пары между собой путать можно, нет общего стандарта по выбору пар для многопарников, важно лишь то, чтобы TX жилы скурчены вместе, и RX между собой тоже вместе.
Да ладно? У нас больше 15 тысяч клиентов на двухпарнике подключены, несколько тысяч на многопарнике, никакие наводки ничего не убивают на расстояниях до 100м, а все потому, что по витой паре идет дифференциальный сигнал по каждой из паре.
Стоит помнить, что при проксировании ssh соединения, атакующий неминуемо оставляет свой ip адрес в логах сервера.
В режиме экспертных настроек можно установить соответствующую опцию, которая заставит ssh сервер разрывать соединение сразу после перехвата логина и пароля. После этого желательно остановить атаку и позволить жертве спокойно соединиться с нужным сервером.
в таком случае человек получит целых 2 сообщения о неверном фингерпринте, ой какое страшное палево…
Да у всех тормозит, у всех. Просто не во всех случаях, у кого-то чаще эти случаи, у кого-то нет(неравномерно нагрузка на cdn ложится). Чем ближе время ЧНН, тем больше эта вероятность. Вот у вас ролики в 11 утра в будний день тормозят ?) Если нет, то получается что и трафик никто не режет.
Да прям всемирный заговор среди провайдеров, срыв покровов =)
Я сам работаю в провайдере, много коллег работают так же в других провайдерах, но никто из нас ютуб не режет. Более того мы все коллективно занимались разбирательством, в чем же дело. Даже переписка была в ноябре 2012 в мэилинге MSK-IX.
А все очень просто — не справляются сами гугл кэш серверы(или иначе cdn). Стоит убрать маршруты на одни серверы и перевести трафик на менее загруженные, как и им становится плохо.
К чему приведет блокировка cdn? к большей нагрузке на основные серверы, в итоге совсем все ляжет. Успех.
Я и не спорил, что человек не должен понимать принципы и алгоритмы, но зачастую от вендора к вендору еще и добавляются разные тонкости реализации, что в итоге несет свои нюансы, желательно все же придерживаться простой и понятной схемы. Ведь даже статическую маршрутизацию умудрились обвязать еще каким-то CEF, ну что за кровавый энтерпрайз?
у меня только один вопрос — а зачем это может понадобиться? зачем это делать именно так? =)
p.s. да вы просто мастер в вопросах: как сломать циску и чтобы не сразу было понятно в чем тут дело =) Хотя, конечно, при внимательном изучении такой конфигурации у человека появиться вопрос — а зачем было располагать магистральную зону на островке, когда как тупиковая зона была бы куда логичнее.
Топик надо было назвать: особенности статической маршрутизации в Cisco, все же циско — хоть и законодатель моды, но далеко не единственная фирма, выпускающая сетевое оборудование. Да и CEF — это чисто цискинная фича. Или еще можно было топик назвать как: как можно сломать циске мозг при включенном cef =)
Кстати ASR 1к — это разве не софт роутеры?
Больше всего меня волновало в аппаратных платформах циски — это в каких случаях внесение изменений в конфигурацию требует еще каких-либо действий. Например при изменении содержимого некоторых ACL — требуется его убрать с интерфейса и снова добавить, а лучше создать новый ACL и навесить его, а старый удалить. Это из самого простого… Бывалого инженера этим не удивишь, а вот новичка легко в панику бросает, особенно забавно, когда в конфигурацию добавляешь одно, а при чтении конфигурации — видишь совершенно другое (те же активные ACL в isg на 7200, к примеру)… Это так, мысли вслух, вдруг кто захочет статью написать =)
на самом деле туннели тоже работают, если разрешить входящие содениния на нате, так что мы всем интересны, хочешь сип — вот держи маршрутизируемый реальник без всякого L2TP и NAT. Кто сказал что это невозможно?
Абоненту самое главное, чтобы было дешево, работало стабильно и просто — воткнув кабель в розетку. Про нат некоторые даже не слышали что это и откуда это.Еще есть провайдеры, которые заставляют ставить свои роутеры с кастомной прошивкой или перешивать ваш кастомной для поддержки ихнего впн — и люди ведь даже такими пользуются, там не то чтобы несколько компьютеров сразу не подключишь — там даже один подключить тяжело бывает =)
Конечно L2TP + Bras куда круче, но это нужны большие инвестиции на начальном этапе. Спроектировать такое и мы могли, но денег не было. Сейчас то уже можем и так подключать, вот только самое интересное, что мы людям еще даем пиринг с другими сетями, у которых тоже серые айпишники. Конечно для этого надо было договориться кто какой блок берет. Но в итоге немало так трафика уходит в пиринг без ограничений скорости — и что самое удивительное, люди этим пользуется, Вам этого точно не понять, ровно как и мне — но оно работает: это 20% нашего трафика.
NAT плох разве что с сипом и установкой туннелей, но для таких случаев можно попросить статический реальник и у вас все будет, не вижу в этом особой проблемы.
А как именно будете файрволить? По определенному значению одного байта? Ждите вал звонков.
А зачем нам фаерволить всех? кому надо — тому и можно прописать, речь идет о гибкости, а не о том, что это DPI решение, в которое можно реестр запрещенных сайтов загнать)))
Я что-то не пойму, вы меня троллите что ли?
Давайте по порядку. Я — инженер спд в операторе, опыт в бизнесе 6 лет, знаю все тонкости в этой сфере(технические и экономические), делаю выводы на основании полученного опыта. Вы — вроде сетевой инженер в сфере энтерпрайз решений, все ваши знания касательно операторов сводятся к опыту клиента одного провайдера.
Ваша точка зрения: можно ставить циски и использовать исключительно dhcp в вашей сети, статика не пройдет :)) Несколько статический ACL на коммутаторе — это плохо.
Моя точка зрения: dhcp в редких случаях не работает, так что статическим адресам тоже надо дать право на жизнь.
И после всего этого вы обвиняете меня в том, что я не предлагаю гибкие решения ?))) Касательно одного адреса на порт — это наша задумка(легко можно использовать и 5 и 10 адресов на порт — вам тут уже один человек пример показал), основанная на анализе другого провайдера на 15 тысяч клиентов, где мы работали раньше. Там 90% абонентов имели лишь 1 адрес и этого было достаточно. Что с остальными 10% делать? да ничего страшного, они все равно в итоге поставили себе wifi-роутер, тк теперь у людей несколько компьютеров и ноутбуков + смартфоны дома. Никаких жалоб никогда не слышал, чтобы кому-то непременно нужен был второй айпи адрес. Более того людям нужен же коммутатор домой для этого, а мы продаем вайфай роутеры им ниже рыночной цены почти по цене тех же свитчей! + бесплатная настройка мастера на дом! Все рады.
Длинки — это оконечное оборудование перед DTE. В других же местах стоят дасаны и циски, алкатели даже были раньше. Да и многие операторы их используют, возможно даже тот же Олайм. Кстати и у них бывают проблемы, как-то у одной моей подруги до хостинга через один из их пиров не проходили пакеты с размером окна больше 1300 байт, они даже заявку эту не рассмотрели за 2 недели! Пришлось отключаться — она вебмастер и хостинг — ее хлеб.
Что касается того, что им тоже 3 года — так это не показатель, Это же все же Ростелеком, там инвестиций много, а нам же приходилось жить и развиваться за счет собственных оборотных средств. По тарифам мы обходим кстати, при том что работаем в области в основном, где тарифы еще выше.
NAT нужен, то, что вы утверждаете обратное — говорит лишь о том, что вы не разбираетесь в специфике вопроса. Вот PAT да, это зло, но нет ничего плохо в нате. тот же онлайн на сколько мне известно так же работает, тоже выдает серые адреса. Так же и у нас можно получить и статический реальник по желанию.
Все очень удобно, скрипт конфиг для свитча сгенерит и никаких проблем. Гибкость тоже есть — можно вон даже пакет смерти зафаерволить, если захочется. И вообще о чем мы сейчас говорим — это мелочи, у нас помимо этого куча других технологий используется при всем этом. Например помимо юникаста так же надо разбираться и с мультикастом — iptv. А так же для VoIPa тоже кое-что подкручивать надо. И это все должно выйти дешево для клиента, при этом качественно, тк конкуренция жесткая, а мы за 3 года с 200 клиентов до 19 тысяч абонентов подняли базу(не покупкой чужих сетей — а подключениями), что говорит о многом.
Не надо конкретизировать, что вот у нас не получают, в этом чаще всего виноваты кривые драйвера сетевух и дешевые китайские роутеры, которые абоненты не пойми откуда достают. У тех, у кого нормальный софт и железо исправно получают адреса, однако даже последней зануде можно выдать статический адрес, а не отказать ему в услуге.
С чего вы взяли, что наши клиенты страдают?
И заявление — что нам плевать, не совсем уместно. Мы — как никто другие, заботимся о наших клиентах, а не ставим их в жесткие рамки.
Цель — предотвратить арп-спуфинг.
Само собой мы подключаем и хомячков, и корпоративных пользователей, и крупных операторов связи, но вопрос с хомячками надо решать дешево. Вы не работали похоже в этой сфере и не догадываетесь о всех ее тонкостях, тут нельзя положить болт и сказать, раз ты такой нестандартный клиент — то не подключайся к нам, например не хочешь работать по 802.1x, который так любят использовать в корпоративном сегменте.
Мы выдаем серые адреса, НО на время сессии в интернете человеку выделяется реальный динамический адрес, можно получить и статический — за отдельную плату. Используется NAT(а не PAT) с большим пулом адресов, При этом большая утилизация реальных адресов — за что райп нас по головке гладит, а у других, менее добросовестных провайдеров — адреса забирает, выдача IPv4 адресов сейчас особенно жестко проходит. тоже IPoE кстати.
Так у нас тоже все замечательно работает, это у вас со стороны попаболь на это дело, хотя цель дастигнута и на желе гораздо дешевле. Билайн использует длинки — он хомячковый?
да, прочитал, на бумаге вроде бы это должно все работать, но по факту оператор точно не сможет это использовать — тк вылазит куча других проблем. Например у человека постоянно меняется мак, а айпи адрес ему должен выдаваться всегда один, допустим что для серых адресов мы можем выделить пул из 2 адресов на такой случай, но как быть с реальником? фиговая утилизация будет. Ну или dhcp не работает (такое бывает 1 случай на 20 компьютеров, как это не удивительно). В жестоком мире мы живем, не все так просто, как нас учили в начальной школе.
в таком случае человек получит целых 2 сообщения о неверном фингерпринте, ой какое страшное палево…
Я сам работаю в провайдере, много коллег работают так же в других провайдерах, но никто из нас ютуб не режет. Более того мы все коллективно занимались разбирательством, в чем же дело. Даже переписка была в ноябре 2012 в мэилинге MSK-IX.
А все очень просто — не справляются сами гугл кэш серверы(или иначе cdn). Стоит убрать маршруты на одни серверы и перевести трафик на менее загруженные, как и им становится плохо.
К чему приведет блокировка cdn? к большей нагрузке на основные серверы, в итоге совсем все ляжет. Успех.
p.s. да вы просто мастер в вопросах: как сломать циску и чтобы не сразу было понятно в чем тут дело =) Хотя, конечно, при внимательном изучении такой конфигурации у человека появиться вопрос — а зачем было располагать магистральную зону на островке, когда как тупиковая зона была бы куда логичнее.
Кстати ASR 1к — это разве не софт роутеры?
Больше всего меня волновало в аппаратных платформах циски — это в каких случаях внесение изменений в конфигурацию требует еще каких-либо действий. Например при изменении содержимого некоторых ACL — требуется его убрать с интерфейса и снова добавить, а лучше создать новый ACL и навесить его, а старый удалить. Это из самого простого… Бывалого инженера этим не удивишь, а вот новичка легко в панику бросает, особенно забавно, когда в конфигурацию добавляешь одно, а при чтении конфигурации — видишь совершенно другое (те же активные ACL в isg на 7200, к примеру)… Это так, мысли вслух, вдруг кто захочет статью написать =)
Конечно L2TP + Bras куда круче, но это нужны большие инвестиции на начальном этапе. Спроектировать такое и мы могли, но денег не было. Сейчас то уже можем и так подключать, вот только самое интересное, что мы людям еще даем пиринг с другими сетями, у которых тоже серые айпишники. Конечно для этого надо было договориться кто какой блок берет. Но в итоге немало так трафика уходит в пиринг без ограничений скорости — и что самое удивительное, люди этим пользуется, Вам этого точно не понять, ровно как и мне — но оно работает: это 20% нашего трафика.
NAT плох разве что с сипом и установкой туннелей, но для таких случаев можно попросить статический реальник и у вас все будет, не вижу в этом особой проблемы.
А зачем нам фаерволить всех? кому надо — тому и можно прописать, речь идет о гибкости, а не о том, что это DPI решение, в которое можно реестр запрещенных сайтов загнать)))
Давайте по порядку. Я — инженер спд в операторе, опыт в бизнесе 6 лет, знаю все тонкости в этой сфере(технические и экономические), делаю выводы на основании полученного опыта. Вы — вроде сетевой инженер в сфере энтерпрайз решений, все ваши знания касательно операторов сводятся к опыту клиента одного провайдера.
Ваша точка зрения: можно ставить циски и использовать исключительно dhcp в вашей сети, статика не пройдет :)) Несколько статический ACL на коммутаторе — это плохо.
Моя точка зрения: dhcp в редких случаях не работает, так что статическим адресам тоже надо дать право на жизнь.
И после всего этого вы обвиняете меня в том, что я не предлагаю гибкие решения ?)))
Касательно одного адреса на порт — это наша задумка(легко можно использовать и 5 и 10 адресов на порт — вам тут уже один человек пример показал), основанная на анализе другого провайдера на 15 тысяч клиентов, где мы работали раньше. Там 90% абонентов имели лишь 1 адрес и этого было достаточно. Что с остальными 10% делать? да ничего страшного, они все равно в итоге поставили себе wifi-роутер, тк теперь у людей несколько компьютеров и ноутбуков + смартфоны дома. Никаких жалоб никогда не слышал, чтобы кому-то непременно нужен был второй айпи адрес. Более того людям нужен же коммутатор домой для этого, а мы продаем вайфай роутеры им ниже рыночной цены почти по цене тех же свитчей! + бесплатная настройка мастера на дом! Все рады.
Длинки — это оконечное оборудование перед DTE. В других же местах стоят дасаны и циски, алкатели даже были раньше. Да и многие операторы их используют, возможно даже тот же Олайм. Кстати и у них бывают проблемы, как-то у одной моей подруги до хостинга через один из их пиров не проходили пакеты с размером окна больше 1300 байт, они даже заявку эту не рассмотрели за 2 недели! Пришлось отключаться — она вебмастер и хостинг — ее хлеб.
Что касается того, что им тоже 3 года — так это не показатель, Это же все же Ростелеком, там инвестиций много, а нам же приходилось жить и развиваться за счет собственных оборотных средств. По тарифам мы обходим кстати, при том что работаем в области в основном, где тарифы еще выше.
NAT нужен, то, что вы утверждаете обратное — говорит лишь о том, что вы не разбираетесь в специфике вопроса. Вот PAT да, это зло, но нет ничего плохо в нате. тот же онлайн на сколько мне известно так же работает, тоже выдает серые адреса. Так же и у нас можно получить и статический реальник по желанию.
Не надо конкретизировать, что вот у нас не получают, в этом чаще всего виноваты кривые драйвера сетевух и дешевые китайские роутеры, которые абоненты не пойми откуда достают. У тех, у кого нормальный софт и железо исправно получают адреса, однако даже последней зануде можно выдать статический адрес, а не отказать ему в услуге.
С чего вы взяли, что наши клиенты страдают?
И заявление — что нам плевать, не совсем уместно. Мы — как никто другие, заботимся о наших клиентах, а не ставим их в жесткие рамки.
Само собой мы подключаем и хомячков, и корпоративных пользователей, и крупных операторов связи, но вопрос с хомячками надо решать дешево. Вы не работали похоже в этой сфере и не догадываетесь о всех ее тонкостях, тут нельзя положить болт и сказать, раз ты такой нестандартный клиент — то не подключайся к нам, например не хочешь работать по 802.1x, который так любят использовать в корпоративном сегменте.
Мы выдаем серые адреса, НО на время сессии в интернете человеку выделяется реальный динамический адрес, можно получить и статический — за отдельную плату. Используется NAT(а не PAT) с большим пулом адресов, При этом большая утилизация реальных адресов — за что райп нас по головке гладит, а у других, менее добросовестных провайдеров — адреса забирает, выдача IPv4 адресов сейчас особенно жестко проходит. тоже IPoE кстати.