• MPLS vs Internet для объедения распределенной сети. Нужны аргументы?

    @JDima
    860 — тоже только RIP

    Блин, что за хлам вы покупаете? :)
    выбор на джунипер пал из-за цены проекта — безоговорочность выигрывает у циско

    А на линейку ASA смотрели? Например, 5505, которая несравнимо мощнее 800-х роутеров, стоит около 15к рублей.
    www.cisco.com/en/US/products/ps6120/prod_models_comparison.html
    Правда, тогда ни о каком DMVPN речи нет. Но у нас до сих пор полно бранчей, работающих за этими малышами. Ломаются редко, пашут стабильно.
  • MPLS vs Internet для объедения распределенной сети. Нужны аргументы?

    @JDima
    Что тут отвратительного?

    Пардон, померещилось «статические маршруты» :)
    85х — из динамики не умеют ничего кроме рипа

    Можно махнуть на те же 860-е. Много заменять?
    а если кто-то сознательно захочет нарушить работу предприятия… К примеру тупо забив каналы бранчей обыкновенными ICMP пакетами большого размера

    У меня сотни бранчей. Нигде никогда такого не было. Никто из моих знакомых тоже никогда не слышал об атаках на споки.
    А откуда атакующий узнает статический адрес спока? Внутренним сотрудникам (кроме администраторов) он неизвестен, и выяснить его они не могут. Никакие обращения на сторонние ресурсы с этого адреса идти не могут. Ни на какие внешние воздействия он не отзывается, кроме как от хаба (или при phase 2 — от других споков).
    Итого: атака ИСКЛЮЧИТЕЛЬНО маловероятна. Ну никто не будет этим заниматься. Скорее забьют центральный канал, на который указывают MX и A записи глобального DNS.
    И снова: споки DMVPN могут находиться хоть за провайдерским натом (наверняка еще дешевле). Неважно, какой у них адрес и откуда они подключаются; сразу при появлении доступа в интернет они состыкуются с хабами.
    Мне нужно предоставить весомые аргументы в пользу моего варианта (замена бранчевых кошек на srx100 + каналы через интернет со статикой в бранчах)

    Как я уже сказал — смысла в переходе на жуниперы особо не вижу, если цискина инфраструктура уже развернута.
  • Как узнать next-hop на Dialer интерфейсе в Cisco?

    @JDima
    То есть, конечно, «set interface dialer 1».
  • Как узнать next-hop на Dialer интерфейсе в Cisco?

    @JDima
    Ну тогда смотрите show ip route. Там обязан быть адрес next hop'а, если стоит опция setroute. По идее, в каких-то других show командах вроде sh int тоже должно дать адрес пира…

    Или попробовать «set interface gigabitEthernet 0/1». По идее, должно работать, хотя в случае с PBR не проверял. Опять же, так делать нельзя в случае езернета, но на ppp проблем нет.
  • Как узнать next-hop на Dialer интерфейсе в Cisco?

    @JDima
    А зачем вообще задействован PBR? Есть какие-то причины помимо резервирования? С точки зрения указанной задачи он не нужен, можно обойтись маршрутами. Это и проще в настройке, и легче для железки.
  • Как узнать next-hop на Dialer интерфейсе в Cisco?

    @JDima
    по дефолту работают ОБА канала, но при инциденте переключаемся на один живой

    Дык тоже не проблема. В этом случае (если предполагается балансировка исходящих пакетов 1:1) делаем:
    ip route 0.0.0.0 0.0.0.0 gi0/0 1.1.1.1 track 1
    ip route 0.0.0.0 0.0.0.0 di1 track 2
    В случае дайлера, в принципе, можно трек не заводить и полагаться на падение интерфейса при аварии — но авария может быть за первым хопом, лучше проверять реальную доступность какого-либо интернет-ресурса. И опять же, по /32 маршруту до каждого из трекаемых строго в свой интерфейс. И IP SLA строго сорсить с соответствующего интерфейса.
  • TLS and SSL decryption?

    @JDima
    Ага — я сначала малость неправильно понял условие.
    (хотя не вполне уверен в этом)
  • Как заставить работать широковещательное сообщение?

    @JDima
    Говорю же, я понятия не имею про специфику андроида. Но по логике, интерфейс, на котором поднята точка доступа, будет отличаться от реального интерфейса wi-fi. Попробуйте поднять soft-ap и сделать перечисление интерфейсов.
    Или просто всегда брать полный список интерфейсов телефона и отправлять IGMP join или пакеты с данными циклом во все стороны.
  • Помогите с выбором монитора

    @JDima
    Зачем вам для видео/игр IPS/*VA монитор?

    Потому что TN отвратителен для любых задач, а IPS сейчас куда доступнее, чем 5 лет назад.

    А так — да, имеет смысл забыть о характеристиках, пойти в магазин и ткнуть пальцем в то, что больше понравилось.
  • Как заставить работать широковещательное сообщение?

    @JDima
    stackoverflow.com/questions/3740507/wifimanager-android
    The wifi interface on Android phones will drop multicast packets automatically to save power. Thus, if you want to be able to receive multicast packets, you need to grab the multicast lock which has the effect of telling the wifi driver to not drop multicast packets.
  • Как заставить работать широковещательное сообщение?

    @JDima
    Если мультикаст до телефона долетает, то с сетью все хорошо. А дальше уже идут особенности обработки трафика со стороны сетевого стека ОС, в чем я не бум-бум.
  • Как заставить работать широковещательное сообщение?

    @JDima
    Нюансы разработки под андроид я не знаю вообще.
    Может, баг? В эмуляторе как?
  • Как заставить работать широковещательное сообщение?

    @JDima
    Лучше задействуйте что-нибудь посередине administratively scoped диапазона. В принципе нет ничего страшного, если пересечетесь с каким-то другим приложением, использующим ту же группу, но красоты ради лучше этого избежать.
    Ну и если нужно, чтобы обнаружение сервера работало и за пределами подсети (опять же, при настроенной на сети маршрутизации мультикаста) — заложите возможность ставить в пакетах TTL>1.
  • Беспроцентные проценты по кредитке Альфа-банка?

    @JDima
    Там было черным по белому написано, что при погашении в течение льготного периода проценты не снимаются?

    И лучше сходить в отделение, ибо операторы колл-центра всякие бывают. Или еще пару раз перезвонить с тем же вопросом.

    Ну и ничто не мешает взять карту не в том банке, куда зарплата идет, а в другом.
  • TLS and SSL decryption?

    @JDima
    То-есть человек, который это всё придумал неудосужидлся поискать в интернете готовые решения?

    Почему нет?
    Задайте ему наводящие вопросы вида «я правильно понял, что надо сделать так-то?». А далее перечисление функционала того же SSLBump.
    Кстати — п.5 меня малость удивил. Написано «слать расшифрованный трафик в виртуальный интерфейс» (в смысле — реальные пакеты со снятым SSL). А как понимать «the format of the traffic shall be Tcpdump-compatible»? Бывают IP пакеты, несовместимые со сниффером? Может, имеется в виду, что надо создать пайпу, в которую кидать HTTP трафик в формате PCAP, а на той стороне строки будет ловить анализатор сниффов (даже сниффером не назовешь)?
    Мне кажется, автор ТЗ понимает, что он хочет в итоге получить, но не представляет себе устройство решения задачи. Иными словами, ТЗ должно звучать как «сорвать SSL и скормить дешифрованный трафик такой-то программе».
  • Как заставить работать широковещательное сообщение?

    @JDima
    Я не пишу на С++. Но с точки зрения здравого смысла не вижу проблем ни в регистрации на группу со всех интерфейсов, ни в отправке пакетов на все интерфейсы. Возможно, для этого потребуется организовать цикл.
  • Как заставить работать широковещательное сообщение?

    @JDima
    А у вас не найдется примерчика по этой теме?

    Ищите на тему «c++ send multicast».
    Я ничего не имею против использования другой технологии, если это необходимо и обоснованно.

    Уже лет 10 никто и никогда не использует броадкасты для каких-либо целей помимо ARP, DHCP и ряда других протоколов, где без этого ну никак. Когда обе стороны уже в сети — броадкастом пользоваться не следует. С точки зрения ваших задач мультикаст ничем не отличается от броадкаста — разве что клиент должен активно подписаться на группу.
    Ну и вас будут ненавидеть многие поколения сетевиков, если задействуете броадкаст. Это давно принято называть говнокодом.
    L3 мультикаст позволяет клиенту обнаружить сервер в масштабах крупной компании, если между ними десяток хопов (при правильной настройке сетевого железа). Хотя там лучше полагаться на другие средства обнаружения.
  • Подскажите систему мониторинга

    @JDima
    Нет. Гуглите. Я вижу следующие моменты:
    0) Использование переменных в батниках.
    1) Цикл по всем файлам в папке.
    2) Выяснение даты модификации файла.
    3) Выяснение текущей даты.
    4) Сравнение значений.
    5) Запуск триггера (почта, аська и т.д.).
    Найдите всё по отдельности и слепите вместе. Это программирование на школьном времени, ничего экстраординального. А заодно получите полезный опыт написания скриптов — они много где пригождаются.
  • Подскажите систему мониторинга

    @JDima
    Итого: батник, запускаемый шедулером.