скрепы, духовность

Всем привет. У кого-нибудь есть опыт работы с сетью с филиалами, объединенными по gre, плюс cisco ASA например в центральном офисе. Интересна схема сети

есть

аса не прокачала

заменили на роутеры :)))

правда сейчас и асы жирные пошли...

в смысле не прокачала, то есть она была на границе сети, за ней роутер, который gre держал, а шифрование на asa?

ну у нас аса как файрвол стояла, а тунели терминировались на 3745 в то время. :)

и это было не gre, а ipip, я соврал

просто интересно, если есть задача одновременно использовать какие-то функции, доступные только на фаерволах, например https трафик дешифровать и инспектить, плюс есть gre туннели, которые asa не умеет. Какая схема в таком случае будет наиболее логичной?

ставить на границу asa, отдавать на нее нат, шифрование и фаервол, а за ним роутер, который занимается только gre, ну может и терминацией внутренней сети?

Циска рисует эдж с двумя асами, двумя рутерами и двумя свитчами. И всё крест на крест соединить.

А, и ещё 2 свитча между асами и рутерами

а ссылки нет случайно?

Всем привет. Кто нибудь встречался с таким? Я так понимаю сдох порт? %Error: initializing transceiver port Fa0/22

ставить на границу asa, отдавать на нее нат, шифрование и фаервол, а за ним роутер, который занимается только gre, ну может и терминацией внутренней сети?

ну у нас так и было по сути

asa 5540 на около 200тысяч соединений умирала

пришлось её на линукс поменять

Это все было правда несколько лет назад

asa 5540 на около 200тысяч соединений умирала

по спецификации 400000 указано

Мало ли что там указано ?

Вы ещё учитывайте, что на одной из ас должно быть нагрузки не выше 45% иначе резервирование будет не очень

они в стэк объединены?

Тогда были нет

по спецификации 400000 указано

Это как маркетинговые Gbps)) Когда вместо 10 Gbps full dupsex пишут 20 Gbps.

Сейчас в кластере только асы для anyconnect подключений

Это как маркетинговые Gbps)) Когда вместо 10 Gbps full dupsex пишут 20 Gbps.

ну здесь все же вещи немного разные, max connections все таки конкретное число, его сложно двояко интерпретировать.

Число соединений без трафика может быть

ну здесь все же вещи немного разные, max connections все таки конкретное число, его сложно двояко интерпретировать.

А где нибудь внизу мелким-мелким шрифтом написано, что данные сняты при идеальных условиях))

На шифрование же тоже будете тратить мощность

с этим согласен

Количество пакетов и пр.

ребята, вы много где работали расскажите с какими методами физической защиты в серверных комнатах

у меня сейчас есть проект, где серверная комната физически защищается двумя автоматчиками из фсб :)

послать туда инженера занимает два дня

послать туда инженера занимает два дня

далеко?

нет, проблема не в расстоянии до серверной

проблема в расстоянии, на которое посылают автоматчики при поытке войти без документов

а документы готовятся в среднем один рабочий день

а внутри как?

А фсб в курсе, что ты фанат гинесса и рыжебородых мужчин?)))

я попрошу мои маленькие секреты не выдавать

и вообще, гиннес - прокисшая моча. вот сидр - это да

но я сам там не был, мне только документы по этому проекту присылают :(

вот, в октябре буду в мск, мб заеду пообщаться с клиентом, если время будет

У нас тут в МСК уже погодка хреновая, дождей бы поменьше было бы не плохо )

ребята, вы много где работали расскажите с какими методами физической защиты в серверных комнатах

220 на ручку

У нас тут в МСК уже погодка хреновая, дождей бы поменьше было бы не плохо )

Это в Питере сейчас погода хреновая..

220 на ручку

а если серьезно

Ну в Питере то понятно :) Там вроде всегда говорят хреновая, хотя я был не раз, было солнце

Ну в Питере то понятно :) Там вроде всегда говорят хреновая, хотя я был не раз, было солнце

Седня ведь день херачит дождь.

и вообще, гиннес - прокисшая моча. вот сидр - это да

Крафтовый. Пиво надоело.

Знакомые сервер в сейфе делали. им не помогло - сидят по делу о Звезде

просто интересно, если есть задача одновременно использовать какие-то функции, доступные только на фаерволах, например https трафик дешифровать и инспектить, плюс есть gre туннели, которые asa не умеет. Какая схема в таком случае будет наиболее логичной?

А зачем хочешь инспектировать хттпс?

Крафтовый. Пиво надоело.

о дааа

А зачем хочешь инспектировать хттпс?

Юзай Гарду если для предприятия

?

А зачем хочешь инспектировать хттпс?

Это пример чисто фаервольной задачи

?

Сорри - не тому ответил)

ERROR: S client not available

Всем привет! Я правильно понял что при использовании EVPN как Control Plane для VXLAN, мне всё равно придётся юзать multicast для BUM и как следствие запускать PIM?

Просто если без EVPN\MPBGP мне предназначение мультикаста понятно - "отыскать" все VTEP-ы в данном VNI, то в случае EVPN я по идее итак знаю о них. Зачем юзать мультикаст?

Всем привет! Я правильно понял что при использовании EVPN как Control Plane для VXLAN, мне всё равно придётся юзать multicast для BUM и как следствие запускать PIM?

Нет

Поиск vtep и сигнализация происходит по mp-bgp

Поиск vtep и сигнализация происходит по mp-bgp

Я тоже так думал. но какой мануал у циски не увижу, везде для VNI мульикаст группа прописывается по старинке

И bgp тоже?

Ну да

https://www.cisco.com/c/en/us/products/collateral/switches/nexus-9000-series-switches/guide-c07-734107.html#_Toc444553369

Для меня просто это как раз было одним из "преимуществ" EVPN - уход от мультикаста

А, кажись дошло. Мультикаст нужен если у меня в роли VTEP-ов не только свитчи есть

а хосты, которые не умеют в EVPN\MP BGP

Для меня просто это как раз было одним из "преимуществ" EVPN - уход от мультикаста

все верно. Либо свичи узнают адреса всех vtep в vni через bgp, либо шлют все на адрес группы, указанной в конкретном vni. в мануале как бы размыто написано по поводу pim - may need to be enabled

Да, я понял. См. выше

но спасибо всё равно :)

и раз ты тут, то можнт подскажешь ещё такой момент

если я на TOR-ах делаю distributed anycast gateway, мне обязательно каждую подсеть в отдельный vrf пихать?

ну vrf нужны что бы сгментировать вашу сеть на l3. Если все gw будут в одном vrf, у вас просто будет связность между сетями

ну vrf нужны что бы сгментировать вашу сеть на l3. Если все gw будут в одном vrf, у вас просто будет связность между сетями

ну то есть если мне НАДО обеспечить связанность, то делить на VRF-ы не обязательно?

вы можете вообще в grt по сути оставить иртерфейсы, если вам нужно.

ну да, примерно это и нужно на данном этапе, а там как пойдёт

спасибо ещё раз

мне как раз и хочется оставить всё в одной таблице роутинга, но при этом L3 гейтвей "опустить" на уровень TOR

ПРиветствую!

только что прочел вашу новость (https://t.me/linkmeup_podcast/534) и статью и возник вопрос

кто-нибудь может поделиться ссылкой на добротное описание и сравнение классического QoS и DiffServ QoS, чтобы понять в чем принципиально они различаются и сферы применения узнать, как траффик категоризирует?

или как раз про это и будет грядущая статья?

https://youtu.be/RY6SZLvjNIs

кто-нибудь может поделиться ссылкой на добротное описание и сравнение классического QoS и DiffServ QoS, чтобы понять в чем принципиально они различаются и сферы применения узнать, как траффик категоризирует?

Путаешь понятия, qos это общее. Diffserv это одна из моделей

вот потому и спрашиваю, что хочу разобраться :)

Посмотри, хорошее видео

спасибо, уже смотрю) как раз нашел там описание 3х моделей