гит жеж

я думал ты как раз так потыкаекшь и потом пулревеквест

Нету таких в huawei vrp

ne40?

ne40?

6720

Кого зацепило?

нас :(

Билайн, РТК, ТТК тоже частично

тогда я спокоен :)

Что это?

дц прилегли

65 не было?

дц прилегли

Что за железо?

https://embedi.com/blog/cisco-smart-install-remote-code-execution/

каталисты 38 вроде

разные

каталисты 38 вроде

Смотрели наружу?

у меня вот Cisco Catalyst 4900M умер но похоже просто от старости

Смотрели наружу?

ну там в одном дц да

ну там в одном дц да

Печально

но меня больше мой 49 беспокоит

65 не было?

65 не уязвимы

49 некоторые

Зависит от софта

65 не уязвимы

Бест ISP rowder

Смотрели наружу?

Изнутри ломают.

Бест ISP rowder

Порох может ебнуть :-)

Скайнет в Питере лежит. Понимается помалеху.

Изнутри ломают.

Это как?

Изнутри кем ломают?

У меня изнутри только у нока есть доступ

Эх

https://tproger.ru/news/cisco-smart-install-vulnerability/

Л3 железки рутящие примут пакет на любой из своих интерфейсов

Даже если лупбек зафильтрован

Л3 железки рутящие примут пакет на любой из своих интерфейсов

Это как?

Порт закрыт, как они примут?

Если только закрыт ацлем на всех л3 интерфейсах на ин. Как как. Попробуй залтелнетиться на любой л3 интерфейс. Если ограничением консоли отрабатывают ацл. То все остальное пропускается в ядро.

Ды это понятно.. Я не думал что в циске такие мудаки, что на всех интерфейсах слушается этот порт во всех влан

а хотя о чем это я..

а хотя о чем это я..

Реальность довольно печальна :-)

там гораздо хуже

Если только закрыт ацлем на всех л3 интерфейсах на ин. Как как. Попробуй залтелнетиться на любой л3 интерфейс. Если ограничением консоли отрабатывают ацл. То все остальное пропускается в ядро.

Павел, если возможно, поясните момент с эксплуатацией уязвимости "изнутри". Если на железе только серая адресация и публичная сеть проброшена vlan'ом на маршрутизатор, то прямой угрозы коммутатору пока нет, только в случае создания зловреда и распространения его в локальной сети. Верно?

теоретически

Павел, если возможно, поясните момент с эксплуатацией уязвимости "изнутри". Если на железе только серая адресация и публичная сеть проброшена vlan'ом на маршрутизатор, то прямой угрозы коммутатору пока нет, только в случае создания зловреда и распространения его в локальной сети. Верно?

Если у вас серая адресация не фильтруется на точке терминации и маршрутизируется - то для внутренних абонентов и трафика оно ничем не отличается. А порутанных роутеров и затрояненых машин более чем достаточно.

практически же - циска "щемится" куда только можно в сеть

начиная от VINES, и заканчивая LDP

ldp только на указанных портах же

поэтому может "выглядывать" за NAT

mpls mpls ldp

У меня умер один зверек, который рутил трафик и жил на фейках.

lldp может?)

ldp только на указанных портах же

это ты 71-й серии маршрутизаторов расскажи

Lldp если включен - подефолту щемится отовсюду

это ты 71-й серии маршрутизаторов расскажи

им уже пора на покой

6500 это расскажи :-)

lldp может?)

у меня 65-я серия умеет VINES, но не умеет LLDP. Уроды.

6500 это расскажи :-)

и им тоже

у меня 65-я серия умеет VINES, но не умеет LLDP. Уроды.

Как так? У меня 720ый умеет

#sh tcp brief all | i 4786 37BD56F0 *.4786 *.* LISTEN

и им тоже

а есть альтернатива ?

и им тоже

И что вместо?

а есть альтернатива ?

Смотря какие задачи.. Если 65 на бордер стоит, то МХ/XR

Если нужно много портов, то любой современный свич

ex9200 тот же

Смотря какие задачи.. Если 65 на бордер стоит, то МХ/XR

SLB VPN

slb?

Смотря какие задачи.. Если 65 на бордер стоит, то МХ/XR

Ну суп2т или 6т с тобой не согласны

Для бордера есть 76

Если у вас серая адресация не фильтруется на точке терминации и маршрутизируется - то для внутренних абонентов и трафика оно ничем не отличается. А порутанных роутеров и затрояненых машин более чем достаточно.

Сеть энтерпрайзная, но риски как я понял есть... Печаль.

Ну суп2т или 6т с тобой не согласны

Мне всё равно, 6500 ущербная коробка с: мало памяти мало фиб мало риб мало лфиб не умеет кучу технологий

смотрим, и офигиваем

SLB VPN

ms-mpc

ms-mpc

фантазер

я про load-balanсer :)

Мне всё равно, 6500 ущербная коробка с: мало памяти мало фиб мало риб мало лфиб не умеет кучу технологий

А у кого больше лям риб? Софтовое не предлагать

оно кроме ecmp нифига не умеет

А у кого больше лям риб? Софтовое не предлагать

MX

А у кого больше лям риб? Софтовое не предлагать

6800, 6900

накрайняк, 6500-E

А у кого больше лям риб? Софтовое не предлагать

RIB capacity (IPv4) – 64bit RPD 50M (w/ NSR)

6800, 6900

6800 под 6т тоже лям помоему. 6500 что е что не е - мозг один.

я про load-balanсer :)

Juniper, окромя ECMP нифига не умеет

MX

А если вендора не менять?

А если вендора не менять?

XR (ASR)

XR (ASR)

Просил же без софтового г... :-)

asr9000 кстати сильно улучшили с тех давних пор, когда была версия софта 4.3.3

6800 под 6т тоже лям помоему. 6500 что е что не е - мозг один.

в 6500-E идут совсем другие SUP модули

Просил же без софтового г... :-)

Я не говорил про vXR

в 6500-E идут совсем другие SUP модули

Какие? 720ый и 2т

да

Оба по лям в макс

И оба они встают и не в е шасси

Может я чего про 6500 не знаю. Просвяти где там есть больше ляма.

https://www.slideshare.net

заработал )

Е дает только больше тока на слот