начали интересоваться чем я и что бекаплю :)

Короче "Вы были на семинаре по безопасности от компании Cisco в 2015году..."

блин, а как так у хуавея ar 2200 вррп нет

блин, а как так у хуавея ar 2200 вррп нет

в гайде к ar2200 есть описание настройки и использования vrrp

только что смотрел на оф сайте гайд

т.е в гайде есть, а на оф сайте в описании нету его

А настроить пробовал?)

у меня ее пока нет, так бы попробовал

наши менеджеры закупили их

так если закупили, то куды деваться. Теперь уж не важно есть оно или нет, поставишь и проверишь. Как конкурс игрался то? В требованиях к железу указывали поддержку vrrp?

да, указывали поддержку vrrp или аналоги, а дальше не моего ума дело было) сегодня забежал менеджер испуганный и с наездом мол в ар2200 нет вррп

а я то хз, только с NE да свичами хуавея работал, и в них вррп был

Если в конкурсе хуавей указал, что поддержка есть а ее по факту нет - то вопрос вендору. Далее не соответствие заявленного и фактического функционала, возврат барахла победителю конкурса и закупка у резервного поставщика. Ну это все головная боль закупок естественно

закупали не у хуавея, насколько я знаю. Мне просто любопытно было, можно кто с ними работал. Но спасибо за совет

Если в конкурсе хуавей указал, что поддержка есть а ее по факту нет - то вопрос вендору. Далее не соответствие заявленного и фактического функционала, возврат барахла победителю конкурса и закупка у резервного поставщика. Ну это все головная боль закупок естественно

Это адища в условиях нашего рынка ) хотя такую практику видел.

что то я не верю, что на ar нет vrrp

что то я не верю, что на ar нет vrrp

Надо проверять, меня тоже терзают смутные сомнения

софт плюс минус одинаковый

можно hedex поковырять

согласен, просто странно, что расходятся в документации сведения

в s5720 он есть, а это не оч дорогие свичи

живого у меня нет, ну например в ensp есть ar роутеры и там vrrp присутствует

ясно спасибо

Есть конечно

это я читал, меня смутило, что на оф сайте нет описания к нему и менеджеру интегратор говорит об этом.

Народ, как к релизу cisco ASA посмотреть существующие уязвимости? Искал через bug tool, но там только функциональные баги.

сейчас интересует релиз 9.5.1

закупали не у хуавея, насколько я знаю. Мне просто любопытно было, можно кто с ними работал. Но спасибо за совет

есть вррп

согласен, просто странно, что расходятся в документации сведения

у меня и NE и AR22 есть, вррп есть

у меня и NE и AR22 есть, вррп есть

спасибо

Народ, как к релизу cisco ASA посмотреть существующие уязвимости? Искал через bug tool, но там только функциональные баги.

Можно список уязвимостей посмотреть у них на сайтце. Или у хакерья поспрашивать - они-то точно знают. :)

Можно список уязвимостей посмотреть у них на сайтце. Или у хакерья поспрашивать - они-то точно знают. :)

на сайте я нашёл только просто список уязвимостей и в каждую надо заходить и смотреть какая версия ей подвержена.. это конечно нереально

Пожалуй. Я сейчас тоже туда пырюсь - мозг сломать можно.

Вообще было б неплохо - будь у них какой-нибудь чекер уязвимостей, но похоже такого нет и нужно пырится либо в этот список, либо в релиз ноты конкретной версии.

да вообще... для IOS и IOS_XE есть возможность по релизу получить список всех уязвимостей, а для ASA нет

Да, я тоже удивился что для ASA нету.

ASA неуязвима!)))

когда нет ни в акцесе ни в транках

там все просто. если у "вас" есть акцессовые порты в некотором влане - вы посылаете Join за этот влан соседям в транке

ASA неуязвима!)))

да-да и вообще cisco это очень надёжно.... я раньше так считал..пока не начал плотно работать с оборудованием, баг на баге... 2 года владеем ASR1001-X и ещё не было времени, когда у нас просто всё работало.. постоянно открыты тикеты... короче я разочарован..

сосед, таким образом, знает, какие вланы вам по факту нужны

ну и какие не нужны, сооответственно

если вам кто-то послал join в транке - вы посылаете этот влан в Join своим соседям

Вендорспецифик бесплатно! :)

успокаиваю себя, что раз у cisco так, то у остальных ещё хуже ))))

Да хрен там. Заметно лучше.

успокаиваю себя, что раз у cisco так, то у остальных ещё хуже ))))

да-да и вообще cisco это очень надёжно.... я раньше так считал..пока не начал плотно работать с оборудованием, баг на баге... 2 года владеем ASR1001-X и ещё не было времени, когда у нас просто всё работало.. постоянно открыты тикеты... короче я разочарован..

А какой у вас на ASR функционал используется и какая нагрузка?

успокаиваю себя, что раз у cisco так, то у остальных ещё хуже ))))

Неа

да-да и вообще cisco это очень надёжно.... я раньше так считал..пока не начал плотно работать с оборудованием, баг на баге... 2 года владеем ASR1001-X и ещё не было времени, когда у нас просто всё работало.. постоянно открыты тикеты... короче я разочарован..

Странно, два года работал с аср1000х и норм все было

А какой у вас на ASR функционал используется и какая нагрузка?

да по мелочи, VFR-Lite. OSPF, EIGRP,DMVPN,BGP,GLBP,Crypto Map...

Неа

А давайте назовем самое стабильное оборудование/ОС? Объективно, конечено же)

микротик!

Та не, это перерастет в кидание какашками

Странно, два года работал с аср1000х и норм все было

мы его купили и у нас сразу вылез баг с GLBP при нагрузе 80% на интерфейс начинались флапания, потом с ipsec были проблемы, ещё OSPF разваливался

хотя нет. длинк

старенькие 3com работают 15 лет и не дохнут, сцуки =((( а хочется заменить.. а денег не дают..

Та не, это перерастет в кидание какашками

К сожалению это так. Кидание какашками началось с фразы "ASA неуязвима")

У длинка серия дгс оч даже норм:)

Те, что без консольника - топ

У длинка серия дгс оч даже норм:)

У длинка даже с оборудованием одного партномера бывают ньюансы)

Это да, есть такое:) особенно нравится мне дес1210 в этом плане

Да любое оборудование подвержено багам. Хотя у нас стоят ne40 как p маршутизаторы, собственно ни одной проблемы с ними не было, кроме mtu на туннелях, но эт скорее фича))

как показывает практика главные баги - руки инженеров

странно в принципе надеятся на то что какой-то софт будет без багов

вот когда софт начнут роботы писать - тогда и погворим

Ну и чем больше фич накручено в проде, тем менее стабильно все будет работать.

ERROR: S client not available

Да любое оборудование подвержено багам. Хотя у нас стоят ne40 как p маршутизаторы, собственно ни одной проблемы с ними не было, кроме mtu на туннелях, но эт скорее фича))

А что там с мту?

Человеческий фактор был, есть и будет. Но особенность человеческого фактора в том, что он может отработать как в минус, так и в плюс

Ну и чем больше фич накручено в проде, тем менее стабильно все будет работать.

+ GLBP....блять ну какой архитектуре это может быть нужно?

А что там с мту?

Да на rsvp тунелях mtu 1500, даже если на все физических 9192

Это вопрос к Aleksey , больше

Это вопрос к Aleksey , больше

Да нет. Просто риторический вопрос был

так, мои люимые философские беседы пошли...

Да на rsvp тунелях mtu 1500, даже если на все физических 9192

И не меняется?

пора за пивом\водкой...

...травой\героином

Это вопрос к Aleksey , больше

GLBP не я внедрял, но работает сейчас нормально, приемуществ никаких... но работает

GLBP не я внедрял, но работает сейчас нормально, приемуществ никаких... но работает

Глянь на архитектуру свежим взглядом. Как думаешь, нужно?

GLBP не я внедрял, но работает сейчас нормально, приемуществ никаких... но работает

Ну и кстати, что там с рассыпанием соседства OSPF между ASA и ASR? ))

Меняется, но никто об этом не знал и не узнал бы, пока как pe не воткнули ne4. При установке тоннеля прееается атрибут, который говорит, что в тоннеле 1500 и все, pe-ка не отправляет пакеты больше 1500 без фрагментации

Глянь на архитектуру свежим взглядом. Как думаешь, нужно?

нет, нам не нужно

Ну и кстати, что там с рассыпанием соседства OSPF между ASA и ASR? ))

cisco TAC морозится )))

нет, нам не нужно

Так убери. Возьми пивка и прямо вот сегодня убери никого не предупреждая )

Меняется, но никто об этом не знал и не узнал бы, пока как pe не воткнули ne4. При установке тоннеля прееается атрибут, который говорит, что в тоннеле 1500 и все, pe-ка не отправляет пакеты больше 1500 без фрагментации

Возьму на вооружение, у меня ne20 как ре, правда рсвп не используем

Так убери. Возьми пивка и прямо вот сегодня убери никого не предупреждая )

аха-ха =) кто же в пятницу вечером проводит такие работы... на проде... на 2х мля дата центрах с кучей кластерного железа... не.. у меня планы на выходные...

аха-ха =) кто же в пятницу вечером проводит такие работы... на проде... на 2х мля дата центрах с кучей кластерного железа... не.. у меня планы на выходные...

ибо если не в пятницу вечером - то скорее всего никогда

Где то тут была табличка "это сарказм"

ибо если не в пятницу вечером - то скорее всего никогда

так а зачем? взять и просто поменять GLBP на HSRP/VRRP ?

просто для феншуя?

так а зачем? взять и просто поменять GLBP на HSRP/VRRP ?

Нене, никакие VRRP тоже не нужны

ещё раз - посмотри на архитектуру сверху

BGP is the answer. what is the question? 8)

все протоколы резервирования гейтвея - не нужны

все протоколы резервирования гейтвея - не нужны

всмысле не нужны?

Ну так вот - не нужны и всё

Как писал AK - BGP is the answer. what is the question?

но это не в прямом смысле, я надеюсь, вы й поймёте

типа дефолт раздавать от бордера?