Комментарии 14
Традиционный вопрос про кроссовый журнал.
Что используете: листок бумаги/тетрадь на объекте, excel, visio, самописную базу данных/софт, что-то готовое халявное/покупное?
Что используете: листок бумаги/тетрадь на объекте, excel, visio, самописную базу данных/софт, что-то готовое халявное/покупное?
Небольшая заметка про RANCID, он может собирать конфиги с Juniper (SRX) и HP (с двух видов cli), полет нормальный уже более полугода. Так же поддерживает еще огромное количество оборудования, а при желании пишутся скрипты вообще на все где отдается конфиг по ssh или telnet.
Ну и крайне рекомендую использовать KeePass или аналоги, мне облегчило жизнь очень значительно.
Ну и крайне рекомендую использовать KeePass или аналоги, мне облегчило жизнь очень значительно.
НЛО прилетело и опубликовало эту надпись здесь
>Для серверов можно использовать что-то наподобие Bacula, если уж совсем лень и сервер без RAID контроллера, используйте хотя бы SoftRAID 1, например Linux mdad, но только не встроенный FakeRAID. Будет хоть какое-то резервирование данных.
Не будет. RAID не резервирует данные. Он лишь снижает риски потери данных при отказе накопителей. Что будет, если юзеры зайдут и просто удалят файлы? Рейд тут никак не поможет.
Не будет. RAID не резервирует данные. Он лишь снижает риски потери данных при отказе накопителей. Что будет, если юзеры зайдут и просто удалят файлы? Рейд тут никак не поможет.
Хорошое обсуждение про то как документировать сеть (на англ.)
packetpushers.net/podcast/podcasts/show-250-document-network
packetpushers.net/podcast/podcasts/show-250-document-network
Желание сэкономит на кадрах, вместо штата грамотных специалистов нанять одного и десять вчерашних школьников или гуманитариев, которых больше никуда не взяли.
Как понять, грамотные это специалист или зазнавшийся школьник? Не говоря о том, что куча народа реально не понимает своей некомпетентности: «да я работаю тут 10 лет, че ты мне паришь своими проводами и заббиксом?»
>Хотя, есть и другой печальный пример, когда существовала сеть с IGP — OSPF, с несколькими сотнями маршрутизаторов в одной AREA. Человек просто не подозревал, что нужно разбивать сеть на зоны, не говоря уже о том, что бывают зоны разных типов. На любые вопросы был ответ — «всё же работает».
Ммм… Конечно, это может быть проблемой, но является ли это проблемой на практике, в конкретной топологии с конкретным железом? Была ли долгая сходимость? Длительная высокая загрузка ЦП в момент флада или при изменении топологии? Ситуация-то стандартная для сетевика, «it depends». Может быть настроен prefix-suppression, прилично повышающий масштабируемость протокола, всё железо в сети может быть современным. Разумеется, когда всё находится в area0, жить становится проще. При условии, что сеть не просаживается от этого, разумеется.
При должной степени некомпетентности легко разбить сеть на арии так, что колбасить ее будет больше, чем если всё оставить в нулевой арии. Делов-то — десяток ABR, десяток арий на каждом, LSA плодятся в геометрической прогрессии.
>Лично мне нравится Tacaca+, практически всё современное оборудование поддерживает этот протокол.
Проблема с ним: ISE его не поддерживает. На данный момент. Мне давно клянутся, что вот-вот начнет поддерживать, будет feature parity с ACS и последний свернут.
В целом, не вижу преимуществ TACACS+ перед RADIUS кроме одной — авторизации команд.
>но community нужно обязательно привязывать к ACL, иначе…
И тут всё не так просто. Можно натворить дел, направляя запросы вслепую с подмененным адресом отправителя. ACL на 2c несколько усложняет жизнь, но не устраняет вектор атаки. Вот интерфейсные ACL'и, uRPF (внедренный с умом), контроль доступа на уровне аксессных портов уже лучше.
Ну и картинки — как не надо ставить точки доступа.
http://www.cisco.com/c/dam/en/us/td/i/300001-400000/350001-360000/350001-351000/350122.tif/_jcr_content/renditions/350122.jpg
http://www.cisco.com/c/dam/en/us/td/i/300001-400000/350001-360000/350001-351000/350123.tif/_jcr_content/renditions/350123.jpg
http://www.cisco.com/c/dam/en/us/td/i/300001-400000/350001-360000/350001-351000/350322.tif/_jcr_content/renditions/350322.jpg
Ммм… Конечно, это может быть проблемой, но является ли это проблемой на практике, в конкретной топологии с конкретным железом? Была ли долгая сходимость? Длительная высокая загрузка ЦП в момент флада или при изменении топологии? Ситуация-то стандартная для сетевика, «it depends». Может быть настроен prefix-suppression, прилично повышающий масштабируемость протокола, всё железо в сети может быть современным. Разумеется, когда всё находится в area0, жить становится проще. При условии, что сеть не просаживается от этого, разумеется.
При должной степени некомпетентности легко разбить сеть на арии так, что колбасить ее будет больше, чем если всё оставить в нулевой арии. Делов-то — десяток ABR, десяток арий на каждом, LSA плодятся в геометрической прогрессии.
>Лично мне нравится Tacaca+, практически всё современное оборудование поддерживает этот протокол.
Проблема с ним: ISE его не поддерживает. На данный момент. Мне давно клянутся, что вот-вот начнет поддерживать, будет feature parity с ACS и последний свернут.
В целом, не вижу преимуществ TACACS+ перед RADIUS кроме одной — авторизации команд.
>но community нужно обязательно привязывать к ACL, иначе…
И тут всё не так просто. Можно натворить дел, направляя запросы вслепую с подмененным адресом отправителя. ACL на 2c несколько усложняет жизнь, но не устраняет вектор атаки. Вот интерфейсные ACL'и, uRPF (внедренный с умом), контроль доступа на уровне аксессных портов уже лучше.
Ну и картинки — как не надо ставить точки доступа.
http://www.cisco.com/c/dam/en/us/td/i/300001-400000/350001-360000/350001-351000/350122.tif/_jcr_content/renditions/350122.jpg
http://www.cisco.com/c/dam/en/us/td/i/300001-400000/350001-360000/350001-351000/350123.tif/_jcr_content/renditions/350123.jpg
http://www.cisco.com/c/dam/en/us/td/i/300001-400000/350001-360000/350001-351000/350322.tif/_jcr_content/renditions/350322.jpg
Скорее сеть ляжет при запуске spf, чем от LSA трафика.
По части Tacacs+ vs Radius, я не утверждал, что одно лучше другого, плохо кода нет ничего. Лично мне удобнее Tacacs+.
Что касается snmp, я не рассматривал глубоко вопрос безопасности, тут уже стоит смотреть в сторону snmpv3. Речь шла о том, чтобы не оставлять открытую дверь с надписью «Welcome».
По части Tacacs+ vs Radius, я не утверждал, что одно лучше другого, плохо кода нет ничего. Лично мне удобнее Tacacs+.
Что касается snmp, я не рассматривал глубоко вопрос безопасности, тут уже стоит смотреть в сторону snmpv3. Речь шла о том, чтобы не оставлять открытую дверь с надписью «Welcome».
>Скорее сеть ляжет при запуске spf, чем от LSA трафика.
С prefix-supression и анонсом только лупбеков вполне можно масштабироваться до тысяч устройств на арию.
В том конкретном случае «с несколькими сотнями маршрутизаторов в одной AREA» все-таки были конкретные проблемы? Или это был просто религиозный ужас, «как же так»?
С другой стороны… Возьмем 10 арий, по 20 сетей в каждой, с 5 ABR (каждый стыкуется со всеми ариями). Каждый ABR генерит LSA3 на каждый префикс. Цифры очень быстро становятся головокружительными.
Из того что нагуглилось навскидку по этой теме — http://lostintransit.se/2015/03/06/ospf-design-considerations/
С prefix-supression и анонсом только лупбеков вполне можно масштабироваться до тысяч устройств на арию.
В том конкретном случае «с несколькими сотнями маршрутизаторов в одной AREA» все-таки были конкретные проблемы? Или это был просто религиозный ужас, «как же так»?
С другой стороны… Возьмем 10 арий, по 20 сетей в каждой, с 5 ABR (каждый стыкуется со всеми ариями). Каждый ABR генерит LSA3 на каждый префикс. Цифры очень быстро становятся головокружительными.
Из того что нагуглилось навскидку по этой теме — http://lostintransit.se/2015/03/06/ospf-design-considerations/
НЛО прилетело и опубликовало эту надпись здесь
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Как не нужно строить сети