А толку то? :)
Раньше хоть в РТС хоть немного вылизывали код, сейчас Plaza2 роутер из костылей и подпорок состоит.
А уж перевод на новую «универсальную» схему и диалоги с инженерами, нихрена не понимающими как настроить маршрутизаторы не из «нулевой» конфигурации, особенно доставляют.
Раньше с поддержкой РТС было любо дорого общаться, что с сетевиками, что с сертификатной поддержкой. Сейчас в новой поддержке moex.com напишешь письмо и ждёшь неделю пока ктонить до твоей проблемы доберется.
Вчера например обрубили все старые настройки в InterPlaza prom сервере, в итоге мои трейдеры и шлюзы получили отлуп «неразрешенный адрес» и никого не волнует, что условием РТС в хрен знает каком году была прямая адресация клиентских приложений и нахождение шлюзов в едином адресном пространстве внутренних подсетей РТС. Мне теперь всю сеть /22 переделывать? на вопрос «какого хрена» был ответ «пишите письмо от имени генерального директора на имя генерального директора! и мы включим всё обратно». нафига оно мне нужно такое счастье?
новая система ЭДО вообще поделка студента программиста в которой я уже разбираюсь лучше чем техподдержка МБ, которая должна знать всё как свои 20 пальцев.
А Вы про схемы толкуете.
речь в статье не о подключении bgp от провайдеров, а как сделать балансировку на имеющихся каналах связи если скажем в офисе на 20 человек нужно вытащить Web сервер или почту через пару провайдеров.
не все провайдеры дадут это сделать. в итоге получится полурешение.
И разбираться потом почему пакет улетел не в туда и по какой причине будет много сложнее.
затем что rd gateway тащит за собой кучу абсолютно ненужного барахла и в конечном итоге усложняет систему.
Я не осилил замысла Microsoft в этом направлении. С одной стороны всё правильно, но «чем дальше в лес, тем толще партизаны». Настроил, поигрался и вынес вперед тапками.
Microsoft вообще ребята неоднозначные. Одно только включение клиента WebDAV на 2008R2 через «Desktop Expirience» чего стоит. Но даже после включения клиента WebDAV оно без напильника не заводится. Или танцы с удалённой печатью, тут печатаем тут нет. Система и без того получается нагружена групповыми политиками, стартап скриптами и правилами AppLocker, и грузить её еще RD Gateway с сервером политик как-то некомильфо.
Можно и vpn поднять, только вот чем сложнее схема на стороне пользователя, тем больше проблем.
Как-то тяжело объяснять про ipsec тётушкам и бабушкам бухгалтерам в Тюмени, Улан-Удэ и Томске находясь в Нерезиновске.
в 3548 оно есть, в увы 3448 еще нет, хотя firmware последняя, eol у 3448 был в Августе 2011. Свои деньги они отработали на 5+ (с 2005 года по сей день).
Сейчас потихоньку мигрируем на Cisco.
Собрал, посмотрел. lldp на моих коммутаторах в зачатке, максимум что может делать это анонсить себя соседним железкам, да и то криво. Nexus 3048 видит их через одно место.
Core-10G-1Box-5Floor# sh lldp neighbors interface ethernet 1/3 detail
Chassis id: 0018.8b99.e06d
Port id: g3
Local Port id: Eth1/3
Port Description: not advertised
System Name: not advertised
System Description: not advertised
Time remaining: 110 seconds
System Capabilities:
Enabled Capabilities:
Management Address:
Vlan ID: 0
Total entries displayed: 1
Core-10G-1Box-5Floor# sh lldp neighbors interface ethernet 1/3 system-detail
Capability codes:
(R) Router, (B) Bridge, (T) Telephone, (C) DOCSIS Cable Device
(W) WLAN Access Point, (P) Repeater, (S) Station, (O) Other
Device ID Local Intf Chassis ID Port ID Hold-time Capability
- Eth1/3 0018.8b99.e06d g3 120
При этом с другой стороны коммутатору вообще рвёт крышу. Port 51 = g3.
Dell3448_1Box_5Floor_21# sh lldp neighbors
Port Device ID Port ID System Name Capabilities
------- ----------------- ----------------- ------------------- ------------
51 a4:93:4c:80:c7:aa Eth1/3 436f72652d3130472d3 R
1426f782d35466c6f6f
7200
Dell3448_1Box_5Floor_21# sh lldp neighbors ethernet
PORT IEEE 802.3 Ethernet port
Dell3448_1Box_5Floor_21# sh lldp neighbors ethernet g3
Device ID: a4:93:4c:80:c7:aa
Port ID: Eth1/3
Capabilities: R
System Name: 436f72652d3130472d31426f782d35466c6f6f7200
System description: 436973636f204e65787573204f7065726174696e672053797374656d20284e582d4f532920536f6674776172650a54414320737570706f72743a20687474703a2f2f7777772e636973636f2e636f6d2f7461630a436f707972696768742028632920323030322d323058582c20436973636f2053797374656d732c20496e632e20416c6c207269676874732072657365727665642e
Port description: 446f776e6c696e6b5f746f5f31302e362e3230302e323100
Management Address: 10.6.200.100
Так что как в анекдоте «Были бы спички, был бы рай»
300 серия отличается от каталистов как марс от венеры.
Имея в наличии пачку деллов, обнаружил что firmware на 300 серии практически один в один с деллами совпадает, за исключением нескольких фич. Обновление, настройка бута и прочее вообще под копирку.
А так вот настройки порта.
Zone6Dev-SF300-24P(config-if)#switchport
access vlan unaware port
customer The port is connected to customer equipment
default-vlan default vlan
forbidden forbidden
general Configure switchport in general mode
mode port mode
protected-port isolate layer 2 traffic from other protected ports
trunk vlan aware port
Во первых у вас ошибки в тексте.
— 1) 645 или 4771
— (Аудит событий входа в систему)
— Событие 657/4771
события 645 и 657 абсолютно другие. правильное — 675
Во вторых если Вы описываете эвенты — указывайте в какой ветке evntwin.exe их искать.
W2k3 — Security/Security
W2k8 —
Security/Microsoft-Windows-Security-Auditing для эвентов аудита безопасности.
Security/Microsort-Windows-Eventlog для 1102
В третьих зачем платить деньги за то, что можно автоматизировать бесплатно?
моя статья трёхлетней давности habrahabr.ru/post/65652/
Касательно настроек racoon:
Если удаленный офис имеет статичный IP, то нет никакого смысла использовать секцию remote anonymous, лучше использовать remote 10.10.10.2 (для данного случая) это упростит идентификацию удаленого хоста и даст возможность задать параметры proposal для вашего роутера DI-804HV.
В секции remote поставить generate_policy off; раз уж вы указыватаете политику в /etc/ipsec.conf. Иначе racoon будет добавлять собственную.
Секция sainfo будет выглядеть следующим образом sainfo (address 192.168.250.0/24 any address 192.160.0.0/24 any)
странное решение, потому что gif интерфейс тут просто не нужен. Вместо gif интерфейса можно прописать ваши рабочие подсети в которых стоят роутеры. А если нужно мониторить, что бегает внутри ipsec, то просто добавить в ядро девайс enc и потом ifconfig enc0 up. далее смотрим на него через tcpdump, всю инкапсуляцию будет видно как на ладони.
device crypto
device enc
options IPSEC
Если ваш роутер стоит за натом, то нужно в ядро добавить опцию Nat Traversal.
options IPSEC_NAT_T
А вообще копировать старые статьи 6 летней давности некомильфо, тем более что пример привязан к локальной тестовой подсети, а в реальных сетях это просто не поднимется.
В sainfo лучше добавить связку подсетей вместо анонимного подключения и сделать generate_policy off;
Плюс ко всему нужно не забыть открыть стенку для IPSEC.
В общем на мой взгляд статья немного не доработана.
да можно наверное. думаю нужно еще фильтр добавить протокольный и по адресам. Просто основной блок разгребающий структуру есть, а обвязать его хотелками дело двух минут в принципе.
О гуру! посоветуйте тот который поддерживает кластерный fail-over, обновление dns, корректный bootp, фильтрацию по вендорам и не скопытится на 1000 пользователях.
Раньше хоть в РТС хоть немного вылизывали код, сейчас Plaza2 роутер из костылей и подпорок состоит.
А уж перевод на новую «универсальную» схему и диалоги с инженерами, нихрена не понимающими как настроить маршрутизаторы не из «нулевой» конфигурации, особенно доставляют.
Раньше с поддержкой РТС было любо дорого общаться, что с сетевиками, что с сертификатной поддержкой. Сейчас в новой поддержке moex.com напишешь письмо и ждёшь неделю пока ктонить до твоей проблемы доберется.
Вчера например обрубили все старые настройки в InterPlaza prom сервере, в итоге мои трейдеры и шлюзы получили отлуп «неразрешенный адрес» и никого не волнует, что условием РТС в хрен знает каком году была прямая адресация клиентских приложений и нахождение шлюзов в едином адресном пространстве внутренних подсетей РТС. Мне теперь всю сеть /22 переделывать? на вопрос «какого хрена» был ответ «пишите письмо от имени генерального директора на имя генерального директора! и мы включим всё обратно». нафига оно мне нужно такое счастье?
новая система ЭДО вообще поделка студента программиста в которой я уже разбираюсь лучше чем техподдержка МБ, которая должна знать всё как свои 20 пальцев.
А Вы про схемы толкуете.
Думаю на этом мы закончим этот разговор.
речь в статье не о подключении bgp от провайдеров, а как сделать балансировку на имеющихся каналах связи если скажем в офисе на 20 человек нужно вытащить Web сервер или почту через пару провайдеров.
Вот для примера Beeline.
b2b.beeline.ru/msk/internet/extra/service.wbp?id=97fb0fc5-13dc-47f8-9aab-94d43b3362fa
И разбираться потом почему пакет улетел не в туда и по какой причине будет много сложнее.
Я не осилил замысла Microsoft в этом направлении. С одной стороны всё правильно, но «чем дальше в лес, тем толще партизаны». Настроил, поигрался и вынес вперед тапками.
Microsoft вообще ребята неоднозначные. Одно только включение клиента WebDAV на 2008R2 через «Desktop Expirience» чего стоит. Но даже после включения клиента WebDAV оно без напильника не заводится. Или танцы с удалённой печатью, тут печатаем тут нет. Система и без того получается нагружена групповыми политиками, стартап скриптами и правилами AppLocker, и грузить её еще RD Gateway с сервером политик как-то некомильфо.
Как-то тяжело объяснять про ipsec тётушкам и бабушкам бухгалтерам в Тюмени, Улан-Удэ и Томске находясь в Нерезиновске.
Сейчас потихоньку мигрируем на Cisco.
При этом с другой стороны коммутатору вообще рвёт крышу. Port 51 = g3.
Так что как в анекдоте «Были бы спички, был бы рай»
спс за ссылку и рекомендации.
Но не везде циски живут в сети, посему приходится так.
Там где доступно попробую как время появится.
Имея в наличии пачку деллов, обнаружил что firmware на 300 серии практически один в один с деллами совпадает, за исключением нескольких фич. Обновление, настройка бута и прочее вообще под копирку.
А так вот настройки порта.
Посему и конфиг такой в посте.
— 1) 645 или 4771
— (Аудит событий входа в систему)
— Событие 657/4771
события 645 и 657 абсолютно другие. правильное — 675
Во вторых если Вы описываете эвенты — указывайте в какой ветке evntwin.exe их искать.
W2k3 — Security/Security
W2k8 —
Security/Microsoft-Windows-Security-Auditing для эвентов аудита безопасности.
Security/Microsort-Windows-Eventlog для 1102
В третьих зачем платить деньги за то, что можно автоматизировать бесплатно?
моя статья трёхлетней давности habrahabr.ru/post/65652/
Если удаленный офис имеет статичный IP, то нет никакого смысла использовать секцию remote anonymous, лучше использовать remote 10.10.10.2 (для данного случая) это упростит идентификацию удаленого хоста и даст возможность задать параметры proposal для вашего роутера DI-804HV.
В секции remote поставить generate_policy off; раз уж вы указыватаете политику в /etc/ipsec.conf. Иначе racoon будет добавлять собственную.
Секция sainfo будет выглядеть следующим образом sainfo (address 192.168.250.0/24 any address 192.160.0.0/24 any)
device crypto
device enc
options IPSEC
Если ваш роутер стоит за натом, то нужно в ядро добавить опцию Nat Traversal.
options IPSEC_NAT_T
А вообще копировать старые статьи 6 летней давности некомильфо, тем более что пример привязан к локальной тестовой подсети, а в реальных сетях это просто не поднимется.
В sainfo лучше добавить связку подсетей вместо анонимного подключения и сделать generate_policy off;
Плюс ко всему нужно не забыть открыть стенку для IPSEC.
В общем на мой взгляд статья немного не доработана.