[jab]

Скоко стоит ? :-) Скоко писюков можно купить ?

А сколько не покупай - 2 mpps они просто не сделают. Так что вариантов-то и нет.

Два - уже сделают. :-)

[Irsi]

Даже если на секунду представить что прожует, вы предлагаете вывалить за это 15-20к у.е. ? Не сплохеет ли?

Во-первых - прожует. Во-вторых - если нужна такая производительность - не сплохеет. В третих весь тот сервис что в циске есть подефолту, ты на писюке запаришся собирать. И не соберешь к слову. Вот например вопрос с vrf на писюке вы тихо проигнорировали. Так же как и мой вопрос об HSRP или его аналоге. Так что - без вариантов.

[jab]

 

Кроме того, к 7200-NPE-G2 нужен кискарь, который якобы в два раза дороже линузятника... Это ж какое TCO на 2mpps получается ? :-)))

 

Даже если на секунду представить что прожует, вы предлагаете вывалить за это 15-20к у.е. ? Не сплохеет ли?

Во-первых - прожует. Во-вторых - если нужна такая производительность - не сплохеет. В третих весь тот сервис что в циске есть подефолту, ты на писюке запаришся собирать. И не соберешь к слову. Вот например вопрос с vrf на писюке вы тихо проигнорировали. Так же как и мой вопрос об HSRP или его аналоге. Так что - без вариантов.

Учите матчасть, тут бесплатных учителей нету. :-)))

[Aliech]

Скоко стоит ? :-) Скоко писюков можно купить ?

А сколько не покупай - 2 mpps они просто не сделают. Так что вариантов-то и нет.

Вот интересно конечно. А к чему это утверждение? Понятно, что те, кому такие пропускные каналы нужны, выберут себе и оборудование подходящее. Но вот я удивлён за что Вам платят конторы, о которых Вы писали выше. За голую дребедень без вланов? Вы серьёзно думаете, что 300+ тачек под виндой в одном сегменте - нормально?

Тож мне энтерпрайз (=

 

[jab]

 

keywords: CARP/VRRP, setfib

[Irsi]

Но вот я удивлён за что Вам платят конторы, о которых Вы писали выше. За голую дребедень без вланов? Вы серьёзно думаете, что 300+ тачек под виндой в одном сегменте - нормально?

Ууу как все запущено... вы что каждую виндовую машину в VLAN загоняете? Или хотя бы по отделам? Знаете как это называется? Нашли игрушку, а как применять - не знаете.

Почитайте на досуге - http://www.cisco.com/en/US/products/hw/swi...comparison.html

[nuclearcat]

Даже если на секунду представить что прожует, вы предлагаете вывалить за это 15-20к у.е. ? Не сплохеет ли?

Во-первых - прожует. Во-вторых - если нужна такая производительность - не сплохеет. В третих весь тот сервис что в циске есть подефолту, ты на писюке запаришся собирать. И не соберешь к слову. Вот например вопрос с vrf на писюке вы тихо проигнорировали. Так же как и мой вопрос об HSRP или его аналоге. Так что - без вариантов.

Irsi - в Linux VRF реализован через namespace. Хотя для SOHO он чаще нахрен не нужно.

Аналог HSRP - VRRP я давно использую. В отличии от сиськи оно мультивендорное и более быстрое, правда на секунды.

 

 

Но вот я удивлён за что Вам платят конторы, о которых Вы писали выше. За голую дребедень без вланов? Вы серьёзно думаете, что 300+ тачек под виндой в одном сегменте - нормально?

Ууу как все запущено... вы что каждую виндовую машину в VLAN загоняете? Или хотя бы по отделам? Знаете как это называется? Нашли игрушку, а как применять - не знаете.

Irsi - ага, и потом вопли появляются, что нокия нихрена с вай-вай не живет долго. Потому как из-за ограничений цисок все болтаются в одном сегменте.

[L-ZiX]

Вот интересно конечно. А к чему это утверждение? Понятно, что те, кому такие пропускные каналы нужны, выберут себе и оборудование подходящее. Но вот я удивлён за что Вам платят конторы, о которых Вы писали выше. За голую дребедень без вланов? Вы серьёзно думаете, что 300+ тачек под виндой в одном сегменте - нормально?

Тож мне энтерпрайз (=

На 300 тачек с хоть влан-на-тачку хватит микротика RB450G и не надо лохматить бабушку ) За глаза и за уши и всего за 200 уев.

[Irsi]

А у вас бродкасты бегают... правильно настроить не сумели вод винда и бродкастит, да? :) И чтоб победить свои кривые руки - применяем кривые решения типа влан-на-тачку. Ну-ну. Ну так поставте l3-switch и рулите вланами на нем... Нет моска - делай так, в лоб...

[nuclearcat]

Во первых у нас много посетителей с разнообразным зоопарком, разной кривости, изволите их уговаривать отстроить их винду как нам желается?

Сетка SOHO это не сферический конь в вакууме, где пакетики бегают по будильнику. Всякое случается, и сегментирование сети от этого защищает. В VoIP SSID НЕ ДОЛЖНО быть постороннего траффика и баста. В то же время войп сегмент должен иметь доступ к некоторым общим ресурсам, например SyncML серверу.

[troyand]

setfib

Спасибо, вроде культурно. Плохо, что максимум 16 таблиц.

 

Irsi - в Linux VRF реализован через namespace. Хотя для SOHO он чаще нахрен не нужно.

Естественно, не нужен. Но в других местах, где все-таки нужен, надо ставить ущербные 72. В том числе и из-за MPLS.

 

[nuclearcat]

Да, да, вспомнил один случай, сисководец один предлагал поставить L3 свитчи, закупить лицензии на всякий разнообразный софт и поставить армию серверов для обслуживания всего этого, ну и он бы при деле был, обновляя ежемесячно глючащие ИОСы и пропуская через себя подписки на разнообразные саппорт сервисы Cisco (кроме того, что ему хотелось немалую деньгу за обслуживание). Учитвая что основная специализация компании была металлургическая - им такие затраты в пень не сдались. Линукс на хорошей железке и недорогие управляемые свитчи выполняет задачу и по сей день. Разница в стоимости решения - более чем в 10 раз.

 

P.S. А да, о прокси... который сиськи не очень умеют. сиськин(уже) Ironport я щупал. С его космической ценой, он кроме как бд сигнатур от разных вендоров - ничего особо ценного не умел. Зато цена была как у хорошего автомобиля.

 

[Irsi]

Во первых у нас много посетителей с разнообразным зоопарком, разной кривости, изволите их уговаривать отстроить их винду как нам желается?

А, ну так это делается централизовано, посредством DHCP.

Всякое случается, и сегментирование сети от этого защищает.

Или скорей дает иллюзию защиты. Само по себе сегментирование не защищает ни от чего, но с другой стороны VLAN-ы могут быть важным элементом защиты.

В VoIP SSID

Стоп-стоп-стоп. Речь не шла о VoIP вообще. Товаришь кричавший о VLAN утверждал несколько страниц назад что VoIP у них не используется. А VoIP VLAN - понятно существовать должен. Так вот - в большинстве контор со 100-500 человек, используется 2 VLAN - DATA и VOICE. Больше в 90% случаев просто не нужно.

[Aliech]

Но вот я удивлён за что Вам платят конторы, о которых Вы писали выше. За голую дребедень без вланов? Вы серьёзно думаете, что 300+ тачек под виндой в одном сегменте - нормально?

Ууу как все запущено... вы что каждую виндовую машину в VLAN загоняете? Или хотя бы по отделам? Знаете как это называется? Нашли игрушку, а как применять - не знаете.

Почитайте на досуге - http://www.cisco.com/en/US/products/hw/swi...comparison.html

Давайте Вы меня научите, а? В гробу я видал вашу сиську и ваш сертификат. Я надеюсь Вам на курсах не объясняли до кучи, как ложку держать или как жену ...? Я вижу вас не смущает, когда винды сеть бродкастами так и наровят положить? Не?

Или это нормально, не боятся случайно занесённого вирусняка? Каждый админ должен быть параноиком, особенно на режимном объекте.

А вот однажды у нас наши программисты решили испытать новенький модуль для МСВС. Какую то приблуду для перехвата пакетов делали. И сегмент себе (сеть своего отдела) - очень таки хорошо положили.

 

Да, в таком случае выделять на каждый отдел интерфейс - не выход. Как вы понимаете они все имеют свойство сидеть даже на разных этажах и ОЧЕНЬ часто передвигаться.

 

Повторюсь - 300+ машин и целое здание института. Арендаторы не в счёт, они сидят в одном vlan'е все (да, роутер и их обслуживает).

[nuclearcat]

Естественно, не нужен. Но в других местах, где все-таки нужен, надо ставить ущербные 72. В том числе и из-за MPLS.

MPLS? Пример применения для SOHO?

Это где он так нужен, что нельзя обойтись VLAN или L2TPv3?

[Irsi]

Я вижу вас не смущает, когда винды сеть бродкастами так и наровят положить? Не?

Не, потому что не наровят. Проблема была решена еще для win2k, Подробносте - на течнете.

А вот однажды у нас наши программисты решили испытать новенький модуль для МСВС. Какую то приблуду для перехвата пакетов делали. И сегмент себе (сеть своего отдела) - очень таки хорошо положили.

А у вас экспериментальное оборудование втыкается непосредственно в рабочую сеть предприятия? Ну так это не техническая, а административная проблема.

Или это нормально, не боятся случайно занесённого вирусняка?

Нормально. 90% вирусов просто нежизнеспособны в грамотно настроенной доменной среде. Остальные - антивирус, IPS, zbfw - решают задачу. Я не помню ни одной вирусной эпидемии на тех объектах, которые я обслуживал.

Повторюсь - 300+ машин и целое здание института.

Все понятно. LOL!

[troyand]

Естественно, не нужен. Но в других местах, где все-таки нужен, надо ставить ущербные 72. В том числе и из-за MPLS.

MPLS? Пример применения для SOHO?

Не для SOHO, для SP: IP VPN, то есть клиенты, приходящие со своей адресацией. Судя по темпам развития OpenSource, он уже должен был и в эту область полезть. Или есть сдерживающие факторы?

[nuclearcat]

А, ну так это делается централизовано, посредством DHCP.

Имели они в виду ваш DHCP. У нас приходят люди со статическими, левыми IP и... работают в сети.

Технология кстати активно используется хотспотами. Более того, их машины далеко не всегда исправны и чисты от вирусни. Потому сегментация по VLAN, по результатам 802.1x/802.11i обязательна.

 

Или скорей дает иллюзию защиты. Само по себе сегментирование не защищает ни от чего, но с другой стороны VLAN-ы могут быть важным элементом защиты.

Выше написано почему. Есть VLAN-ы для VoIP оборудования, есть серверные, есть для разных классов сотрудников, и есть для гостей.

Хотелось бы услышать, чем же это они не защищают ни от чего?

 

Стоп-стоп-стоп. Речь не шла о VoIP вообще. Товаришь кричавший о VLAN утверждал несколько страниц назад что VoIP у них не используется. А VoIP VLAN - понятно существовать должен. Так вот - в большинстве контор со 100-500 человек, используется 2 VLAN - DATA и VOICE. Больше в 90% случаев просто не нужно.

Ну если сисьководы там орудуют с их "сложностями", то конечно, все 500 юзеров шуруют в одном VLAN и матерятся при очередном нашествии проблем (вирусы, глюкнувший комп, и т.д.). Зато сиськовод при делах, работает, трудится, ACL-и правит, новые ИОС-ы заказывает, и самое главное получает свой бакшиш.

 

 

Не для SOHO, для SP: IP VPN, то есть клиенты, приходящие со своей адресацией. Судя по темпам развития OpenSource, он уже должен был и в эту область полезть. Или есть сдерживающие факторы?

Есть и MPLS, но есть более "легкие" и "простые" технологии, позволяющие достичь тех же результатов.

 

IMHO где оправдан MPLS - магистральные сети крупных операторов. ВСЕ. Для юзера он должен быть прозрачен, приходит L2 Ethernet, допускающий 802.1q, и помоему для счастья большего не надо.

Или я не прав?

[Aliech]

Нормально. 90% вирусов просто нежизнеспособны в грамотно настроенной доменной среде. Остальные - антивирус, IPS, zbfw - решают задачу. Я не помню ни одной вирусной эпидемии на тех объектах, которые я обслуживал.

Повторюсь - 300+ машин и целое здание института.

Все понятно. LOL!

Паранойя лишней не бывает. Абсолютно уверен.

 

Про программеров - да, ну а что поделать... Не представить же к каждому надсмотрщика? Штат их человек тридцать. Слишком много. Зато по факту покарали сильно потом (=

 

Институт? А что такого?

 

[bitbucket]

Раз тут пошел холивар про opensource soft+closedsource napil'nik vs cisco+polpil'nik, хочу, пользуясь возможностью, спросить как обстоят дела у opensource с vrf.

Нормально обстоит. на статике уже вовсю в продакшине стоит, с динамикой пока есть некоторые вопросы, но оно пока и не надо.

 

Как насчет MPLS?

"пингается"... Я более пинга и не проверял, из-за ненадобности.

[Irsi]

У нас приходят люди со статическими, левыми IP и... работают в сети.

Это не столько техническая, сколько административная проблема. Ну вообще мы говорим о сети предприятия, о корпоративной сети. Вы как понимаю что-то типа интернет-кафе - там да, требуется несколько иной подход.

Хотелось бы услышать, чем же это они не защищают ни от чего?

Безопасность это не продукт - это процесс. (с) Б. Шнайер. И он прав. Еще раз - сами по сбе ни VLAN, ни фаерволы, ни ips, ни криптография ни от чего не защищают. Защиту может обеспечить только комплексное решение, нередко - выходяще за рамки чисто сетевых вещей. При этом это решение - не статическое, то есть нет и не может быть решений для обеспечения безопасности типа 2поставил и забыл". По имхо очевидным причинам.

Ну если сисьководы там орудуют с их "сложностями", то конечно, все 500 юзеров шуруют в одном VLAN и матерятся при очередном нашествии проблем (вирусы, глюкнувший комп, и т.д.).

Да вот нету нашествия проблем - руки есть, голова работает - проблем нет. Вообще проблемы желательно прибивать в зародыше, до того как они станут проблемой.

[nuclearcat]

Не, потому что не наровят. Проблема была решена еще для win2k, Подробносте - на течнете.

Привожу пример. Пришел человек с нокией, прошивка видимо была старовата. Стек ipv6 у него оказался кривым, нокия начала срать отчаянно в AP, и была автоматически заблокирована. Но сам факт...

Или вы думаете что все сети состоят из виндозоидов, даже в SOHO?

Повторю снова - запрет броадкастов хорошо, но это дополнительная мера, но не абсолютная защита. Она очень легко может перестать работать...

 

А у вас экспериментальное оборудование втыкается непосредственно в рабочую сеть предприятия? Ну так это не техническая, а административная проблема.

Доступ к рабочему VLAN дается только после правильной авторизации. Иначе юзер бултыхается в гостевом VLAN и пакетики егойные маркируются тегом с минимальным приоритетом в 802.11p. Помешать работе он никак не сможет, и не создается в то же время каких-то фантастических сложностей по подключению к сети.

 

Нормально. 90% вирусов просто нежизнеспособны в грамотно настроенной доменной среде. Остальные - антивирус, IPS, zbfw - решают задачу. Я не помню ни одной вирусной эпидемии на тех объектах, которые я обслуживал.

В электросети Австралии тоже не помнили, цисководы и виндузятники. И антивирус даже был. А вот йопнуло. Потому как жили как на пороховой бочке. Тоже там наверное был чувак, который очень не любил сегментацию.

 

[bitbucket]

IMHO где оправдан MPLS - магистральные сети крупных операторов. ВСЕ. Для юзера он должен быть прозрачен, приходит L2 Ethernet, допускающий 802.1q, и помоему для счастья большего не надо.

Или я не прав?

Правильно. Для немагистральщиков вполне подойдут простые в реализации технологии. А городить mpls для l2vp - глупо. Все легло решается чераз l2tp или 802.1q.

[nuclearcat]

Это не столько техническая, сколько административная проблема. Ну вообще мы говорим о сети предприятия, о корпоративной сети. Вы как понимаю что-то типа интернет-кафе - там да, требуется несколько иной подход.

К главному пришел в гости другой главный из конторы-партнера, очень кстати распространенная задача. Пришел он со своим экзотическим ноутбуком, ОС на ему понятном языке. Совещание очень важное. Пес его знает, что и как у него настраивается, но его ОС понимает лишь стандартный DHCP. Надо выйти в инет, чтоб что-то показать, и харя админа будет на этом совещании нежелательна.

И че, админ будет рассказывать, что ему надо поставить и настроить правильно винду, заползти в корпоративный AD, чтоб выйти в инет и что-то показать, а может еще посоветует сходить к безопасникам и оформить доступ?

С какой скоростью такой админ увидит на своей жопе отпечаток ботинка?

 

Безопасность это не продукт - это процесс. (с) Б. Шнайер. И он прав. Еще раз - сами по сбе ни VLAN, ни фаерволы, ни ips, ни криптография ни от чего не защищают. Защиту может обеспечить только комплексное решение, нередко - выходяще за рамки чисто сетевых вещей. При этом это решение - не статическое, то есть нет и не может быть решений для обеспечения безопасности типа 2поставил и забыл". По имхо очевидным причинам.

Большая часть решений как раз почти - поставил и забыл, только очень изредка секьюрити апдейты накатывать на пострадавшую часть. Только цисководеры стараются всех убедить, особенно шарашники как Irsi, которым очень хочется получать ежемесячно денежку на поддержание штанов сети.

 

Да вот нету нашествия проблем - руки есть, голова работает - проблем нет. Вообще проблемы желательно прибивать в зародыше, до того как они станут проблемой.

Проблем нет, конечно, в большинстве случаев, если контора не совсем отстойная. А будут - можно развести руками и сказать, "ну ктож знал". Схавают ведь.

Многие и крокодилов в руки берут... до поры, до времени.

 

[Irsi]

Повторю снова - запрет броадкастов хорошо, но это дополнительная мера, но не абсолютная защита. Она очень легко может перестать работать...

Да кто спорит-то. Но городить крепости против мышей - нерационально и самое главное - неэффективно. Абсолютно защищеная система это та система с которой абсолютно невозможно работать. VLAN на комп это бред для корпоративной сети. Даже VLAN на отдел обычно бред. VLAN-ы можно и более того - нужно использовать, но исходя из совсем других соображений и принципов.

Доступ к рабочему VLAN дается только после правильной авторизации.

Ну как вариант, хотя обычно - излишне. Ибо реально ни от чего не защищает - инфицированая машина авторизуется с тем же успехом что и чистая.

В электросети Австралии

Ух йопа! У них не толко кенгуру, но и электричество есть? Не знал... :)