@linkmeup_chat
Aleksey30.05.2017
14:39:01
14:39:01
Про эту боль я как-нибудь напишу отдельный пост
понятно... значит не я один такой.... а то уже засомневался в себе )))в одном варинте нам помог перебор прошивок на SRX на какой-то не оч свежей всё завелось и работает... а вот на более новой можели SRX это не прокатило
Googlebormoglotx30.05.2017
15:43:01
15:43:01
Эх,жаль не люблю asa и nexus...
bormoglotx30.05.2017
15:45:43
15:45:43
А вот с брокейдом мечтаю поработать, только у нас их нет
Snake30.05.2017
15:48:45
15:48:45
А вот с брокейдом мечтаю поработать, только у нас их нет
Но в целом ничего особенного =) По крайней мере не думаю, что человеку, который пишет статьи по EVPN будет у нас интересно, не те масштабы
Yevgeniy30.05.2017
15:51:55
15:51:55
Snake30.05.2017
15:52:39
15:52:39
какая-то антиреклама)
Почему? У нас реально не очень большая и не очень сложная сеть. В то же время нет особого времени натаскивать джуниораbormoglotx30.05.2017
15:54:16
15:54:16
после озвученной цифры мне стыдно называть свой оклад, при условии, что отвечаю за сеть от Калининграда до Екатеринбурга...
Snake30.05.2017
15:57:15
15:57:15
после озвученной цифры мне стыдно называть свой оклад, при условии, что отвечаю за сеть от Калининграда до Екатеринбурга...
В любом случае, если заинтересовало - пиши :) там поглядимMaksim30.05.2017
20:05:40
20:05:40
Добрый день, у вас есть связка ASA+SRX по IPSec tunnel ? неделю ковырял и плюнул, вроде всё работает но вдруг SRX перестаёт шифровать обратный трафик... а через пару часов сам снова начинает... при этом IPSec туннель всё это время жив и ASA исправно отдаёт шифрованный трафик.
Да вроде не испытывали проблем. Федеральная сеть одного ритейла построена: ASA в голове в 3000 филиалах SRX100 или ASA5505. Проблем с ipsec не припомню. только если прошивки 10.x там какие-то заморочки были. но с 12.x проблем не случалось.но я голову не настраивал. там был свой человек.
Почему? У нас реально не очень большая и не очень сложная сеть. В то же время нет особого времени натаскивать джуниора
ЗП айс. но bgp я так и не научился, а mpls вообще тёмный лес сейчас(Snake30.05.2017
20:09:07
20:09:07
Да вроде не испытывали проблем. Федеральная сеть одного ритейла построена: ASA в голове в 3000 филиалах SRX100 или ASA5505. Проблем с ipsec не припомню. только если прошивки 10.x там какие-то заморочки были. но с 12.x проблем не случалось.
Я допускаю, что при правильно подобранных настройках с обеих сторон оно прекрасно работает. Но у меня постоянно какие-то грабли вылезалиЗП айс. но bgp я так и не научился, а mpls вообще тёмный лес сейчас(
Сам MPLS настраивать никто не просит, достаточно знать, как он в принципе работает.GoogleMaksim30.05.2017
20:10:44
20:10:44
если б была специфика, мне б рассказали. а в джунике так вообще всё стандартно. могу кинуть конфигу, джуника вдруг увидите что-то новое.
Snake30.05.2017
20:28:54
20:28:54
если б была специфика, мне б рассказали. а в джунике так вообще всё стандартно. могу кинуть конфигу, джуника вдруг увидите что-то новое.
закиньте на пасту какую-нибудь просто даже интересно
Andrey30.05.2017
20:30:00
20:30:00
Aleksey31.05.2017
08:07:28
08:07:28
А много сдесь вообще народу с Питера?
Alex31.05.2017
08:08:21
08:08:21
Меньше чем хотелось бы
Aleksey31.05.2017
08:09:05
08:09:05
тут аж 618 участников группы... Питер-Москва должны составлять прям не меньше половины...
Demintey31.05.2017
08:09:43
08:09:43
Преимущественно деревенские
Aleksey31.05.2017
08:11:03
08:11:03
@metallicat20 Может вы знаете, как представитель забугорного ИТ =)) в описании DMVPN часто упоминают о дефолтном маршруте в сторону SPOKE. В мире не принято филлиалы пускать через свой интернет напрямую?
Alex31.05.2017
08:12:08
08:12:08
Очень от безопасников зависит
Alex31.05.2017
08:12:45
08:12:45
Они обычно диктуют своими никчемными фаерволами куда рулит в интернет и из него
Если есть железка в филиале то можно и напрямую
Aleksey31.05.2017
08:14:45
08:14:45
А у меня бордак =( VIP юзеры ходят через нат, а остальные через прокси головного офиса...
Snake31.05.2017
08:14:46
08:14:46
@metallicat20 Может вы знаете, как представитель забугорного ИТ =)) в описании DMVPN часто упоминают о дефолтном маршруте в сторону SPOKE. В мире не принято филлиалы пускать через свой интернет напрямую?
даже без DMVPN обычно весь интернет гонят через центрХотя бы уже потому, что дешевле/проще поставить в центре один большой NGFW, чем админить N мелких в филиалах
Ivan31.05.2017
08:15:53
08:15:53
централизованный файрволл, да и qos легче реализовать
Aleksey31.05.2017
08:15:59
08:15:59
Alex31.05.2017
08:16:17
08:16:17
SD-WAN FTW
GoogleAleksey31.05.2017
08:16:59
08:16:59
А как же - "наши филлиалы это отдельные юр лица у них должен быть свой интернет"? =))))))
Ivan31.05.2017
08:17:38
08:17:38
ждем рекламы iwan и pfr
Snake31.05.2017
08:18:04
08:18:04
А как же - "наши филлиалы это отдельные юр лица у них должен быть свой интернет"? =))))))
А это как получитсяБезопасникам класть на юр.лица, им главное логи в одном месте собирать
Aleksey31.05.2017
08:19:29
08:19:29
Безопасникам класть на юр.лица, им главное логи в одном месте собирать
ну... это если их слушают... а то могут сказать "Бизнесу надо так" и все заткнутьсяAlex31.05.2017
08:20:37
08:20:37
Alex31.05.2017
08:21:44
08:21:44
а начальство обычно понимает какой именно айти нужен бизнесу? это что то новенькое
Aleksey31.05.2017
08:22:42
08:22:42
а начальство обычно понимает какой именно айти нужен бизнесу? это что то новенькое
неа, не понимает. Но они не хотят что бы разные юр. лица в интернет ходили из под одного ipAlex31.05.2017
08:23:33
08:23:33
по моему опыту безопасники умею нагнать много паники на начальство и таким образом перетянуть одеяло на свою сторону
Aleksey31.05.2017
08:24:50
08:24:50
по моему опыту безопасники умею нагнать много паники на начальство и таким образом перетянуть одеяло на свою сторону
это здорово, но не везде так.Snake31.05.2017
08:26:07
08:26:07
Anton Klochkov31.05.2017
08:30:36
08:30:36
по моему опыту безопасники умею нагнать много паники на начальство и таким образом перетянуть одеяло на свою сторону
В точку. Ещё запилить на себя оуенные бюджеты и взять людей. Делать вид что работают.Ivan31.05.2017
08:31:26
08:31:26
все чаще вижу, что офисы используют центральный прокси, на маршрут по умолчанию не особо внимания обращают, а прямой выход в инет для приложений критичных к джиттеру, дополнительным хопам или избыточной инкапсуляции, теже SFB в облаке, hangouts, ну или то, что не может в прокси, по вайт листу в общем
wildmoon31.05.2017
08:31:43
08:31:43
а начальство обычно понимает какой именно айти нужен бизнесу? это что то новенькое
в амазоне разве не понимает?Alex31.05.2017
08:31:58
08:31:58
амазон это айтишная компания
Googlewildmoon31.05.2017
08:32:19
08:32:19
вот. я про это.
Anton Klochkov31.05.2017
08:32:24
08:32:24
Короче. Инет и прочий некритичный (к задержкам) софт фигачу через центр на чекпонйт. Другой софт, который ближе к филиалу, напрямую в нат с филиала.
Aleksey31.05.2017
08:32:32
08:32:32
Да, когда ИТ - деньгоприносящий отдел это прекрасно
wildmoon31.05.2017
08:32:45
08:32:45
так что где то понимает, а где то нет. разное начальство
Anton Klochkov31.05.2017
08:32:56
08:32:56
И попробуй сделать не так, накатають бумагу что ты уйло.
Anton Klochkov31.05.2017
08:33:19
08:33:19
Анальное зондирование на каждом компе
Alex31.05.2017
08:33:22
08:33:22
в обычных Ынтерпрайзах айти для начальства это просто большая кнопка "сделать заебись"
AdminERROR: S client not available
Vladislav31.05.2017
08:34:53
08:34:53
Анальное зондирование на каждом компе
вот это действительно шокирующее предложение. Слава б-гу только для Питера :)Anton Klochkov31.05.2017
08:35:21
08:35:21
Жаль что нет мозгов у руководства. А ещё как правило существует отдел снабжения, который привозит вместо дефайсов и комплектующих говно. "Оно дешевле, на пох на ваши ТЗ"
Aleksey31.05.2017
08:35:46
08:35:46
вот это действительно шокирующее предложение. Слава б-гу только для Питера :)
аха-ха =)) нет, спасибоAlex31.05.2017
08:35:49
08:35:49
Жаль что нет мозгов у руководства. А ещё как правило существует отдел снабжения, который привозит вместо дефайсов и комплектующих говно. "Оно дешевле, на пох на ваши ТЗ"
а это уже у тебя значит кулак недостаточно тяжелый)Anton Klochkov31.05.2017
08:36:41
08:36:41
а это уже у тебя значит кулак недостаточно тяжелый)
У меня о"уенный, :) Высшему топнненеджменту пофиг. Штат раздут управленческие решения принимаются не очень :(Snake31.05.2017
08:36:42
08:36:42
Да, когда ИТ - деньгоприносящий отдел это прекрасно
Не надо путать. Даже если компания зарабатывает на IT, то как правило IT-департамент в ней - это обслугаAleksey31.05.2017
08:37:02
08:37:02
Жаль что нет мозгов у руководства. А ещё как правило существует отдел снабжения, который привозит вместо дефайсов и комплектующих говно. "Оно дешевле, на пох на ваши ТЗ"
У нас служба защиты эконом ресурсов не одобряла покупку дисков в сервер, потому что в магазине такие же за 6000руб, а вы хотите купить за 1500$ ))))
Loxmatiy31.05.2017
08:37:06
08:37:06
У меня о"уенный, :) Высшему топнненеджменту пофиг. Штат раздут управленческие решения принимаются не очень :(
о, люблю эти песни про Все вокруг мудаки, а ит дартаньяныGoogleSnake31.05.2017
08:37:45
08:37:45
Ну т.е. в тех же девелоперских компаниях вовсе не факт, что руководство часто прислушивается к IT-департаменту. Я об этом в подкасте говорил уже
Loxmatiy31.05.2017
08:37:59
08:37:59
это не треш, это вы не умеете этот треш направлять на путь истинный ;)
Anton Klochkov31.05.2017
08:38:25
08:38:25
Если ты в ТЗ на закупку не указал что девайс должен быть новый, не в мятой коробке, работоспостобный.
Он приедет не рабочий, б\ушный и в мятой коробке. :)))))
Snake31.05.2017
08:38:40
08:38:40
Так что по поводу политик выхода в инет - это уже от безопасников полностью зависит. У той же циски питерский/московский офис ходят в инет чуть ли не через NY
wildmoon31.05.2017
08:38:52
08:38:52
Anton Klochkov31.05.2017
08:39:00
08:39:00
Snake31.05.2017
08:39:07
08:39:07
По крайней мере когда напарник ездил к ним в офис пару лет назад, было именно так
Loxmatiy31.05.2017
08:39:45
08:39:45
По крайней мере когда напарник ездил к ним в офис пару лет назад, было именно так
и все ноуты у них с жёстко вшитым впн. помню такое )Snake31.05.2017
08:40:00
08:40:00
и несколько ISE-доменов, да
Anton Klochkov31.05.2017
08:40:02
08:40:02
Я их троллил, мол вы возьмете на себя ответственность (в письменном виде) если это умрет быстро.
Дык сразу очконули и привезли все что надо :)
Snake31.05.2017
08:40:43
08:40:43
Alex31.05.2017
08:40:53
08:40:53
если снабженцы привозят не то что надо значти ты им плохо обьяснил что надо
Loxmatiy31.05.2017
08:40:54
08:40:54
да-да-да)
Alex31.05.2017
08:41:16
08:41:16
если обьяснил хорошо а привезли фигню - на ковер к начальству
Anton Klochkov31.05.2017
08:41:27
08:41:27
если снабженцы привозят не то что надо значти ты им плохо обьяснил что надо
Нет, значит у них откаты за определенную партию товаров. :)Loxmatiy31.05.2017
08:41:53
08:41:53
как никогда к месту )))
Snake31.05.2017
08:42:06
08:42:06
Нет, значит у них откаты за определенную партию товаров. :)
ну просто нужно при закупке учитывать политические аспекты
Открыть в Telegram