пишешь письмо "мне надо в одном проводе больше 65000 хостов объединить"

и дают сетку класса А

Class A Network Number Allocation Procedure Class A network numbers are assigned extremely rarely and only in cases where there is a technical need to have more than 65000 hosts on a single physical network. Review takes place on a global scale and takes considerable time. If you are convinced you need a class A network number, please contact the NCC.

ну и с В аналогично

хорошие были времена

________________________________ |___________Nov_1990___June_1991| | persons 643 1270 | | nets 670 1053 | | domains 0 845 | |_______________________________| |_Total_______1313_______3168___|

да, хорошие времена :) не успели мы на несколько лет, между 1996-2000м /19 получили

и чем дальше тем закономернее меньше были блоки

ВНЕЗАПНО

но на самом деле после сидра средний выдаваемый блок только увеличился, кяп

до сидра выдавались сети только трех размеров, и необходимость двух из них надо было доказывать

поэтому из 1000 сетей RIPE минимум 950 выдал класса С, т.е. /24 в современном смысле

после сидра, как я понимаю, нормой стали /20-/22

типа, нафига ты вообще к нам пришел, если тебе надо меньше тысячи адресов

Какой же он унылый этот ZBF на Cisco IOS - просто слов нет

Какой же он унылый этот ZBF на Cisco IOS - просто слов нет

Что с ним не так?

Ну нету нормально гибкости ФВ, Например условно: У меня есть зона lan - в которой живет 2 сети lan (10.0.0.0/24) и guest (10.99.0.0/24) Я хочу настроить так политику lan to self чтоб из сети lan (10.0.0.0/24) - можно было обращаться к чему угодно (ssh, snmp). А из сети guest (10.99.0.0/24) был только ping и больше нечего

Вот нормально удобно, и маштабированно это сделать не реально

Я придумал как... Спасибо

ебята, у кого стоит ucrm?

ебята, у кого стоит ucrm?

Серьезная заявка на успешный мем)

Серьезная заявка на успешный мем)

что плохого в использовании crm?

что плохого в использовании crm?

Там больше про ебят наверное:)

Там больше про ебят наверное:)

*ребята

это понятно, но тем не менее смешно вышло:)

что плохого в использовании crm?

Да ладно, вам.. сиэрэм сравнивать дело не благодарное :) хорошо фраза изначальная "на слух" легла ;)

Да ладно, вам.. сиэрэм сравнивать дело не благодарное :) хорошо фраза изначальная "на слух" легла ;)

та я потом уже увидел ?

в любом случае, я думаю этот crm лучше, чем заполнение excel таблицы

в любом случае, я думаю этот crm лучше, чем заполнение excel таблицы

Почти любой срм лучше экселя

на эти деньги реально можно жить?

можно, ещё ездит за границу, живёт с мамой и бабушкой в однушке

на эти деньги реально можно жить?

омг, скажи это мне на одной конторе, с которой получаю 150$\мес., жить возможно

омг, скажи это мне на одной конторе, с которой получаю 150$\мес., жить возможно

можно, если кто-то кто живет рядом зарабатывает деньги

а не 150$

Подскажите, уважаемые... В лабе пытаюсь сделать ipsec transport mode. Т.е. хочу увидеть нешифрованные оригинальные заголовки. Делаю через криптомапу, в трансформ-сете пишу транспортный режим. Но в перехваченном трафике в заголовках адреса конечных точек, на которых трафик шифруется/расшифровывается. Так и надо?

Подскажите, уважаемые... В лабе пытаюсь сделать ipsec transport mode. Т.е. хочу увидеть нешифрованные оригинальные заголовки. Делаю через криптомапу, в трансформ-сете пишу транспортный режим. Но в перехваченном трафике в заголовках адреса конечных точек, на которых трафик шифруется/расшифровывается. Так и надо?

Не очень понятно здесь написано.

Не очень понятно здесь написано.

Можно сюда куски конфига?

Можно сюда куски конфига?

Конфиги может генерить, например, SDM.

crypto isakmp policy 10 encr aes authentication pre-share group 5 crypto isakmp key cisco123 address 30.0.0.2 ! ! crypto ipsec transform-set R1-R3 esp-aes esp-sha-hmac mode transport ! crypto map R1-R3 10 ipsec-isakmp set peer 30.0.0.2 set transform-set R1-R3 match address R1-R3

вон то - mode transport - ожидал, что ip в заголовках, перехваченных на участке с шифрованием будут оригинальные - т.е от узла, на котором шифрования нет

шифруется на участке R1-R3, транспортный режим. IР от РС1 не вижу - это так и должно быть?

а ты глянь в статус туннеля и удостоверься, что он работает действительно в транспортном режиме, а не туннельном

шифруется на участке R1-R3, транспортный режим. IР от РС1 не вижу - это так и должно быть?

sh crypto isakmp policy show crypto isakmp sa show crypto isakmp sa detail

R1#sh cry isa po Global IKE policy Protection suite of priority 10 encryption algorithm: AES - Advanced Encryption Standard (128 bit keys). hash algorithm: Secure Hash Standard authentication method: Pre-Shared Key Diffie-Hellman group: #5 (1536 bit) lifetime: 86400 seconds, no volume limit Default protection suite encryption algorithm: DES - Data Encryption Standard (56 bit keys). hash algorithm: Secure Hash Standard authentication method: Rivest-Shamir-Adleman Signature Diffie-Hellman group: #1 (768 bit) lifetime: 86400 seconds, no volume limit R1#sh cry isa sa IPv4 Crypto ISAKMP SA dst src state conn-id slot status 30.0.0.2 20.0.0.1 QM_IDLE 1001 0 ACTIVE IPv6 Crypto ISAKMP SA R1#sh cry isa sa de Codes: C - IKE configuration mode, D - Dead Peer Detection K - Keepalives, N - NAT-traversal X - IKE Extended Authentication psk - Preshared key, rsig - RSA signature renc - RSA encryption IPv4 Crypto ISAKMP SA C-id Local Remote I-VRF Status Encr Hash Auth DH Lifetime Cap. 1001 20.0.0.1 30.0.0.2 ACTIVE aes sha psk 5 23:44:01 Engine-id:Conn-id = SW:1 IPv6 Crypto ISAKMP SA

show crypto ipsec sa

портянка...

R1#sh cry ips sa interface: FastEthernet0/1 Crypto map tag: R1-R3, local addr 20.0.0.1 protected vrf: (none) local ident (addr/mask/prot/port): (192.168.0.0/255.255.255.0/0/0) remote ident (addr/mask/prot/port): (192.168.0.0/255.255.252.0/0/0) current_peer 30.0.0.2 port 500 PERMIT, flags={origin_is_acl,} #pkts encaps: 14, #pkts encrypt: 14, #pkts digest: 14 #pkts decaps: 4, #pkts decrypt: 4, #pkts verify: 4 #pkts compressed: 0, #pkts decompressed: 0 #pkts not compressed: 0, #pkts compr. failed: 0 #pkts not decompressed: 0, #pkts decompress failed: 0 #send errors 31, #recv errors 0 local crypto endpt.: 20.0.0.1, remote crypto endpt.: 30.0.0.2 path mtu 1500, ip mtu 1500, ip mtu idb FastEthernet0/1 current outbound spi: 0xA5CDE3BA(2781733818) inbound esp sas: spi: 0x1EA9B745(514438981) transform: esp-aes esp-sha-hmac , in use settings ={Tunnel, } conn id: 1, flow_id: SW:1, crypto map: R1-R3 sa timing: remaining key lifetime (k/sec): (4417132/2581) IV size: 16 bytes replay detection support: Y Status: ACTIVE inbound ah sas: inbound pcp sas: outbound esp sas: spi: 0xA5CDE3BA(2781733818) transform: esp-aes esp-sha-hmac , in use settings ={Tunnel, } conn id: 2, flow_id: SW:2, crypto map: R1-R3 sa timing: remaining key lifetime (k/sec): (4417130/2581) IV size: 16 bytes replay detection support: Y Status: ACTIVE outbound ah sas: outbound pcp sas:

in use settings ={Tunnel, }

читай почему так :)

читай почему так :)

спс, сейчас гляну

http://blog.ine.com/2010/05/28/when-transport-mode-becomes-tunnel-mode-free-of-charge/

crypto isakmp policy 10 encr aes authentication pre-share group 5 crypto isakmp key cisco123 address 30.0.0.2 ! ! crypto ipsec transform-set R1-R3 esp-aes esp-sha-hmac mode transport ! crypto map R1-R3 10 ipsec-isakmp set peer 30.0.0.2 set transform-set R1-R3 match address R1-R3

crypto ipsec transform-set R1-R3 esp-null

а не, плохо читаю. вопросы был не про "хочу видеть пейлод с ипсеком"

ага, эта штука шифрование же отключит?

ага, эта штука шифрование же отключит?

да можно будет пакеты смотреть в плейн тексте

да, шифрования как такого не будет, но туннель установится и будет работать

дык я пытяюсь транспортный режим же - без туннеля

под туннелем я подразумевал айписек, соре

http://blog.ine.com/2010/05/28/when-transport-mode-becomes-tunnel-mode-free-of-charge/

вот тут пишуть: When Crypto ACLs include IP addresses beyond of the 2 peer endpoints the “mode transport” setting is ignored, and tunnel mode is negotiated (due to IP addresses, other than the 2 peers, being part of the crypto ACL). кажется это и есть ответ

ага, эта штука шифрование же отключит?

В транспортном режиме надо access листы создавать , куда трафик может ходить, а где нет.

дык acl в состав криптомапы входит же

дык acl в состав криптомапы входит же

Нет, это просто крайние точки, а в ACL свои внутренние сети, как firewall, кому можно ходить, any any для теста.

дык acl в состав криптомапы входит же

Да.

Ок, спасибо за советы, примерно понятно, куда рыть дальше

ERROR: S client not available

Ок, спасибо за советы, примерно понятно, куда рыть дальше

Ещё можно прочитать про NAT-T (NAT Traversal) - это, как ходить через nat если пакеты подписаны ipsec.

Ещё можно прочитать про NAT-T (NAT Traversal) - это, как ходить через nat если пакеты подписаны ipsec.

спасибо, гляну

@myjobit - сюда может написать?

Просидел меньше суток там. Все печально :(

Жену ещё спросил - она не поняла как можно за $3к фулстек разрабом работать:(

crypto isakmp policy 10 encr aes authentication pre-share group 5 crypto isakmp key cisco123 address 30.0.0.2 ! ! crypto ipsec transform-set R1-R3 esp-aes esp-sha-hmac mode transport ! crypto map R1-R3 10 ipsec-isakmp set peer 30.0.0.2 set transform-set R1-R3 match address R1-R3

После mode transport добавь мандатори

После mode transport добавь мандатори

Mandatory там или required - пишут, что все равно автоматом переключится в туннельный режим, если трафик идет не от ipsec пира

Реквайрд да

Жену ещё спросил - она не поняла как можно за $3к фулстек разрабом работать:(

много или мало?

Жену ещё спросил - она не поняла как можно за $3к фулстек разрабом работать:(

в неделю?

в неделю звучит разумно

жаль не работник назначает зарплату а противоположная сторона.

для нашей деревни типичные вакансии https://vladivostok.hh.ru/vacancy/25608980 https://vladivostok.hh.ru/vacancy/25465151 https://vladivostok.hh.ru/vacancy/25610032

linux, mikrotik, voip, oracle... разброс от 400 до 600 долларов

Жену ещё спросил - она не поняла как можно за $3к фулстек разрабом работать:(

Хз,..

вот тут пишуть: When Crypto ACLs include IP addresses beyond of the 2 peer endpoints the “mode transport” setting is ignored, and tunnel mode is negotiated (due to IP addresses, other than the 2 peers, being part of the crypto ACL). кажется это и есть ответ

что-то не совсем понял, transport mode когда будет сохраняться? Когда ip dst и ip src в той подсети, в которой peers ?

что-то не совсем понял, transport mode когда будет сохраняться? Когда ip dst и ip src в той подсети, в которой peers ?

пиры - это ж точки, между коими шифрование, т.е. интерфейсы, торчащие уже в небезопасные сети? У меня создалось впечатление, что transport mode по-цисковски - это для шифрования трафика не между сетями, а между узлами. Возможно, неверное. Вечером после работы лабу помучаю.

транспортный режим предполагает, что есть уже какой-то туннель

и что нет необходимости вешать ещё ip заголовок от ipsec

транспортный режим предполагает, что есть уже какой-то туннель

Не обязательно же. Разница в том, что оригинальный заголовок сохраняется. -20 байтов с МТУ. И все транзитные железки должны будут иметь маршруты к сетям отправителя и получателя. Если и та и другая - частные (что обычно и бывает) - то ой, нужен туннель. Поэтому, имхо, транспортный режим особо и не в ходу

ну по идее не обязательно, только не факт, что при указании транспортного режима будет именно он, а не туннельный

Не обязательно же. Разница в том, что оригинальный заголовок сохраняется. -20 байтов с МТУ. И все транзитные железки должны будут иметь маршруты к сетям отправителя и получателя. Если и та и другая - частные (что обычно и бывает) - то ой, нужен туннель. Поэтому, имхо, транспортный режим особо и не в ходу

эмм... он очень входу если надо пошифровать например GRE туннель

мы тоже транспортный используем

но да, для GRE

эмм... он очень входу если надо пошифровать например GRE туннель

О том и разговор. Тут тунеллирование свалили на gre, я имел ввиду - чистый транспортный, без туннеля

Гре избавляет от проблем с маршрутизацией внутренних сетей по дороге

Просто сейчас препарирую этот вопрос - отдельно ипсек в обоих режимах, потом оно же поверх и снаружи гре. Что как работает. В целях повышения образованности ?

пиры - это ж точки, между коими шифрование, т.е. интерфейсы, торчащие уже в небезопасные сети? У меня создалось впечатление, что transport mode по-цисковски - это для шифрования трафика не между сетями, а между узлами. Возможно, неверное. Вечером после работы лабу помучаю.

это не по цисковски, это впринципе так, если есть L3 интерфейсы тунельные (GRE как пример), route based vpn, т.е. шифруется трафик с и до tunnel ip

Сергей имеет ввиду, что можно использвать просто на транспорте без туннелей

только так не получится

при навешивании крипто-мапы на интерфейс, будет работать туннельный режим.

даже если в транспортсете указать транспортный, всё равно будет туннельный

и на VTI транспортный заработает только в том случае, если в ацл указан непосредственно gre или ip от tunnel src до tunnel dst и обратно