Задать вопрос
  • EIGRP OSPF Можно ли положить сеть?

    @JDima
    Ринат Гарипов: лучше тем, что очень сложно защитить домен IGP от плохого поведения одного из включенных в него устройств (хуже всего OSPF, но и EIGRP тоже не сахар). А вот BGP традиционно используется для подключения "вражеских" устройств, там немерено разных рычагов и переключателей для защиты от чего угодно, если правильно настроить - будет вполне безопасно.

    А что так смущает в двух редистрибуциях?
  • EIGRP OSPF Можно ли положить сеть?

    @JDima
    Ринат Гарипов: тогда под контролем людей в "2" будет одно устройство в EIGRP домене.

    Так что мешает поднять между двумя сетями BGP с аккуратной фильтрацией по списку префиксов?

    Если очень хочется обойтись без BGP, то можно поднять еще один процесс, между двумя устройствами, с двумя редистрибуциями.
  • DHCP server hardware requirements

    @JDima
    Пока не нужно всяких AAA, netflow, L7, vpn, BGP, roaming, итп. L3 switch — лучший раутер.

    L3 свитч прекрасно поддерживает всё указанное вами. Хотя смотря что имеется в виду под «roaming».
    просто это уже будет подзадача связанная с радиусом или другими подобными.

    Причем тут радиус? Каким образом он будет назначать адрес?
    никак с помощью L3 не сделаешь проброс в сеть с jumbo frames

    DHCP — мелкие пакеты. Даже до 1500 вряд ли доберутся. Если добрались, то администратор что-то делает неправильно.
    Что и кто умеет — это разговор о конкретных моделях

    У хардварных роутеров архитектура неотличима от архитектуры L3 свитчей, и функционал практически идентичен, и даже внешне они очень похожи. Собственно, поэтому и интересуюсь — чем хардварный роутер надежнее, стабильнее и т.д. L3 свитча, если в большинстве случаев разграничение «роутер или свитч» лишь маркетинговое.
    Это когда видишь что, в среднем, больше 90% пакетов на порту broadcastы — и это всего сотни 2 виндоз, пару десятков эплов, и не знаю сколько wifi

    И это тоже странно. На практике, если сеть 100мб/с+, то пара сотен устройств на VLAN — это мелочь, десятки/сотни кб/с мусора и всё.
  • DHCP server hardware requirements

    @JDima
    Проброс DHCP (есть несколько способов) будет с проблемами.

    А подробнее? Какие проблемы? Вроде используем на многие тысячи клиентов, никаких проблем.
    В ядре стоит железный раутер. Самый дорогой, самый стабильный итп. И dhcp сервер не нужен в принципе.

    Чем железный роутер отличается от L3 свитча, каким образом это стабильнее и каким образом это снимает необходимость в DHCP?
  • Часы с интеграцией с телефоном для спорта?

    @JDima
    она немного отстает от официальной

    Зачем людей пугать? Ни в чем она не отстает от официальной. Да и вообще, уже пару месяцев апдейтов не было…
  • Часы с интеграцией с телефоном для спорта?

    @JDima
    Отвечаю по собственному опыту. Никаких проблем с кириллицей там нет (за пару минут ставится прошивка, которая ничем не отличается от официальной кроме полноценного русского языка при звонках, СМС, уведомлениях и прочем). Что за «разные версии самих часов» не понял. И на ебее ценник куда приятнее, чем 10к рублей. Да и у нас они уже подешевели.
  • Резервный канал через PBR. Как быть с публикуемыми сервисами?

    @JDima
    rapidspacerocket
    Если говорить о BGP, то нужно покупать оборудование, сейчас есть только одна железка с BGP

    То есть у вас есть несколько железок с PBR, но всего одна железка поддерживает BGP?
  • Multicast PIM: почему AutoRP в режиме Sparse работает с выключенным Listner'ом?

    @JDima
    Если раньше sparse-dense либо listner настраивались, то попробуйте ребутнуть. Может, что-то залипло.

    Ну и хорошо бы «show run | in pim» без модификаций…
  • Wifi точка доступа на 1000 клиентов

    @JDima
    Ух ты…

    Даю установку.
    1) Сходу к интегратору. Задача реально сложна. Судя по постановке вопроса, опыта в построении таких беспроводных сетей у вас нет. Более того, наверняка окажется, что цифра «1000+» завышена раз в 10.
    2) Если нельзя к интегратору, то покупайте контроллер 5508 (лучше два для резервирования) и много топовых точек доступа Cisco 3600, неплохо бы заодно софт Prime Infrastructure. Они достаточно круты и умны, чтобы исправить большинство косяков планирования. Но не зная размеров помещения, сложно рассчитать размещение точек и точное количество.

    Читайте доки вроде той (прогуляйтесь по ссылкам) и этой.

    И еще раз: правильнее сразу бежать к интегратору, чем раньше, тем лучше.
  • Wifi точка доступа на 1000 клиентов

    @JDima
    pavelsh
    Так не влезет же!

    Тогда 5500. А точки брать надо в зависимости от требований, а требований указано не было. 1142 вообще довольно убогие, для плотных инсталляций задействовать их не стоит.
  • Как поднять общую WIFI сеть для разных объектов?

    @JDima
    iamhappy
    Неверно. Единственным идентификатором сети является именно SSID — увидев beacon со знакомым SSID, клиент тут же начнет аутентификацию. В случае успешного прохождения аутентификации он подключится, и даже не заметит, что что-то изменилось.

    BSSID в этом случае никакого значения не имеет. Адресация клиента — тоже (роуминга нет, потому меняем как хотим).

    Если у вас что-то не работает при такой конфигурации, то надо копать в сторону аутентификации.
  • Как обезопасить управление сервером?

    @JDima
    J_o_k_e_R
    Это.
    Немного фингерпринтинга хоста — то есть то, чего мы и хотим избежать. Может, статья специфична для VMWare, а может, аналогичные проблемы есть и других гипервизорах. Бридж все-таки должен гарантировать, что хост не станет вмешиваться в содержимое пакетов.

    Зарубить доступ можно на следующем по цепочке роутере. А может, и на хосте. Политики IPTABLES к примеру будут работать для виртуалки с бриджевым соединением? Я честно не знаю. Но наверняка варианты есть.

    Ну и конечно у виртуалки не должно быть глобально маршрутизируемого адреса.
  • Как обезопасить управление сервером?

    @JDima
    J_o_k_e_R
    Еще, кстати, надо внешними средствами запретить этой ОС общаться по сети с чего угодно кроме TOR. RCE может быть в чем угодно. Одного отправленного в обход TOR пакета на конкретный адрес достаточно для деанонимизации.
  • Как обезопасить управление сервером?

    @JDima
    Ну так развернуть виртуалку (метод подключения к сети — «бридж») и с нее администрировать. После окончания каждой сессии откатывать ее до снапшота «только что установил ОС и пару нужных программ». Никогда, ни при каких обстоятельствах не использовать эту виртуалку в иных целях.
  • Зависание терминальных сессий и TCP segment of a reassembled PDU?

    @JDima
    То есть именно RDP пакеты фрагментируются до пары сотен байт? Я думал, там что-то постороннее появляется. Странно это. А можно на дамп взглянуть, хотя бы на закрашенный скриншот? Нет ли каких прилетающих снаружи ICMP пакетов?
  • Целесообразно ли переходить на вин-домен и переносимые профили?

    @JDima
    foxmuldercp
    RDP и RApp прекрасно работает на GPRS, без всяких перерисовок

    Не верю. GPRS — это дикая задержка (>500мс, а то и целые секунды), дикий джиттер, скорость на уровне диалапа. Не могу себе представить нормальную работу real-time протокола, коим является RDP, поверх такого.

    Мы тестировали — со всеми указанными ограничениями минимально комфортной скоростью является около 256кб/с. Это даже без указанных выше иных проблем.
  • Целесообразно ли переходить на вин-домен и переносимые профили?

    @JDima
    FilimoniC foxmuldercp Я так думаю — если считать, что сотрудники будут работать по 3GGPRS во всяких замкадных мухосрансках — стриминговые технологии вроде RDP и RemoteApp будут работать так себе. Пользователям быстро надоест рассматривать анимацию перерисовки окон.

    А еще DA работает и на 2008r2+Win7. Штука на самом деле очень правильная, но да, она с бубном работает с IPv4. С большим бубном. Но результат того стоит.
  • В ресторане копируют карты и переписывают их данные — куда обращаться?

    @JDima
    По чипованным картам __прекрасно__ проходят транзакции по полосе

    Я выделил слово «можно». Скажем, в бургер кинге можно самостоятельно засунуть карту в кардридер. Удачи в считывании магнитной полосы.
  • В ресторане копируют карты и переписывают их данные — куда обращаться?

    @JDima
    Заведите еще один тикет. Он может попасть к другому человеку, которому не совсем наплевать на других. Но опять же, состава преступления пока нет.