Задать вопрос
  • Где выше производительности сети - Bridge vs OpenVSwitch?

    @John_Alban
    Network/IDS engineer
    По-сути если и получите ускорение, оно будет незначительно.. еще важно понять, какой трафик идет внутри сети. Главная же разница - ovs обсчитывает flow трафика, прежде чем начать его коммутацию (т.е. возникает дополнительная задержка в момент начала передачи потока данных), а bridge просто молотит по forward-таблице. В итоге, если трафик достаточно гладкий (например, интерконнекты между серверами), то разницы и не будет. Если же трафик с большим количество новых flow в секунду, то можно выиграть по ресурсам как минимум
    Ответ написан
    Комментировать
  • Как сделать перебор значений в таблице без for?

    @John_Alban
    Network/IDS engineer
    Оформите торговое правило в функцию. Далее эту функцию просто натравите на данные через
    apply(data, 1, function(x) {
    fun_name(options_data[x, ])
    })

    Или так
    foreach(i=nrow(options_data), .combine=rbind) %do% {
    fun_name(options_data[i, ]) %>% as.data.frame(.)
    }

    И еще - перепишите торговое правило через ifelse() функции (вместо базовых if {} else {} конструкций)
    Ответ написан
    Комментировать
  • Можно ли держать OpenVPN и сайт на одном сервере?

    @John_Alban
    Network/IDS engineer
    К чему переживания? Разнесите эти сервисы по docker или lxc контейнерам, настройте как надо и будет вам радость. Заодно в виртуализации подкачаетесь
    Ответ написан
    Комментировать
  • Что из себя представляют Keepalive сообщения на Cisco switch?

    @John_Alban
    Network/IDS engineer
    Включите "no keepalive" на интерфейсе.
    C stp это никак не связано и с петлями тоже - просто проблема в совместимости медика и циски. Бывает
    Ответ написан
    Комментировать
  • Как открыть доступ к maps.google.com:80 на межсетевом экране (по IP)?

    @John_Alban
    Network/IDS engineer
    Никак. Можно попробовать пулы выше, но вы сами упомянули CDN.. Если только написать скрипт, который по cron'у будет делать nslookup, потом определять по whois пул адресов и прописывать это всё в iptables (или какой у вас там fw)
    Ответ написан
    Комментировать
  • Как сделать базовую настройку iptables?

    @John_Alban
    Network/IDS engineer
    Если хотите все сразу и быстро, поставьте пакеты ipkungfu и fail2ban:
    apt-get install fail2ban ipkungfu
    # включаем fail2ban
    /etc/init.d/fail2ban restart
    # настраиваем ipkungfu
    sudo nano /etc/ipkungfu/ipkungfu.conf
    # меняем строку IPKFSTART = 0 на IPKFSTART = 1 здесь:
    sudo nano /etc/default/ipkungfu
    # включаем
    sudo ipkungfu

    это даст неплохой базовый уровень защищенности, как научитесь iptables, отредактируете оптимально под свои задачи
    Ответ написан
    Комментировать
  • Потеря пакетов на Juniper srx100?

    @John_Alban
    Network/IDS engineer
    Давайте по этапам - на SRX терминируется шлюз для клиентов? Если да, то пинг с SRX до клиентской машины в студию:
    ping $ip_клиента rapid count 1000 size 1472 do-not-fragment

    Ну или со стороны клиента до джуна
    Ответ написан
    Комментировать
  • Фаервол для веб-серверов в ДЦ?

    @John_Alban
    Network/IDS engineer
    Что именно вам нужно от файволов? Если что-то большее, чем VPN, то, может, посмотреть на Juniper SRX?
    Ответ написан
  • Cisco Packet Tracer: как сделать запрет доступа к резервному серверу, пока работает основной?

    @John_Alban
    Network/IDS engineer
    Если нужно решение уровня packet-tracer для чисто лабораторного стенда, то просто пропишите статику на каждый сервер, одной из статик поставьте вес побольше.
    Ответ написан
    Комментировать
  • Вопрос про сертификацию и резюме?

    @John_Alban
    Network/IDS engineer
    Лучше не заморачивайся на этом. Активно поглощай информацию, читай материал по CNNP R&S/Voice/SP/SEC веткам. Работодателю будут прежде всего нужны твои знания, ими ты и покажешь, что стремишься развиваться. Если работодателю важна сертификация, то он ее тебе и оплатит (как правило).
    CCNA - это крайне низкий уровень, его недостаточно для работы с более-менее серьезной сетью. Так что, даже если серф будет, им никого не удивить (если конечно работа будет заключаться не в управлении одним несчастным свичем).
    Ответ написан
    Комментировать
  • Как настроить связь между одинаковыми подсетями?

    @John_Alban
    Network/IDS engineer
    Странно построен вопрос. Как они могут быть в одной подсети? Вы настраивали bridge-domain? По умолчанию роутер не даст вам растянуть один broadcast-домен на два своих интерфейса.
    Либо рс3 у вас агрегируется на крайней справа C2560 и между ней и роутером L3 привязка? Тогда все просто - читайте про source/destination NAT. Если не ошибаюсь, у Cisco это называется twice NAT. Гляньте здесь и здесь
    Ответ написан
    Комментировать
  • Как в cisco поменять несколько параметров?

    @John_Alban
    Network/IDS engineer
    1. Включаем режим здоровой паранойи и забываем голый tftp/ftp
    3. Сохраням текущий конфиг, копируем его на комп.
    Готовим файл изменения конфига. Вбиваете в него команды, как будто вы находитесь в консоли и конфигурируете железку в config-mode. Т.е., если хотите изменить ip на интерфейсе, пишите:
    int gig1/0/1
    no ip add
    ip add 1.1.1.1 255.255.255.252
    если изменить маршрут:
    no ip route
    ip route $чтототам
    Думаю, вы поняли. Главное, предвидеть, как ASA отреагирует на команды и не забыть это учесть в файле.
    2. ASA должна поддерживать scp. Вот гайд, как настроить и закинуть файл изменения конфига
    3. На случай ошибки и потери доступа планируем ребут через 10мин:
    # reload in 10
    4. Просто активируем изменения:
    #(config) copy flash:changes.txt running-config
    5. Проверяем результат. Если неудачно, ASA перезагрузится на старом startup-конфиге и можно будет исправить ошибки и повторить процедуру.
    Если же по какой-то причине scp не заработает, можно сделать копирование файла изменений по tftp через easyVPN (который нужно будет поднять между рабочей станцией и ASA), но это уже другая история
    Ответ написан
    1 комментарий
  • Как настроить сеть для lxc в CentOS 7?

    @John_Alban
    Network/IDS engineer
    Если нужно настроить bridged-сеть (без NAT), то можно так (правда, пишу для debian-based).
    в настройках контейнера (лежат в /var/lib/lxc/$NAME/) пропишите:
    lxc.network.flags = up
    lxc.network.link = virbr0
    lxc.network.veth.pair = veth0
    lxc.network.ipv4 = 10.10.0.2/24
    lxc.network.ipv4.gateway = 10.10.0.1

    в настройки бриджа добавить:
    bridge_fd 0
    bridge_maxage 0

    добавить маршрут:
    route add -host 10.10.0.2 dev virbr0

    форвардинг
    echo 1 > /proc/sys/net/ipv4/ip_forward

    проверить, не включена ли фильтрация в /proc/sys/net/bridge/bridge-nf*
    Ответ написан
    Комментировать
  • Перегрев CPU на Juniper SRX240. Как исправить?

    @John_Alban
    Network/IDS engineer
    Для начала почистить от пыли)
    Ответ написан
    Комментировать
  • Как посмотреть кто грузит канал на cisco asa 5510?

    @John_Alban
    Network/IDS engineer
    можно настроить сбор статистики по netflow и смотреть на коллекторе красивые графики по каждому из клиентов
    Ответ написан
    Комментировать
  • Как обрабытывается CEF-exception трафик внутри cppr-политики в Cisco IOS-XE?

    @John_Alban Автор вопроса
    Network/IDS engineer
    Итак, симтомы проблемы я устранил.
    Изначально ACL для отбора было таким:
    !
    permit udp object-group ext_hosts range 49152 65535 object-group int_hosts range 3784 3785
    !
    Собственно, возникла идея поиграть с условиями и я убрал ограничение по адресам. ACL превратился в:
    !
    permit udp any range 49152 65535 any range 3784 3785
    !
    И все заработало! Но вопрос все равно открыт - устранился симптом, почему ASR не обрабатывает условие по ip-заголовкам - непонятно. Баг или особенность обработки host-inbound трафика на IOS-XE?

    UPD: Весь сыр-бор возник из-за того, что внутри ACL для cef-exception трафика не работают object-groups. Для остального host-inbound трафика они работают.
    Если вместо object-groups напрямую писать ip-адреса, то все работает как надо.
    Ответ написан
  • Можно ли с помощью консоли на JunOS измерить скорость канала?

    @John_Alban
    Network/IDS engineer
    Нет, таких средств нет. Можно потестить так - с помощью hping (например) валить udp трафик на Jun, а на нем в консоле смотреть полосу:
    > monitor interface $нужный_интерфейс
    Это для downstream. Для upstream - открывать с Jun 100500 сессий ping'а и опять-таки смотреть monitor interface. Топорные методы, но они будут работать, если ничего другого под рукой нет.
    Еще можно попробовать с помощью nat и policy routing на Jun заворачивать обратно трафик iperf'а, но я сходу не скажу, как это сделать - могут возникнуть проблемы
    Ответ написан
    Комментировать
  • Прочему у меня пинг до адресов в одной посети на часть адресов идет на часть не идет?

    @John_Alban
    Network/IDS engineer
    начните с классики - что с роутингом на недоступном хосте и не блокирует ли он icmp в принципе.
    Ответ написан
  • Возможно ли настроить соединение 3 провайдеров на циске 3845?

    @John_Alban
    Network/IDS engineer
    Смотрите в сторону vrf - наименее затратный способ с точки зрения ресурсов. Делаете 3 vrf, к каждый из них вносите пару vlan/pppoe интерфейсов, плюс в каждом vrf прописываете свои маршруты по умолчанию.
    Ответ написан
    Комментировать
  • Не работает access-list. Что не так?

    @John_Alban
    Network/IDS engineer
    Можно заблокировать на уровне control-plane policy. В текущем виде не получится, т.к. трафик собственный трафик роутера под фильтр не попадет. Но входящий туннель у вас все равно не поднимется, так что задача в какой то степени решена..
    Ответ написан
    Комментировать