На ASAх, о которых изначально в задаче шла речь, CDP нет вовсе.
Кстати, если уж зашла речь: как без помощи ODR, т.к. это хоть и куцый, но протокол маршрутизации, а только используя CDP собирались связность организовать?
Мыслите в правильном направлении, но это ничего не даст :)
Proxy-arp позволяет связать 2 куска одной сети (скажем, если бы на маршрутизаторах были бы те же адреса но с маской /8), но не применим для связи разных сетей.
Вить, тебе всё правильно написали:
есть SNMP. Есть спецMIBы для циски. Там можно очень многое.
Но я лично побаиваюсь настройки через SNMP — легко спуфится, ибо UDP, а до версии 3 вообще ничем не защищается.
Но в ООВ собирают по нему статистику очень часто.
Другое дело, что при большом количестве событий это жутко грузит CPU. На самом деле любая копия (вывод на экран debug, syslog, SNMP trap) тормозит проц
А про настройки: слишком разное у циски железо пока. Разные ОС, разные команды, даже принципы работы часто разные.
Циска идёт по пути отрыва от железки, сделав Cisco Security Manager, в котором отдельно задаются политики, а потом внедряются на конкретные железяки.
Вы не правы. Если это знаете Вы, это не значит, что обязаны знать все. Многие просто не сталкивались (всю жизнь работали с межсетевыми экранами, например). И у них масса хинтов и опыта, но с нетфлоу могли и не общаться. «Сейчас с людями надо мяХше»(с) «Приключения Шурика» :)
Да, ИМХО, имело смысл добавить, что на самом деле ip flow команды включают netflow. Эта команда нагружает железку. И «включить, посмотреть и выключить» не получится: надо собрать какую-нить приличную статистику для начала.
Ничего больше использовать не надо. Ни CDP, ни IRP. Но мыслите верно :)
Про то, что АСУ можно в транспарент загнать я и сам как то не подумал :)
ПРавда и здесь CDP не поможет — железяки в разных подсетях. Не захотят ходить друг к другу.
ЗЫ Ещё одно слово, о котором надо внимательно подумать — f5. Есть чего почитать/ознакомиться/пощупать?
А статик нат на подсети… Можно. ПРедоставьте конфиг — вам это просто :) ВОт и обсудим:) Там есть несколько увесистых подводных камней :)
Кстати, если уж зашла речь: как без помощи ODR, т.к. это хоть и куцый, но протокол маршрутизации, а только используя CDP собирались связность организовать?
8.0.4 в последних билдах вполне надёжна, должен отметить.
Правда уже готова 8.2.1 ПОглядим, чего там наворотили. Фич много новых — значит буду и баги.
ЗЫ Столько говорят про ЖунОС. Видимо придётся и её осилить. Буду мегамонстром :)
Мыслите в правильном направлении, но это ничего не даст :)
Proxy-arp позволяет связать 2 куска одной сети (скажем, если бы на маршрутизаторах были бы те же адреса но с маской /8), но не применим для связи разных сетей.
Нет, никакой динамической маршрутизации тоже нельзя :)
Сейчас поправлю в топике
Но похоже там подход такой, что будто бы админ настойчиво вбивает все команды по очереди не глядя.
есть SNMP. Есть спецMIBы для циски. Там можно очень многое.
Но я лично побаиваюсь настройки через SNMP — легко спуфится, ибо UDP, а до версии 3 вообще ничем не защищается.
Но в ООВ собирают по нему статистику очень часто.
Другое дело, что при большом количестве событий это жутко грузит CPU. На самом деле любая копия (вывод на экран debug, syslog, SNMP trap) тормозит проц
А про настройки: слишком разное у циски железо пока. Разные ОС, разные команды, даже принципы работы часто разные.
Циска идёт по пути отрыва от железки, сделав Cisco Security Manager, в котором отдельно задаются политики, а потом внедряются на конкретные железяки.
А вот про упомянутый тобой проект не слышал…
Писать end дольше, чем жмакнуть 2 клавиши
Ещё бывает, что буфер обмена… короче выделенного куска текста. Тоже бывает неприятно.
А для начала надо подчистить «хвосты». Вы не поверите, как много народу не знают про do и другие хинты.
Не надо торопидзе.
ЗЫ А про Жунипер уверенно буду рассказывать, когда сам дорасту.
ЗЗЫ Кстати, по количеству проданного железа Жуниперу до циски ещё очень далеко, поэтому как раз «идиотский ИОС» учить на данный момент нужнее. ИМХО.