что есть "документирован" ?

записан куда-то и может быть передан кому-то в случае необходимости

что есть "документирован" ?

Я не говорю упираться в документирование по ГОСТам

Но вся необходимая информация должна быть записана в человекочитаемом виде

схемы отрисованы на L1-L2-L3 там, где это значимо

палка двух концов, на самом деле

любая документация — уже по своей сути секьюрити брич

её можно с314здить

всегда)

потому в некоторых случаях целесообразнее хранить это в голове)

любая документация — уже по своей сути секьюрити брич

С одной стороны да, знание инфраструктуры - это некислый плюс атакующему

например, есть у меня достаточно динамичная инфраструктура, которая управляется какой-нибудь системой управления конфигурациями. Что тут документировать? Конфиг управлялки конфигурациями - уже дока

А с другой стороны хранение в голове, учитывая, что голова - смертна, — тоже не выход

ну и незаменимых у бизнеса быть не должно

а каждый чих отдельно в тетрадку записывать мне нужен отдель технических писателей например.

Как я сказал — в частных случаях всё имеет место быть)

И не всегда делать по РФЦ это правильно и безопаснее)

ибо РФЦ это "условно документ" где описано как и что должно быть, но не это ли упрощает взлом?)

например, есть у меня достаточно динамичная инфраструктура, которая управляется какой-нибудь системой управления конфигурациями. Что тут документировать? Конфиг управлялки конфигурациями - уже дока

Ну у тебя должно быть записано всё, чтобы посторонний админ с достаточными навыками администрирования разобрался без постоянного дёргания тебя.

Короче, чтобы ты мог на 28 дней уйти в отпуск в горы Тянь-Шаня, и не переживать, что всё сломается, а ты без связи.

любая документация — уже по своей сути секьюрити брич

security through obscurity - так себе идея

Ну у тебя должно быть записано всё, чтобы посторонний админ с достаточными навыками администрирования разобрался без постоянного дёргания тебя.

ну вот конфиг паппета есть - и норм. или не норм?

security through obscurity - так себе идея

Но в частных случаях, она может быть в разы надежнее)

ну вот конфиг паппета есть - и норм. или не норм?

доступы на железку, где паппет стоит. схема базовой архитектуры, хотя бы крупными мазками.

ну то есть одна картинка и логин с паролем к паппету

и админ, умеющий в паппет, да.

Короче, чтобы ты мог на 28 дней уйти в отпуск в горы Тянь-Шаня, и не переживать, что всё сломается, а ты без связи.

всё, что нужно для выполнения этого условия, короче. В каждом конкретном случае кол-во и глубина документирования своя.

и админ, умеющий в паппет, да.

в клетке держать такого на такой случай? )

короче, условие про 28 дней актуально, если есть человек, который умеет читать документацию. Потому что в условиях, которые я указал, объем мануала детального стремиться к объему Большой Советской Энциклопедии, а время его изучения приближается к годам пяти-шести )

короче, условие про 28 дней актуально, если есть человек, который умеет читать документацию. Потому что в условиях, которые я указал, объем мануала детального стремиться к объему Большой Советской Энциклопедии, а время его изучения приближается к годам пяти-шести )

Я ж говорю, опытный человек в штате

который сбалансирует нагрузку на тебя, и подхватит, когда ты в отпуске или болеешь

Если простой до выхода или выдёргивания тебя из отпуска для бизнеса критичен - такой человек в штате должен быть

это вопрос уже не технический, я так думаю. так что...

а из недавнего - была у меня инфраструктура с кучей микротиков, с динамической маршрутизацией, все красиво. Из документации - фото доски, на которой я рисовал схему, и лист a4 с легендой. Этого вполне достаточно. И вот попросили тут с ней помочь - а прошло буквально три месяца, как я окончательно устранился от поддержки своего преемника. Он как бы производил впечатление, что может. Смотрю - оспф поломан, кругом статические маршруты просто десятками. Но зато есть документация - страниц сорок про маршрутизацию что и куда. Это вот к вопросу о компетентности и документированности

Нормально так постарался всё сломать…

ех, мне бы ваши проблемы. Я в понедельник ресетнул конфиг микрота центрального в офисе. так как потерялся он напрочь из доступа, а если после ресета возвратить бекап то снова отваливался. Плюнул, начал с нуля настраивать. Вот сижу вспоминаю что я еще и для чего мог делать ?

ну зато избавился от старых костылей. Один хрен уже не помню для чего они делались. Тупо смотрю експорт старого конфига и выдергиваю нужные мне куски.

И енто - микротиковцы редиски, у них сначала в конфиге идет отсылка к интерфейс листу, а уже потом создается сам интерфейс-лист(это один из примеров). Как следствие вроде бы конфиг откатало, а по сути остались незаполненые поля. И ты хрен поймешь ГДЕ ИМЕННО ?. так что сижу руками всё завожу ?

всем трям , ipv6 кто нить какимто образом смог прикостылить к hotspot

коллеги, а кто скажет, оператива на RB1100 AHx4 на плате прям распаяна?

всем привет

подскажите чем лучше автоматизировать сохранение и заливку конфигураций на микротики

шедулер и скрипт

коллеги, а кто скажет, оператива на RB1100 AHx4 на плате прям распаяна?

https://i.mt.lv/cdn/rb_images/1300_l.jpg

а заливку откуда

коллеги, а кто скажет, оператива на RB1100 AHx4 на плате прям распаяна?

https://i.mt.lv/cdn/rb_images/1330_l.jpg

https://i.mt.lv/cdn/rb_images/1300_l.jpg

да я уж разобрал))) и увидел, что она на плате распаяна))

да я уж разобрал))) и увидел, что она на плате распаяна))

Хотели увеличить?

подскажите чем лучше автоматизировать сохранение и заливку конфигураций на микротики

Хотели увеличить?

хотел контакты протереть... посоветовали от висняка... что-то виснет периодически.. хЗ почему

есть через фтп а есть через ansible

подскажите чем лучше автоматизировать сохранение и заливку конфигураций на микротики

шедулер и скрипт

шедулер и скрипт

а есть пример какой нибудь

хотел контакты протереть... посоветовали от висняка... что-то виснет периодически.. хЗ почему

Ну, там только армейским способом ?

Ну, там только армейским способом ?

спирт?

спирт?

Внутрь протирающего ?

Внутрь протирающего ?

а виснет то почему...?

а виснет то почему...?

Потому что внутрь протрающего ?

Нынешние rb идут с разогнанными до предела элементами. Я б в настройках на шаг уменьшил скорости проца/памяти. Это если остальные методы диагностики и профилактики ничего не дали. Для начала сменить версию прошивки. Уменьшить tcp-established-timeout минут до 15-20

Нынешние rb идут с разогнанными до предела элементами. Я б в настройках на шаг уменьшил скорости проца/памяти. Это если остальные методы диагностики и профилактики ничего не дали. Для начала сменить версию прошивки. Уменьшить tcp-established-timeout минут до 15-20

Bugfix, current пробовал - тоже самое, виснет

Отключить MAC-сервисы на нагруженных данными интерфейсах

В т.ч. всякие romon. Закрыть от доступа bandwidth-test server

какую ROS посоветуете?

bugfix,всё же, мне кажется, да?

ERROR: S client not available

bugfix,всё же, мне кажется, да?

Да

что самое забавное, он повисает и ничего в логи не пишет

На рабочие роутеры только bugfix. Не люблю сюрпризы от текущих обновлях.

На рабочие роутеры только bugfix. Не люблю сюрпризы от текущих обновлях.

а напомните, где конфигурация частоты процессора и памяти...

Я б его через serial port попытал, почему сеть висит

Опять же, исключить висение каждого из двух свитчей, попробовав к коммутированным портам подключиться и соседей увидеть

Я б его через serial port попытал, почему сеть висит

да фишка в том, что не всегда сеть виснет.. иногда полностью не отвечает, иногда отвечает на пинги с WAN и LAN, но зайти нельзя

Это просто предупреждение, что частота не дефолтная. При изменении ее вверх или вниз сообщение будет.

Это просто предупреждение, что частота не дефолтная. При изменении ее вверх или вниз сообщение будет.

а частота памяти где меняется?

Ком-порт сильно может помочь в поисках. Но надо копать неспеша и вдумчиво в момент зависона

а частота памяти где меняется?

Не на всех устройствах она изменяема. На этом, возможно и нет

Не на всех устройствах она изменяема. На этом, возможно и нет

то есть, если бы и было, то было бы здесь?

Вроде, там. Момент. Гляну на своих железках

?

а после изменения частоты, ребут не нужен?

Да

При зависаниях зависимость какую-либо пытались вывести? По времени, по нагрузке? По активности определенных хостов или иным событиям?

При зависаниях зависимость какую-либо пытались вывести? По времени, по нагрузке? По активности определенных хостов или иным событиям?

активность - как обычно... всё как всегда... как поставил - завис где-то через неделю, потом чаще стало - раз в 2-3 дня

Надо думать хорошо. Зная особенности режима работы. Зависания могут быть с чем-то связаны. Например, в очень ранних версиях был баг, вызывающий зависания или перегрузку проца при попытке ботнета толпой пробиться через телнет. Тоже нашли не сразу.

У вас там нат? За натом сколько устройств и сколько трафика натится?

У вас там нат? За натом сколько устройств и сколько трафика натится?

да, NAT, OSPF

у вас может в фаерволе 100500 правил

Поглядите в firewall-connections-tracking значение tcp-established-timeout. Микротик по-умолчанию ставит "1d". Это мега ДОФИГА. Если так, уменьшите до 15-20минут

у вас может в фаерволе 100500 правил

36 штук

Поглядите в firewall-connections-tracking значение tcp-established-timeout. Микротик по-умолчанию ставит "1d". Это мега ДОФИГА. Если так, уменьшите до 15-20минут

так и есть

так и есть

1 день?! Уменьшайте.

1 день?! Уменьшайте.

сделано!

?

у меня несколько МТ, на всех, я так думаю, лучше сделать