Не, сам VPN на ASA — это норм. Anyconnect — очень удобная и гибкая штука.
Тут дело в другом — как вообще можно совмещать на одном железе oob и продуктив?! Даже временно. Как можно не резервировать критичные компоненты? Переезд переездом, но это не повод снижать надёжность системы.
Извините, но сетевиков ваших (если они у вас есть) гнать нужно ссаными тряпками за такое.
И за то, что служебный VPN сидит рядом с продуктивом (вероятно на ASA), и за NAT (ЗАЧЕМ?!), и за то, что нет резервирования…
Ну во-первых, дёргать базу должен не сам роутер, а ПО, им управляющее. По этой информации создаётся фильтр, который уже загружается на железку.
А что касается AfriNIC — так интернет-то один на всех. И утечка может быть где угодно
Ну во-первых, надо понимать, что у RIR очень разно качество этих самых баз. У RIPE NCC, например, всё более-менее неплохо, в отличие от LACNIC/AfriNIC.
Что касается самой базы — у RIPE NCC на сайте довольно много инструментов, плюс есть публичный API
2. Это решается корректным выставлением tcp-mss и mtu на обеих сторонах.
3. А зачем вам 152.1? Если для управления, то можно поднять lo-интерфейс с любым адресом и настроить роутинг, GRE ради этого городить не обязательно. Опять же, я бы разобрался с ipsec policy и тем, почему недоступен этот адрес.
4. Просто если у вас в конфиге есть ospf, то надо, наверное, описывать его на схеме, ну или удалять из примеров, чтобы не путать :)
Я понял, почему вы отказались от ikev2, но почему в конфиге указано ike v2-only?
[RESOLVED] External provider connectivity
Between 3:34 AM and 6:01 AM PDT we observed an issue with an external provider outside of our network, which impacted Internet connectivity between some customer networks and multiple AWS Regions. Connectivity to instances and services from other providers and within the Region was not impacted by the event. The issue has been resolved and connectivity has been restored.
>статья уважаемого olegbunin великолепно описывает проблемы BGP
Просто уточню, что в блоге Олега выложена расшифровка моего доклада с SHL++ 2019 (о чём в шапке написано ;))
>полагаю что для Вас Интернет это стек tcp/ip
tcp/ip это основа современного Интернета, но глупо сводить всю сеть к одному протоколу/стеку или даже сайту. Хотя если вы посмотрите дискуссию после доклада (ролик с докладом тоже прикреплён в посте), то я там говорил, что да, для многих интернет сводится к фб/вк/ок и прочему.
В том и дело, что роль глобального транзита снижается. Вместе с крупными игроками от них уходит трафик, а значит и деньги.
И нет, это не децентрализация, потому что вместо семи Tier1, и огромного множества нижестоящих операторов мы получаем довольно ограниченное число игроков, которые управляют трафиком от источника и до последней мили (практически)
Да, кинетик последнее время стал уметь многое, что раньше мог только Микротик/ZyWall/DFL, т.е. устройства, изначально заточенные не под SOHO, а под вполне себе средний бизнес с филиальной сетью и т.д. А ешё на него можно поставить какой-нибудь *WRT и получить ещё больше возможностей (включая установку доп. пакетов).
Но при этом по функциональности микротик до сих пор сильно его опережает. Плюсом к этому, какой-нибудь hAP mini умеет ровно столько же (по функциям), сколько самый мощный CCR. И конфиг переносится элементарно, т.е. проблем с апгрейдом железки не возникает.
Навскидку, у меня несколько вопросов:
1. зачем использовать aggressive вместо main?
2. df-bit copy — не самая удачная идея на туннельных интерфейсах. Во избежание дропов я бы всё-таки скидывал бит dont-fragment
3. Я так и не понял смысла натягивать gre поверх ipsec. Даже если принять во внимание, что микротик не умеет полноценный route-based ipsec, ваше объяснение выглядит немного непонятно.
Если за Juniper сидит вся оставшаяся /16, и трафик к ней нужно добавить в ipsec policy — то на микротике это довольно легко обходится грамотным составлением policy и роутингом (т.е. у вас ipsec encapsulation просто не возникнет: wiki.mikrotik.com/wiki/Manual:Packet_Flow)
4. Ещё есть вопросы, зачем использовать vlan.0 вместо routed-портов, зачем вы разрешаете ospf, если его не используете (или используете?) и почему у вас в конфиге Juniper режим v2-only, если IKEv2 вы использовать не рекомендуете. Но это уже придирки. Наверное :)
Из мира художки у меня есть два примера — в первом случае это Павел Иевлев и его сайт uazdao. Сами себе издатели, даже бумагу делают (на заказ, понятно).
Второй — это ActaDiurna, ребята решили сделать своё издательство, и выпускают очень качественные вещи
Спасибо за вопросы. Интерконнект между стойками — 4х10G.
А сколько стоек обычно на сайте? При таком интерконнекте их получается не больше двух, верно?
Но все оборудование что у нас стоит находится там потому что у него лучшее соотношение цена/фичи. Мы не корпораты, поймите, нам нужен тупо свитчинг фабрик и все, зачем платить больше?
Например, microburst у вас ни разу не было? Задержки устраивают?
Трудно спорить, не зная ваших потребностей :) Если хватает — то и хорошо. Видимо, просто, у вас не так много локаций/стоек/трафика, чтобы делать что-то более сложное.
Меня просто несколько удивил выбор оборудования — нечасто можно в серверной увидеть Cisco из Small-business серии.
>Что вы имеете в виду под более лучше уравляется?
У BGP банально больше крутилок, плюс, на мой вкус, он более предсказуем и более нагляден, чем OSPF
Спасибо за подробный рассказ!
— Почему Cisco Small business, а хотя бы не Catalyst/Nexus?
— Почему Nexus C5020, которые давно уже End-of-Life? (и да, SAN это всё-таки FC/iSCSI, для ip-хранилок используется термин NAS).
Сколько у вас обычно стоек на площадке? как происходит интерконнект между стойками (если он есть?)
— Почему ECMP на OSPF, а не на BGP, который более лучше управляется?
И, наконец, почему Nagios, а не Prometheus? ;)
Вообще создаётся ощущение, что инфраструктура проектировалась на основании знаний десятилетней, где-то, давности, а потом к ней сверху уже начали прикручиваться новые/модные штуки (это, в основном, про сеть)
Akamai и Imperva достаточно дорогие, особенно если брать always-on защиту.
Плюс, как и у всяких больших компаний, у них периодически недостаёт гибкости
Маленькая ремарка: оценивать затраты на защиту стоит не по стоимости инфраструктуры, а по потерям бизнеса.
Сколько для вас будет стоить час, два, сутки простоя? Вот из этого и надо считать, сколько разумно будет потратить на защиту
Тут дело в другом — как вообще можно совмещать на одном железе oob и продуктив?! Даже временно. Как можно не резервировать критичные компоненты? Переезд переездом, но это не повод снижать надёжность системы.
И за то, что служебный VPN сидит рядом с продуктивом (вероятно на ASA), и за NAT (ЗАЧЕМ?!), и за то, что нет резервирования…
А что касается AfriNIC — так интернет-то один на всех. И утечка может быть где угодно
Что касается самой базы — у RIPE NCC на сайте довольно много инструментов, плюс есть публичный API
3. А зачем вам 152.1? Если для управления, то можно поднять lo-интерфейс с любым адресом и настроить роутинг, GRE ради этого городить не обязательно. Опять же, я бы разобрался с ipsec policy и тем, почему недоступен этот адрес.
4. Просто если у вас в конфиге есть ospf, то надо, наверное, описывать его на схеме, ну или удалять из примеров, чтобы не путать :)
Я понял, почему вы отказались от ikev2, но почему в конфиге указано ike v2-only?
status.aws.amazon.com
www.cloudflarestatus.com/incidents/46z55mdhg0t5
www.hetzner-status.de/en.html#12022
Просто уточню, что в блоге Олега выложена расшифровка моего доклада с SHL++ 2019 (о чём в шапке написано ;))
>полагаю что для Вас Интернет это стек tcp/ip
tcp/ip это основа современного Интернета, но глупо сводить всю сеть к одному протоколу/стеку или даже сайту. Хотя если вы посмотрите дискуссию после доклада (ролик с докладом тоже прикреплён в посте), то я там говорил, что да, для многих интернет сводится к фб/вк/ок и прочему.
И нет, это не децентрализация, потому что вместо семи Tier1, и огромного множества нижестоящих операторов мы получаем довольно ограниченное число игроков, которые управляют трафиком от источника и до последней мили (практически)
Но при этом по функциональности микротик до сих пор сильно его опережает. Плюсом к этому, какой-нибудь hAP mini умеет ровно столько же (по функциям), сколько самый мощный CCR. И конфиг переносится элементарно, т.е. проблем с апгрейдом железки не возникает.
При всём уважении к кинетику, как говорится.
1. зачем использовать aggressive вместо main?
2. df-bit copy — не самая удачная идея на туннельных интерфейсах. Во избежание дропов я бы всё-таки скидывал бит dont-fragment
3. Я так и не понял смысла натягивать gre поверх ipsec. Даже если принять во внимание, что микротик не умеет полноценный route-based ipsec, ваше объяснение выглядит немного непонятно.
Если за Juniper сидит вся оставшаяся /16, и трафик к ней нужно добавить в ipsec policy — то на микротике это довольно легко обходится грамотным составлением policy и роутингом (т.е. у вас ipsec encapsulation просто не возникнет: wiki.mikrotik.com/wiki/Manual:Packet_Flow)
4. Ещё есть вопросы, зачем использовать vlan.0 вместо routed-портов, зачем вы разрешаете ospf, если его не используете (или используете?) и почему у вас в конфиге Juniper режим v2-only, если IKEv2 вы использовать не рекомендуете. Но это уже придирки. Наверное :)
Из мира художки у меня есть два примера — в первом случае это Павел Иевлев и его сайт uazdao. Сами себе издатели, даже бумагу делают (на заказ, понятно).
Второй — это ActaDiurna, ребята решили сделать своё издательство, и выпускают очень качественные вещи
uazdao? =)
А сколько стоек обычно на сайте? При таком интерконнекте их получается не больше двух, верно?
Например, microburst у вас ни разу не было? Задержки устраивают?
Трудно спорить, не зная ваших потребностей :) Если хватает — то и хорошо. Видимо, просто, у вас не так много локаций/стоек/трафика, чтобы делать что-то более сложное.
Меня просто несколько удивил выбор оборудования — нечасто можно в серверной увидеть Cisco из Small-business серии.
>Что вы имеете в виду под более лучше уравляется?
У BGP банально больше крутилок, плюс, на мой вкус, он более предсказуем и более нагляден, чем OSPF
— Почему Cisco Small business, а хотя бы не Catalyst/Nexus?
— Почему Nexus C5020, которые давно уже End-of-Life? (и да, SAN это всё-таки FC/iSCSI, для ip-хранилок используется термин NAS).
Сколько у вас обычно стоек на площадке? как происходит интерконнект между стойками (если он есть?)
— Почему ECMP на OSPF, а не на BGP, который более лучше управляется?
И, наконец, почему Nagios, а не Prometheus? ;)
Вообще создаётся ощущение, что инфраструктура проектировалась на основании знаний десятилетней, где-то, давности, а потом к ней сверху уже начали прикручиваться новые/модные штуки (это, в основном, про сеть)
Плюс, как и у всяких больших компаний, у них периодически недостаёт гибкости
Сколько для вас будет стоить час, два, сутки простоя? Вот из этого и надо считать, сколько разумно будет потратить на защиту
и смысл в вашей методике?
Но я, занудства ради, всё равно бы указал точность выборки.