на какие объемы сетей это вообще заточено?

ну и производительность..хотя бы примерно

Magic Quadrant Figure 1. Magic Quadrant for Enterprise Network Firewalls

Просьба на 5516-х

проспал?))))))))

LOL

Куплю 3 карты sfp+, 2 port , мск

https://www.gartner.com/doc/reprints?id=1-45UW8EQ&ct=170711&st=sb

а не подскажите где скачать FTD и FMC для eve-ng ?

не про дудос речь

по факту, надо же весь трафик через себя пропускать, чтоб нормально все обнаружить

всякие X-flow не подойдут

Какое ваше мнение о Siem IBM Qradar?

и мне всегда казалось что SCB не являеться системой SIEM, как я понимаю она в основном используеться для аудита и слежения за администраторами и пользователями у которых есть доступ к критическим системам через зашищенные каналы

Александр, вопрос по архитектуре внедрения ngfw, и непосредственно asa+fp. Необходимо натить во множество разных реальных адресов, которые размещаются пулами, поэтому ставить асы на границу сети как единую точку выхода в интернет не подходит. Варианта 2: ставить аса рядом с пограничниками или убирать внутрь сети. Как реализуется данная архитектура?

Коллеги

Хотя не

Товарищи

Вот одна на эту тему: https://habrahabr.ru/company/cisco/blog/326356/

Просьба озвучить вопрос

Неужели при определенной маске подсети, последний октет ip может содержать в себе информацию о кол ве подсетей ?

Сеть класса С

Александр, вопрос по архитектуре внедрения ngfw, и непосредственно asa+fp. Необходимо натить во множество разных реальных адресов, которые размещаются пулами, поэтому ставить асы на границу сети как единую точку выхода в интернет не подходит. Варианта 2: ставить аса рядом с пограничниками или убирать внутрь сети. Как реализуется данная архитектура?

с версии 9.4 есть policy-based routing т.е несколько интернет-каналов использовать не проблема. можно делать nat в несколько пулов адресов на одном канале.

Неужели при определенной маске подсети, последний октет ip может содержать в себе информацию о кол ве подсетей ?

ты про wildcard?

ты про wildcard?

Я про IP и маску

А перформанс роутинга нет

Вайлкард только сертификат знаю что есть такие

с версии 9.4 есть policy-based routing т.е несколько интернет-каналов использовать не проблема. можно делать nat в несколько пулов адресов на одном канале.

А перформанс роутинга нет, схему с врф и бгп и двумя провайдерами делали на isr, про АСУ не слышал

с версии 9.4 есть policy-based routing т.е несколько интернет-каналов использовать не проблема. можно делать nat в несколько пулов адресов на одном канале.

Плюс так и не нашёл способа повесить много адресов на интерфейс асы

Хотя я с асами не долго)

Всем спасибо за подкаст!

))) хорошая история про Наташ)

Плюс так и не нашёл способа повесить много адресов на интерфейс асы

NAT в адрес, не назначенный на интерфейс будет работать. Проверял.

Микрофона нет, но я с вами

Слушаю

NAT в адрес, не назначенный на интерфейс будет работать. Проверял.

А из отсуйда проброс ?

А из отсуйда проброс ?

yep

yep

А как аса на арпы провайдерские отвечать будет?

про асу хз, но на ISR если адрес входит в attached subnet то будет автоматический ip alias возможно на асе аналогичное поведение?

про асу хз, но на ISR если адрес входит в attached subnet то будет автоматический ip alias возможно на асе аналогичное поведение?

Надо протестить, всегда вешаю секондари адреса на интерфейс(

Надо протестить, всегда вешаю секондари адреса на интерфейс(

Без secondary IP бывали проблемы, когда NAT трансляция не отрабатывала.

про асу хз, но на ISR если адрес входит в attached subnet то будет автоматический ip alias возможно на асе аналогичное поведение?

На ASA NAT работает даже если IP на интерфейсе и IP пуле адресов из разных сетей.

немогу слушать текст и заниматься делом, текст прослушаю

а с чего шлюз будет запрашивать арп у асы, если это даже сеть другая? как маршрутизация к асе подана с ISP ?

это уже супер костыли

это уже супер костыли

Определенно, это костыли((( Но иногда приходится их ставить.

а с чего шлюз будет запрашивать арп у асы, если это даже сеть другая? как маршрутизация к асе подана с ISP ?

В моем случае ASA стоит за подконтрольным мне роутером, поэтому с маршрутами можно делать что угодно.

то что нат работает сам по себе - подмена адреса сработает конечно, тут про обратный трафик, это значит у ISP есть secondary сеть подключенная чтобы арп слать, или вообще статика в сторону асы, тут тестить надо, может она alias добавлять может и для подсетей которых на асе нет, но все что читал - такие сценарии прокси арп используют и где то об этой подсети аса все таки знает

Ребята, а не подскажете, в каких случаях ASA на TCP шлет reset,а в каких просто дропает пакеты (Если пакет deny по ACL)?

В зависимости от настроек "service resetinound|outbound". По умолчанию resetoutbound включен. http://www.cisco.com/c/en/us/td/docs/security/asa/asa82/command/reference/cmd_ref/s1.html#wp1378272

Спасибо!

Заходишь на канал, а в тэгах маркетинг, маркетинг, саморазвитие, бизнес, маркетинг и немного о програмировании. С кучей ссылок на торренты.

ИМХО без поиска рутрекер удобнее.

Эх... всё равно мой тикет не попал в Краков, сначала в США, а теперь к индусу..... ну, перезагрузить все устройства не попросил, попросил увеличить таймеры OSPF на всех устройствах... мда

ERROR: S client not available

?

еееее

погнали снова вызывать дьявола =)

можно установить лимит в руппе 666 пользователей, а остальные ждут пока освободиться место =))

в ожидании доступа к чату:

Ребята, привет! А запись на коференцию еще открыта http://linkmeup.ru/blog/292.html?? Я в Санкт-Петербурге на пару дней, неплохо вы послушать докладчиков именитых ;)

Ребята, привет! А запись на коференцию еще открыта http://linkmeup.ru/blog/292.html?? Я в Санкт-Петербурге на пару дней, неплохо вы послушать докладчиков именитых ;)

https://rossinno.timepad.ru/event/510831/

Премного благодарен, ребята!

чот его растаращило

чот его растаращило

да, это точно. вместо 4500 стоит какое то гавно

88fd - ethertype ipv6

он проставил 0800 - ethertype для v4

а потом решил еще один вкатить, для v6

которым там, похоже, не пахнет

вот ipv6

ой бля

а, 86dd

ты про эзертайп

согласен, облажался

не, эзертайп корректный

говно какое-то

короче. тут вместо версии, длины и дифсерва вкорячился влан

ну значение его

не иначе число подписчиков повлияло