пинг спутникового интернета — порядка 600 мс. Это физика, так как спутники висят на высоте ~36 тыс км над экватором. Чтобы передача данных при такой задержке была комфортной, используют разнообразные механизмы оптимизации tcp трафика (long fat network). Пинг от этого не уменьшается, но приложения работают как-будто этой задержки почти нет.
Orange — легальный оператор связи в России, с лицензией оператора связи и пачкой других, вплоть до мг/мн, инфраструктурой и сотрудниками по всей стране. Трафик VSAT станций, расположенных на территории России и судов, ходящих под российским флагом, терминируется в России и подпадает под фильтры РКН.
Спутник там обычный, российский. Orange не запускает свои спутники. Оператор спутниковой связи — это не только спутник, но и наземный хаб, роуминг между спутниками (при необходимости), обслуживание VSAT терминала.
Note: The no vstack command does not persist across reload due to Cisco defect CSCvd99197 in the following releases of Cisco IOS and IOS XE:
Cisco Catalyst 4500 and 4500-X Series Switches:
3.9.2E/15.2(5)E2
Cisco Catalyst 6500 Series Switches:
15.1(2)SY11
15.2(1)SY5
15.2(2)SY3
Cisco Industrial Ethernet 4000 Series Switches:
15.2(5)E2, 15.2(5)E2a
Cisco ME 3400 and ME 3400E Series Ethernet Access Switches:
12.2(60)EZ11
«Зачем выставлять в Интернет интерфейс управления»
согласно описанию уязвимости, к интерфейсу управления она не имеет ровно никакого отношения. И закрытый (с помощью ACL на line vty) интерфейс управления никак не спасает от данной уязвимости.
Сам cisco smart install, согласно configuration guides на сайте cisco, как отдельный интерфейс управления не позиционируется. И фильтровать доступ к нему предлагается через ACL на SVI, что тоже не является характерной чертой интерфейсов управления.
там даже клапан не нужен. Просто бутыль, висящая выше кофеварки горлышком вниз, трубка из бутылки вставляется в резервуар для воды кофеварки, срез трубки по уровню, до которой должна быть налита вода. Пока срез трубки в воде, ничего не течет. Как только он открывается в воздух (кто-то попил кофе), вода из бутылки начинает течь
тогда берите защиту от DDoS у того же облачного провайдера и отдавайте ему ключи. Собственно, они и так физически у него, поэтому с точки зрения ИБ вы не берете на себя дополнительных рисков
комбинированное решение. Атаки на полосу фильтровать с помощью сервиса провайдера или специализированного сервиса DDoS очистки, атаки L7 — железкой у себя. Соответственно приватные ключи вы загружаете только в свою железку. Атаки L7, как правило, достаточно медленные и канал не забивают, поэтому такое решение работает.
сервис защиты от DDoS есть у каждого приличного хостера и у каждого крупного оператора связи (на случай, если вы хостите свой сайт сами). Да, атаки на 500 Гб/с они не отобьют, но с другой стороны, такие атаки достаточно редки, а вот атаки в единицы Гб/с происходят по несколько раз на дню.
Кроме того, надо учесть, что внешние сервисы очистки обладают принципиальным недостатком: если вы поменяли A запись на сервис очистки, а злоумышленникам стал известен настоящий IP адрес вашего сайта, то сервис очистки не поможет. Точнее поможет, если вы построите выделенный канал до сервиса очистки, минуя интернет. Только это экзотика.
Ещё тонкий момент — если ваш сайт работает по HTTPS, вам нужно предоставить свои приватные(!!!) ключи сервису очистки. Иначе не будет очистки L7 трафика.
Резюмируя. По сути, есть 3 основных варианта фильтрации DDoS атак:
— железка у себя. Эффективна от атак уровня приложения и бесполезна от атак на забивание канала. Практически всегда используется, если ваш сайт HTTPS и вы параноик (напр., банк)
— сервис провайдера. Спасает от атак до десятков Гб/с (а это 99% атак, если вы не СМИ). Может использоваться в комбинации с железкой у себя.
— внешний сервис очистки. Может спасти от очень крупных атак. Имеет ахилесову пяту в виде возможности обойти сервис очистки. Комбинация с железкой у себя теоретически возможна, но скорее всего потребует собственной разработки (трансляция API вашей железки в API сервиса очистки)
к сожалению, всё не так просто и однозначного, универсального для всех ответа на вопрос по выбору между частным и публичным облаком — не существует. Как вы понимаете, просто посчитать сумму CPU, DRAM и Storage и пересчитать в стоимость серверов — мало. Есть ещё огромное количество параметров, которые могут склонить к тому или иному выбору — SLO, география бизнеса, финансовая модель компании, особенности бизнес-процессов, особенности IT-приложений, регуляторика и т.д. и т.п.
размещать три резюме на HH на сильно разные позиции (могу копать, могу гвозди забивать) — это, как бы, дурной тон, свидетельствующий о незрелости жизненных целей. Ну и разработчик и менеджер — это очень разные скилы, которые одновременно сильными как правило не бывают.
Позиции уровня директоров как правило через HH не ищут, либо через знакомых, либо через узкоспециализированные кадровые агенства.
> На какие то вакансии я откликаюсь сам, но компании попросту даже не смотрят приглашения.
я надеюсь, что вы внимательно читаете описание вакансии и понимаете, что ваше резюме соотносится с этой вакансией, а не просто откликаетесь на все вакансии, найденные по ключевым словам? по моему личному опыту, процент релевантных откликов на вакансию равен нулю.
внешние каналы организованы через спутник.
используют специальные самонаводящиеся антенны, нечувствительные к качке, могут работать чуть ли не в шторм. Можно погуглить по «Sailor 900»
стоимость трафика — такая же, как у обычных двунаправленных VSAT решений. Ну не считая того, что сама тарелка дико дорогая. Плюс часто ставят WAN оптимизаторы, ибо RTT в 600+ мс не слишком комфортен для серфинга.
когда судно в порту — там обычно переключают на wifi.
на физтехе экзамены по теорфизу принимали примерно таким же способом — ты тянул билет и готовился, пользуясь любой литературой, конспектами, чем угодно. Суть методики — проверить понимание предмета. Не как ты зазубрил, а как понял. К слову сказать, предмет таков, что получить хотя бы 3 балла считалось за счастье. На пересдачу ходило примерно половина потока.
p.s. по общей физике было ещё интереснее — ты сам заранее выбирал тему. И даже не из списка, а любую, релевантную программе этого семестра.
> VPN сама по себе – не только легальная, но и абсолютно полезная технология. Ей пользуются и частные добропорядочные пользователи, и большие компании
так VPN как технологию — никто не запрещал. Запретили VPN сервера, которые позволяют обходить блокировки.
Если вашим клиентам нужен VPN, чтобы ходить в американские интернет-магазины, сделайте свой VPN, который будет работать по «белому списку» магазинов и предлагайте его своим клиентам. С точки зрения российского законодательства ваш VPN будет совершенно легален (ну если только какой-нибудь из магазин из вашего белого списка не попадёт в чёрный список роскомнадзора)
Схема от S-Terra предлагалась ими для решения на 10G, а совсем даже не на 1G, как вы пишете. Более того, эта схема уже устарела, потому как S-Terra выпустила (или должна выпустить — я уже потерялся, пощупать точно можно, купить — не знаю) шлюз на 10G в одной коробке.
телеком и IT оборудование относятся к электроустановкам. Поэтому админы, филды и вообще все, кто ходят в серверную, должны иметь 3 группу электробезопасности.
поэтому даже если вы не малый офис, а большая компания, где есть выделенные специалисты по энергетике, жизнеобеспечению ЦОД и т.д., вам всё равно нужно знать правила безопасной работы с электроустановками (и не только с электро, а то можно и лазером себе глаза подпортить) и приемам оказания первой медицинской помощи. Для вашей же безопасности, а не для бумажек.
На собеседовании после технического интервью я сам рассказываю о компании, освещая в том числе и все вот такие вопросы. И обязательно уточняю, нет ли ещё вопросов. Если человека интересует, как всё в компании устроено, это хороший знак, значит он ищет не абы какую работу, а нормальную. Профессионал знает себе цену и абы какую работу искать не будет.
сотовая связь — это не только ценный мех, но и 3 кг мяса пользователи смартфонов, планшетов и мобильных роутеров. Проникновение связи у этих граждан уже давно over 100%, рынок перенасыщен и новых денег в нём нет. Зато есть классный рынок IoT — по симкарте в каждый счётчик, в каждую кофеварку и в каждую кнопку. Таких девайсов предполагается на несколько порядков больше, чем существующих пользователей, и вот им нужны будут все преимущества 5G.
Спутник там обычный, российский. Orange не запускает свои спутники. Оператор спутниковой связи — это не только спутник, но и наземный хаб, роуминг между спутниками (при необходимости), обслуживание VSAT терминала.
согласно описанию уязвимости, к интерфейсу управления она не имеет ровно никакого отношения. И закрытый (с помощью ACL на line vty) интерфейс управления никак не спасает от данной уязвимости.
Сам cisco smart install, согласно configuration guides на сайте cisco, как отдельный интерфейс управления не позиционируется. И фильтровать доступ к нему предлагается через ACL на SVI, что тоже не является характерной чертой интерфейсов управления.
Кроме того, надо учесть, что внешние сервисы очистки обладают принципиальным недостатком: если вы поменяли A запись на сервис очистки, а злоумышленникам стал известен настоящий IP адрес вашего сайта, то сервис очистки не поможет. Точнее поможет, если вы построите выделенный канал до сервиса очистки, минуя интернет. Только это экзотика.
Ещё тонкий момент — если ваш сайт работает по HTTPS, вам нужно предоставить свои приватные(!!!) ключи сервису очистки. Иначе не будет очистки L7 трафика.
Резюмируя. По сути, есть 3 основных варианта фильтрации DDoS атак:
— железка у себя. Эффективна от атак уровня приложения и бесполезна от атак на забивание канала. Практически всегда используется, если ваш сайт HTTPS и вы параноик (напр., банк)
— сервис провайдера. Спасает от атак до десятков Гб/с (а это 99% атак, если вы не СМИ). Может использоваться в комбинации с железкой у себя.
— внешний сервис очистки. Может спасти от очень крупных атак. Имеет ахилесову пяту в виде возможности обойти сервис очистки. Комбинация с железкой у себя теоретически возможна, но скорее всего потребует собственной разработки (трансляция API вашей железки в API сервиса очистки)
Уже есть. Называется лифты системы twin. Два лифта в одной шахте друг над другом ездят.
Позиции уровня директоров как правило через HH не ищут, либо через знакомых, либо через узкоспециализированные кадровые агенства.
> На какие то вакансии я откликаюсь сам, но компании попросту даже не смотрят приглашения.
я надеюсь, что вы внимательно читаете описание вакансии и понимаете, что ваше резюме соотносится с этой вакансией, а не просто откликаетесь на все вакансии, найденные по ключевым словам? по моему личному опыту, процент релевантных откликов на вакансию равен нулю.
используют специальные самонаводящиеся антенны, нечувствительные к качке, могут работать чуть ли не в шторм. Можно погуглить по «Sailor 900»
стоимость трафика — такая же, как у обычных двунаправленных VSAT решений. Ну не считая того, что сама тарелка дико дорогая. Плюс часто ставят WAN оптимизаторы, ибо RTT в 600+ мс не слишком комфортен для серфинга.
когда судно в порту — там обычно переключают на wifi.
p.s. по общей физике было ещё интереснее — ты сам заранее выбирал тему. И даже не из списка, а любую, релевантную программе этого семестра.
так VPN как технологию — никто не запрещал. Запретили VPN сервера, которые позволяют обходить блокировки.
Если вашим клиентам нужен VPN, чтобы ходить в американские интернет-магазины, сделайте свой VPN, который будет работать по «белому списку» магазинов и предлагайте его своим клиентам. С точки зрения российского законодательства ваш VPN будет совершенно легален (ну если только какой-нибудь из магазин из вашего белого списка не попадёт в чёрный список роскомнадзора)
поэтому даже если вы не малый офис, а большая компания, где есть выделенные специалисты по энергетике, жизнеобеспечению ЦОД и т.д., вам всё равно нужно знать правила безопасной работы с электроустановками (и не только с электро, а то можно и лазером себе глаза подпортить) и приемам оказания первой медицинской помощи. Для вашей же безопасности, а не для бумажек.
На собеседовании после технического интервью я сам рассказываю о компании, освещая в том числе и все вот такие вопросы. И обязательно уточняю, нет ли ещё вопросов. Если человека интересует, как всё в компании устроено, это хороший знак, значит он ищет не абы какую работу, а нормальную. Профессионал знает себе цену и абы какую работу искать не будет.
ценный мех, но и 3 кг мясапользователи смартфонов, планшетов и мобильных роутеров. Проникновение связи у этих граждан уже давно over 100%, рынок перенасыщен и новых денег в нём нет. Зато есть классный рынок IoT — по симкарте в каждый счётчик, в каждую кофеварку и в каждую кнопку. Таких девайсов предполагается на несколько порядков больше, чем существующих пользователей, и вот им нужны будут все преимущества 5G.