по нему macsec. Только важно чтобы транзитные коммутатора не резали EAPoL. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Pon97 Опубликовано 12 апреля, 2023 · Жалоба Подтверждаю. У нас есть клиент, которому продаём L2 VPN и клиент гоняет по нему macsec. Только важно чтобы транзитные коммутатора не резали EAPoL. На 9300 кто-нибудь пробовал? 🙂 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
fractal Опубликовано 12 апреля, 2023 · Жалоба 2 часа назад, Pon97 сказал: Подтверждаю. У нас есть клиент, которому продаём L2 VPN и клиент гоняет по нему macsec. Только важно чтобы транзитные коммутатора не резали EAPoL. На 9300 кто-нибудь пробовал? 🙂 Юзаем, на 9300L / 9200L Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Pon97 Опубликовано 12 апреля, 2023 · Жалоба Можно если не сложно настройки портов? У нас ситуация такая юзаем 9300 везде аренда тёмной оптики, всё ок максек работает. Теперь появился узел где провайдер мегафон дает только l2vpn, psudowire и мак сек нивкакую не поднимается 😞 Самое интересное, что я сделал эмуляцию взял две 9300 и между ними положил старую HP и мак сек так же не поднимается 🙂 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
fractal Опубликовано 12 апреля, 2023 · Жалоба 5 часов назад, Pon97 сказал: Можно если не сложно настройки портов? У нас ситуация такая юзаем 9300 везде аренда тёмной оптики, всё ок максек работает. Теперь появился узел где провайдер мегафон дает только l2vpn, psudowire и мак сек нивкакую не поднимается 😞 Самое интересное, что я сделал эмуляцию взял две 9300 и между ними положил старую HP и мак сек так же не поднимается 🙂 Eapol провайдер не должен резать и передавать чистый Ethernet, настройки не отличаются У нас есть места где eompls нам дают, а есть где vpls, везде просили не трогать заголовки и гонять чисто Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Pon97 Опубликовано 15 апреля, 2023 · Жалоба Весь вопрос в том, как доказать провайдеру, видимо надо снифовать траффик 🙂 Провайдер клянется, мол ничего не режем. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
fractal Опубликовано 15 апреля, 2023 · Жалоба 3 часа назад, Pon97 сказал: Весь вопрос в том, как доказать провайдеру, видимо надо снифовать траффик 🙂 Провайдер клянется, мол ничего не режем. Пусть снимет дамп в конечной точке и покажет Вам В 12.04.2023 в 18:24, Pon97 сказал: Можно если не сложно настройки портов? У нас ситуация такая юзаем 9300 везде аренда тёмной оптики, всё ок максек работает. Теперь появился узел где провайдер мегафон дает только l2vpn, psudowire и мак сек нивкакую не поднимается 😞 Самое интересное, что я сделал эмуляцию взял две 9300 и между ними положил старую HP и мак сек так же не поднимается 🙂 sw1-hub key chain Te_1_1_4 macsec key 01 cryptographic-algorithm aes-128-cmac key-string 872937486219351094759823798739487123027598239487238947 mka policy MKA-POLICY macsec-cipher-suite gcm-aes-128 key-server priority 10 sak-rekey interval 43200 interface Te1/1/4 switchport mode trunk macsec network-link mka policy MKA-POLICY mka pre-shared-key key-chain Te_1_1_4 sw1-branch key chain Te_1_1_4 macsec key 01 cryptographic-algorithm aes-128-cmac key-string 872937486219351094759823798739487123027598239487238947 mka policy MKA-POLICY macsec-cipher-suite gcm-aes-128 key-server priority 50 interface Te1/1/4 switchport mode trunk macsec network-link mka policy MKA-POLICY mka pre-shared-key key-chain Te_1_1_4 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Pon97 Опубликовано 16 апреля, 2023 · Жалоба thx, всё как у нас 🙂 еще я SAP пробовал, такая же петрушка. Буду снимать дампы и кидать провайдеру. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
fractal Опубликовано 17 апреля, 2023 · Жалоба 20 часов назад, Pon97 сказал: Буду снимать дампы и кидать провайдеру. полезная статья https://www.cisco.com/c/en/us/support/docs/switches/catalyst-9300-series-switches/216849-troubleshoot-macsec-on-catalyst-9000.html#toc-hId-34570494 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...