« Rev
@ntwrk   896
Fwd »


Ilya
Щас все поймут, что вы хуйню делаете и сидите только на месте, и вам опустят
Ilya
Всё придумато до нас
Ilya
ну кем ты себя сейчас считаешь?
Ilya
нет
Ilya
Не про конкретно тебя
Anonymous
Anonymous
это прям про меня
Ilya
Я вижу как наши админы каждый день пинают хуи, один человек за весь отдел отдувается
Ilya
каждый считай себя девапсом
Илья
будет зп 9к, но 1к ты будешь отдавать в фонд просоюза
Илья
Коля, сделай полезное, отъедь
Ilya
Приходи как-нибудь к нам в гости, зайдёшь в наш отдел и в отдел к админам, просто сравнишь
Илья
я зарабатываю себе
ewcha
Меня записывай
Илья
потому что я сказал что колесную пару 10 раз жму
Uncel
46к
конверты
Gleb
Может вам в чате хуифицирующего бота добавить?
Илья
меня тоже, я сразу с козырей пошел, на том интервью и закончилось
Uncel
изи
Anonymous
Приходи как-нибудь к нам в гости, зайдёшь в наш отдел и в отдел к админам, просто сравнишь
со стороны обычно всегда кажется, что другие не работают.
ewcha
Окей шеф
Илья
С каких?
ну про колесную пару же
Илья
а отдача в чем
ewcha
Мою
ewcha
а отдача в чем
А она что нужна?
Anonymous
в каком?
Илья
ровно на размер взносов?
Anonymous
в каком из 3, я бы даже спросил.
Anonymous
Да но
никаких но. это профессиональная деформация. если кто-то не бегает ужаленным в жопу и с широко открытыми глазами - тот не работает.
Anonymous
на самом деле, пока кто-то бегает и показывает свою работу таким образом, другие могут молча двигаться вперёд. просто попивая чай и молча делая немыслимые вещи реальными.
Илья
пфф
Anonymous
пфф
да-да. я забыл про тех, кто просто спит под столом или читает чатик. прости.
Ilya
Kernel uptime is 827 day(s), 5 hour(s), 18 minute(s), 38 second(s)
Ilya
Короче, это ахуенный пример про то, как менеджмент коммутатор приводит к дизастру на площадке
Anonymous
это классическое сообщение от ядра linux, что один cpu stuck.
Pavel
это классическое сообщение от ядра linux, что один cpu stuck.
Какого еще линкус? Вроде про MX240 речь
Anonymous
https://access.redhat.com/solutions/2039183
Ilya
Я правда толком не понял, что это было-то
ex2200 в VC развалился таким образом, что заштормил всю менеджмент сеть и ни nx-os, mx - не смогли устоять :)
Pavel
ааа
Pavel
Ну не удивительно, чо
Pavel
fxp0 передает привет
Ilya
у nx-os mgmt такой-же
Pavel
Да он у всех такой же
Pavel
торчит сразу в ядро мимо железа
Pavel
В этом типа его фишка
Pavel
Только для повседневного менеджмента это ад
Pavel
Если только типа там все карты сгорели, а RE живой, и надо софт обновить, а ногами подойти к роутеру с флешечкой религия не позволяет. Хотя зачем тебе в такой ситуации софт. Но вдруг надо.
Ilya
В общем было весело.
Pavel
А про agregate/generate там такое количество засад, что лучше про них забыть как про страшный сон раз и навсегда
Zek
господа, а подскажите что лучше всего в роли роад варриор впн использовать?
Pavel
бай дефолт будет реджект - то есть пошлет Unreach
Я кстати наступал на такое с одним клиентом. Там такой кайф на самом деле образуется. Концов не найдешь вообще никогда. По идее этот unreach при реджекте генерит не RE, а CPU MPC, на котором uKernel крутится. Соответственно понять, чо там происходит, вообще невозможно. Оно пролазит через все полисеры, через весь DDoS-протекшен, и без поллитры заметить в дебрях DDoS-протекшена растущий счетчик не так-то просто. Причем нормальный человек будет искать счетчики для протокола ICMP, а он тут ни при чем, потому что это еще не ICMP, а punt-пакеты, которые летят в сторону мозга карты. Соответственно, это называется protocol REJECT (поди пойми с первого раза, что это вообще значит). Причем до RE это все не долетает, CPU на нем не растет, em0/em1 не перегружаеются, все как бы в норме. А BGP-сессии рвутся и хер знает что вообще происходит.
Zek
л2тп/ипсек везде есть, но будут проблемы со множественными подключениями из-за ната и отсутствие пуша маршрутов. Есть варианты лучше?
Pavel
Так что, дети, пишите первым делом routing-options static route 0/0 discard preference 9999
Pavel
л2тп/ипсек везде есть, но будут проблемы со множественными подключениями из-за ната и отсутствие пуша маршрутов. Есть варианты лучше?
Вариации на тему SSL VPN. Pulse Secure был топ до некоторого времени, но я давно не видел, что там как.
Pavel
Я кстати наступал на такое с одним клиентом. Там такой кайф на самом деле образуется. Концов не найдешь вообще никогда. По идее этот unreach при реджекте генерит не RE, а CPU MPC, на котором uKernel крутится. Соответственно понять, чо там происходит, вообще невозможно. Оно пролазит через все полисеры, через весь DDoS-протекшен, и без поллитры заметить в дебрях DDoS-протекшена растущий счетчик не так-то просто. Причем нормальный человек будет искать счетчики для протокола ICMP, а он тут ни при чем, потому что это еще не ICMP, а punt-пакеты, которые летят в сторону мозга карты. Соответственно, это называется protocol REJECT (поди пойми с первого раза, что это вообще значит). Причем до RE это все не долетает, CPU на нем не растет, em0/em1 не перегружаеются, все как бы в норме. А BGP-сессии рвутся и хер знает что вообще происходит.
Причем по-моему там даже не CPU карты перенапрягался, а агрегейт-полисер DDoS-протекшена это дело ловил, который на уровне этого CPU карты. И видимо ловил уже без разбору, так что под это дело и BGP попадал. Не помню уже деталей, помню, что надо очень хорошо понимать коробку, чтоб понять, куда копать
Zek
anyconnect?
эниконект боль ;)
Ilya
Шо?
Речь про него шла изначально
Ilya
про ddos-protection
Zek
нет ли юзабельного решения со встроенными в современные оси клиентами?
Pavel
Володя имел в виду, что если у тебя дефолт динамический (включая aggregate/generate), то в тот момент, когда он пропадет, ты останешься с дефолтовым reject в таблице форвардинга
Pavel
Но володя неправ :)
Pavel
потому что agregate/generate дефолт не пропадет
Pavel
А если пропадет, то тебе будет уже не до дидоса
« Rev
@ntwrk   896
Fwd »