• Чем шифровать трафик на 10 гигабит?

    ragent
    @ragent
    сетевой инженер
    Алексей для 3560-x есть сервисный модуль C3KX-SM-10G который на 40g умеет шифровать. Собственно он и предназначен для защиты lan сегментов.
    Почитать тут: www.cisco.com/c/en/us/products/collateral/switches...
    Ответ написан
    2 комментария
  • Микротик. Как настроить проброс до веб сервера?

    valerium
    @valerium
    Изобретая велосипед
    Если под пробросом портов с 77.77.77.[12] на 66.66.66.66 Вы имеете ввиду NAT, то 66.66.66.66 уже должен получать правильный IP отправителя, так как NAT подменяет только получателя. Соответственно, второй NAT на 66.66.66.66 ещё раз подменит получателя и на 10.10.10.10 придёт правильный отправитель.

    Но может возникнуть проблема. Если маршрут от 77.77.77.[12] лежит через сторонний маршрутизатор (например, между разными
    ДЦ), то он почти наверняка дропнет эти пакеты, потому что поймёт, что отправитель у них поддельный. Нужно или иметь договорённость с владельцем этого маршрутизатора, или не иметь этого маршрутизатора, например, хоститься в одном ДЦ или поднимать VPN или любой другой тоннель.

    Кстати, в случае VPN хост 66.66.66.66 лишний, достаточно поднять VPN от 10.10.10.10 до 77.77.77.1 и 77.77.77.2. Правда, я не знаю, умеет ли Mikrotik поднимать VPN.
    Ответ написан
    2 комментария
  • Микротик. Как настроить проброс до веб сервера?

    @lega
    Если на фронте стояли бы веб-сервера (например nginx), то можно было ip клиента запихивать в http заголовок (при проксировании это есть).
    Ответ написан
    1 комментарий
  • Микротик. Как настроить проброс до веб сервера?

    Jump
    @Jump Куратор тега Системное администрирование
    Системный администратор со стажем.
    Как настроить проброс до веб сервера?

    Поднять тоннель между 77.77.77.1, 77.77.77.2 и 66.66.66.66 после чего настроить проброс портов, так же как вы делали на 66.66.66.66.

    А вообще это довольно кривая защита от ddos. Для этих целей есть CDN.
    Ответ написан
    1 комментарий
  • Какой NetFlow Collector/Analyzer выбрать?

    MaxDukov
    @MaxDukov
    впишусь в проект как SRE/DevOps.
    Если чисто коллектор - то IMHO pmacct самый лучший. С анализом сложнее. пока красивые графики нашел только за деньги или с ограничениями. Есть связка с Elastic-Kibana, но (опять-же imho) получается несколько монструозно. Плюс у меня идиосинкразия к java.

    Похоже придется фронт писать самому.
    UPD
    вариант "бесплатно - но с ограничениями" мне понравился Scrutinizer. Данные только за сутки - но с любого количества хостов. И внешне няшный.
    Ответ написан
    Комментировать
  • Почему при вынесении из цикла переменной, которая не изменяется вываливается ошибка?

    import urllib, json
    
    url_members = 'https://api.vk.com/method/groups.getMembers?group_id=67824212'
    response_url_members = urllib.urlopen(url_members)
    data = json.loads(response_url_members.read())
    members = data['response']['users']
    print(members)

    в первом варианте у вас три раза запрашивается урл
    во втором урл запрашивается один раз, первый вызов read забирает все данные, и на втором уже убудет пустая строка, которая не является валидным json, отсюда ошибка.
    При этом у вас на каждой итерации цикла вызывается преобразование одних и техже данных в json.
    помимо этого сам цикл вообще бесполезный поскольку в переменную members, будет на каждой итерации записываться значение и затираться следующим, будет проще обратится по индексу сразу. members = data['response']['users'][2]
    Ответ написан
    2 комментария
  • Как ускорить алгоритм?

    Mrrl
    @Mrrl
    Заводчик кардиганов
    Сначала учитываем 3*N^2 треугольников, у которых вершина с прямым углом лежит на одной из координатных осей (или вообще в точке (0,0)).
    Теперь посчитаем все остальные треугольники.
    Пусть (a,b) - координаты вершины с прямым углом, 0 < a <= N, 0 < b <= N.
    Если c=НОД(a,b), a1=a/c, b1=b/c, то оставшаяся вершина должна иметь координаты (x,y)=(a+t*b1,b-t*a1), где t - ненулевое целое число.
    Должны выполняться условия 0 <= x,y <= N. Перепишем их в виде условий на t:
    -a/b1 <= t <= (N-a)/b1, -(N-b)/a1 <= t <= b/a1 (заметим, что a1, b1 больше нуля, так что делить можно). Учитывая, что t должно быть целым, оно лежит на отрезке от
    t0 = -floor(min(a/b1,(N-b)/a1))
    до
    t1 = floor(min((N-a)/b1,b/a1))
    И, поскольку запрещённое значение 0 всегда принадлежит этому отрезку, получаем, что число треугольников с вершиной (a,b) равно t1-t0.
    Перебираем все точки (a,b), считаем t1-t0 и суммируем.
    Всё. Сложность N^2*log(N), основное время тратится на вычисление НОД.
    Если надо быстрее - надо будет думать. Скорее всего, надо будет перебирать взаимно простые пары (a1,b1), считать, сколько точек попало в перекошенный квадрат (переведённый в базис (a1,b1), (-b1,a1)), искать для них формулу и суммировать. Может быть, получится, может быть, нет. Какого порядка N?
    Ответ написан
    Комментировать
  • Spaning Tree MST, почему 2 свитча являются корневыми в одном и том же инстансе?

    @eldargaif1
    Люблю сети
    А у вас на обоих свичах 15 IOS?

    Там какие-то IOS считали hash по престандарту вроде.
    Ведь для того, чтобы mst сошёлся, надо, чтобы хэш совпадал, а на разных версиях он может по разному высчитываться.
    Если свичи оба root, значит они создали независимые домены mstp, то есть по сути разные инстансы.
    Ответ написан
    4 комментария
  • Почему на extreeme xos не хочет настраивать stp домен s0?

    @eldargaif1
    Люблю сети
    Вероятно, у Вас какие-то вланы в домене s0.
    Попробуйте сделать "configure stpd "s0" delete vlan ... "

    И кстати, вроде, не обязательно, чтобы CIST был в первом домене.
    Вы можете сделать "create stpd name" и потом "configure stpd name mode mstp cist"
    Ответ написан
    1 комментарий
  • Cisco SG300 L2 + L3 + DHCP Relay?

    vvpoloskin
    @vvpoloskin
    Инженер связи
    Ну как минимум нужно адрес указывать на dsw01 сразу windows-сервера (172.16.0.11)
    Ответ написан
    1 комментарий
  • Как понять Python?

    Disen
    @Disen
    Ответ написан
    Комментировать
  • Сколько чисел, не превосходящих 240, которые не делятся ни на 2, ни на 3, ни на 5?

    Посчитать те, которые делятся хотя бы на одно. При этом надо учитывать, что некоторые числа будут посчитаны несколько раз. Надо воспользоваться формулой включений-исключений.
    Итого делящихся хотя бы на одно из этих чисел:
    240/2 + 240/3 + 240/5 - 240/(2*3) - 240/(2*5) - 240/(3*5) + 240/(2*3*5) = 176
    Значит, неделящихся 240 - 176 = 64

    Проверяем:
    ghci> length $ filter (\x -> 0 `notElem` [x `mod` 2, x `mod` 3, x `mod` 5]) [1..240]
    64
    Ответ написан
    Комментировать
  • Как организовать маршрутизацию подсетей в Mikotik?

    ifaustrue
    @ifaustrue
    Пишу интересное в теллеграмм канале @cooladmin
    если микротик в обоих сетях шлюз по-умолчанию, то достаточно просто не запрещать такой трафик и сделать маршруты доступными для ПК обоих сетей (это исходя из того что у вас есть таблицы маршрутизации или VRF, по умолчанию этого делать не требуется).
    Ответ написан
    2 комментария
  • Где можно заказать разработку fpga платы для перебора хэшей определенного алгоритма в России и не только?

    @Emil2014
    Привет.
    Если чип уже известен(т.е. заказчик знает что он хочет), то разработка платы не будет дороже 30-60 т.р.(тысяч рублей).
    Если заказчик хочет еще алгоритм "положить" в чип, то зависит от времени. Зарплата разработчика/схемотехника FPGA в РФ не превышает 42 т.р.(тысяч рублей) в месяц - соответственно время * зарплату.
    Ответ написан
    Комментировать
  • Когда-нибудь капча "канет в лету"?

    GavriKos
    @GavriKos
    Вы что бы изобрели, предложили вместо капчи

    Я бы предложил обязательную сертификацию для доступа к компу в принципе и в интернет в частности +расстрел за рассылку спама, ботоводство и прочие штуки, из за которых собственно капчи и появились.

    По факту - придумают другую капчу. Совсем другую. Или сделают доступ более закрытым - по хардварному ключу.
    Ответ написан
    Комментировать
  • Структура кадра PPPoE?

    vvpoloskin
    @vvpoloskin Куратор тега Компьютерные сети
    Инженер связи
    Интересный вопрос, захотелось самому поковыряться)

    Если кратко, то стандарт PPPoE отличается от стандарта PPP в части полей Address и Control. А остальные поля привнесла одна известная американская контора Microsoft. Подробнее ниже.

    Открываем RFC 1661, там описано, как должен инкапсулироваться PPP. Видим, что поле Protocol Information может быть размером 8-16 бит. В частности, в PPPoE и есть только 8 бит, в чистом PPP - 16.

    Классический PPP должен поддерживать те же самые заголовки, что и более ранний HDLC, для этого протокола необходимы поля Address и Control. Эти же поля успешно перекочевали в PPP, хотя формально они в нем не нужны.

    Копаем дальше. В реализации протокола PPP определен механизм синхронизации LCP, у него есть опция Address-and-Control-Field-Compression. Так вот в RFC 2516 (PPPoE, не такое уж оно и большое) явно говорится, эту опцию не использовать, и вполне логично выплюнуть поля Address и Control. Как используется эта опция в PPP можно почитать здесь.

    Итак, разобрались с Address и Control, займемся флагом 0x7e. Явно в стандарте PPP вы нигде не найдете такое поле, зато оно имеется в описании стандарта для win-систем. Это ни что иное, как простая переделка протокола под себя конторой MS)

    Ну и напоследок несколько картиночек простых ICMP-echo пакетов.

    Вот вам пример дампа PPP.dce336b7b2ac44ee9e473320c03f3f00.jpg
    Как видите, в нем нет полей flags, FCS. Зато есть Control и Address.

    А вот вам картинка с дампом PPPoE.4649c63383d84f34958a4ff51e30e6a0.jpg
    В нем тоже нет этих полей, как нет и Control и Address. PPPoE в таком виде не нужна совместимость с HDLC, зато нужно больше параметров синхронизации. Эти параметры идут в заголовке PPP-Over-Ethernet-Session.

    Ну и напоследок картинка с дампом PPTP. Address и Control присутствуют, хотя также не обязательны, зато в начале есть заголовок GRE.370faf47fec247b996c75c8e786fbd25.jpg

    Итог - не надо читать вики просто так без оглядки, верить всему что там написано.

    P. S. дампы можете сами посмотреть на packetlife, просматривать их можно сразу в браузере через cloudshark
    Ответ написан
    Комментировать
  • Какую модель коммутаторов Cisco выбрать?

    ragent
    @ragent
    сетевой инженер
    @СТОРМЫ4 На всех коммутаторах cisco фиксированной конфигурации не более 4х sfp портов, так что либо менять условия задачи либо модульный коммутатор или 2 коммутатора.
    Ответ написан
    7 комментариев
  • Какую модель коммутаторов Cisco выбрать?

    vvpoloskin
    @vvpoloskin Куратор тега Сетевое администрирование
    Инженер связи
    За приемлемые деньги таких цисок нет. На всех 1RU свичах оптических портов либо 4, либо все)

    Если деньги играют не главную роль, смотрите модульные шкафы (4500, 4900). Но по мне дешевле медиаконвертер взять.
    Ответ написан
    Комментировать
  • Структура кадра PPPoE?

    Такие вещи не на Википедии нужно смотреть. Заходишь на сайт хранилища IETF в строку поиска вводишь "pppoe" и разбираешься в документах. Узнав номер RFC в котором описано то, что тебе нужно - можешь поискать перевод на русский.

    А вообще, возможно через Wireshark ты просто что-то не то смотришь.
    Ответ написан
    1 комментарий