• Можно ли лезть в ИБ с python?

    vvpoloskin
    @vvpoloskin
    Инженер связи
    Именно в ИБ сейчас лучше лезть через скриптовые языки офисного пакета программ (VBA, lua). Ибо надо много составлять таблиц по результатам анкетирования и опросников .
    Ответ написан
    Комментировать
  • Существуют ли L2-альтернативы SSH и Telnet?

    vvpoloskin
    @vvpoloskin Куратор тега Компьютерные сети
    Инженер связи
    Обычно такая задача решается с помощью TFTP, BOOTP и PXE. На железку проливается первоначальная прошивка или конфиг, а уже потом заходите на неё другим известным инструментом управления.
    Ответ написан
  • В чём состоит отличие между CG-NAT и обычным NAT?

    vvpoloskin
    @vvpoloskin Куратор тега Компьютерные сети
    Инженер связи
    Терминология больше маркетинговая. Куча вендоров оборудования стали заявлять для своих железок «операторский уровень NATа», а что это такое каждый понимал по своему. Инженеры собрали лучшие практики, которые используют операторы. Там много чего входит:
    • Улучшенные схемы распределения портов, переиспользования после завершения трансляции
    • Лимитирование сессий по времени/абоненту/назначению (а вендор ещё делают в том числе по запросу с радиус-сервера)
    • Расширенное логирование и аккаунтинг всех сессий
    Ответ написан
    Комментировать
  • Где можно скачать точные IP диапазоны?

    vvpoloskin
    @vvpoloskin Куратор тега Компьютерные сети
    Инженер связи
    Вот самый точный алгоритм:
    1) берем список ASN по стране отсюда https://bgp.he.net/country/RU
    2) для каждой ASN делаем whois -h whois.ripe.net -- -T route ASN -i origin
    Ответ написан
    4 комментария
  • Как работали городские локальные сети?

    vvpoloskin
    @vvpoloskin Куратор тега Компьютерные сети
    Инженер связи
    О да, это было славное время)
    Исторически первые серверы гражданского назначения в нашей стране появлялись в вузах. Вместе с серверами там же появлялась и связь. Для обмена документами для студентов создавались файлообменники на этих серверах.

    Далее в городах появлялись провайдеры. Они подключали университетские файлообменники. Провайдеры платили за аплинк вышестоящему оператору. Так как к определенному времени люди стали много смотреть фильмы, чтобы снизить стоимость своего аплинка операторы ставили свои трекеры. Очень удобственно - держать здоровых СХД не надо, так как сами файлы по сути лежат у торрент сидов, тебе только по большому счету форум поднять надо. Так появлялись так называемые «городские интернет кольца» - трафик не выходил за пределы региона. Даже тарифы были отдельные - условно, 4 мегабит интернет и 100 мегабит к региональным ресурсам.

    А вы же видели, что скачивать с рутрекера что-то получалось дольше из-за ограниченной полосы аплинка. А с регионального трекера гораздо быстрее.

    Потом региональных операторов практически не осталось + укрупнялся Ростелеком (раньше в разных регионах у Ростелекома была отдельная компания, которая также должна была платить за аплинк), и аплинк подешевел. Региональные ресурсы стали не нужны.
    Ответ написан
  • Возможно ли использовать 802.1x и PPPoE в одной сети?

    vvpoloskin
    @vvpoloskin Куратор тега Компьютерные сети
    Инженер связи
    Все можно, вопрос только в настройках биллинга и целью. На 802.1x поднимете свой сервер авторизации, на PPPoE - свой, какой тип пользовательского клиента запросит авторизацию - такую и дадите. Ну и разрешить прямой доступ для клиентов по белому списку МАКов.
    Ответ написан
  • Как лучше работать с устройствами Cisco в домашней лабе?

    vvpoloskin
    @vvpoloskin
    Инженер связи
    В зависимости от объемов лабы. Но я бы точно не мучался с COM-портами. Да и вообще с множеством физических железок. Обкатать особенности аппаратной циски можно и на одном девайсе. Но если уж сильно хочется именно аппаратной лабы (я когда-то такое собирал), все же лучше обычными портами сетевыми, подключить их в отдельный коммутатор, в отдельную сеть и влан. И использовать эти порты только для управления.
    Ответ написан
    Комментировать
  • Обучение по cyber security, что посоветуете?

    vvpoloskin
    @vvpoloskin
    Инженер связи
    Смотри программы профессиональной переподготовки.
    Ответ написан
    1 комментарий
  • Таблица коммутация и ситуации, когда одной записи одного столбца таблицы существует соответствие нескольким записям другого столбца?

    vvpoloskin
    @vvpoloskin
    Инженер связи
    Если речь именно про коммутатор, то
    1) разные VLAN, штатная ситуация, выходящий порт определяется по хешу от мак-адреса и влана.
    2) кольцо в сети, все глючит, пакеты отправляются в рандомные порты, бродкаст заваливает трафиком порты
    3) коллизия мак-адресов, трафик вообще ходит в разные порты и вланы, аналогично с кольцом, только оно распространяется ещё рандомнее по всей сети
    Ответ написан
    Комментировать
  • Разница в алгоритмах агрегирования каналов?

    vvpoloskin
    @vvpoloskin Куратор тега Компьютерные сети
    Инженер связи
    Если кратко, то от определенного поля фрейма берется некоторая функция (например, xor или хеш) так, чтобы на выходе получилось определенное двоичное значение. Алгоритмы между вендорами могут отличаться. На основании этого значения оборудование отправляет фрейм в нужный порт. Опциями src_mac, dst_mac, src_dst_mac, etc. как раз настраивается, от каких полей надо брать эту функцию. Бывают случаи, когда балансировать надо по MACу (когда у всех пакетов dst-ip/src-ip одинаковый), бывает, когда по ip (маки одинаковые у всех пакетов), но на современном оборудовании как правило все ставят и по маку, и по ip. Если только в производительность не упираетесь, но это случится, если у вас реально агрегация будет на 32 порта=)

    Например, летят пакеты с dst-ip 192.168.0.1 и 192.168.0.2, последний октет у них в бинарном виде 00000001 и 00000010. Вот первый пакет в агрегированном отправится в 1-й порт, 2-й - во второй.
    Ответ написан
    Комментировать
  • Какие альтернативы CCNA (Cisco)?

    vvpoloskin
    @vvpoloskin Куратор тега Сетевое администрирование
    Инженер связи
    Или все команды, вводимы в cli у сетевого оборудования сильно зависят от производителя?

    Конечно зависят, каждый вендор делает свой "пользовательский интерфейс"
    Какие альтернативы CCNA сейчас?

    Никаких. Сертификация проводилась через агрегаторы Pearson VUE или certiport. Обе организации приостановили свою деятельность.
    До ухода компании Cisco из России имело смысл выучиться и сдать на экзамен CCNA, чтобы подтвердить, что понимаешь работу компьютерных сетей на каком-то базовом уровне.

    Мне кажется, вы не понимаете смысл сертификации. Она нужна для того, чтобы ваша организация получила партнерский статус у западного производителя и смогла торговать их оборудованием.

    Для подтверждения можете писать "знаю сети на уровне CCNA", любой собеседующий задаст один-два вопроса и поймет ваш реальный уровень.
    Ответ написан
    Комментировать
  • Чем различается старое и новое сетевое оборудование?

    vvpoloskin
    @vvpoloskin
    Инженер связи
    Базовые фичи в рамках программы CCNP одинаковые.
    В чём ещё состоит отличие?

    Касательно коммутаторов производительностью, плотностью портов, мощностью блоков питания, возможностями PoE, возможностями использовать один и тот же коммутатор как wifi-контроллер, накатив определенную прошивку, наличием более производительных портов, возможностями SD-WAN, стекированием...

    Аналогом 2960 сейчас является 9200 серия. Сравните их возможности по количеству и пропускной способности портов. На старых аплинк был гигабит, на новых - уже 40GE, клиентские порты были 100М, сейчас уже 1GE. Кроме того, сейчас уже тренд L3 на доступ, современные коммутаторы доступа поддерживают маршрутизацию.
    Ответ написан
    Комментировать
  • Как рассчитать норму количества багов на проект?

    vvpoloskin
    @vvpoloskin
    Инженер связи
    Устранение баг в сданном продукте относится к этапу гарантии. Стоимость такого этапа оценивается в диапазоне от 5-20% в год от стоимости создания (лицензии?). Процент в указанном диапазоне максимален для заказной разработки и уменьшается в зависимости от количества повторяющихся инсталляций вашего программного продукта.
    Ответ написан
    Комментировать
  • Где расположить Route Reflector?

    vvpoloskin
    @vvpoloskin
    Инженер связи
    Много памяти, мощный процессор, редкая обновляемость прошивки, мало портов и порты низкой емкости.
    Ответ написан
    4 комментария
  • Как организовать сеть (теория)?

    vvpoloskin
    @vvpoloskin Куратор тега Компьютерные сети
    Инженер связи
    Сеть 10.0.0.0 используют из-за того, что удобно делать сети > /24, а во втором октете можно зашифровать географию (№ офиса, код региона, зону ответственности и т.д., например, 10.77.X.X - адресный диапазон для Москвы).
    Конечно, нужно кучу вланов, вы удивитесь, но у вас их будет гораздо больше, чем вы написали. Например, сходу будет влан управления (где будет управление сетевым оборудованием), влан управления серверами (iLo, IPMI, iDRAC или что там у вас), влан с "публичными" IP-адресами (в офисе же будет интернет?), влан серверов для пользователей (файловые шары), влан технологических серверов (всякие сислоги, заббиксы), рано или поздно два влана на вай-фай (гостевой и внутренний), вланы для стыковочных сетей (от L3-коммутатора до маршрутизатора, между L3-коммутаторами и т.д.).

    Основная экономическая характеристика коммутатора - цена за порт. Как правило, для телефонии используются порты с PoE, они стоят в 2.5 раза дороже портов без PoE. На сэкономленные деньги лучше купить ЗИП на телефоны.
    Когда-то потом вы придете к настройке QoS для телефонии по крайней мере на линках от агрегации. Это проще всего делать, когда телефоны выделены в отдельный влан.

    Под видеонаблюдение опять же как правило используются порты с PoE. Камеры, конечно лучше в отдельный влан, который пустить в отдельный порт. Трафик с камер емкий, но в то же время не вызывающий сильного пользовательского негатива, легко забьет 1GE.
    Ответ написан
    4 комментария
  • Вопрос по сетям — в связи с санкциями. Можно ли встроить в EBGP свою AS без её регистрации в IANA?

    vvpoloskin
    @vvpoloskin
    Инженер связи
    И в принципе возможно ли создать свою систему для регистрации AS, независимую от США?

    Да. Надо создать регионального регистратора по аналогии с RIPE NCC и возложить на него обязанности вести реестр ASN и IP-блоков. Но при стыке с внешними сетями в Европе маршруты из этого реестра будут отбрасываться, так как фильтры у европейских операторов строятся по реестру RIPE NCC. Круче будет, если RIPE NCC отберёт ASN и IP у России и продаст их в другие страны другим оператором. В принципе, вот это и будет пресловутый «железный занавес», опущенный с внешней стороны.
    Ответ написан
    1 комментарий
  • Возможно ли заглушить локальную сеть?

    vvpoloskin
    @vvpoloskin Куратор тега Компьютерные сети
    Инженер связи
    Есть куча способов положить сегмент Ethernet. Например, спуфинг мак-адресов для заполнения таблицы коммутации, имитация L2 петли для свода с ума коммутатора, подмена шлюзов ака спамилка дублирующими ARP-запросами, спам STP пакетами, есть и более тонкие техники на phy-уровне (чипов весьма ограниченное количество, гораздо меньше нежели моделей коммутаторов), а можно подняться и выше, например, до фейковых dhcp. Да, многие вещи на нормальном оборудовании можно отсечь, но про них надо знать, да и заморочиться с тонкой настройкой.
    Хотите узнать, как работает именно эта балалайка, ну спросите у продавца.
    Ответ написан
    Комментировать
  • Ежегодное обновление лицензии Windows?

    vvpoloskin
    @vvpoloskin
    Инженер связи
    Суть контракта в подписке на Windows

    Вы заблуждаетесь и не видите всей ситуации.

    Если вы работаете в бюджетной организации, то можете найти госконтракт на zakupki.gov.ru. Скорее всего там какой-нибудь сервисный контракт, на предоставление чего-нибудь как услуги. Почему так - вопрос коммерческий. Например, у вашей организации не было денег купить сразу весь объем необходимого оборудования и ПО, поэтому они купили это как услугу и платят сумму каждый месяц.
    Ответ написан
    Комментировать
  • Как корректно управлять VLAN'ами на Mikrotik?

    vvpoloskin
    @vvpoloskin Куратор тега Компьютерные сети
    Инженер связи
    У меня есть абсолютное понимание того, как работают VLAN на коммутаторах Cisco, D-Link, и т.д.

    Ключевое слово здесь - на коммутаторах. На маршрутизаторах пусть даже циски или линуксе есть также различное количество вариантов создать влан. И также через бридж, и на физический интерфейс. Посмотрите, как добавлять вланы в Cisco 6500, тогда поймете логику. Если провести аналогию, то бридж - это L3-интерфейс на влане. А физ порт - L3-интерфейс на физическом интерфейсе, добавление влана к которому дает возможность разграничивать трафик на транке.
    Ответ написан
    5 комментариев
  • Как сформулировать модель задержки передачи данных?

    vvpoloskin
    @vvpoloskin Куратор тега Компьютерные сети
    Инженер связи
    Вот.
    Задержка может быть в устройстве (промежуточных устройствах и их составных частях - порты, софт устройств, процессоры) и среде передачи.
    Ответ написан