@linkmeup_chat
Innokentiy10.10.2018
13:02:26
13:02:26
все это имело смысл тогда, когда не было повальной стандартизации всего и вся
когда компьютер IBM не работал с компьютером Xerox
тогда было четыре разных способа положить что-то в кадр Ethernet
и эти способы поддерживались каждый своей кучкой уродов, и ни один урод не хотел поддерживать способы конкурентов
GoogleInnokentiy10.10.2018
13:03:47
13:03:47
https://xkcd.com/927/
потом, в середине девяностых, это всех заебало
1. новелл стал потихоньку помирать, а кроме них RAW не был никому интересен
2. чистый LLC был неудобен
3. SNAP+LLC и Ethernet II объединились в 802.3-1997
поэтому последние 21 год есть только один Ethernet, IEEE 802.3
дети, родившиеся после того, как статья по ссылке перестала иметь хоть какой-то смысл, уже не просто пошли в школу, но ее закончили, и даже получили степень бакалавра
Arctic10.10.2018
13:08:54
13:08:54
А кто делал диалап на сиське ас5350?
Александр10.10.2018
13:13:49
13:13:49
Иннокентий, все верно.
специфика конкретного железа вполне может быть, но логически такой служебный трафик не относится ни к одному влану
Просто ранее писалось про "служебный траффик"Innokentiy10.10.2018
13:15:33
13:15:33
да, и способ вложения служебных данных в кадр роли не играет
Александр10.10.2018
13:15:45
13:15:45
А по факту это заголовок SNAP и коммутаторы его могут либо обрабатывать, либо нет
Innokentiy10.10.2018
13:16:14
13:16:14
а что делать, если в SNAP-вложении пойдут юзерские данные?
GoogleАлександр10.10.2018
13:16:36
13:16:36
А с LLC я нействительно накосячил. Привык что он обчно обозначается через LLC/SNAP а почему уже хз...
Innokentiy10.10.2018
13:16:47
13:16:47
(я, возможно, не до конца понимаю идею, которую вы продвигаете)
А с LLC я нействительно накосячил. Привык что он обчно обозначается через LLC/SNAP а почему уже хз...
потому что сначала идет SNAP-вложение с SSAP=DSAP=AA и control word 03а только потом LLC
Александр10.10.2018
13:28:12
13:28:12
1. транзитный трафик влана, который помечен в транке native, отправляется без метки
2. вендорские цископротоколы в транке отправляются без метки, если native=1 или с меткой 1 влана, если native отличается. switchport trunk allowed vlan эти протоколы не блокирует, он применяется только к транзитному трафику
3. стандартные протоколы всегда идут без метки. настройки порта (транк/акцесс/нейтив влан) роли не играют в любом случае
Я про пункт 3. Протоколы идут без метки 802.1q но с заголовком SNAP и либо обрабатываются на коммутаторе либо теряют смысл при транзите. Как то так ))В том виде объяснение было несколько упрощенным )
Innokentiy10.10.2018
13:36:48
13:36:48
а если в SNAP идет пользовательский трафик, который как раз надо протранзитить?
Александр10.10.2018
13:38:06
13:38:06
а если в SNAP идет пользовательский трафик, который как раз надо протранзитить?
У польтзовательского трафика должен быть свой PID, отличный от CDP, STP etcInnokentiy10.10.2018
13:40:38
13:40:38
то есть ключевой момент: коммутатор проверяет приходящий кадр на "служебность" по некоторым критериям (определенные MAC-адреса получателя, определенные PID в SNAP-вложении, etc), и на основании принятого решения либо терминирует кадр на своем ЦП, либо отправляет кадр на движок коммутации, правильно?
Павел10.10.2018
13:42:48
13:42:48
похоже на то
крч, был следующий лог:
*Oct 10 12:24:53.087: bsnInitRcbSlot: slot 0 has NO radio
*Oct 10 12:24:53.087: bsnInitRcbSlot: slot 1 has NO radio
говорят что 99.9% hardware problem
но за помощь спасибо)Александр10.10.2018
13:48:36
13:48:36
Innokentiy10.10.2018
13:53:10
13:53:10
это ровно то, что я и пытался сказать
Александр10.10.2018
14:07:25
14:07:25
это ровно то, что я и пытался сказать
Ок, но про snap я во вчерашнем диалоге ничего не нашел ) а без него коммутатор должен выбрать что то из трёх FInnokentiy10.10.2018
14:08:13
14:08:13
ну так так не обязан быть SNAP
ванильный STP, к примеру, вкладывается в LLC
Александр10.10.2018
15:40:31
15:40:31
Не обязан, но в CDP/DTP без него не отделить один протокол от другого.
А в STP в LLC DSAP и SSAP все равно выставляется принадлежность к *stp протоколу
Zek10.10.2018
16:44:33
16:44:33
@insoln чёт у тебя микрофон шумит жутко
GoogleZek10.10.2018
16:49:50
16:49:50
ага,так лучше )
Alexei10.10.2018
17:43:22
17:43:22
А что-то перестало работать?
Innokentiy10.10.2018
17:44:16
17:44:16
я не пользуюсь прошкой
Timofey10.10.2018
17:44:30
17:44:30
Alexei10.10.2018
17:45:21
17:45:21
А благословенный ребут?
Leonid10.10.2018
17:46:14
17:46:14
в обычной докеров нет же?
Можно допилить, но у меня не взлетело. Чето там не бриджилось между линухом и контейнером. Сам докер работал и поднимался из гуя, но связи с ним не были
Loxmatiy10.10.2018
17:48:02
17:48:02
GoogleLoxmatiy10.10.2018
17:48:52
17:48:52
Миша, хакнутую версию?
Timofey10.10.2018
17:48:56
17:48:56
да
Alexei10.10.2018
17:49:02
17:49:02
о_О
Timofey10.10.2018
17:49:15
17:49:15
летом ищи)
)))
https://drive.google.com/drive/folders/0B2a9eod9JCqCUURVUjlTNEU3MW8
еще вопросик, asav в ipsec в еве или гнс3 умеет?
Anton10.10.2018
19:09:52
19:09:52
еще вопросик, asav в ipsec в еве или гнс3 умеет?
и ева, и гнс3 запускают asav в qemu, и на неё распространяются теже ограничения, что и при запуске в kvm окружении, в том числе и лицензионные. Вот тут лаба с asav и ipsec в еве, но на испанском, но там и так можно понять по изображению без знания языка - https://www.youtube.com/watch?v=srCL9Q5LpdwTimofey10.10.2018
19:28:41
19:28:41
и ева, и гнс3 запускают asav в qemu, и на неё распространяются теже ограничения, что и при запуске в kvm окружении, в том числе и лицензионные. Вот тут лаба с asav и ipsec в еве, но на испанском, но там и так можно понять по изображению без знания языка - https://www.youtube.com/watch?v=srCL9Q5Lpdw
славно, у меня не было проблем с асав в гнс3, но только с айписеком были проблемы, хотя по лицензии всё ок. может образ не тот, ты лично пробовал?Anton10.10.2018
19:33:48
19:33:48
славно, у меня не было проблем с асав в гнс3, но только с айписеком были проблемы, хотя по лицензии всё ок. может образ не тот, ты лично пробовал?
лично нет. какого рода проблемы?ты запускаешь гнс3 (и соответственно, qemu с asav) непосредственно в системе, или у тебя ещё один слой виртуализации (используешь виртуальную машину с гнс3)?
Евгений11.10.2018
06:20:41
06:20:41
ты запускаешь гнс3 (и соответственно, qemu с asav) непосредственно в системе, или у тебя ещё один слой виртуализации (используешь виртуальную машину с гнс3)?
gns - это просто интерфейс для qemu (в случае с asav)Denis11.10.2018
06:45:44
06:45:44
а все уже обновили свои микротики ?
https://vulners.com/exploitdb/EDB-ID:45578
GoogleАлександр11.10.2018
06:50:25
06:50:25
Anton Klochkov11.10.2018
08:02:52
08:02:52
а все уже обновили свои микротики ?
У нормальных людей порты для управления устройством закрыты по acl или сертом (если ssh). Причем на микротик это можно делать в трех местах сразу :)Андрей11.10.2018
08:05:14
08:05:14
Services List, Firewall. А где третье место?
Андрей11.10.2018
08:06:53
08:06:53
Точно )
Nullius in verba11.10.2018
09:06:23
09:06:23
Ребят напомните, в TCP MSS выбирается наименьший? или может быть разный для разных направлений?
Alex11.10.2018
09:07:52
09:07:52
а все уже обновили свои микротики ?
С апреля-то? Надеюсь, все, потому что из каждого утюга кричали про уязвимость. Но как показывает практика, есть те, кто утюги не слушает.
Nikolay11.10.2018
09:08:09
09:08:09
Ребят напомните, в TCP MSS выбирается наименьший? или может быть разный для разных направлений?
наименьшийдаже с одной стороны если только указан будет работать
Nullius in verba11.10.2018
09:24:08
09:24:08
Кстати не подскажете, для IPSec туннелей с криптомапами (без тунельного интерфейса) у Цисок (ISR и ASA интересуют) есть возможность настроить adjust-mss?
ато как то весь трафик аффектить не хочется. Нужно только тот, который идет через туннель.
Anton11.10.2018
09:35:36
09:35:36
ато как то весь трафик аффектить не хочется. Нужно только тот, который идет через туннель.
поставь мсс на входящем интерфейсеили у тебя и там привязки нет
Nullius in verba11.10.2018
09:36:10
09:36:10
поставь мсс на входящем интерфейсе
через этот интерфейс идет куча всего, не только то что в ipsec в режиме туннеля идет
Открыть в Telegram