Павел Rel1cto

50% будет при бесконечном числе семей и потенциальных детей в семье.
Поскольку в реальности детей гораздо меньше бесконечности, девочек должно получиться всё-таки меньше.

Дизайн, имхо, классный. Лучше бы такие и делали.

Поздравляю с ачивкой. :)
А нужны ли были для лабы роутеры J-серии? Я думал, SRX их во всём может заменить.

Насчёт FCoE, кстати, мне представители самой Cisco (и не только) говорили, что это чисто политическая штука, чтобы FC-специалисты это могли админить, доказывали свою незаменимость и не препятствовали продажам.
А с технической части нафиг она не нужна.

Насчёт Juniper я удивлён.
Сам видел статью, где перечислялись вендоры, явно требующие покупать «свои» SFP-модули. И Juniper был назван одним из немногих, кто такое делать не заставлял.

Мне в своё время помог ликбез от Сергея Спирина (там справа список избранных статей).

Клиент играет фактически против кухни. Его выигрыш — её проигрыш, и наоборот.
Соответственно, кухня вносит выгодные ей временные задержки в процесс торговли. Чтобы клиент чуть-чуть не успел, чуть-чуть поторопился, и т.д.

Мне кажется, или вышеупомянутая связка голой асы + 50 пользователей + сек. плюс уже на 20% дороже голого SRX, который всё это умеет из коробки? Хотите IPS на асе — опять же, покупать модуль. И никакого UTM (даже платного). И производительность в 2,5 раза меньше.
Тут корректнее сравнивать не с SRX210HE, а с SRX100B, который по GPL стоит $ 447. ASA5505-K8 по GPL без смартнета — $ 595, на 33% дороже.

Не поленился, залез в вики.

Идентификация — установление личности субъекта.
Аутентификация — подтверждение подлинности субъекта.
Авторизация — проверка прав доступа субъекта к ресурсам.

Чтобы подтвердить мне, что я msamoylov мне пароль не нужен, достаточно паспорта (идентификация)

Вот в этой фразе вы утверждаете, что подтверждение подлинности у вас — идентификация. Что неверно.

Статья про ААА, если открыть тот же гайд по ссылке выше, то мы увидим, что настройка authentication обязательна, а authorization и accounting — опциональны.
Всё равно, что сказать, что смысл Active Directory — применение групповых политик и SSO на ресурсы доверенных доменов, хотя это всё — дополнительные фишки. А смысл — наличие централизованной базы учёток.

Про RADIUS напутал, каюсь. Он не поддерживает покомандной авторизации. Помнил ведь, что что-то там не поддерживалось по сравнению с TACACS. =)

Статья, кстати, не моя. Автор работает в Positive Research и её цель — очевидно, показать возможности Max Patrol. :)

На этом примере видно, что настроены три Radius-сервера. Но возникает вопрос: как они будут работать? Первое, что приходит в голову: скорее всего, они будут работать по очереди: при недоступности 192.168.1.1 идет обращение к 192.168.1.2 и т. д. Но это не так.

Разве? Мне казалось, что это именно так. Более того, документация по ссылке из статьи это подтверждает.
И что всё ок, если «хотя бы одно да» — тоже не так. Как только получен первый «нет», сразу в аутентификации отказано.

Тогда читаем внимательнее.

«Аутентификация — пользователь подтверждает, что он тот, за кого себя выдаёт.»
= предъявил паспорт с фото и сказал пароль

«прав на железку не будет, если не будет авторизации, будете постоянно успешно логиниться»
Пользователь вбивает команду enable и получает полный доступ. Что он делает не так?

Смысл ААА в централизованном хранении учёток и/или прав, чтобы устройства пользовались единой базой. Это устраняет необходимость поддерживать такую базу локально на каждом устройстве, что непрактично и зачастую невозможно.
А всякие связки трёх компонентов — побочный эффект, хоть и полезный.

Можно прекрасно делать ААА с RADIUS, который accounting, если не ошибаюсь не поддерживает.

Если вы не знаете, как работает ААА в Cisco, то на курсы повышения квалификации стоит сходить как раз вам, вместо того, чтобы писать тут заведомо неверные комментарии и лениться сделать стенд.

Проблем с терминологией у меня нет, именно это я и имел ввиду.
В данном случае подразумеваются права на логин в железку. Именно это настраивается командами aaa authentication…
Всё прекрасно работает, проверьте сами.

Вы ничего не путаете?
Аутентификация — пользователь подтверждает, что он тот, за кого себя выдаёт.
Авторизация — пользователю даются права на что-то.
Как первое для работы может требовать второе?

Стоит отметить, что у свитча должна быть база валидных соответствий ip-mac, для чего включается dhcp snooping. Без него работать не будет.

Могу только предположить, что вы укладываетесь в таймаут. Попробуйте засечь время. Посмотрите show ip icmp rate-limit.

R2(config)#ip icmp rate-limit unreachable 500

R1#traceroute 192.168.12.2
1 192.168.12.2 84 msec * 60 msec

Должно быть как-то так.

Там стоит ограничение на частоту отправки реплаев, чтобы этим не перегрузить процессор.
Решается командой ip icmp rate-limit unreachable [ms]. По умолчанию стоит не более 1 unreachable в 500мс.

В стандартах, оканчивающихся на T, эта буква означает twisted — витая пара.
В стандартах, не оканчивающихся на T, сложно перепутать пары — там совсем другой тип кабеля)

Мой комментарий был про обжимку с произвольным чередованием цветов, без разделения, что 1 и 2 — один цвет, а 3 и 6 — другой.
Можно же воткнуть провода, что 3 и 4 будут зелёные, а 5 и 6 — синие, и обжать. И на коротких расстояниях оно будет работать.
Все 8 проводов в витой паре используются, если мне не изменяет память, начиная с 10G. А 100М и 1G работают на 2 парах, так и должно быть.

На коротких расстояниях оно даже будет работать. Но потом наводки быстро убивают сигнал.

А если у меня 10 сетевых карт? Он из каждой ARP-запрос в поисках шлюза сделает?

Приглядитесь к адресации на схеме. Они друг у друга шлюзами назначены.

Помню, мы лет 10 назад с друзьями выставляли в Win98 маску 255.255.255.100 для дворовой сети, потому что кто-то сказал, что для 100 мегабит последний октет должен быть 100. Вполне проглатывала и оно даже работало.

Не понял насчёт системы охлаждения без холодных/горячих коридоров. Судя по картинкам, именно они и используются.
Матричное соединение фабрик с лайн-картами сейчас, опять же, у всех.
Виртуализация — способность «порубить» одну железку на несколько независимых логических? Я надеялся увидеть в этом разделе интеграцию с существующими вендорами. Arista, например, позволяет прямо на свитче посмотреть, какие виртуалки запущены на воткнутом в порт ESX-хосте, и автоматически активировать на нём нужные VLANы. Можно делать provisioning серверов прямо со свитча. А что есть у вас?

Изначально хотел стать программистом, но за время работы в НИИ задолбался отлаживать программы)
Зато понравилось админить линуксы. Так что ушёл сначала в админы, потом инженером в интегратора.
Сейчас — сетевой инженер.

Ещё одну вещь вспомнил.
Так получилось, что со 2 курса и до окончания института я работал на одном оборонном предприятии, один день в неделю (вместо военной кафедры), получал там 12 тысяч и программировал беспилотники. Затем свою работу я красиво оформил и сдал в качестве диплома.
Мне предложили остаться у них и делать кандидатскую по этой же теме. Как сами сотрудники НИИ, так и заведующий кафедрой, который меня туда и устроил. На просьбу рассказать поподробнее, он отправил меня к парню на 3 года старше, который уже закончил институт, работал в этом же НИИ и такое предложение (делать кандидатскую) в своё время принял. Так вот по словам парня, зарплата его там составляла 14 т.р. (за полную рабочую неделю).
Услышав эту сумму и взвесив все «за» и «против», я поставил крест на кандидатской и ушёл.

Тут правильнее считать не просто по количеству плюсов/минусов, но и каждому из них назначить «весовой коэффициент», насколько данный плюс/минус важен лично вам. У каждого такие коэффициенты будут свои.

Ограничение срока действия сертификата как раз подталкивает постоянно его обновлять. А для этого нужно выучить обновлённую за это время программу, то есть знания в вашей голове сильно не устареют.
А что вам даст степень? Вернее, что это даст вашему работодателю? То, что вы когда-то выучили материал по одной конкретной проблеме и рассказали его почётной комиссии? Это, конечно, похвально, но вот конкретно мы этой проблемой не занимаемся, и звание не гарантирует, что у вас есть знания и опыт, нужные именно нам.
Тут, на хабре, недавно была целая плеяда статей как от устраивающихся на работу, так и от работодателей. Что говорить, о чём рассказывать, как показать свою полезность и адекватность. И не припомню в этой серии вообще никаких упоминаний учёных степеней. Знание технологий — да, ещё как. Но степень никак это не подтверждает. Увы.

В своё время задавался этим вопросом (на 5 курсе), спросил у преподавателя одного из учебных центров Нерезиновой по Linux`у.
Он сказал, брось эти мысли, никому эта учёная степень в IT нафиг не нужна. Что к нему на собеседования часто приходят кандидаты и доктора наук, которые, как выясняется при беглом опросе, обладают настолько устаревшими знаниями, что брать их на желаемые ими должности — самоубийство.
Лучше самообразовываться и получать признание (сертификаты) вендоров в области, которая интересна.
Microsoft, Red Hat, Cisco, всех не перечесть. И знания будут как минимум актуальны (а, следовательно, и полезны).
Почитайте требования к IT-шникам на каком-нибудь hh. Ни разу не видел там «к.т.н. или д.т.н.», а вот «не ниже CCIE» сплошь и рядом.

Думаю, надо сделать уточнение для первого архива, что пароль — с большой буквы и с точкой в конце.
В документе предложение написано с маленькой буквы, так не прокатывает.

Вспоминается

Смотря что настроено на портах. :)
Можно сделать bpdufilter с двух сторон и поиметь в результате петлю.

Ни Backup interface, ни bridge group не дадут эффекта MLAG, работу обоих портов одновременно.
Первый способ отключает backup интерфейс, пока жив primary, автоматически.
Второй способ включает на обоих портах STP, так что один порт заблокируется этим протоколом.

Хм, мне наш продажник Cisco говорил, что WiFi решения Juniper сильно проигрывают. Не вспомню точно, какие именно функции он называл.

Прочитал сначала «Так говорил Геббельс», а потом «Манипуляцию сознанием» Кара-Мурзы (или вторую часть, не помню). Разницы не нашёл.
Кара-Мурза точно так же сыпет фразами, не поддающимися проверке, и уничижительными эпитетами. Типа «вот тут бы и спросить о том-то, но ангажированный жидомасон Познер, хитро прищурившись, мастерски уходит от темы».

Можно получить почту на @goatse.cx
Тоже неплохо.

Больше статей, хороших и разных. Было бы интересно почитать.

Беру, заверните, пожалуйста.

Да, я тоже так предположил, потому и удивился. Эта функция ведь отключается. И выключена по умолчанию.

Под весами подразумевалась длина префиксов? Тогда пардон, не понял. У меня вес как-то проассоциировался с параметром weight.
И уточните, пожалуйста, что за параметр у Juniper при меньше 20 секунд считается фладом? Время, которое проходит между потерей маршрута и анонсом этой потери соседу по BGP, или что?

А зачем, имея /23, заморачиваться с EXIST_MAP?
Ведь можно с каждой площадки отдавать /23 и свою /24. Тогда если вторая площадка отвалится, пропадёт её /24 и клиенты потекут на первую через /23 маршрут.