« Rev
@ntwrk   527
Fwd »


Anonymous
после это сложить в netconf и насобирать себе базовых шаблонов. и только плейсхолдеры наполнять нужными значениями.
Volodymyr
ну ты открой srx, и "дерево", посмотри, где находится адрес бук и где полиси
Volodymyr
хуерево
Anonymous
зачем вы вообще в этот cli там ходите и каждый раз заново - непонятно.
Viktorich
Прям jsec, заслушался )
Anonymous
ну ты открой srx, и "дерево", посмотри, где находится адрес бук и где полиси
для однотипных конфигураций вообще группы можете начать использовать.
Anonymous
они будут вверху при show configuration :)
Volodymyr
а нейминг адресов у тебя = префиксу ?
единственное более-менее, что приходит в голову
Anonymous
ну у вас же есть соглашение именования ресурсов?
Anonymous
например, он вообще в буке может резолвить САМ
Viktorich
Сделай много буков, будет веселей )
Anonymous
единственное более-менее, что приходит в голову
https://kb.juniper.net/InfoCenter/index?page=content&id=KB20994&actp=METADATA
Anonymous
и ответственность за соответствие на dns, и ГИБКОСТЬ
Anonymous
но это в полиси.
Anonymous
а можно прям в адрес буке: root@abc# show security address-book global { address 123 { dns-name 123.com; ««««« } address anyv4 0.0.0.0/0; address 12345 1.2.3.4/32; }
Anonymous
например.
Volodymyr
ну с днс - шото такое
Volodymyr
ну типа никакое
Anonymous
ну вы ж хотите большей гибкости. оно даёт.
Volodymyr
доп точка отказа
Volodymyr
а я хотел "нормально"
Anonymous
если dns отказывает - это вообще плохо.
Volodymyr
мне она нафиг не нужна
Volodymyr
мне надо аналог префикс листа в адрес буке
Anonymous
нормально - это наполнил адрес буку один раз и после собирай себе сеты по интересам.
Anonymous
да пихай их в полиси.
Anonymous
всё. дубово и работает всегда.
Anonymous
а если сет не нужен - прям так из буки клади в полиси.
Anonymous
прям вот с живой сети: address-set Office-global-pool { address office-pool-10.70; address office-pool-10.71; address office-pool-10.72; address office-pool-10.73; address office-pool-10.74; address office-pool-10.75; address office-pool-10.76; address office-pool-10.77; address office-pool-10.78; address office-pool-10.79; address 10.11.12.0/24; }
Volodymyr
ПОРНО
Anonymous
ну если не принять, что это удобно и больше нет вариантов. то остаётся только один вариант. СТРАДАТЬ.
Volodymyr
у меня три зоны и надо 55 пар полиси. при этом уникальных "префик листов"(адрес-сетов в вашем мире) на глаз с двацатку
Volodymyr
ты же не будешь спорить, что если бы были "префикс листы" мне было бы удобней ? )
Anonymous
и что "префикс листы" должны содержать? :)
Volodymyr
префиксы
Anonymous
и к чему претензия вотпрямздесь?
Alexander
гайз вроде уже спрашивали, а WPA 3 это софверно или аппаратно?
Volodymyr
что у меня есть лишняя сущность в виде адреса, который мне надо создать, а потом включить его в адрес-сет
Anonymous
тю.
Volodymyr
так у всех так вендоров, не? в этом и гибкость.
я только второй день на пол шишечки залез в ваш чудейсный мир энтерпрайза и меня дико бомбит
Volodymyr
нет даже из cli возможности проверить вхожденя префикса в адрес
Volodymyr
при матч полиси фром-зон ту-зон обязательное
Anonymous
[edit security address-book global address-set test address] '10.10.10.10/25' referenced address must be defined under address-book
Anonymous
ан да. хочет в адрес буку.
Anonymous
если я правильно помню, в screenos или старых junos могло и не хотеть.
Volodymyr
да тут все просто, 3 влана и все)
ну вот, а судя по тому, что все молчат, то мне и правда начинает казаться, что у большинства any any permit )
Anonymous
короче, план для netops 1.5
Volodymyr
или там пару сеточек, три полиси
Volodymyr
короче, план для netops 1.5
да я понимаю, как это делать
Anonymous
из dns делается выгрузка хостов и в цикле через netconf заливается в address-book.
Volodymyr
я не то шобы идиот, просто меня отбомбило от лишней сущности
Anonymous
а после уже руками медленно делается 20 сетов.
Anonymous
ну, кстати, в palo alto то же самое :)
Eugene
все, я точняк теперь знаю, что энты привторяются, а не пользуются фаерволлами. Вот тот же SRX, кроме того, что я выше писал, тут еще и адрес бук - параша. Потому что есть только адрес и адрес-сет, адрес - один префикс, а адрес-сет - можно несколько адресов, но ВЕДЬ ЭТО ПОРНОГРАФИЯ
SRX ведь в энтах редкий зверь, в то время как ASA-шечек всем привычных. Так что да, фаерволлами, читай срх-ами, не пользуемся :) Я вот все хочу попробовать, но дальше хотелки дело не доходит. Стоят 550-е как подставки для кофе или греют воздух, те которые смонтированные
Alexander
https://m.vk.com/wall-54456105_2829
Alexander
65-70 после испытательного срока
Eugene
в асе тупее обычно
Alexander
-__-
Eugene
обжект-группы всяких разных мастей, и баста, ну и пермит-ы различные исессино
Eugene
чисто л3-л4 сетевая связность, не более
Eugene
я бы даже фаерволлингом это не называл
Alexander
стейтфул
Eugene
ну да
Eugene
но в асашечке тоже есть зоны же, там это чуток другое, когда группируешь интерфейсы
Eugene
с 9.3 они зоны запилили
Eugene
мы вот только начали на 9.6 переползать, были на 9.2
Eugene
@gngbng акцесс-листы из тыщщей эйсов и где-то после пары сотен пермит эни эни тоже встречал лично :)
Alexander
бывают еще tcp/udp any)
Eugene
не ебали вас значит ИБ
всмысле? я ж грю сетевая связность у нас строгая, чего тут зоны то
Eugene
ну у нас была официально рекомендованная бай цуско 9.2 :) не придерешься
« Rev
@ntwrk   527
Fwd »