Построение сетей на основе управляемых коммутаторов D-Link. Базовый тренинг.
Построение сетей на основе управляемых коммутаторов D-Link. Расширенный тренинг.
Построение безопасных сетей на оборудовании D-Link. Теоретическая часть.
d-link — это не та контора, у которой в разных версиях прошивки одного свитча отличаются snmp oid'ы?
А лучше посетите сами тренинги.
спасибо, но у интересующие меня вопросы там не ответят, а горячее/холодное водоснабжение я и так оплачиваю :)
проще и быстрее спросить кого-то из знакомых cissp.
а теперь по делу:
1)как вы всё-таки будете добавлять acl'ки на коммутаторах(ну т.е. хотелось бы увидеть пример скрипта и список зависимостей для его работы)?
2)чем вам помогут mac-адреса в в вашей схеме(ну будете вы видеть mac-адрес next-hop'а)?
3)вы получаете vendor lock(меняете коммутатор и всё надо переделывать)
4)в конце-концов, ваш вариант с DNS-325 дорог ( ~ 5300 руб по я.маркету)
в итоге, у нас более мощная и расширяемая система за меньшие деньги.
теперь, насчёт организации vpn-туннеля: что, если на одной из сторон нет возможности поставить openvpn?
почему выбрали именно его, а не стандартный ipsec?
так как подать ETTH в офис нет возможности
что это за мифический ETTH?
После установки и запуска sshd, заходим на него ssh-клиентом и первым делом меняем пароль пользователя root!
зачем? почему просто не настроить авторизацию по ключам?
1. на DNS-325 в ядре не вкомпилен iptables
3. можно скриптом сделать подобие fail2ban, без использования iptables, но как я написал в конце — это тема уже другой статьи
а можете пояснить? что именно будет делать fail2ban при отсутствии iptables? как он будет блокировать?
В общем-то согласен, но в случае с VPN думаю это будет излишним
по опыту — нет. во внутренней сети может появиться зараженная машина, которая будет вести плохою активность.
а это должно абсолютно защитить? к примеру ssh я вешаю на отличный от 22 порт — это уменьшило число сканов, но не кардинально
для ssh легко делается portknocking. а с * такой номер не пройдёт. опять же, если мы знаем с какого ip-адреса к нам будут приходить филиальные телефоны, что мешает просто повесть access-list?
Но, тем не менее, периодически то от одного, то от другого знакомого слышу «страшные» истории, как у кого-то ломанули VoIP-сервер и они получили счет за телефон с большим количеством нулей…
дайте угадаю: эти гении весь диалплан держали в дефолтном контексте, да?
В небольшой организации начинающий админ решил поизучать еще плохо ему знакомые технологии VoIP и для этого завел extension с логином «test» и угадайте каким паролем
вы путаете понятия аккаунта(sip.conf/iax2.conf/etc) и extension.
Но те, кто ставили и настраивали систему, защиту от слабого пароля по какой-то причине не включили.
потому что как минимум, надо ставить лимиты на число конкурентных вызовов(штатная возможность *) и лимиты в минутах как на один вызов(штатная возможность *), так и на аккаунт(тут проскакивал рецепт, хоть и не самый лучший).
Мое мнение – не стоит светить «наружу» порт 5060, если у вас нет постоянного квалифицированного админа, контролирующего ситуацию с обнаружением и залатыванием дыр в системе, а так же четко понимающего результат своих действий.
3. Думаете agi/fastagi дает меньше накладкных расходов чем app_mysql.so?
как минимум, там можно нарисовать кеширование / агрегацию. т.е. копить пачку данных и потом выплёвывать в mysql(если уж так хочется её использовать).
у agi оверхед — порождение нового процесса.
у fastagi — accept нового tcp-соединения + парсинг достаточно простого протокола.
можно еще asyncagi использовать, но тут всё сложнее.
а насчёт бд я бы использовал что-то более быстрое типа mongodb.
кроме того, у этой схемы есть архитектурный косяк:
допустим, по транку мы наговорили 298 минут. следующий звонок может продлится час(ну или согласно лимиту на MSC у сотового оператора).
при этом мы вылетим за лимит и неслабо потеряем в деньгах.
т.е. тут надо более сложную логику, которую реализовывать в самом астериске неудобно и просто глупо.
если кому-то интересно, могу выложить код fastagi-сервера для астериска, где под капотом gevent.
1)зачем харкодить лимиты?
2)почему не использовать pbx_lua и ходить в memcached?
3)почему не использовать agi/fastagi для этого( почти как pbx_lua, только теперь вообще на чём угодно можно).
Если в ответ на перечень функционала вы сказали не «у меня это тоже есть», а «ну и что, все равно никто этим не пользуется», то очевидно, что вы согласны с изначальным утверждением.
вот как раз этот момент «очевидно» я и прощу пояснить.
Если Vyatta имеет 20% функционала взрослых, то методом вычитания мы получаем, что Vyatta не имеет 80% функционала взрослых.
угу. а еще, что таких случаев, когда нужны возможности взрослых — всего 20%
QinQ через IP-сеть? Все равно очень сильное колдунство.
>Самый хороший пример это MPLSo GRE/MGRE. Очень удобная штука для небольшой компании у которой есть десяток офисов в разных местах и которые хотят получить нормальную связность со всеми прелестями MPLS'а.
Это касается лишь фич конкретных протоколов. Если брать количество самих протоколов, то ситуация резко станет еще печальнее.
покупают не количество протоколов и фич. покупают нечто, что может решать конкретные задачи.
многим для ix-ов достаточно возможностей bgp в 3550.
Хотите пройдемся по пунктам в случае OSPF или, тем более, BGP
давайте. только OSPFv2 и из этого выкинем MPLS.
а насчёт BGP — как вы объясните, что на тех же data-ix/msk-ix/nix.cz в качестве роут-сервера используется bird/quagga, а не любимая вами Cisco?
Можно DMVPN обсудить.
в рамках RFC 2332.
Начиная с младших ISRов к примеру, если хотите. Речь в основном про софтовые фичи, потому платформа не так принципиальна.
ок. к нам приходит пара линков с QinQ, из каждого надо «выдернуть» по 3-4 vlan'а(с наружными тегами) и собрать из этого новый QinQ и перемаркировав vlan'ы. после чего всё это передать через интернеты.
6WIND Announces Virtual Switch Acceleration Software Solution
for Intel® Open Network Platform
The demonstration configuration features the standard open-
source Open vSwitch (OVS) running on an HP ProLiant server with two Intel® Xeon® processors.
The 6WINDGate-accelerated OVS is controlled by a Big Switch Floodlight controller using
OpenFlow protocols and utilizes an Ixia traffic generator to provide ten 10Gbps full-duplex
traffic streams. The 6WINDGate-accelerated OVS switches traffic to achieve a rate of 60Mpps,
providing a 10x improvement compared to a non-accelerated OVS.
спасибо, но у я как бы в курсе. и про разные штуки в linux периодически пишу:
www.opennet.ru/tips/1381_vlan_ifconfig_linux.shtml
www.opennet.ru/tips/info/2664.shtml
www.opennet.ru/tips/info/2683.shtml
d-link — это не та контора, у которой в разных версиях прошивки одного свитча отличаются snmp oid'ы?
спасибо, но у интересующие меня вопросы там не ответят, а горячее/холодное водоснабжение я и так оплачиваю :)
проще и быстрее спросить кого-то из знакомых cissp.
а теперь по делу:
1)как вы всё-таки будете добавлять acl'ки на коммутаторах(ну т.е. хотелось бы увидеть пример скрипта и список зависимостей для его работы)?
2)чем вам помогут mac-адреса в в вашей схеме(ну будете вы видеть mac-адрес next-hop'а)?
3)вы получаете vendor lock(меняете коммутатор и всё надо переделывать)
4)в конце-концов, ваш вариант с DNS-325 дорог ( ~ 5300 руб по я.маркету)
смотрите:
1. Intel Celeron G460 Sandy Bridge (1800MHz, LGA1155, L3 1536Kb) ~ 1200 руб
2. MSI H61M-P20 (G3) ( на ней, кстати 4 sata) ~ 1500 руб
3. Digma DDR3 1333 DIMM 2Gb ~ 500 руб
4. 3Cott 2351 450W — ~ 1500 руб.
в итоге, у нас более мощная и расширяемая система за меньшие деньги.
теперь, насчёт организации vpn-туннеля: что, если на одной из сторон нет возможности поставить openvpn?
почему выбрали именно его, а не стандартный ipsec?
что это за мифический ETTH?
зачем? почему просто не настроить авторизацию по ключам?
расскажите, как вы собираетесь выковыривать mac-адреса на машине с урезанным linux, где даже iptables нет.
как это поможет в описываемой ситуации?
но почему-то забыли о штатной возможности asterisk
вы не могли бы эту фразу пояснить?
3CX на странице упоминается 2 раза. это — третий и 4й.
зачем вы предлагаете мне читать документацию некой 3CX, если в статье она не упоминается, а в комментах вы пишите что её больше нет?
contexts & extensions. если вы пишите про астериск, то вы должны понимать хотя бы базовые вещи в его работе.
а можете пояснить? что именно будет делать fail2ban при отсутствии iptables? как он будет блокировать?
по опыту — нет. во внутренней сети может появиться зараженная машина, которая будет вести плохою активность.
для ssh легко делается portknocking. а с * такой номер не пройдёт. опять же, если мы знаем с какого ip-адреса к нам будут приходить филиальные телефоны, что мешает просто повесть access-list?
ну давайте в документацию сходим
т.е. у нас есть Users и у них есть Extensions.
Users != Extensions.
вам указали на ошибку. вместо того, чтобы свериться с документацией и исправить вы встаёте в позу.
а насчёт конфигов… надо всё-таки знать как работает та или иная штука, о которой вы рассказываете.
иначе потом мучительно больно.
дайте угадаю: эти гении весь диалплан держали в дефолтном контексте, да?
вы путаете понятия аккаунта(sip.conf/iax2.conf/etc) и extension.
потому что как минимум, надо ставить лимиты на число конкурентных вызовов(штатная возможность *) и лимиты в минутах как на один вызов(штатная возможность *), так и на аккаунт(тут проскакивал рецепт, хоть и не самый лучший).
ну повесьте на другой, делов то?
насчёт архитектурного косяка — смотрите опцию S у Dial.
как минимум, там можно нарисовать кеширование / агрегацию. т.е. копить пачку данных и потом выплёвывать в mysql(если уж так хочется её использовать).
у agi оверхед — порождение нового процесса.
у fastagi — accept нового tcp-соединения + парсинг достаточно простого протокола.
можно еще asyncagi использовать, но тут всё сложнее.
а насчёт бд я бы использовал что-то более быстрое типа mongodb.
кроме того, у этой схемы есть архитектурный косяк:
допустим, по транку мы наговорили 298 минут. следующий звонок может продлится час(ну или согласно лимиту на MSC у сотового оператора).
при этом мы вылетим за лимит и неслабо потеряем в деньгах.
т.е. тут надо более сложную логику, которую реализовывать в самом астериске неудобно и просто глупо.
если кому-то интересно, могу выложить код fastagi-сервера для астериска, где под капотом gevent.
2)почему не использовать pbx_lua и ходить в memcached?
3)почему не использовать agi/fastagi для этого( почти как pbx_lua, только теперь вообще на чём угодно можно).
вообщем, не делайте так.
вот как раз этот момент «очевидно» я и прощу пояснить.
угу. а еще, что таких случаев, когда нужны возможности взрослых — всего 20%
why not?
следует
и тем более
?
я лишь согласился с очевидным 80/20 и попросил обосновать утверждение
тем более я выше писал, что не вижу смысла сравнения по фичлистам.
а какой смысл вообще в сравнении чего-то, что есть у одного единственного вендора?
с таким же успехом можно требовать поддержку babel в cisco.
ну хорошо, просто через ip-сеть. покажете на ISR?
vxlan, не?
чайник Рассела, не?
покупают не количество протоколов и фич. покупают нечто, что может решать конкретные задачи.
многим для ix-ов достаточно возможностей bgp в 3550.
давайте. только OSPFv2 и из этого выкинем MPLS.
а насчёт BGP — как вы объясните, что на тех же data-ix/msk-ix/nix.cz в качестве роут-сервера используется bird/quagga, а не любимая вами Cisco?
в рамках RFC 2332.
ок. к нам приходит пара линков с QinQ, из каждого надо «выдернуть» по 3-4 vlan'а(с наружными тегами) и собрать из этого новый QinQ и перемаркировав vlan'ы. после чего всё это передать через интернеты.
1.Intel Takes Vyatta to 10Gig (2009 год, если что)
2. ipfw meets netmap (6.5 Mpps in userspace)
3. Intel DPDK
3.1 Intel DPDK
3.2 не очень свежая pdf'ка от intel про DPDK. 80mpps for single socket xeon
3.3
отсюда