Пробовал выключить, включить?
Мимоэникей
Да, попробовал, заработало, спасибо. Я серьезно, пришел с утра на работу, включил шлюз и соединение установилось
Тред наконец-то перекатили, можно запостить.
ДС2, Петербург, Питер. Бесплатные одминские курсы.
В этот понедельник стартуют курс по Дженкинс.
Ведёт их админ - толковый чел и просто хороший человек.
Уже два года хожу на эти курсы - и неплохо прокачался (до этого был LPIC101. Bash, Docker)
Присоединяйтесь!
Всё действие будет происходить в Хак-спейсе Вега (Воскова, 8) в понедельник (11 сентября) в полвосьмого.
Курсы длятся несколько месяцев.
https://vk.com/shkola_sysadm?w=wall-69927489_1398
Пост не рекламы ради (курсы-то полностью бесплатные). Кроме Дженкинса, в хак-спейсе у нас творится много всякого интересного (на этой неделе грядёт лекция по Хадупу, параллельно идут курсы робототехники, программирования).
Присоединиться можно на любом этапе, но чем раньше - тем проще будет въехать.
Если есть вопросы - пишите abc1636@яндекс.ру нет, я не лектор и не организатор этого места. Просто постоянный слушатель
ДС2, Петербург, Питер. Бесплатные одминские курсы.
В этот понедельник стартуют курс по Дженкинс.
Ведёт их админ - толковый чел и просто хороший человек.
Уже два года хожу на эти курсы - и неплохо прокачался (до этого был LPIC101. Bash, Docker)
Присоединяйтесь!
Всё действие будет происходить в Хак-спейсе Вега (Воскова, 8) в понедельник (11 сентября) в полвосьмого.
Курсы длятся несколько месяцев.
https://vk.com/shkola_sysadm?w=wall-69927489_1398
Пост не рекламы ради (курсы-то полностью бесплатные). Кроме Дженкинса, в хак-спейсе у нас творится много всякого интересного (на этой неделе грядёт лекция по Хадупу, параллельно идут курсы робототехники, программирования).
Присоединиться можно на любом этапе, но чем раньше - тем проще будет въехать.
Если есть вопросы - пишите abc1636@яндекс.ру нет, я не лектор и не организатор этого места. Просто постоянный слушатель
Вкатываюсь через 11 часов в это ваше IT.
Описание работы - пинать SQL-хуи и автоматизировать скрипты. Работа - не совсем работа, а оплаченное интернство на год с пока неясными перспективами. Раньше в IT не макакил, образование - не имеющая отношения к этой области вышка и год колледжа на сисадмина. Под спойлером подробное описание работы на английском.
Все правильно сделал, или меня ждет горькое разочарование?
What is the opportunity?
We are a data acquisition team (8 people) within Compliance IT group (65 people). Our main task is to source trading data from CompanyName systems and to feed this data into CompanyName trade surveillance detection engines, where the data gets analyzed for any potential trading violations [for example insider trading, front running]. As a TSA in our team you will gain the knowledge of capital markets trading data, you will learn how the data is sourced and processed to benefit CompanyName Compliance.
What will you do?
You will be a critical player on our team, working with senior data analysts and developers to source the data – you will create jobs and scripts for file transfers. You will have the opportunity to write autosys scheduling jobs, database schema scripts, data correction scripts and data base replication scripts. Other responsibilities include setting up QA databases with data snapshots, doing backups, data purging and restores and running ETL jobs in test environments. Finally, you will be writing SQL code and procedures to load data as a critical player in data changes preparation for monthly production implementation and in resolution of production data issues.
Описание работы - пинать SQL-хуи и автоматизировать скрипты. Работа - не совсем работа, а оплаченное интернство на год с пока неясными перспективами. Раньше в IT не макакил, образование - не имеющая отношения к этой области вышка и год колледжа на сисадмина. Под спойлером подробное описание работы на английском.
Все правильно сделал, или меня ждет горькое разочарование?
What is the opportunity?
We are a data acquisition team (8 people) within Compliance IT group (65 people). Our main task is to source trading data from CompanyName systems and to feed this data into CompanyName trade surveillance detection engines, where the data gets analyzed for any potential trading violations [for example insider trading, front running]. As a TSA in our team you will gain the knowledge of capital markets trading data, you will learn how the data is sourced and processed to benefit CompanyName Compliance.
What will you do?
You will be a critical player on our team, working with senior data analysts and developers to source the data – you will create jobs and scripts for file transfers. You will have the opportunity to write autosys scheduling jobs, database schema scripts, data correction scripts and data base replication scripts. Other responsibilities include setting up QA databases with data snapshots, doing backups, data purging and restores and running ETL jobs in test environments. Finally, you will be writing SQL code and procedures to load data as a critical player in data changes preparation for monthly production implementation and in resolution of production data issues.
На будущее - включай полное логирование всех инцидентов ISAKMP/IPSec, а то из твоего микролога практически ничего не понятно.
Перепост.
>Как возникают люди с подобным набором навыков для меня по сей день загадка.
1. Берём на работу студента-строителя.
2. Кормим его сетями.
3. Ждём пять лет.
4. Возник специалист.
Только так смежников выращивают.
>Как возникают люди с подобным набором навыков для меня по сей день загадка.
1. Берём на работу студента-строителя.
2. Кормим его сетями.
3. Ждём пять лет.
4. Возник специалист.
Только так смежников выращивают.
Поделюсь коллекцией кусов, книг, и прочего дерьма https://yadi.sk/d/qv4eEa8D3K3wdu
Да это же настоящая сокровищница!
Спасибо тебе, анон!
OSPF не такой уж и сложный для его использования. Но, блядь, какой же он запутанный для понимания. Я хуею с того, сколько сущностей разработчики наплодили в RFC.
Надеюсь, ты не станешь её выпиливать в ближайшую неделю.
Копипастну из предыдущего треда:
Сразу скажу: я абсолютно серьезен и это не троллинг.
Работаю в организации эникейщиком. Как-то раз один сотрудник попросил меня помочь с его работой. Дал свою флэшку и там я обнаружил фото голых баб лежащих на диване в бессознательном состоянии(закрыли ли они глаза, спали или были мертвы я не знаю), снимки явно домашние. Он быстро вытащил флэшку, посмеялся и сказал что перепутал флэшки и дал другу. Я тоже посмеялся и дальше продолжил работать.
Вот что я сейчас думаю. Этот тип ходит по всем отделением организаций(где к слову куча тян) и возможно он не просто любитель фоткать тян пока они спят, может он делает что-то худшее. Масло в огонь добавляет еще то что в одном из отделов работает моя ЕОТ. Хочется проверить этого типа - посмотреть все что у него на флэшки, когда он ее вставит в комп, чтобы удостовериться что он не маньячина.
Про то как посмотреть скрыто диски из под админа знаю. Но это не дает мне увидеть флэшку. Помогите, плиз. Все компы в этой истории на винде.
Если честно, бро, я не стал бы вскрывать эту тему.
Впрочем, раз уж ты вскрыл, пусть и случайно, то будь бдителен. Если он и правда маньяк - ты будешь следующим. Я бы запилил шедюлю, которая отправит по адресам служб доверия ФСБ, МВД, Прокуратуры РФ и Абу письмо с описанием того, кто ты такой, что ты обнаружил, и почему ты боишься за свою жизнь, если раз в день/неделю/месяц ты не будешь нажимать на какую-нибудь кнопку.
>фото голых баб лежащих на диване в бессознательном состоянии
Ладно бы ты подобную хуйню нашел я бы ещё мог понять, но что такое в голых бабах?
ПоЕ будет норм работать, если на пути кабеля будет розетка rj-45, через которую уже подключается АП? расстояние около 40 метров. 35 метров от роутера до розетки и 5 от розетки до АП.
Почти 100% он тебя просто подъебнул так. А просмотреть файлы на флешке можно будет удаленно в момент, когда флешка вставлена в компьютер. Разумеется, у тебя должны быть права локального администратора на его компьютере, чтобы подключить флешку как новый сетевой диск. Самое неприятное - букву подключаемого диска придется угадывать, но в принципе ничего сложного в этом нет. Сам так с флешок сгружал данные один раз - сотрудник тупо таскал все рабочие документы на флешке, чтобы избежать внезапного увольнения. Не помогло, лол.
Стори есть?
Будет, почему нет? У нас куча пое-телефонов в обычные розетки включается, бывает и временные точки доступа вешаем в обычные пользовательские розетки.
>запилил шедюлю, которая отправит по адресам если раз в день ты не будешь нажимать кнопку
Ты тетрадки смерти пересмотрел, похоже. Если страх и правда высок, анону просто нужно пойти в отделение и написать заявление на этого чувака - менты придут к нему и все проверят. При том в заявлении можно и приукрасить (ну что бабы были связаны или избиты), чтобы облегчить ментам получение ордера на обыск, например. Потом в случае чего скажешь, что краем глаза видел фотки то и показалось.
ОСВОБОДИТЕЛЬ - ЭТО НОРМА
Есть сеть микротиков из wi-fi точек, подключённые по капсману. Нужно подключить ещё одну, но мне в западло тянуть кабель, хочу замутить что-то вроде вай-фай репитера, но хз как его сконектить с капсманом(если просто создать SSIDы с теме же именами, то будет не практично подключаться клиентам - соседняя точка добивает в место установки).
wlan1 я сконектил к сети как стейшен.
Добавил виртуальный wlan2 и указал его как интерфейс, который слушает CAP.
В тегированный бридж запихнул wlan1 и wlan2, указал ему айпишник(бриджу), ебана.
Что дальше? Основной свитч не видит нехрена эту точку.
wlan1 я сконектил к сети как стейшен.
Добавил виртуальный wlan2 и указал его как интерфейс, который слушает CAP.
В тегированный бридж запихнул wlan1 и wlan2, указал ему айпишник(бриджу), ебана.
Что дальше? Основной свитч не видит нехрена эту точку.
приветствую, господа
помогите советом.
работаю в крупной компании (провайдер) около 7 лет. имею неебический опыт в строительстве, модернизации и обслуживании сетей линии связи. хочу перекатываться потихому куда-то дальше от этого дна, но в этой сфере хотелось бы остаться.
в тоже время в администрировании полный 0. только лёгкие задачи мб могу выполнить.
в каком направлении двигаться? задумался о доп образовании, даже уже оформился в одном из ВУЗов на получении доп. квалификации.
помогите советом.
работаю в крупной компании (провайдер) около 7 лет. имею неебический опыт в строительстве, модернизации и обслуживании сетей линии связи. хочу перекатываться потихому куда-то дальше от этого дна, но в этой сфере хотелось бы остаться.
в тоже время в администрировании полный 0. только лёгкие задачи мб могу выполнить.
в каком направлении двигаться? задумался о доп образовании, даже уже оформился в одном из ВУЗов на получении доп. квалификации.
>даже уже оформился в одном из ВУЗов на получении доп. квалификации.
А это накой?
Хочешь дальше работать с сетями, но уйти из оператора? Почему, кстати? получаешь же "неебический опыт"? Зачем уходить? Денег мало?
Дорога одна - либо крупный энтерпрайз сетевиком, либо интегратор.
Лучше второе, по-моему. Хотя много нюансов.
Охуеть просто объемы, спасибо.
Доброго дня, коллеги.
Посоветуйте, что мне выбрать...
Есть два офера. Один в совершенно незнакомую мне сферу - банкинг: 60% времени администрирование linux, postgres и 40% hadoop c прочими bigdata обвесами (ранее с большими данными не работал). зп 115.000
Второй в соседний отдел на знакомый мне проект связанный с госуслугами набор стандартный - веб серверы, управление кофигурацями, деплой приложений. зп 130.000
Что выбрать?
Сам считаю изучение больших данных будет полезнее и перспективнее, но одолевают сомнения.
Посоветуйте, что мне выбрать...
Есть два офера. Один в совершенно незнакомую мне сферу - банкинг: 60% времени администрирование linux, postgres и 40% hadoop c прочими bigdata обвесами (ранее с большими данными не работал). зп 115.000
Второй в соседний отдел на знакомый мне проект связанный с госуслугами набор стандартный - веб серверы, управление кофигурацями, деплой приложений. зп 130.000
Что выбрать?
Сам считаю изучение больших данных будет полезнее и перспективнее, но одолевают сомнения.
Стоит ли уходить в desktop разработку или лучше в web? Пишу под десктоп 5 лет.... Денег не оч.....
Гспда, объясните популярным языком, зачем OSPF в LSA-1 для интерфейсов point-to-point создаёт две записи о каналах: одну для канала типа 1 (point-to-point), а вторую типа 3 (stub network), в которой в LinkID указывает IP своего point-to-point интерфейса с маской в 32 бита?
В чем конкретно вопрос? Почему нельзя было все уместить в одной записи? Ну наверное можно было, но сделали так, как более универсально. Запись типа 1 создается для любой сети, в которой нет выборов DR, а запись типа 3 добавляется, если в этой сети есть еще и сосед. Если информацию о наличии соседа вообще не распространять и полагаться лишь на совпадающие подсети у разных роутеров, тогда можно получить ситуацию, что маршрут через какую-то сетку рассчитался как лучший, а в реальности там по каким-либо причинам нет связности (как и соседства) между роутерами, в итоге весь трафик потеряется.
Потрогал тут намедни jail. Собирал по крупицам все, что нужно по настройке из разных мануалов. Говнина ёбаная, в общем, так и не настроил нормально.
Вопрос: нужно это вообще где или нет? Кто-нибудь вот из вас лично её использует?
Вопрос: нужно это вообще где или нет? Кто-нибудь вот из вас лично её использует?
>Потрогал тут намедни jail
Что это?
>ужно это вообще где или нет?
чтоб узнать нужно это или нет — заходишь на HH, забиваешь в поиске по тексту вакансий "jail" и смотришь сколько контор хотят от тебя знаний этого продукта.
> Потрогал тут намедни jail. Собирал по крупицам все, что нужно по настройке из разных мануалов. Говнина ёбаная, в общем, так и не настроил нормально.
> Вопрос: нужно это вообще где или нет? Кто-нибудь вот из вас лично её использует?
По моему это говно мамонта сейчас никому не нужно. Изучай лучше контейнеризацию и облака.
На 15-й минуте есть ответ на твой вопрос:
https://www.youtube.com/watch?v=wQX88Kw7qxQ
Если коротко, то это просто такая особенность реализации LSA1 для линков точка-точка - рассказываем через LSA1 о сетях между нами и вторым сообщением в этом же LSA1 говорим еще о сетке нас соединяющей, которая всегда представляется как стаб-сеть. В данном случае стаб-нетворк нужно переводить не как сеть-заглушку, а как огрызок/обломок сети, ИМХО.
Сетевики в треде задолбали. Объясните мне, зачем вы вообще нужны НЕ В ПРОВАЙДЕРЕ?! Давно пора уже вас заменить и уволить к чертовой матери, только на двачах сидите и трёте про OSPF
Пусть сидят, в чем проблема-то?
>Пусть сидят
нехуй!
Ну а если люди хотят деньги так зарабатывать?? Надо будет и уйдут.
Чо кого, ананасы? За сколько можно войти в тестировщики, чтобы получать 30-40к мухосранских?
>зачем вы вообще нужны НЕ В ПРОВАЙДЕРЕ?
Бизнес бывает большой, например. Десятки и сотни филиалов - все должны быть связаны между собой и иметь доступ к централизованным ресурсам, чтобы когда ты пришел в соседний офис, тебя не спрашивали кто ты такой, а уже ждали... В каждом офисе нужны кассы, эквайрниг, банкоматы подключенные к инету, сотрудникам еще и сам инет нужен, лол. Плюс IP-телефония она как бы не случайно "ip" называется... Ну и когда такое большое количество линий связи - какие-нибудь постоянно падают, соответственно нужны люди, которые бы, во-первых, строили резервные каналы, там где это надо, во-вторых, диагностировали и устраняли аварии и/или заводили заявки провайдерам в тех. поддержку.
сколько весит то в сумме?
1,48 ТБ - я тоже в яндекс-помойке не сразу нашел где посмотреть...
помогите придумать тему для диплома по информационной безопасности
с меня как обычно
с меня как обычно
У безопасников тред есть, поищи, может там более толковые советы дадут.
С нуля долго вкатываться в айти?
Я сейчас поступил на заочку, думал пока идти работать каким нибудь мерчендайзером, и попутно зарабатвыать гроши и учить сети. Нормальный план аноны? Или лучше сразу эникейщиком?
Я сейчас поступил на заочку, думал пока идти работать каким нибудь мерчендайзером, и попутно зарабатвыать гроши и учить сети. Нормальный план аноны? Или лучше сразу эникейщиком?
Тебя сейчас успешные синьоры из силиконки нахуй начнут посылать, так что готовься.
Со знанием динамической маршрутизации и умением работать в линукс-терминале не на уровне скриптов, а также опытом работы эникеем в разных конторах больше полугода долго вкатываться в айти?
>умением работать в линукс-терминале не на уровне скриптов
А на уровне чего?
КМС
КМС по работе в линукс-терминале не признают скрипты?
Пиздато провел время на VmWorld 2017, осознал насколько айти изменилось за год.
Обязательно поеду в следующем году, Барселона охуенна.
мимо VCAP-CCIE
Обязательно поеду в следующем году, Барселона охуенна.
мимо VCAP-CCIE
> Пиздато провел время на VmWorld 2017, осознал насколько айти изменилось за год.
На сколько изменилось?
Спасибо, понял.
Глобально. Админвы вымерли и ненужны, всё автоматизированно, повсюду облака. Ну это если коротко.
Ну эту модную мантру повторяют сейчас все кому не лень. Только вот мода эта пройдет, а админы так и останутся. Изменения в отрасли конечно происходят, но так ведь они постоянно происходят и так в IT было всегда, чему тут удивляться?
Подскажите ньюфагу, я сам не айтишник, чтото мне кажется мои айтишники мне ебут мозг.
Есть www.sitename.ru - на котором крутится почтовый сервер вида [email protected]
Сейчас у нас сделали ребрендинг и придумали новое имя для сайта newsitename.ru Все это лежит у провайдера.
Нужно чтобы можно было слать и отправлять почту как на электронный адрес [email protected] так и на [email protected] чтобы это был один и тот же почтовый ящик. При этом на старом адресе должен висеть старый сайт, а на новом новый.
Так вообще реально сделать, наш сисадмин говорит что нет. Но чтото мне кажется он пиздит.
Есть www.sitename.ru - на котором крутится почтовый сервер вида [email protected]
Сейчас у нас сделали ребрендинг и придумали новое имя для сайта newsitename.ru Все это лежит у провайдера.
Нужно чтобы можно было слать и отправлять почту как на электронный адрес [email protected] так и на [email protected] чтобы это был один и тот же почтовый ящик. При этом на старом адресе должен висеть старый сайт, а на новом новый.
Так вообще реально сделать, наш сисадмин говорит что нет. Но чтото мне кажется он пиздит.
>Глобально. Админвы вымерли и ненужны, всё автоматизированно, повсюду облака. Ну это если коротко.
Анон, но облака же тоже надо админить. Админят же не только железо, а приложения. Базы данных, нагрузку на них, веб-сервера, число запросов, о пердолинге всяких Дженкинсов в контейнеры на AWS я вообще молчу.
Админы не вымирают, вымирают лишь те, кто не может подстроиться под изменения.
А сетевики вообще не вымрут никогда! Если контора большая, то без сетевика там никуда, даже все в облаках.
https://peterhost.ru/wiki/%D0%9D%D0%B0%D1%81%D1%82%D1%80%D0%BE%D0%B9%D0%BA%D0%B0-MX-%D0%B7%D0%B0%D0%BF%D0%B8%D1%81%D0%B5%D0%B9/
Если необходимо настроить приём почты сторонним почтовым сервером, например, почтовой системой yandex, нужно сделать следующее чтобы направить почту на сервер mx.yandex.net:
Зайти в панель управления, выбрать пункт «Домены». Нажать на необходимый домен, например, example.ru и убрать галку напротив «Принимать почту».
В «Настройке параметров DNS» для домена example.ru нужно добавить MX-запись. Необходимо выбрать тип «MX», написать строку «mx.yandex.net.» (точка на конце обязательна) и выставить приоритет 10. Затем нажать на «Добавить в записи».
После первого внесения каких-либо изменений в настройки домена он приобретает статус домена с пользовательскими настройками и автоматически утрачивает префикс www и стандартные А и MX записи.
Чтобы сайт example.ru после внесённых изменений отзывался так же по www.example.ru, необходимо добавить поддомен www.example.ru и, после создания, привязать его к сайту, к которому уже привязан домен example.ru.
Там не сторонний почтовый сервер, там тот же самый, но чтобы почта отправленная по новому адресу - новое имя сайта. Это чтобы потихоньку переводить сотрудников везде с одного почтового адреса на другой. Сервер тот же а адрес после @ новый.
>Так вообще реально сделать
Теоретически можно иметь разные A-записи у двух доменов, но одинаковые MX записи. Практически ограниченный и убогий почтовый сервер провайдера, скорее всего, не сможет правильно обработать письма присланные на новый домен, т.к. он про него ничего не знает. Можно попробовать решить это созданием алиаса с одного домена на другой, но тогда два домена будут вести на один сайт... Ну или если у вас таки нормальный выделенный почтовый сервер, аля майкрософт эксчендж, то там такое настроить можно, хотя и не без трудностей, например, нужен будет один сертификат на оба домена...
А видели ли вы, стадо итишников грызущихся между собой за пайку повышение? Это пиздец, господа. Наблюдаю сейчас такое, подставы, интриги, сплетни - ебанные ботанов, хуже баб. И все думают, что повысят и сделают погонщиком именно его. Пиздец.
>А видели ли вы, стадо итишников грызущихся между собой за пайку повышение?
Нет, такого не видели. Скорее наоборот — отказ от административной работы линейного руководителя и полную отдачу любимому делу.
Двачую, у меня один коллега пытался подсидеть начальника, добился увольнения другого , более смекалистого программиста и в итоге я нарыл на него компромат и его уволили.
Почему я стал рыть на него компромат? А этому пидорасу сделали зарплату на 30 тысяч больше чем мне.
Смысл быть начальником? Деньги почти те же, а геморроя больше. И работа неинтересная.
Гораздо лучше развиваться в своей области, повышать квалификацию, инженерные навыки. Ну и до кучи можно развивать и софт скиллз.
Гораздо интереснее быть архитектором/ведущим инженером с з.п. 200к/мес, чем началником отдела в каком-нибудь ёба-интерпрайзе с возможностью вылета из конторы и хер ты потом куда устроишься таким же начальником..
Гораздо лучше развиваться в своей области, повышать квалификацию, инженерные навыки. Ну и до кучи можно развивать и софт скиллз.
Гораздо интереснее быть архитектором/ведущим инженером с з.п. 200к/мес, чем началником отдела в каком-нибудь ёба-интерпрайзе с возможностью вылета из конторы и хер ты потом куда устроишься таким же начальником..
Бля, хочу себе такую же шляпу.
>А сетевики вообще не вымрут никогда!
CLI to API.
>CLI to API.
Что ты хотел этим сказать, анон? Сетевик просто меньше будет конфижить железо через CLI, а будет делать это средствами автоматизации.
Сетевики вообще, я считаю, самые крутые.
...по сути превратившись в полу админа (всё виртуализированно, дрочит виртуализацию) полу прогера.
Ты бы трахнул сетевика? Ну вот если бы допустим сам был сетевиком?
я и есть....
>Ты бы трахнул сетевика?
Если только уровень не ниже CCNP
На самом деле самые крутые это виндоадмины - элитарны, крутят огромными суммами, самые образованные, имеют самые глубокие фундаментальные знания. При этом всегда используют актуальные решения, иначе с МС никак.
>На самом деле самые крутые это виндоадмины
Так вот где вы, шакалы, обитаете, стадо обиженок в борьбе за пайку. Правду говорят, пидорское отродье вы, все самые худшие стороны баб у вас X2.
Двачую, все самые худшие стороны баб у вас X3.
Некоторые думают, что будут хуи пинать в своем большом кабинете за 300к в секунду.
Езжай на VmWorld 2018, изи же
Парни, подскажите годный софт для создания виртуальной камеры. Нужно сделать так, чтобы создалась камера, в которой можно вести трансляцию в режиме реального времени, выставить область захвата видео, например, часть рабочего стола, и при общении в скайпе просто переключить камеру и чтобы показывалась именно эта область, после чего, соответственно, спустя некоторое время возвращается обычная камера вместе с ебалом говорящего.
на ebay закажи.
Только нахуй тебе такая шляпа?
Гугл: virtual webcam linux
https://superuser.com/questions/411897/using-desktop-as-fake-webcam-on-linux
Ответ:
modprobe v4l2loopback
ffmpeg -f x11grab -r 15 -s 1280x720 -i :0.0+0,0 -vcodec rawvideo -pix_fmt yuv420p -threads 0 -f v4l2 /dev/video0
> >А сетевики вообще не вымрут никогда!
> CLI to API.
Кстати тренд на виртуализацию тех же сетей тоже наметился. Даже циска имеет виртуальные аплаинсы роутеров и асашек. Да и свитчи тоже есть.
То то я смотрю вакансий виндоадминов все меньше и меньше. А оно вон как.
Смехуечки да пиздохаханьки, а я из эникейщика так до айтидиректора дорос.
Да, пердоли часто забывают что айти-управленцы - все из виндовых админов. потому что никто в здравом уме пердолику не доверит управлять чем-то кроме консольки
Я не испытываю к ним чувства превосходства,но в социалку айтишники могут очень немногие.
Ну только виндовые, да.
Ребятки, IT-директор это совсем другое. То, кем вы стали из эникея и виндоадмина это не IT-директор, а главный админ. Ставший по серверам, главный по пердолингу мышек и закупки принтеров.
IT-директор это человек от бизнеса, это про бизнес-процессы, ERP-системы, вот про это вот всё. И это человек с окладом минимум 300к в ДС. Не тешьте себя иллюзиями.
IT-директор это человек от бизнеса, это про бизнес-процессы, ERP-системы, вот про это вот всё. И это человек с окладом минимум 300к в ДС. Не тешьте себя иллюзиями.
тоже мне ИТ директора нашлись. Манямир да и только.
Разве что защеку принимать и говорить - через секунду будет готово они могут, а не руководить. Типичные омежки в иерархии it. Толи дело релиз менеджеры, успешные альфа самцы со сталью во взгляде. Или на худой конец бетки аналитики, которые так и жаждут место альфачей- менеджеров
>релиз менеджеры, успешные альфа самцы со сталью во взгляде. Или на худой конец бетки аналитики,
двачую.
Это настоящее ИТ. А пердолить сервера....тьфу блядь! зашквар....
Гуманитарий разкукарекался.
В моей стране это называют "сарказм".
>Глобально. Админвы вымерли и ненужны, всё автоматизированно, повсюду облака. Ну это если коротко.
Ебать ты хуйню несешь анон. Кто из энтерпрайза уже ушел в облако?
Крупный энтерпрайз начал уже. Просто там медленно всё.
>Крупный энтерпрайз начал уже. Просто там медленно всё.
Кроме Амазона никто и не двигается в облако. Даже "Майки" только всякую хрень вынесли в облако. Из крупных игроков пока никто туда не спешит, так что в ближайшие лет 5-10 можно не париться.
облако дороже своего собственного ЦОДа выходит в долгосрочной перспективе. А тем более, если ЦОД уже есть.
> >Крупный энтерпрайз начал уже. Просто там медленно всё.
> Кроме Амазона никто и не двигается в облако. Даже "Майки" только всякую хрень вынесли в облако. Из крупных игроков пока никто туда не спешит, так что в ближайшие лет 5-10 можно не париться.
Причём тут амазон? Это облачный провайдер. А речь про потребителей облаков. Очень многие современные конторы даже и не думают строить локальную инфраструктуру, а сразу пилят все в облаках (хоть в амазон, хоть в других). Пока ещё есть крупные "старые" энтерпрайзы, которые в свое время настроили инфраструктуры и просто по инерции сидят на ней. Но это дело времени, они либо перейдут в облака либо не выдержат конкуренции.
Поэтому те, кто хотят заниматься админством лет через 5, должны сегодня вовсю вкатываться в облака. Забугром как обычно все впереди, поэтому то же фриланс админство на забугорного дядю требует в более половины вакансий знания амазона, азура и реже гугл облаков.
> облако дороже своего собственного ЦОДа выходит в долгосрочной перспективе. А тем более, если ЦОД уже есть.
Это уже вопрос бюджетирования. Очень часто бюджет позволяет опекс и не может в крупный разовый капекс на свой цод.
>Причём тут амазон? Это облачный провайдер. А речь про потребителей облаков. Очень многие современные конторы даже и не думают строить локальную инфраструктуру, а сразу пилят все в облаках (хоть в амазон, хоть в других). Пока ещё есть крупные "старые" энтерпрайзы, которые в свое время настроили инфраструктуры и просто по инерции сидят на ней. Но это дело времени, они либо перейдут в облака либо не выдержат конкуренции.
Амазон при том, что он помимо провайдера - сам пользуется своим облаком. Майки тоже провайдеры - но у них вся инфраструктура типовая и никуда не двигается. И какой конкуренции они не выдержат? Если MS не пойдет в облако он погибнет? Если банки не перейдут в облако (а они не перейдут) - они погибнут?
Какие многие современные конторы? Стартапы с >100 человек? Они нахер никому не нужны. Реальное движения ИТ только в энтерпрайзе. Пока они массово не пойдут в облако - оно нахер не сдалось.
>Забугром как обычно все впереди, поэтому то же фриланс админство на забугорного дядю требует в более половины вакансий знания амазона, азура и реже гугл облаков.
Ну давай конкретно - кто впереди? Кто из энтерпрайза уже в облаке?
Мс давно уже на офис365. То есть на облаке. Никому сегодня локальная AD с exchange уже не нужны. Россия тут немного отстаёт, но тоже движется в эту сторону.
Облака-облака...я конечно может чего и не понимаю, вы мне объясните, НО что там знать в "облаках" такого? Что там в AWS? Рокет саенс что ль какой-то? Ну E2, ну инстансы создаешь, ну виртуализировано все у тебя. Так дальше-то что? У меня и сейчас все виртуализировано, только вместо консоли амазона консоль vmware vsphere. Даже если моя компания завтра уйдет в амазон, не вижу никаких проблем для себя админить туже инфраструктуру, но там.
>Это уже вопрос бюджетирования. Очень часто бюджет позволяет опекс и не может в крупный разовый капекс на свой цод.
Вот мы сейчас делаем резервную площадку для отказоустойчивости. Был вариант взять облако. Отказались. В итоге берем оборудование в лизинг и размещаемся в соседнем с офисом датацентре.
А что хорошего в существовании менеджера? Зарплаты, сами по себе, не сильно выше инженерских. Нет, я не спорю, начиная с определенного уровня появляются вполне приличные годовые бонусы. Но это уже уровень директора. Куда приятнее быть каким-нибудь главным инженером. Над тобой начальства практически нет. Твори что хочешь.
так и не выносим в облако — делаем свой
обоссал в ответку
> Куда приятнее быть каким-нибудь главным инженером.
Согласен. Деньги те же, работа приятнее, да и стабильнее.
>Но ведь хотели, нищуки ссаными. Не оправдывайся смерд.
Хотели — каюсь. Сэкономить решили, да не вышло. Нищебродствуем потихой.
>Куда приятнее быть каким-нибудь главным инженером. Над тобой начальства практически нет. Твори что хочешь.
Где это такое, чтобы инженер творил что хотел?
>Где это такое, чтобы инженер творил что хотел?
В нормальной конторе, которая занимается внедрениями и продажей, инженер может творить что хочет. Конечно, в рамках дозволенного.
Инженер он на то и инженер, чтобы "творить", а не кнопки наживать "Далее-Далее-Готово", как админ.
Провайдер, например. Есть бюджет, есть задача поставленная в общих чертах. Если ты главный инженер - конкретный дизайн определяешь ты сам.
>Если ты главный инженер - конкретный дизайн определяешь ты сам.
А если ты в интеграторе, тебе говорят: "О! А давай-ка им напроектируй-ка на пару лямов дороже решение. А это разумное и масштабируемое, которое ты предлагаешь сейчас - нахуй!"
Еще бывают заказчики с техзаданием "сделай нам круто". Но реально - сделать проект необоснованно дорогим не очень сложно. И, в общем-то, ничем кроме огорчения, что решение неоптимально тебе это не грозит.
Бизнес-аналитики есть? Хочу вкатиться в эту профессию, при том, что в ойти я ноль, что читать/изучать?
И хотелось бы услышать о самой работе: нравится ли она вам, как процесс, какие взаимоотношения в коллективе, и, естественно, зп.
И хотелось бы услышать о самой работе: нравится ли она вам, как процесс, какие взаимоотношения в коллективе, и, естественно, зп.
>специалистов на стороне облака
Каких нахрен специалистов на стороне облака? Тех же самых админов за те же самые деньги, которые будут администрировать те же приложения, что и мы, только по SLA и с 9-18 пн-пт?
> предоставят и специалистов на стороне облака.
Это возможно, если в компании три айтишника и 50 человек народа.
В нашей один ИТ департамент 100 человек.
>Бизнес-аналитики есть?
Годная профессия. Перспективная в плане карьеры.
Правда отчего ты хочешь туда, если никогда ни в ИТ, ни в БА не работал
>В нормальной конторе, которая занимается внедрениями и продажей, инженер может творить что хочет. Конечно, в рамках дозволенного.
>Инженер он на то и инженер, чтобы "творить", а не кнопки наживать "Далее-Далее-Готово", как админ.
В нормальной конторе, а нормальные конторы это энтерпрайзы - такого инженера, который будет творить что хочет - пошлют нахуй. Даже если ты главный инженер - ты не можешь делать, что хочешь. Ты будешь делать только то, что нужно бизнесу. Да и над таким инженером еще куча архитекторов.
>Инженер он на то и инженер, чтобы "творить", а не кнопки наживать "Далее-Далее-Готово", как админ.
Ты дебил? Инженер = админ. Творят только архитекторы.
Дебил-то как раз ты!
Инженер=архитектор
Админ=макака с мануалом в руках
причем макака, которая часто [почти всегда] не понимает, как работает то, что админит, изнутри. Как, например, обрабатывается пакет на уровне железа, на уровне архитектуры.
Ну одно слово - макака. Знает какие внопки нажать и в какое время. Семь бед - один ресет.
ничего, осталось совсем немного и их заменит ИИ.
IT-тред
Поддвачну этого господина.
>бизнес-аналитики, архитекторы, инженеры, макаки
Уж лучше б в треде и дальше сетевики сидели...
Уж лучше б в треде и дальше сетевики сидели...
Ну, они хотя бы работу и вакансии обсуждали...
Странно, я ничего не почувствовал... похоже, у тебя нет хуя.
>эти бетки.
Ты хотел сказать эти гаммы?
Да это даже не о-меги, а о-микроны, вот например:
Т.е. пятница и ты решил, что можно нихуя не делать и при этом утверждаешь, что круче сетевиков, хотя у тебя даже хуя нет? ЛОЛ.
Одна IT компания время от времени проводит стажировки на эту вакансию, при этом главное требование - очень хороший англ.
Конкуренция при этом большая.
Однако, я полагаю, очень хорошим бустом будут хоть какие-то знания в области бизнес-анализа, которые я показал бы на собеседовании. Поэтому реквестирую какую-то литературу или советы.
Курсы в данном случае будут хорошим вариантом. Школа ИТ менеджмента или что подобное.
Собственно, вот:
Обязанности:
участие в процессе первоначального анализа проектов
общение с иностранными заказчиками (выработка вопросов и обсуждение их с заказчиком, сбор и уточнение требований, подготовка презентаций компании)
разработка и описание user experience программных продуктов совместно с командой дизайнеров
анализ и документирование требований, подготовка коммерческих предложений, тех заданий и другой документации
поддержка проектной документации, отслеживание изменений в требованиях, взаимодействие с командой разработки,
взаимодействие с заказчиком в ходе проекта (обсуждение возникших вопросов, уточнение требований, демонстрация ПО и т. д.).
Обязательные требования:
уровень знания английского не ниже advanced (общение с заказчиком происходит на английском, как письменно, так и устно)
высшее техническое образование
большой личный интерес к IT-сфере, приложениям, современным IT-продуктам и технологиям
желание работать и профессионально развиваться в сфере технического и бизнес анализа
внимательность‚ аккуратность‚ умение работать в команде, инициативность‚ стремление к самостоятельному развитию
Приветствуются:
опыт работы в сфере разработки, анализа, сопровождения или контроля качества ПО
глубокие знания в области user experience
навыки написания, анализа и поддержки проектной документации на английском языке
опыт работы над одним из типов проектов:
приложения для мобильных устройств (iPhone/iPad, Android, Windows Phone)
приложения со сложной бизнес-логикой
кросс-платформенные приложения (Windows/*nix/OS X)
знание методик бизнес анализа, описания бизнес-процессов
В резюме кратко опишите выполненные проекты (для каждого проекта тип и проведённые работы).
Обязательным требованиям я в принципе удовлетворяю, что из перечисленного в "приветствуется" я мог бы освоить в короткие сроки?
Обязанности:
участие в процессе первоначального анализа проектов
общение с иностранными заказчиками (выработка вопросов и обсуждение их с заказчиком, сбор и уточнение требований, подготовка презентаций компании)
разработка и описание user experience программных продуктов совместно с командой дизайнеров
анализ и документирование требований, подготовка коммерческих предложений, тех заданий и другой документации
поддержка проектной документации, отслеживание изменений в требованиях, взаимодействие с командой разработки,
взаимодействие с заказчиком в ходе проекта (обсуждение возникших вопросов, уточнение требований, демонстрация ПО и т. д.).
Обязательные требования:
уровень знания английского не ниже advanced (общение с заказчиком происходит на английском, как письменно, так и устно)
высшее техническое образование
большой личный интерес к IT-сфере, приложениям, современным IT-продуктам и технологиям
желание работать и профессионально развиваться в сфере технического и бизнес анализа
внимательность‚ аккуратность‚ умение работать в команде, инициативность‚ стремление к самостоятельному развитию
Приветствуются:
опыт работы в сфере разработки, анализа, сопровождения или контроля качества ПО
глубокие знания в области user experience
навыки написания, анализа и поддержки проектной документации на английском языке
опыт работы над одним из типов проектов:
приложения для мобильных устройств (iPhone/iPad, Android, Windows Phone)
приложения со сложной бизнес-логикой
кросс-платформенные приложения (Windows/*nix/OS X)
знание методик бизнес анализа, описания бизнес-процессов
В резюме кратко опишите выполненные проекты (для каждого проекта тип и проведённые работы).
Обязательным требованиям я в принципе удовлетворяю, что из перечисленного в "приветствуется" я мог бы освоить в короткие сроки?
> что из перечисленного в "приветствуется" я мог бы освоить в короткие сроки?
Думаю что стоит начать с
>знание методик бизнес анализа, описания бизнес-процессов
Для общего развития и дополнительных (далеко не лишних) баллов продолжить
>опыт работы в сфере разработки, анализа, сопровождения или контроля качества ПО
Доступнее всего из этого будет
>контроля качества ПО
Объясните мне умственно-отсталому что же такое хорошее дают облака и почему в России от них будут отказываться? Во-первых, мы во всю обложены санкциями, которые со временем либо будут сняты, либо сохранятся в таком же виде как сейчас, либо наоборот, будут ужесточены. Если вдруг ты связываешься с каким-нибудь Амазоном, а ситуация будет развиваться по не самому оптимистичному сценарию-то ты огребаешь, отсюда вопрос, зачем в условиях неопределенности идти в облака, особенно наиболее актуальные-зарубежные. Во-вторых, зачем отдавать свою инфраструктуру по сути в чужие руки и постоянно платить за право ее использования, если любая компания может обустроить простейшую серверную, где все будет под контролем надежного человека внутри компании и которая не будет требовать постоянных ежемесячных вложений? Понятно, что на стадии внедрения затраты высокие, но по сути все купленное оборудование будет принадлежать компании, мелкий офис так вообще во многих случаях может отделаться множеством дешевых решений и собрать эту серверную из говна и палок, но при этом все будет работать и выполнять свою задачу. Так в чем суть, зачем лезть в эти облака и зависеть от другой компании? Я не троллю, просто реально не понимаю.
> Так в чем суть, зачем лезть в эти облака и зависеть от другой компании? Я не троллю, просто реально не понимаю.
Так и незачем, анон! Так и не лезут же! Ну кроме всяких говностартапов со смузи и митапами.
Ну охуеть вообще. Работать в нашем банке сети магазинов большая честь. Может им еще и двор мести надо будет параллельно программируя на питоне метлу?
Я хуею с этих дегроидов все больше и больше. Пусть главный магнитовский армян господин Сергей Аратюнян Галицкий сам идет за такие деньги на жту работу.
Я хуею с этих дегроидов все больше и больше. Пусть главный магнитовский армян господин Сергей Аратюнян Галицкий сам идет за такие деньги на жту работу.
Принятые устно заявки - это рофл, конечно. Ну и да, опытный пользователь ПК со с знанием линукс и пайтон. Будто такие люди бывают неопытными пользователями...
Я думаю знания python и shell здесь это не более, чем требование знать что такое есть и зачем это надо. никто не ждет, что на данную позицию будет аппалиться сеньор пайтон девелопер со знанием шелла
>Инженер=архитектор
>Админ=макака с мануалом в руках
Инженер = админ = макака. Архитектор это отдельная каста. В любом энтерпрайзе эти понятия очень сильно разделяются. В моей организации есть как инженеры, которые по сути админят свою часть инфраструктуры, так и архитекторы, который как раз занимаются развитием.
Вылезай уже из понятий говноконтор
>Во-вторых, зачем отдавать свою инфраструктуру по сути в чужие руки и постоянно платить за право ее использования, если любая компания может обустроить простейшую серверную, где все будет под контролем надежного человека внутри компании и которая не будет требовать постоянных ежемесячных вложений?
Сейчас придут спецы, который наелись лапши, и скажут, что это збс, а ты не шаришь.
А по сути ты прав. Облако - охуенное решение для стартапа, крупные конторы на такое не пойдут. Хуево хранить критическую для бизнеса информацию где-то там у дяди. А виртуализировать в масштабах организации уже научились даже мартышки.
>архитекторы, который как раз занимаются развитием
Это какого уровня энтерпрайз? Всероссийская торговая сеть аля магнит или тому подобное? Зачем там архитектор?
Или арзитектор это тот, кто решает какую циску поставить на этаж - 2950 или 2960?
Какие ТАКИЕ ДЕНЬГИ? Меньше 500 долларов? Я не подорвался, эта хуйня, и хуесосы вроде тебя ломают рыночек.
да-да расскажи мне. Ничего что у них висит линукс админ с набором скилов уровня rhcse c такой же зарплатой? Плюс еще хотят зание hadoop
НЕМАРТЫХА ПОГРОМИСТ 500 ТЫС В НАНОСЕКНДУ
>Или арзитектор это тот, кто решает какую циску поставить на этаж - 2950 или 2960?
Ну вообще если у тебя крупная компания то такие люди тоже нужны. Не только сиську. А еще и кучу другого железа и софта. Не все так просто.
Это называется рынок, когда им надоест брать мамкиных умельцев, которые ничего не могут-им придется повысить планку зарплаты на специалиста. И я вообще не очень понимаю твоего возмущения зарплате в Краснодаре, хочешь достойно зарабатывать-велком ту ДС или езжай заграницу, если навыки позволяют.
Правда глазки колит, в ход пошли баны. Ну ок, чё.
>Всероссийская торговая сеть аля магнит или тому подобное? Зачем там архитектор?
В организации, где в ИТ чуть больше чем пара стоек с говносвичами и говносерверами есть утвержденная стратегия развития. Если по твоему, архитектор ненужен в том же Магните, то хуево быть тобой.
>Или арзитектор это тот, кто решает какую циску поставить на этаж - 2950 или 2960?
Унификация оборудования - это первое на чем основывается ИТ. Есть ты разводишь зоопарк, то из тебя хуевый даже инженер, не то, что архитектор. Изначально прописывается необходимое оборудование и при аварии меняется на аналогичное. Только в случае общего обновления парка техники будет стоять вопрос о том, какую сиську и куда ставить.
Если есть домен то можно создать скрипт который будет детектить подключение флешки и копировать ее. но похоже это не для тебя.
>Если есть домен то можно создать скрипт который будет детектить подключение флешки и копировать ее. но похоже это не для тебя.
Какой нахуй скрипт? Корпоративные антивирусы уже давно умеют это делать. Тот же Симантик позволяет использовать в ПК только флешки из своего белого списка.
так он хочет порнуху с чужой флешки слить. Не слежу за антивирусами, потому как не тот спектр задач, но во времена моей молодости антивирусы флешки только блокировать могли. Точно не умели сливать с них данные.
Я и так в ДС, ващет. Мне климат не подходит. Россия это ебучий мордор, жить, реально, можно только на юге.
>так он хочет порнуху с чужой флешки слить. Не слежу за антивирусами, потому как не тот спектр задач, но во времена моей молодости антивирусы флешки только блокировать могли. Точно не умели сливать с них данные.
Тогда я мудак, не дочитал. Но вообще, не стоит ему помогать с этим. Это наказуемо не только пиздюлями.
Как и ожидалось, шиндовс омежки и их рабы красноглазики основательно порвались от менеджеробоярина и побежали жаловаться моду, как своей мамке. Пошлепал хуем по лбу им ещё разок, чтоб окончательно прояснить it иерархию.
Толковые джава разрабы (Кипр) и QA (Гонконг) пишите на почту [email protected]
Будем дружить
МСК тоже готов предлагать
Будем дружить
МСК тоже готов предлагать
Тебе тоже шлёпнул по лбу, хршлюшка. Хуй тебе, а не бонусы.
>архитектор ненужен в том же Магните, то хуево быть тобой.
Он только там и нужен. В конторе с ЦОДом от 30-40 стоек (не считая коммутационных по этажам) И то не архитектор, а грамотный инженер с опытом проектирования уровня ЦЦНП.
>Унификация оборудования - это первое на чем основывается ИТ. Есть ты разводишь зоопарк, то из тебя хуевый даже инженер, не то, что архитектор. Изначально прописывается необходимое оборудование и при аварии меняется на аналогичное. Только в случае общего обновления парка техники будет стоять вопрос о том, какую сиську и куда ставить.
Ребятки, это обязанности обычного сетевого админа. Архитектор это человек, отвечающий за внедрение какого-то крупного решения, например, за строительсво ЦОДа.
Опять тут манямир с маня ит-директорами по закупке картриджей и архитекторами с 2950 цисками по этажам!
тупорылый менеджер по перекладыванию бумаг повался и никак не может понять что все в мире не могут перекладывать бумагу так же как и он и что существует еще и другая работа
Тонкости в деталях. Например в aws нет доступа к консоли сервера. Одно неосторожности действие, которое кладёт сеть или ssh/rdp и сервер дауне и без консоли. Вопрос конечно решается, но если ты про такие вещи не знаешь, то можешь неплохо встрять. Плюс нужно уметь оптимизировать инфраструктуру так, что бы минимизировать стоимость.
>Он только там и нужен. В конторе с ЦОДом от 30-40 стоек (не считая коммутационных по этажам) И то не архитектор, а грамотный инженер с опытом проектирования уровня ЦЦНП.
Что ты блядь несешь? У меня в организации 2 ЦОДа, более сотни стоек, пары сотен инженеров и десяток архитекторов. Скажи им блядь, что всё хуйня и один грамотный инженер-проектировщик справится. Не перекладывай свои представления о говноконторах на энтерпрайз.
>Ребятки, это обязанности обычного сетевого админа. Архитектор это человек, отвечающий за внедрение какого-то крупного решения, например, за строительсво ЦОДа.
Ты хоть знаешь кто такой архитектор в ИТ и чем он отличается от менеджера проектов? С тобой вообще не о чем разговаривать, тупень.
>Тонкости в деталях. Например в aws нет доступа к консоли сервера. Одно неосторожности действие, которое кладёт сеть или ssh/rdp и сервер дауне и без консоли. Вопрос конечно решается, но если ты про такие вещи не знаешь, то можешь неплохо встрять. Плюс нужно уметь оптимизировать инфраструктуру так, что бы минимизировать стоимость.
А есть где-нибудь проектная документация по внедрению инфраструктуры в облаке на основе какой-нибудь фирмы? Интересно глянуть. Мне облака не нравятся, но ябыпочитал.
Каво?
Есть асошиэйд сертификация у майкрософт и амазон по своим облакам. Берешь и читаешь. Это для начала.
Если что у майкрософт есть софт для организации частного облака. Тоже кури соответствующую страничку по сертификацию.
> Так в чем суть, зачем лезть в эти облака и зависеть от другой компании? Я не троллю, просто реально не понимаю.
Это сервис. Любой сервис имеет преимущество - экономия времени и начальных затрат. В бизнесе это очень важно, выпустить свой продукт быстро и с минимальными затратами. Пока конкурент строит свой цод или два, тратит время на кредиты под цод, на завоз и монтаж оборудования, на пусконаладку, мы уже запустили первую версию продукта и получаем первую прибыль. Да, на длительных сроках может быть свой цод и окупится, но до них ещё дожить надо как то. Продукт к тому времени может уже не нужен никому будет, так как выйдет новая технология и нужно делать все заново. А свой цод тоже будет требовать апгрейда, так как среднее время службы железа 5 лет, после чего оно уже морально устарело.
ну поведай мне, умник
Шиндовс админ забатхертил. К ноге и что б через секунду rfc было готово, иначе среду пайку.
>У меня в организации 2 ЦОДа, более сотни стоек, пары сотен инженеров и десяток архитекторов.
>Ты хоть знаешь кто такой архитектор в ИТ
Чем занимается архитектор в ИТ и зачем там у тебя их десяток? Что они делают? И что энтерпрайз такой там у тебя с сотней стоек? Банк?
Ну это херня, мне интересен реальный опыт интеграции, а не теория.
>Чем занимается архитектор в ИТ и зачем там у тебя их десяток? Что они делают? И что энтерпрайз такой там у тебя с сотней стоек? Банк?
Банк, один из топ-10 по России.
Есть арх. совет, в котором состоят архитекторы разных направлений и которые решают, как будет развиваться ИТ в компании, а также как будет выглядеть инфраструктура в целом. Переносят потребности бизнеса в ИТ. Они занимаются созданием документации, прорабатывают стратегии и прочей херней. Участвуют в проектах в качестве экспертов и дизайнеров решений. Короче строители от ИТ.
Спасибо.
Гы. А что тут кто-то знает как обрабатывается пакет в железе?
Инженер не макака. Даже админ не макака. Вернее - не всякий инженер и не всякий админ. Я, например, потихоньку начинаю вылезать из макакинга.
ЦЦНП - это сертификат начального уровня, товарищ...
сотня стоек? серьезно? это по 50 стоек на цод. Иначе говоря, две комнатушки. В каждой по семь рядов в семь стоек? Богато, чо.
>сотня стоек? серьезно? это по 50 стоек на цод. Иначе говоря, две комнатушки. В каждой по семь рядов в семь стоек? Богато, чо.
Я думаю, это было утрировано. Но и "более сотни", не обязательно "больше 1 сотни".
>ЦЦНП - это сертификат начального уровня, товарищ...
>сотня стоек? серьезно? это по 50 стоек на цод. Иначе говоря, две комнатушки. В каждой по семь рядов в семь стоек? Богато, чо.
Сколько ж тебе надо?
Вообще похоже на правду. Я сам работаю в страховой ТОП-10, наверное. У нас 20 стоек к основном ЦОД, если его можно так назвать, 5-8 планируем на резервной площадке. Это что касается именно серверных шкафов.
Думаю что в банке из ТОП-10 как раз такое количество, которое и озвучил анон.
>ЦЦНП - это сертификат начального уровня, товарищ...
Среднего же. Их всего-то три, по сути. CCNA, CCNP, CCIE. Ну ещё и CCAr и CCDE, но их обычно не считают. А вообще сертификаты это херня, главное реализуемые проекты, реальные навыки и знания.
>Есть арх. совет, в котором состоят архитекторы разных направлений и которые решают, как будет развиваться ИТ в компании, а также как будет выглядеть инфраструктура в целом. Переносят потребности бизнеса в ИТ.
Это, наверное, больше применительно к бизнес-процессам и вот к этому вот ко всему? Бизнес-анализ, вот это вот всё? Или же нет?
Если же, например, открывается новый филиал на 2000 человек, то это архитектор решает, какая инфраструктура там будет? Какие коммутаторы, межсетевые экраны, какие сервера и СХД? Это делает архитектор? И если да, то что тогда делают инженеры?
Для работы сетевым инженером CCNP - начальный уровень. CCNA важнее потому что он как бы является пропуском в это направление. Но CCNA - это уровень младшего инженера смены NOC, чьи обязанности банальное оформление тикетов и поглядывание в мониторинг. Средний уровень - это пара профешнл сертификатов от пары вендоров. Интересные игры начинаются с уровня эксперта. Хотя сам сертификат эксперта требуется очень редко. Про уровень "гуру" всерьез рассказать не могу, поскольку им не обладаю. Предполагаю, требуется бэкграунд программиста на всяком Си (читать исходники операционной системы - иос, джунос или еще что-то в таком духе), затем навыки всякого питона для автоматизации, отличное знание железа вплоть до особенностей тех или иных чипов, например, бродкома, понимание архитектуры роутера какого-нибудь вендора. Опыт работы в техподдержке вендора в несколько лет итд. Я таких людей видел, они существуют.
Много больше надо. Но вообще, да, для написания нормального проекта даже для серверной в 100 стоек надо привлекать ГИПа (или архитектора или какое иное слово). Потому что масса разных подсистем - электрика, бесперебойники, кабельная инфраструктура, сервера, хранилки, сетевая активка, мониторинг, пожарка, охлаждение, контроль доступа. Просто сетевому инженеру это не написать. А раз будут писать разные люди каждый свою часть, то кому-то надо свести проект в единое целое.
Что ты вкладываешь в понятие "начальный уровень работы сетевого инженера"? Субъективно.
То, кого ты приводишь в пример ниже — гуру — это понятное дело высокий уровень. Не каждый вообще сможет дорасти до такого, да и на рынке таких специалистов нужно счетное количество.
Если сравнивать с такими гуру, то CCNP это вообще ни о чем. Но давай все-таки отталкивать от средних показателей и максимализм не включать
ССNA - просто пропуск в профессию. Без сложно рассчитывать, что тебя будут рассматривать всерььез.
CCNP - это начальный уровень с которым можно идти устраиваться в интегратор не стажером или в провайдера не в дежурную смену НОК. Речь не о сертификате (его вообще могут не попросить), речь о знаниях, которые положены, если человек его честно сдал.
Ок, что есть тогда средний уровень?
Ого, спасибо, так раз искал что-нибудь по AWS.
> Если же, например, открывается новый филиал на 2000 человек, то это архитектор решает, какая инфраструктура там будет? Какие коммутаторы, межсетевые экраны, какие сервера и СХД? Это делает архитектор? И если да, то что тогда делают инженеры?
Инженеры настраивают. Работают с командной строкой и жмут кнопки некст.
>Это, наверное, больше применительно к бизнес-процессам и вот к этому вот ко всему? Бизнес-анализ, вот это вот всё? Или же нет?
>Если же, например, открывается новый филиал на 2000 человек, то это архитектор решает, какая инфраструктура там будет? Какие коммутаторы, межсетевые экраны, какие сервера и СХД? Это делает архитектор? И если да, то что тогда делают инженеры?
Новый филиал открывается по уже готовому унифицированному шаблону, который был определен изначально. Разворачивают всё это инженеры, один из архитекторов может курировать проект в качестве эксперта наравне с менеджером проектов.
Архитектор более широкое понятие эксперта. Гл. инженер и эксперт жмут на кнопки, а архитектор планирует дизайн.
>архитектор планирует дизайн.
И планирует соединение всех систем в единое целое.
И еще и лавирует между запросами охуительными менеджеров, которые каждые 5 минут спрашивают, будет ли наш ЦОД agile или он будет big data отнимая время, помогает писать технические обоснование для закуперов и экономистов, охлаждает пыл всяких попильных контор сынков зам.зав.хоза, которые хотят впихать в проект свои охуительные бесперебойники по тройной цене, перепроверяет спецификации за вендрорами, которые не могут не обосраться и не накосячить даже если они поставляют 300 типовых серверов, проверять все за каждым инженером, чтобы он не налепил на схемах несовместимое с остальным ЦОДом говно, пересчитывать за сетевиками число и тип SFP+ модулей, так как они не в состоянии даже это сделать правильно. Мудохать по лицу ссаной тряпкой разработчиков, которые внезапно вспомнили, что им под приложение ЗАЛУПАБУХГАЛТЕР нужно 100ТБ еще емкости СХД, хотя их месяц спрашивали, чтобы они свои требования проверили 100 раз.
Потом еще на инсталляции проверять все и за всеми.
Лол блять. Буду лучше и дальше инженерить.
подскажите, что можно почитать по администрированию серверов, базовое и простое, для полного нуба
То есть есть отдельный человек, который занимается развитием инфраструктуры? И сетевой, и серверной одновременно?
Но инфраструктура не растет ведь с такой скоростью, чтобы для этого держать такого дорогостоящего спеца в штате? Или растет?
17-лвл-11класс кун на связи. Стоит ли вкатываться вайти? Куда поступать? Какие подводные? Правда, что я превращусь от этого в типичного программиста-задрота-чухана без личной жизни и замкнутого омежку? Когда я смотрю на своих возможных будущих коллег, это единственное, что меня отталкивает от сего выбора.
>Правда, что я превращусь от этого в типичного программиста-задрота-чухана без личной жизни
Абсолюная! Мне 30, нет девушки, живу с мамой, сколиоз, остеохондроз, простатит и заикание.
Ну и, естественно, я девственник.
>Мне 30, нет девушки, живу с мамой, сколиоз, остеохондроз, простатит и заикание.
>Ну и, естественно, я девственник. И всё это из-за айти.
У меня в мои 17 уже сколиоз 2 степени, зрение -6, хронический тонзиллит, слабый иммунитет. Так вкатываться вайти или нет?
>У меня в мои 17 уже сколиоз 2 степени, зрение -6, хронический тонзиллит, слабый иммунитет. Так вкатываться вайти или нет?
А ты что не айтишник? о_О Если нет, то не надо — айти убьёт тебя.
А куда тогда идти? Соц скилов не имею, хотя по обществознанию несколько раз тащил город и регион (но до всероса так и не дошел из-за ебанутых проходных баллов). Неплохо знаю инглиш, но недостаточно для ЕГЭ. Из физики только механику люблю. Помогите мне.
Какой я айтишник, я школьник. Но программирую на паскале я лучше всех в классе!
Можешь утешить себя тем фактом, что ты всё равно рано или поздно сдохнешь, составляющая тебя материя перейдёт в другие формы, а твоё сознание распадётся, как только нейроны в твоём умирающем мозге разложатся до консистенции говна. Вся твоя личность, всё твоё прошлое, настоящее и будущее, все твои амбиции, взгляды на жизнь, мировоззрение, всё что делает тебя тобой, всё это существует, лишь пока ты дышишь, и как только ты прекращаешь это делать, то всё вышеописанное просто исчезает в никуда, и вообще без разницы что ты там делал и чего добивался, как только ты придёшь к концу своего биологического существования, всё это не будет стоить абсолютно ничего. Без разницы, чем ты занимался, какие решения ты принимал - финал один. Так что делай, что хочешь, всем насрать, нет никакого "наследия", что ты после себя оставишь, если ты чего-то и добьёшься, того, что будет оценено людьми, то это быстро станет приниматься ими как должным и, в долгосрочной перспективе, не повлияет на их жизнь и принятие ими решений вообще никак. Неважно, насколько высоко ты заберёшься, в глобальном масштабе твоя жизнь не имеет абсолютно никакого веса, ты просто конгломерат элементарных частиц, случайно обретший способность осознавать себя, окружающий мир и своё место в мире. Ты - просто краткая стадия в их, частиц, существовании, ничтожнейший из отрезков Вечности.
Негилист()))
В гуманитарии что ли идти?
спасибо, как раз такое я и искал)
Объединил в своей мелкоконторе шесть разных офисов tinc'ом, при этом ставил его в каждом офисе на шлюз, которым являлся роутер простой с опенврт. Семь месяцев работает уже бесперебойно, с момента как сделал. Ещё и днс прикрутил, связанный с dhcp - хостнейм у машины автоматом превращается на сервере в А запись и сразу резолвится, при том из каждого офиса, потому что настроен днс форвординг.
Я стану сетевым архитектором, посоны?
Я стану сетевым архитектором, посоны?
>Я стану сетевым архитектором, посоны?
ты перерос эту должность.
Устроился на работу в хостинг
@
У тебя дома проц один мощнее, чем два в большинстве рабочих серваков
тру стори, все серваки на E5 собраны в наибомжовейшей конфигурации - 2x E5-2603v2, а у тебя дома один 2640v2
@
У тебя дома проц один мощнее, чем два в большинстве рабочих серваков
тру стори, все серваки на E5 собраны в наибомжовейшей конфигурации - 2x E5-2603v2, а у тебя дома один 2640v2
Какие-то ебанутые представления об айтишниках. Сплошные стереотипы.
Если приучен следить за собой, достаточно развит, чтобы иметь разносторонние интересы, то такого не случится.
Люблю анекдот про мужика, который купил шляпу, а она ему как раз.
Сколько стоит сейчас CCNA, CCNP? Есть ли смысл в умирающей профессии? Или лучше перекатиться в разработку?
>Сколько стоит сейчас CCNA, CCNP? Есть ли смысл в умирающей профессии? Или лучше перекатиться в разработку?
Нет никакого смысла. Сетевики не нужны, как и все остальные админы. Уже выяснили сотню раз тут. Перекатиться в данном случае = начать карьеру заново с работы за еду.
>Сколько стоит сейчас CCNA, CCNP?
Что именно, кстати? Сдать или пройти обучение?
CCNP кажется по 200 или 250 за экзамен. А их три.
Смысл есть во всем, что можно конвертировать в доход. Сетевикам платили, платят и будут платить (покуда существуют сети) - так что смысл в их работе, очевидно, есть. Разработчики, конечно, в среднем больше получают, но применимо ли конкретно к тебе это "в среднем"? Готов ли ты на несколько лет просесть по доходу в два раза, чтобы потом начать получать на 20% больше, чем сейчас? Окупится ли это вообще в долгосрочной перспективе? Так же и с сертификатами - ты потратишь время и деньги на них, а какого-то значимого увеличения зарплаты за это рынок в России тебе не предложит! Но как инструмент повышения самооценки и ускорения поиска новых мест работы в будущем - это может быть полезно, конечно.
Или в разработку или в админство облаков. В облаках кстати есть виртуальные сети. Пока они ещё не достигли той сложности что есть в обычных сетях, но это не за горами.
>или в админство облаков.
Чем админство облаков отличается от админства не облаков?! У нас вся инфраструктура облачная, например. Но облако частное. Инфраструктура облачная имеется ввиду.
Ты об этом?
Или ты имеешь ввиду, что надо пердолить AWS/Digital Ocean? Ну и тут тоже самое, по сути. Есть, конечно, специфика некоторая, но думаю тот, кто был стандартным обычным админом разберется в ней за непродолжительное время.
Сетевик, хочу до конца года сдать CCNP и CCDP.
На новой работе больше времени приходится тратить не на транспорт, а на WiFi и cucm, руководство хочет, что бы я познал еще и огромную инфраструктуру Microsoft - линк, Exchange, AD, SCCM и т.д.
Есть смысл в это вникать? Повысит ли это мою цену в будущем?
На новой работе больше времени приходится тратить не на транспорт, а на WiFi и cucm, руководство хочет, что бы я познал еще и огромную инфраструктуру Microsoft - линк, Exchange, AD, SCCM и т.д.
Есть смысл в это вникать? Повысит ли это мою цену в будущем?
>Microsoft - линк, Exchange, AD, SCCM и т.д.
У нас (я думаю во всех крупных компаниях) этим занимаются виндоадмины.
Не думаю, что знание продуктов майксософт повысит твою цену на рынке. Лишнем не будет, конечно.
Если учить сетевику что-то смежное, то лучше Linux.
>а на WiFi и cucm
А это, в общем-то, вещи неплохие. Сетевики ж тоже делятся на направления. Это просто одно из [точнее два]. И не самое плохое.
>Сетевик
>руководство хочет, что бы я познал Exchange, AD, SCCM
Ну если ты так распылишься, то в итоге не будешь ни одного, ни другого хорошо знать. Совсем разные направления, никак не дополняют же друг друга. Олсо, вангую, из тебя там шиву понемногу лепят, лол.
Виндой занимается коллега, хотят, что бы я мог иногда подменить.
Тут погружение в область рассматривается скорее как возможность. Ну посыл понятен, буду дальше ковырять свою сеть.
> Или ты имеешь ввиду, что надо пердолить AWS/Digital Ocean? Ну и тут тоже самое, по сути. Есть, конечно, специфика некоторая, но думаю тот, кто был стандартным обычным админом разберется в ней за непродолжительное время.
Вот все эти специфики и стоит изучать. Как публичных облаков, так и частных. Плюс как поднимать эти самые частные облака, как внутри облака строится безопасность, сеть, хранение данных и вот это все. Как и чем организовать веб морду самообслуживания пользователя облака (opennubula, vonecloud,...). Тут уже наступают гиперконвергентные решения, стоит хотя бы ознакомиться со это такое и в чем отличия от классики сервер +хранилка+сеть. Сегодня про них ещё мало кто слышал, завтра они могут стать трендом, как сегодня тренд на девопсов.
И да, это я даю совет анону, который спрашивает чего нужно изучать для вкатывания. Понятно что опытный админ и сам разберётся.
>Плюс как поднимать эти самые частные облака, как внутри облака строится безопасность, сеть, хранение данных
Нереально изучить это, будучи уже не трудоустроенным админом с опытом. Ну как, например, анон, который условно только и знает, как поменять картридж, изучит всякие openstack-и и vsphere-ы, схд и тому подобное?
Я полный отбитый дебил, работаю эникеем мелкойконторе. Есть несколько ПОСов, на них виндвс 10, она меня доебала. Можно ли как-то облегчить и ускорить ее работу или лучше снести и поставить семерку? Как в такой конторе прокачать свои ОЙ ТИ навыки? Я бы и рад нырнуть в питон и поставить сверхбыстрые асинхронные линукс-сервера бла-бла-бла, но пользователи, которые дрочат унылую ерпшку через лагаюший хром не поймут. Помогите довничу, умоляю.
У меня дома 10-ка для игорей. Ваще не тормозит, правда там железа на 200к рублей. На работе arch - тоже не тормозит, правда тут железо еще мощнее (кроме видяхи). Подозреваю, что "тормоза" связаны банально с медленными дисками и малым количеством оперативки. Для комфортной работы в хроме надо минимум 6-8 гигов...
Есть TP Link WR743ND v2. У него 4 порта + WAN. Так вот, я хочу сделать из него ТУПОЙ СВИТЧ. Я накатил на него OpenWRT(стоковая такое точно не умеет). Запилил интерфейс:
config interface 'lan'
option type 'bridge'
option ifname 'eth0'
option proto 'static'
option ipaddr '192.168.1.1'
option netmask '255.255.255.0'
option ports '0 1 2 3 4'
Втыкаю в WAN и не пингую его, перетыкиваю в LANовский порт всё ок.
config interface 'lan'
option type 'bridge'
option ifname 'eth0'
option proto 'static'
option ipaddr '192.168.1.1'
option netmask '255.255.255.0'
option ports '0 1 2 3 4'
Втыкаю в WAN и не пингую его, перетыкиваю в LANовский порт всё ок.
Записали меня на курсы по кастомной хуйне, я обрадовался, но потом вспомнил, что за эту радость придется отпахать +1 год. Сижу, думаю как отмазаться.
Ну должна же быть какая то литература на эту тему. На крайняк читать статьи на хабре и подобных ресурсах, смотреть вебинары от вендоров. Да, практики не будет, но хотя бы теория. Дальше пытаться пролезть туда, где эти технологии используют.
Анончики, осваиваю тут микротики. Возник вопрос по маршрутизации через eoip. Поднял я стенд на виртуалках - пикрелейтед. На каждой роутерось по два интерфейса ван (ether1) и Лан(ether2) соответственно. Ван - бридж с моей локалкой. Лан - по одной разной внутренней сети на каждый роутер. За натом у меня по одной шиндовс ХП.
Делаю как https://wiki.mikrotik.com/wiki/Russian/Построение_VPN_с_помощью_технологии_EoIP
Создаю eoip между ван интерфейсами. Обьеденяю его в бридж с лан портом на каждом маршрутизаторе, даю статик ИП бриджам 10.0.0.1 и 10.0.0.2.
Маршрутизаторы друг друга видят по этим внутренним ИП, а вот виндовсы друг друга не видят, хотя в винбоксе воявляется второй маршрутизатор.
Делаю как https://wiki.mikrotik.com/wiki/Russian/Построение_VPN_с_помощью_технологии_EoIP
Создаю eoip между ван интерфейсами. Обьеденяю его в бридж с лан портом на каждом маршрутизаторе, даю статик ИП бриджам 10.0.0.1 и 10.0.0.2.
Маршрутизаторы друг друга видят по этим внутренним ИП, а вот виндовсы друг друга не видят, хотя в винбоксе воявляется второй маршрутизатор.
Пиши между виндами не ходят?
Да. Между виндами не ходють. И между видой и ланом соседнего роутера. Хотя между ланами роутеров ходят. 10.0.0.1 видит 10.0.0.2. но не видит 10.0.0.20
Анон, это сложно будет. Я серьезно говорю.
Возьми какие-нибудь видеокурсы и вкатись админом в мелкоконтору. Изучи стандартную херню виндоадмина - днс, дхцп, ад, групповые политики, чуть виртуализацию и попробуй вкатиться.
Вот конфиг такой какой тебе нужен, но с wr842n, может отличаются названия устройств.
https://pastebin.com/RMSLbk9m
Днс и дхцп да. Ад с групповыми политиками конечно в энтерпрайзах ещё живы, но это вчерашний день. Нет смысла в 2017 начинающему админу студентоте погружаться в эту отмирающую область. Концепция byod, простота установки с умением обычного сотрудника ковырять базовые вещи в ИТ устройствах, переход софта в облако и браузер - вот это все ведет к тому, что завтра ad с групповыми политиками станут совсем не нужны (они и сегодня уже не так сильно нужны как раньше). Все больше людей будет работать вообще из дома через браузер.
Так что начинающему лучше сразу смотреть вперёд, что бы не оказалось, что через пять лет изученная AD нужна в двух местах на всю страну.
А как предлагаешь вкатываться в админство не зная что такое групповые политики?
У нас в энтерпрайзе живо еще как, но у нас довольно крупный энт.
Вкатиться получится на специалиста тысяч за 50-60, если все это подтянуть. Это ДС. И через пару-тройку лет можно будет выйти на нормальныйжоход 90-100
В оп-посте ясно написано - начинать надо работать сразу админом, не эникеем. А у админа меньше ста штук зарплата - смех. Так что сразу на сотку.
Трассировку от одной винды до другой в студию.
Лень вчитываться в спецификацию, но раз для трафика канального уровня сеть прзрачна, стало быть нужно слушать, куда ходюють arp-пакеты или какой там протокол определения адреса EoIP использует. Так что выложи ещё и состояние arp-таблиц для каждой из винд.
Ещё вчитался, там же у тебя натуральная звезда выходит, только с одним лучом. Что у тебя хаб, а что споке?
И что у тебя за ван-локалка? Она тоже на микротиках? Может быть имеет смысл использовать её в качестве транзита для тоннелей между твоими микротиками.
Короче, выкладывай конфиг.
До меня в моей конторе работал какой-то Вася, который пошёл сразу админом. По словам коллег, он не знал вообще нихуя, нихуя не понимал в адресации IP, не знал даже самых основ, и даже не хотел учиться. Естественно его быстро выслали нахуй.
Простой вопрос: есть ли избыточность в DMVPN без VRF и MPLS? SLA-костыли тоже не в счёт.
Пока что только пришёл к следующему:
1. Одна IGP AS на все туннельные подсети; Читать, как одна магистральная зона OSPF, потому что OSPF - сила
2. На каждом WAN-интерфейсе хаба/хабов - по одному отдельному mGRE-туннелю с уникальным tunnel id и с одной NHRP network-id;
3.1. Если у филиала один WAN-порт, то на нём создаётся столько mGRE-туннелей, сколько WAN-интерфейсов хаба/хабов планируется использовать для избыточности DMVPN;
3.2 Если у филиала больше, чем один WAN-порт, то - ???????????????????????????????????????????????? Щито делать? Нужно, чтобы с каждого WAN-хаба можно было достучаться до каждого WAN-интерфейса филиала. А это невозможно, поскольку два интерфейса маршрутизатора в одну подсеть вгонять недопустимо.
Пока что только пришёл к следующему:
1. Одна IGP AS на все туннельные подсети; Читать, как одна магистральная зона OSPF, потому что OSPF - сила
2. На каждом WAN-интерфейсе хаба/хабов - по одному отдельному mGRE-туннелю с уникальным tunnel id и с одной NHRP network-id;
3.1. Если у филиала один WAN-порт, то на нём создаётся столько mGRE-туннелей, сколько WAN-интерфейсов хаба/хабов планируется использовать для избыточности DMVPN;
3.2 Если у филиала больше, чем один WAN-порт, то - ???????????????????????????????????????????????? Щито делать? Нужно, чтобы с каждого WAN-хаба можно было достучаться до каждого WAN-интерфейса филиала. А это невозможно, поскольку два интерфейса маршрутизатора в одну подсеть вгонять недопустимо.
Сдавать информатику ЕГЭ?
>по одному отдельному mGRE-туннелю с уникальным tunnel id
Откуда это обязательное требование?
Вариант для 2 каналов в филиале:
Делаешь на двух хабах по 2 туннеля с пересекающимися network-id. На филиальном роутере 2 туннеля с nhrp mapping до каждого хаба.
>Откуда это обязательное требование?
Это для филиала с одним WAN. На нём придётся держать два туннеля. Чтобы маршрутизатор мог различать какой GRE-инкапсулированный пакет на какой из туннельных интерфейсов пришёл, необходимо их как-то помечать.
>Делаешь на двух хабах по 2 туннеля с пересекающимися network-id
XGU грит, что network-id это что-то сродни идентификатору router ospf n, суть - айдишник процесса, то есть он не обязан совпадать на хостах, взаимодействующих через nhrp. Но твоя мысль здесь ясна.
>На филиальном роутере 2 туннеля с nhrp mapping
Можно забить несколько NHS в конфиг?
>Можно забить несколько NHS в конфиг?
Можно, у меня так в проде работает.
Можно, у меня так в проде работает.
Тезис "сетевики не нужны" у меня вызывает умиление.
Они, скажем так, нужны, но очень дозировано.
анон, не совсем я понял как это "с пересекающимися network id"
В теории я знаю, что network id должны совпадать на частниках одного dmvpn домена.
> А как предлагаешь вкатываться в админство не зная что такое групповые политики?
> У нас в энтерпрайзе живо еще как, но у нас довольно крупный энт.
К тому времени, когда он доучится и вкатиться - будут не нужны в большинстве мест. Может в твоём махровом энтерпрайзе они ещё как пережить и поживут все 10 лет, но это будет именно пережиток.
Также дозировано, как кислород живым организмам?
>Концепция byod, простота установки с умением обычного сотрудника ковырять базовые вещи в ИТ устройствах, переход софта в облако и браузер - вот это все ведет к тому, что завтра ad с групповыми политиками станут совсем не нужны (они и сегодня уже не так сильно нужны как раньше). Все больше людей будет работать вообще из дома через браузер.
Безопасники передают привет BYOD. Эта концепция нахуй не нужна в энтерпрайзе.
>Безопасники передают привет BYOD
Согласен. Разве что в мелкоконторах и в стартапах разного толка.
Нихт. Byod нужен.
Безопасники постепенно прогибаются. Энтерпрайзы меняются.
> Безопасники постепенно прогибаются
Или просто ставят dlp.
>Безопасники постепенно прогибаются. Энтерпрайзы меняются.
Ты представляешь себе BYOD в каком-нибудь банке, например, уровня ТОП-10? Какого?
Даже у нас в страховой контроля хватает, а в банке я думаю вообще не вздохнуть, не пёрнуть. Какое там ещё Би Уай Оу Ди.
>в банке я думаю вообще не вздохнуть, не пёрнуть
Друг работает в банке в отделе потребительских кредитов - у него там ни в Интернет с рабочего компа выйти, ни флешку в комп вставить.
> >Безопасники передают привет BYOD
> Согласен. Разве что в мелкоконторах и в стартапах разного толка.
Завтра эти стартапы будут крупными конторами (те что выживут) и будут искать не олдскул админов, а как раз тех, кто умеет в новые подходы.
>а в банке я думаю вообще не вздохнуть, не пёрнуть. Какое там ещё Би Уай Оу Ди.
тоже самое и про облака публичные. 152-ФЗ, опасение за безопасность данных ближайшее время не даст такого рода энтерпрайзам уйти в облако.
> >в банке я думаю вообще не вздохнуть, не пёрнуть
> Друг работает в банке в отделе потребительских кредитов - у него там ни в Интернет с рабочего компа выйти, ни флешку в комп вставить.
Банки это пока ещё энтерпрайз старого подхода. Да, они будут сопротивляться новым подхода до последнего.
> >а в банке я думаю вообще не вздохнуть, не пёрнуть. Какое там ещё Би Уай Оу Ди.
> тоже самое и про облака публичные. 152-ФЗ, опасение за безопасность данных ближайшее время не даст такого рода энтерпрайзам уйти в облако.
У них будут частные облака.
>У них будут частные облака.
ну частные облака у них уже есть. Как и у нас. Вся инфраструктура виртулизирована, приложения доставлятюся пользователям через citrix. Если речь об этом, то это действительно надо учить. Но выучить это дома, я ещё раз говорю, не реально на должном уровне.
И почему то никого не парит, что сегодня клиент работает с банком со своего личного телефона или домашнего пк. Банкам все меньше нужно онлайн отделений, а значит все меньше спецов по ад с групповыми политиками. Будут нужны те, кто сможет сделать частное облако для банковских серверов, где все и будет лежать. Вот там внутри облака и будет основная работа по обеспечению безопасности.
Все меньше нужно офлайн отделений. Т9 епта заколебал.
>Будут нужны те, кто сможет сделать частное облако для банковских серверов, где все и будет лежать. Вот там внутри облака и будет основная работа по обеспечению безопасности.
Ну так админам крупных предприятий надо знать всё это: Hyper-V, VMWare, Citrix и тому подобное. Ты под частным облаком это имеешь ввиду? Это уже есть и вовсю работает. Но это внутри компании. А не в AWS/Digital Ocean
И клиенты это только верхушка айзберга. У банка кроме работы непосредственно с клиентами есть ещё куча всего, что требует особого режима безопасности, шифрования по ГОСТ и т.д..
>никого не парит, что сегодня клиент работает с банком со своего личного телефона или домашнего пк. Банкам все меньше нужно офлайн отделений
Тинькофф, залогинься.
Сейчас анон с двача будет пояснять банкам как им нужно работать
Народ, есть среди Вас нормальные автотестеры с java, C# и selenium?
Работа в Гонконге и Москве
Работа в Гонконге и Москве
Банки сами постепенно к этому двигаются.
> >Будут нужны те, кто сможет сделать частное облако для банковских серверов, где все и будет лежать. Вот там внутри облака и будет основная работа по обеспечению безопасности.
> Ну так админам крупных предприятий надо знать всё это: Hyper-V, VMWare, Citrix и тому подобное. Ты под частным облаком это имеешь ввиду? Это уже есть и вовсю работает.
Отчасти это. Все эти технологии тоже не стоят на месте. Завтра они тоже изменяться. Те же гиперконвергентные решения.
Ну, если это мир в котором кислородом дышит полпроцента живых организмов.
Про сисадмина Вконтакте:
https://medium.com/@anton.rozenberg/friendship-betrayal-claims-3f395bcc95fa
https://medium.com/@anton.rozenberg/friendship-betrayal-claims-3f395bcc95fa
>гиперконвергентные
Крутое слово.
Охуительная история
Добавлю ещё к списку изучения - микросервисы и контейнеризация. Все вообще идёт к тому, что через эн лет будут только гипервизоры (виртуализация) и контейнеры. Серверная ось в нынешнем виде это ненужная прокладка между приложением и железом.
>микросервисы и контейнеризац
туда же опенстек и автоматизация (chef, ansible и т.д. ), ну и питон до кучи.
ну раз контейнеры, значит ещё и k8s, docker swarm или аналоги.
А если подытожить, то это всё сегодня многие называют словом devops-инженер.
кто-нибудь на работе занимается пердолингом опенстека? у кого-нибудь он внедрен?
Стоит ли сначала окончить физмат, чтобы потом определиться, в какой конкретно сфере мне развиваться и работать? Сейчас 11 класс
>Стоит ли сначала окончить физмат
Образование, если тебе действительно удастся его получить; и тут я не про диплом говорю, а про Образование в широком смысле этого слова; даст тебе некую фору по жизни в дальнейшем. В том числе это может отразится на выборе карьеры. А может и не отразится, никто тебе заранее не скажет.
Мой совет — если есть голова и способности/интерес к обучению наукам, то стоит идти в физмат. Если же математика, физика и другие точные науки удовольствия не доставляют, учишься ты в средней школе и особо звезд с неба не хватаешь, то подучай над тем стоит ли идти в физмат и охуевать ещё 5 лет от этого всего дерьма, которое наверняка тебя к 11 классу уже заебало порядком.
Как же ты прав. Просто чувствую, что зря время теряю. Если бы знал куда идти, то уже бы съебался. А так сижу и затухаю.
учусь на 2 курсе физфака, интереса почти ноль, всё заебало
мне вот лично от слова цитрикс плакать хочется
везде где не вижу - все криво работает
слава богу не занимаюсь им
работают в втб капитале
почти ничего не залочено кроме файлопомоек, почты, и других редких вещей
флешки и все носимые устройства запрещены в любой нормальной компании
при чем тут ваще ИБ и новые технологии? админы локалхоста подтянулись?
>почти ничего не залочено кроме файлопомоек, почты, и других редких вещей
А соцсети, ютубчик и фишки.нет?
в соцсети с работы не захожу (и вам советую) , ютуб работает, фишки хз
погоди, ну так ты админ в втб капитале?
Так-то у меня, как у админа(сетевика точнее), вообще всё разрешено, хожу в инет напрямую мимо прокси. У простых пользователей же заблокировано многое.
при чем тут админ не админ, это обычные настройки для постоянных сотрудников. у временных - кое что отрублено да и то не фатально
Сбер? Только у них встречал доставку приложений через цитрикс
Как вы себе BYOD видите? Пускать в сеть людей с неизвестными устройствами, на которых хрен знает что установлено? Ни тебе информации об антивирусе, ни шифрования. Отчасти NPS мог бы помочь, но он проверяет только сам факт антивируса и прочей херни. Немного решит проблему выдача устройств самой организацией - но нахуй это надо? Банки никогда на BYOD не перейдут, облаков типа Azure и AWS там тоже никогда не будет. Большинство энтерпрайзов тоже. Хуйню несете короче.
Не, не сбер. Страховая.
Терпи, потом жалеть будешь всю жизнь если бросишь. Больше шансов вышку получить не будет.
Пока ты тут кукарекаешь, кто то переходит. Доступ до приложений можно давать через всякие цитриксы и пофиг вообще чего там у юзера с компом. Может хоть из дома работать.
Мне что то сразу вспомнился один коллега, который 10 лет назад (когда я был зелёным) говорил что то типа "да нахуй этот сервер 2003? Есть ламповый 2000 и все в нем хорошо." Я сейчас смотрю вот на вас и вспоминаю его. Сидит ли он все ещё со своим 2000 сервером или уже в охранниках?
Что-то типа этого для 2х хабов:
hub1:
int tu 100
ip add 10.0.100.1 255.255.255.0
ip nhrp map multicast dynamic
ip nhrp network-id 100
tunnel key 100
tunnel source 192.168.1.1
!
int tu 200
ip add 10.0.200.1 255.255.255.0
ip nhrp map multicast dynamic
ip nhrp network-id 200
tunnel key 200
tunnel source 192.168.1.1
hub2:
int tu 100
ip add 10.0.100.2 255.255.255.0
ip nhrp map multicast dynamic
ip nhrp network-id 100
tunnel key 100
tunnel source 192.168.1.2
!
int tu 200
ip add 10.0.200.2 255.255.255.0
ip nhrp map multicast dynamic
ip nhrp network-id 200
tunnel key 200
tunnel source 192.168.1.2
spoke:
int tu 100
ip add 10.0.100.100 255.255.255.0
ip nhrp map multicast dynamic
ip nhrp network-id 100
ip nhrp map 10.0.100.1 192.168.1.1
ip nhrp map 10.0.100.2 192.168.1.2
ip nhrp map multicast 192.168.1.1
ip nhrp map multicast 192.168.1.2
ip nhrp nhs 10.0.100.1
ip nhrp nhs 10.0.100.2
tunnel key 100
!
int tu 200
ip add 10.0.200.100 255.255.255.0
ip nhrp map multicast dynamic
ip nhrp network-id 200
ip nhrp map 10.0.200.1 192.168.1.1
ip nhrp map 10.0.200.2 192.168.1.2
ip nhrp map multicast 192.168.1.1
ip nhrp map multicast 192.168.1.2
ip nhrp nhs 10.0.200.1
ip nhrp nhs 10.0.200.2
tunnel key 200
о как! Ну это упростит мою конфигурацию.
А зачем тогда вообще разделять на разные network id b tunnel key?
Что будет, если, допустим, указать все 4 интерфейса на хабах в один network id и tunnel key? И соответственно настроить один интерфейс на споке, но с 4 строчками ip nhrp map и ip nhrp map multicast ? Чем чреват такой подход?
>Пока ты тут кукарекаешь, кто то переходит. Доступ до приложений можно давать через всякие цитриксы и пофиг вообще чего там у юзера с компом. Может хоть из дома работать.
И здесь можно найти тысячи дырок в безопасности. Иди кури мануалы.
Повторюсь - энтерпрайз на такое не перейдет. Потому что ни один нормальный безоп такое не пустит.
>указать все 4 интерфейса на хабах в один network id и tunnel key
Так не взлетит - 2 туннеля на одном роутере с одинаковыми tunnel key.
А какие облака в России в тренде?
Мне кажется пока только на Azure внимание обращают. AWS не видел чтобы кто-нибудь использовал, как и Google Cloud
Мне кажется пока только на Azure внимание обращают. AWS не видел чтобы кто-нибудь использовал, как и Google Cloud
Тому що персональные данные вестимо. Все кто делают продукт не для РФ, сидят в амазоне
>персанальные данные
Ставишь под стол в офис реплику базы и "персанальные данные хранятся в раиси".
Хуёво видел.
Да да, сервер 2000 самый ламповый. Помню помню.
Безопасники, расскажите про пикрелейтед.
У меня роутер MikroTik, там хитровыебанная настройка, поэтому делал ее оператор. Часть адресов в локалке, а сам интернет через локальный VPN этого провайдера. Я дупля не стреляю в этом.
Просканил себя в nmap, вот такую хуетень нашел. Я так понимаю, прямого форвардинга на девайсы от роутера нету -- не достучаться.
Но на самом роутере вот эти пикрелейтед хуйни открыты. Насколько вероятно поймать свежий эксплойт?
Еще, есть ли какой-нибудь гайд как замутить цепь из VPN? Я хочу чтоб прям на роутере можно было подценить мой OpenVPN, но только он сможет работать после подключения к локальному VPN через который собственно провайдер дает интернет.
Сенкс ин адванс кароч.
У меня роутер MikroTik, там хитровыебанная настройка, поэтому делал ее оператор. Часть адресов в локалке, а сам интернет через локальный VPN этого провайдера. Я дупля не стреляю в этом.
Просканил себя в nmap, вот такую хуетень нашел. Я так понимаю, прямого форвардинга на девайсы от роутера нету -- не достучаться.
Но на самом роутере вот эти пикрелейтед хуйни открыты. Насколько вероятно поймать свежий эксплойт?
Еще, есть ли какой-нибудь гайд как замутить цепь из VPN? Я хочу чтоб прям на роутере можно было подценить мой OpenVPN, но только он сможет работать после подключения к локальному VPN через который собственно провайдер дает интернет.
Сенкс ин адванс кароч.
Openvpn крайне криво работает на микротиках. Там, к примеру, не работает udp и сжатие трафика. А ещё у меня бывало что маршрутизатор вешался от опенвпна, и уходил в ребут.
При этом на копеечных тп-линках с опенврт такой хуйни нету, годами работает нормально. В общем плохая поддержка.
Далее про порты. В микротике есть встроенный прокси-сервер (8080), вполне возможно что провайдер его поднимал чтобы проверять с микротика как будут открываться какие-то сайты. его можно отключить, вроде в сервисах. На 2000 порту, как правильно отметил нмап - сервер проверки скорости соединения, позволяет между двумя микротиками замеры делать. Тоже можешь отключить, только уже по моему в меню tools. А вот зачем смб порт 445 открыт я не знаю, есть конечно вероятность что это микротиковский файловый сервак, и его поднимали для каких-то целей, но хз. Можешь порезать в фаерволле (вообще все остальные штуки тоже можешь порезать в фаерволле, но лучше штатно отключить из менбшек, чтобы ресурсы не жрало).
там ведь открыт только 2000 порт, остальные filtered.
Да тот анон по ходу нифига не понимает как и что у него работает...
Точно, не заметил. Ну тогда просто отключить сервер замера скорости, и всё.
А что там понимать-то........? Ну расскажи мне, что по твоему до меня не дошло.............
>Часть адресов в локалке, а сам интернет через локальный VPN этого провайдера. Я дупля не стреляю в этом.
И как это относится к тому что порт открыт? Или к тому что клиент openvpn хуёво работает на микротиках?
Я вот не совсем понял, накой надо вот это:
>Я хочу чтоб прям на роутере можно было подценить мой OpenVPN, но только он сможет работать после подключения к локальному VPN
>Я хочу чтоб прям на роутере можно было подценить мой OpenVPN, но только он сможет работать после подключения к локальному VPN
Ну, явно чтобы от провайдера скрыть что-то, и трафик увести в другое место.
Помогите ньюфагу пожалуйста.
Есьь доменная сеть контроллер Windows server 2003 с 100 компами, windows от XP до 10, нужно поставить везде программы для удаленного управления. Выбрал UVNC, однако возникла проблема - через групповые политики ставится ставится, но не запускается так как надо. Погуглив нашел подводные камни, в принципе их можно убрать, но очень долго ебаться.
Есть какието прогармные решения не от Microsoft чтобы можно было удаленно ставить программы на компьютерах, а не юзать групповые политики. В идеале хотелось бы , чтобы на клиентскую машину ставился клиент через групповые политики, а дальше уже можно было бы работать через него.
Бегать по зданию и настраивать все ручками неправильно да и лень пиздец как.
Есьь доменная сеть контроллер Windows server 2003 с 100 компами, windows от XP до 10, нужно поставить везде программы для удаленного управления. Выбрал UVNC, однако возникла проблема - через групповые политики ставится ставится, но не запускается так как надо. Погуглив нашел подводные камни, в принципе их можно убрать, но очень долго ебаться.
Есть какието прогармные решения не от Microsoft чтобы можно было удаленно ставить программы на компьютерах, а не юзать групповые политики. В идеале хотелось бы , чтобы на клиентскую машину ставился клиент через групповые политики, а дальше уже можно было бы работать через него.
Бегать по зданию и настраивать все ручками неправильно да и лень пиздец как.
Ты объясни, тебе нужен удалённый доступ к рабочему столу или всё же решение чтобы софт ставить удалённо массово?
Решение чтобы ставить софт. Просто это первая задача такого плана с которой столкнулся.
Парни, мне помощь нужна.
Хочу сделоть файлопомойку.
У нас домен. Ставлю дебиан штебл, ставлю керберос, самбу, привязываю самбу к домену через winbind, юзеры входят.
Владелец и ацс наследуются, права - не наследуются.
Создаю пустую папку. Ей раздаю права.
Доменных юзеров режу полностью (удалить не могу), добавляю обычного юзера, делаю его владельцем, даю полные права (не могу выставить удаление файлов).
Добавляю еще одного юзера, не владельца, даю полные права (тоже не дает на удаление).
Папку заполняю случайными доками и подпапками. Права наследуются корректно на папки и подпапки.
И вроде бы всё так может костыльно работать, если права не трогать, но если добавить в уже заполненную корневую папку еще одного ползателя, дать ему полные права и попробовать заместить в подпапках - хуй. Вылезает эта залупа. Полгода уже с этой хуйнёй бьемся. Лично я бьюсь. За это время самба для меня врагом №1 стала. Чего делать?
Организовать хранилище на винде не предлагайте.
Хочу сделоть файлопомойку.
У нас домен. Ставлю дебиан штебл, ставлю керберос, самбу, привязываю самбу к домену через winbind, юзеры входят.
Владелец и ацс наследуются, права - не наследуются.
Создаю пустую папку. Ей раздаю права.
Доменных юзеров режу полностью (удалить не могу), добавляю обычного юзера, делаю его владельцем, даю полные права (не могу выставить удаление файлов).
Добавляю еще одного юзера, не владельца, даю полные права (тоже не дает на удаление).
Папку заполняю случайными доками и подпапками. Права наследуются корректно на папки и подпапки.
И вроде бы всё так может костыльно работать, если права не трогать, но если добавить в уже заполненную корневую папку еще одного ползателя, дать ему полные права и попробовать заместить в подпапках - хуй. Вылезает эта залупа. Полгода уже с этой хуйнёй бьемся. Лично я бьюсь. За это время самба для меня врагом №1 стала. Чего делать?
Организовать хранилище на винде не предлагайте.
С учётом того что уже есть домен, тебе будет удобнее софт паковать в msi и устанавливать массово доменом. Вообще используй от производителя решения.
Если же сильно хочется изъебнуться, то вот
https://chocolatey.org/
Тут правда программ не особо много, и только бесплатные есть, но может тебе хватит.
Можешь кинуть ссылку на мануал, по которому пилишь? и конфиги
Хотел сделать у себя локальную помойку(сейчас все ходят через VPN за файлами). Но застрял на этапе привязки к домену.
Я хуй знает, самба может торчать из мамкиного ПК на винде, только хуй знает как она проскачила через локалку.
Ну похуй как тот оренвпн работает, я могу l2tp через ipsec или pptp прости господи подцепить, меня сама интересует цепь из VPN как это зделоть и можно ли вообще.
Провайдер че хошь мог там навключать, хуебес косоглазый, может сейчас там сидит смотрит как я телку ебу через камеру.
Ну бля провайдер дает доступ в интернет через VPN поднятый у них. А дальше я хочу подцепить еще свой VPN глобально на роутере.
Есть такое, просто я в свой время увлекался пентестом и теперь у меня всегда немного параноя, я люблю чтоб все дымоходы были закрыты.
Да тащемта вот http://help.ubuntu.ru/wiki/%D0%B2%D0%B2%D0%BE%D0%B4_%D0%B2_%D0%B4%D0%BE%D0%BC%D0%B5%D0%BD_windows
Первая ссылка в гугле. Только это на debian-based. Если у тебя рпм - могут быть проблемы, а если фряха - ты себе все волосы с жопы повыдерешь.
>smb
>netbios
быстрофикс
--->
Так тебе может проще второй нат сделать? Возьми ещё один маршрутизатор, поставь его за провайдерским, настрой как dhcp клиент и всё.
Ну у меня кроме микротика есть конечно еще тплинк простенький, но бля мне кажется два сетевых чипа в цепочке снизят латенси и скорость, да и по-ебаклакски как-то дома такую ебучую цепочку держать.
В смысле повысят латенси? Не повысят. А если хочешь по уму всё сделать, то изучи как микротик работает и перенатрой полностью, закрыв доступ провайдеру.
>изучи как
Та все мечтаю, только тут даже с моими немалыми знаниями все равно времени уйма нужна, а приоритеты другие.
>Не повысят
Ну то есть если я поставлю после микротика тплинк который будет дополнительно всю хуйню оборачивать в впн то типа потерь в целом не будет по сравнению если ебнуть цепь внутри микротика?
У тебя задержку добавит лишь то, что трафик будет идти до сервера впн.
Не ну с потерями на впн все ясно, это к делу не относится. Щас один хуй та же дичь, только клиент стоит в ОС.
Если на внешний интерфейс хаба, на котором висят два тоннеля с одинаковыми tunnel key, придёт пакет с этим же самым tunnel key, то хаб не сможет понять, какому именно туннелю следует этот пакет отдать, и отдаст первому попавшемуся. Соответственно, всё что связано с туннельной подсетью второго интерфейса, тоже не будет нормально работать.
А вообще, могу смоделировать ситуацию в GNS3, если нужно и результаты кинуть сюда. Только если действительно нужно, потому что пиздец как лень, сегодня отгул взял, встал только час назад, хочется фильмец какой-нибудь посмотреть, или шишку помять.
>>>1107687
>А вообще, могу смоделировать ситуацию в GNS3, если нужно и результаты кинуть сюда
Да я думаю особо смысла нет. Сам в EVE посмотрю как это работает, тем более готовая лаба с DMVPN уже собрана.
Аноны, вот есть ответ на интересующий меня вопрос:
https://stackoverflow.com/questions/16496714/block-specific-udp-packet-with-iptables
Но не могу понять почему там 44.
P.s. Может есть те кто шарят в iptables и в частности в u32? Ну или хотя бы посоветуют годное поисание. Ибо доки очень огорчают.
P.p.s. Вообще есть пайлоад пакета и нужно добавить чайсть его, пайлоада, в исключения iptables, но именно не просто строку ascii/hex, а строку с конкретным расположением в пакете.
https://stackoverflow.com/questions/16496714/block-specific-udp-packet-with-iptables
Но не могу понять почему там 44.
P.s. Может есть те кто шарят в iptables и в частности в u32? Ну или хотя бы посоветуют годное поисание. Ибо доки очень огорчают.
P.p.s. Вообще есть пайлоад пакета и нужно добавить чайсть его, пайлоада, в исключения iptables, но именно не просто строку ascii/hex, а строку с конкретным расположением в пакете.
>безопасники
>говнотик
Ты хуй с трамвайной ручкой путаешь.
>хуёво
>udp
Не "хуёво" а "ни так как ты прЕвык". Сжатие и вовсе никому в 2к17 не нужно, чай не на диалапах живём.
Вешать роутер он от этого не перестаёт. Да и какие профиты от openvpn поверх tcp? Лишний оверхед, ниже скорость, больше нагрузка на процессор. Плюс разработчики прямым текстом советуют udp использовать.
Вроде 44 это смещение данных в пакете.
Но там же не 44, как ни считай.
Блять, ладно, спасибо.
Аноны, разбирается кто в u32?
Ну или в чем подобном, что поможет заблокировать пакет по части пайлоада, со сдвигом.
Почему админы одного некротика считают себя сетевиками?
Что посоветуйте почитать по linux траблшутингу?
Обычно в интернете вижу статьи в стиле поднимаем сервис нейм. При этом о достаточно очевидных вещах, которые решают большинство проблем типа посмотреть что в логах, посмотреть достаточно ли у демона прав, посмотреть не мешает ли фаервол или SELinux, особо не пишут. Вернее пишут, но об этом можно узнать только гугля конкретные проблемы. Хотелось бы почитать про общие подходы к решению проблем в линуксе.
мимобыдлокодер
Обычно в интернете вижу статьи в стиле поднимаем сервис нейм. При этом о достаточно очевидных вещах, которые решают большинство проблем типа посмотреть что в логах, посмотреть достаточно ли у демона прав, посмотреть не мешает ли фаервол или SELinux, особо не пишут. Вернее пишут, но об этом можно узнать только гугля конкретные проблемы. Хотелось бы почитать про общие подходы к решению проблем в линуксе.
мимобыдлокодер
анон, как изучающий линукс сетевик я тебе скажу так: ставь кучу сервисов, попутно разбираясь в них, и попутно же ты будешь разбираться в самом линукс.
Там сверху в ОП посте был некий learn-path с реддита-вот можешь им и воспользоваться.
Ну да, на рисунке смещение 0x2e, что есть 46. Может автор промазал? Он же чётко пишет, что 44 это смещение.
>Но не могу понять почему там 44.
>в ответе черным по-русски написано
>(grab a 4-byte chunk starting at offset 44, AND with 0xFFFF, compare with 0xBD65)
Да что с тобой не так, парень?
сорь, там действительно должно быть 46, эт я слепошарй с утра
Без бла го датность.
А ведь ещё только четверг. Как начать жрать спиды и самообучаться на работе если тебя весь день ебут?
А ведь ещё только четверг. Как начать жрать спиды и самообучаться на работе если тебя весь день ебут?
>Как начать жрать спиды
говорят RAMP закрыли? Теперь всё, теперь никак.
Гидра доминатус!
Предлагаешь сплотиться в братских itшных объятьях?
фу, блядь, наркоманы!
Я обычно нармально привык общаться.
Но ты иди нахуй чмоня, твоя пафосная речь для меня говна не стоит, как и ты сам.
Да где блядь купить микрософт офис на имя организации? Майки по ходу вообще усложнили продажи корпоративным до невозможности - ищи ритейлеров, блядь, связывайся, что за пиздец.
Мне просто нужен счёт и ключ и всё.
Мне просто нужен счёт и ключ и всё.
любой софтхуйнейм.ру
Пацантре, там на доу пишут, что все админы хуесосы, а профессия мертвая, это так?
>что все админы хуесосы, а профессия мертвая, это так?
exactly rigth!
профессия мертвая, бесперспективная, не предполагающая развития какой-либо карьеры, в отличие от программистов, которые могут расти в бизнес-аналитику, в проджект-менеджмент. Профессия админа не требующая почти никаких изначальных навыков для вкатывания, кроме умения правильно делать ctrl+c ctrl+v из мануалов.
Единственное - нужны знания английского на уровне средней школы.
exactly rigth!
профессия мертвая, бесперспективная, не предполагающая развития какой-либо карьеры, в отличие от программистов, которые могут расти в бизнес-аналитику, в проджект-менеджмент. Профессия админа не требующая почти никаких изначальных навыков для вкатывания, кроме умения правильно делать ctrl+c ctrl+v из мануалов.
Единственное - нужны знания английского на уровне средней школы.
>что все админы хуесосы, а профессия мертвая, это так?
Не совсем так:
http://labor-union.wikia.com/wiki/Main
Системные администраторы
В целом по стране наблюдается абсолютное несоответствие уровня з/п и объема знаний и умений. Человек, способный конфигурировать мониторинг любых параметров в Nagios и Zabbix, хорошо знающий Gentoo Linux или Calculate Linux, способный настраивать PostgreSQL с репликацией и балансировкой, досконально изучивший язык AWK, умеющий устанавливать и настраивать Bacula/Bareos, Xen, firewalld, squid, sendmail и OpenLDAP, а также согласный на круглосуточное оперативное реагирование и внезапные поездки на работу для разрешения инцидентов, будет в провинциальном миллионнике получать не более 40 000 рублей в месяц. А в том случае, если это не частная компания, а какая-нибудь государственная больница, мэрия города, вуз или кадастровая палата, платить могут еще меньше. Ситуация усугубляется тем, что российские системные администраторы сами выложили в интернет максимально подробные руководства по настройке и администрированию чего угодно с указанием всех нюансов, формализовав успешный практический опыт, дополнив его огромным количеством переведенных ими на русский язык англоязычных материалов и разжевав все так, чтобы стало доступно и понятно каждому школьнику. Профессия по сути умерла, превратившись в ремесло.
Не совсем так:
http://labor-union.wikia.com/wiki/Main
Системные администраторы
В целом по стране наблюдается абсолютное несоответствие уровня з/п и объема знаний и умений. Человек, способный конфигурировать мониторинг любых параметров в Nagios и Zabbix, хорошо знающий Gentoo Linux или Calculate Linux, способный настраивать PostgreSQL с репликацией и балансировкой, досконально изучивший язык AWK, умеющий устанавливать и настраивать Bacula/Bareos, Xen, firewalld, squid, sendmail и OpenLDAP, а также согласный на круглосуточное оперативное реагирование и внезапные поездки на работу для разрешения инцидентов, будет в провинциальном миллионнике получать не более 40 000 рублей в месяц. А в том случае, если это не частная компания, а какая-нибудь государственная больница, мэрия города, вуз или кадастровая палата, платить могут еще меньше. Ситуация усугубляется тем, что российские системные администраторы сами выложили в интернет максимально подробные руководства по настройке и администрированию чего угодно с указанием всех нюансов, формализовав успешный практический опыт, дополнив его огромным количеством переведенных ими на русский язык англоязычных материалов и разжевав все так, чтобы стало доступно и понятно каждому школьнику. Профессия по сути умерла, превратившись в ремесло.
>я по сути умерла, превратившись в ремесло.
Опять ты выходишь на связь со своей статьей?!
Ещё раз тебе говорю, с чего ты решил, что
>Человек, способный конфигурировать мониторинг любых параметров в Nagios и Zabbix, хорошо знающий Gentoo Linux или Calculate Linux, способный настраивать PostgreSQL с репликацией и балансировкой, досконально изучивший язык AWK, умеющий устанавливать и настраивать Bacula/Bareos, Xen, firewalld, squid, sendmail и OpenLDAP
должен получать больше? Это что рокет саенс какой-то?! Тут головой даже думать не надо, делаешь все по инструкциям! Проснись!
Толи дело разработка ПО, это действительно искусство, которое не каждому под силу (в отличие от администрирования). И заработная плата разработчика составляет порядка 120-140 т.р./мес в ДС на руки.
и в догонку! Бизнесу нахер не нужно твое конфигурирование линукс и танцы с бубном!
Твои XEN-ы, генту и прочая лабуда!
Они бабки зарабатывают и срать хотели на твои аббревиатуры. У них работать должно всё!
Поэтому вот тебе 40 тысяч и живи красиво. Ты на уровне электрика и уборщицы, не выше.
>работающая бедность
Опять вы эту какашку сюда принесли?..
>мониторинг любых параметров в Nagios и Zabbix
>Gentoo Linux или Calculate Linux
>PostgreSQL с репликацией и балансировкой
>Bacula/Bareos, Xen, firewalld, squid, sendmail и OpenLDAP
>круглосуточное оперативное реагирование
>не более 40 000 рублей в месяц
Ну так всё правильно. Выше не перечислено ничего необычного. Это уровень рядового линукс-админа с ~3 годами опыта. В ДС ему будут платить от 100к в месяц на руки. И надо сказать, что это более чем хорошо, потому что всему этому можно научиться с нуля самостоятельно, не выходя из дома и работа эта отличается завидной стабильностью - всегда будешь на рынке востребован! Тот факт, что не каждый может вообще этому научиться вовсе не делает профессию линукс-админа элитарной или более высокооплачиваемой. В конце концов, рисовать картины тоже не каждый может научиться, а самоучкой так и тем более. Тем не менее никто не жалуется на то, что полотна некоторых художников-самоучек, рисующих собственным говном/мочой/кровью/блевотиной, порой стоят миллионы, тогда как работы окончивших питерскую репинку продаются за суммы, не окупающие даже затраты на масло/темперу.
Труд, как и любой другой товар/услуга стоит ровно столько сколько за него готовы заплатить. При этом редкость/сложность/элитарность, да, могут НИКАК не влиять на уровень оплаты. Особенно в России, лол.
>Труд, как и любой другой товар/услуга стоит ровно столько сколько за него готовы заплатить.
двачую!
админ - не сложная работа. Это некоторые админы почему-то уверены, что она сложная, потому что есть некий ореол сложности и загадочности над линухами и тому подобными технологиями.
На самом деле это может делать и домохозяйка, если её научить.
https://www.youtube.com/watch?v=U1tYShkMZ0M
вот яркий пример! Многие уже видели. Очень характеризует многих админов. "Вам это вообще не понять" говорит поехавший в начале видео, думая, что то, чем он занимается, это конкретный рокет саенс, что-то из ряда вон выходящее, не подвластное мозгу обывателя. А на самом деле все гораздо прозаичнее...
вот яркий пример! Многие уже видели. Очень характеризует многих админов. "Вам это вообще не понять" говорит поехавший в начале видео, думая, что то, чем он занимается, это конкретный рокет саенс, что-то из ряда вон выходящее, не подвластное мозгу обывателя. А на самом деле все гораздо прозаичнее...
интересно то, что поехавший админ с видео планирует (и, что самое главное, верит!) в то, что он "скоро будет на Кипре". Имея ввиду, видимо, Лимассол, где базируются многие ИТ стартапы.
Мда...как будто админы там нужны. Админы - на обочине ИТ-отрасли, к сожалению.
Мда...как будто админы там нужны. Админы - на обочине ИТ-отрасли, к сожалению.
Да таких поехавших до жопы. На том же ютубе полно сборщиков системников, которые считают свои знания чем-то особенным, просто потому что подавляющее большинство вокруг них таковыми знаниями не обладает. Но правда в том, что подобные "знания" при желании приобретаются за 1-2 недели кем угодно, потому что рынок ПК специально так устроен, чтобы поощрять пользаков самостоятельно собирать себе компы и менять в них комплектуху. При том всё создано с расчетом, чтобы делать это можно было максимально легко и часто, ради увеличения прибылей, конечно.
Ребята в видео правильно сказали, что у чувака какая-то проблема. Потому что любой человек с адекватной самооценкой никогда так себя вести не будет. А проблема похоже в том, что чел решил "пойти в IT", но максимум что потянул - сборку/ремонт ПК, т.е. застрял на самой низшей ступени развития. Впрочем, есть и куча админов, которые застряли намного выше, но не настолько намного, насколько они себе это представляют. В итоге эти люди с люто завышенной самооценкой пишут неадекватные статьи про работающую бедность.
Парадокс в том, что есть и админы другой категории - с заниженной самооценкой, которые реально получают намного меньше, чем могли бы в силу не профессиональных своих качеств, а личностных. Очевидно они и являются основными потребителями говно-статей от админов первой категории.
И тем и другим надо не в IT-тредах сидеть, а к нормальному психологу походить.
>Админы - на обочине ИТ-отрасли, к сожалению.
Тут смотря кого считать админами. Если сборщиков ПК и линуксоидов-самоучек - тогда да. Если людей, которые работают с железом стоимостью в миллионы долларов, с нагрузками в миллионы запросов в секунду, с ядром линукса на уровне выкатки патчей и даже целых новых подсистем для оного - очевидно, что они как раз тот костяк людей, которые формируют будущее IT.
Тут как в спорте - спортсменов-любителей миллионы, профессионалов - тысячи, а олимпийских медалистов лишь единицы и все смотрят только на них. Ну или как в музыке - кто-то после консы чайковского частными уроками за копейки работает, кто-то в оркестре за обычную зарплату играет, а кто-то в конкурсах побеждает, солирует по всему миру и ему одному все аплодисменты достаются.
Так.
это для таких мудаков, как на видео выше про поехавшего сисадмина
Как же вымораживание openspace. Ебанный шум 24/7. Где уютные коморки 2000ных?
Как в DWH вкатиться? Посоветуйте что-нибудь почитать.
Том кайт, любое по мсскл
Привет, ставлю серверную версию убунты, а она в процессе установки выдает следующую хуйню и отказывается устанавливать полезное ПО вроде ДНС-сервера, самбы, openssh и так далее, приходится этот шаг пропускать, базовая система доустанавливается, но тот же ssh установить не получается, может быть потому что я дебил, конечно, ибо с линуксом на вы. Подскажите как пофиксить эту проблему, или хотябы как правильно устанавливать главные утилиты с базовой версии. Комп в целом вменяемый, Pentium G4560, 2 жестких диска по 1тб, 8 гб памяти. Ставлю стандартную версию ubuntu server 16.04.3 с флешки, пробовал как х64, так и х86(просто на всякий пожарный, так-то она нахуй ненужна из-за 8ГБ памяти), при этом дебиан ставится вообще без проблем. Хуйня какая-то короче, в гугле ничего конкретного не пишут, кроме якобы проблем с памятью, которую я так же тестил и с ней все норм, да и новая она, только вчера купленная.
Оттуда ставишь то? Может образ битый?
Экстрасенсы в отпуске без интернета. Логи давай, как мы тебе диагноз по ничегонеговорящей ошибке будем ставить
А во вторых - может это знак с выше, о том что не надо юзать убунту вместо дистрибутива? Ставь дебиан, не еби мозги
Эк же ты, на самоподдуве-то, бедненький, целых десять постов телепался. Отощал, небось.
К счастью. Такого говна в ит не надо - все админы это тупые быдланы-омежки, без навыков, знаний и будущего. То что они вымерли- замечательно.
>Привет, ставлю серверную версию убунты, а она...
...говно. Ставь дебиан.
azure никому не нужен у них нет ДЦ в РФ
все эти облака это очень специфичная вещь и реально хорошая тема - это свое облако
все компании где я видел все на этом обожглись
Ставить кучу сервисов слишком затратно в плане и времени и знания о многих из них мне могут никогда не пригодится, т.к. я в первую очередь кодер. Когда мне надо поднять что-то конкретное я могу это нагулить. Интересуют не как настроить сервис нейм, а общие подходы, к тому как надо траболшутить если что-то пошло не так. Не привязанные конкретно к сервис нейм.
Пойду вымру...
Ты не совсем прав. Пусть мастер по собиранию табуреток гордится своей работой. Вам, простым смертным не понять, почему у табуретки четыре ножки. И да, ты можешь освоить навык табуреткостоения. Но будешь ли ты тратить годы жизни, чтобы научиться собирать их лучше, чем тот кто уже занимается этим годами?
https://www.youtube.com/watch?v=U01xasUtlvw
Просмотр логов в /var/log, далее копи паст ошибок в гугл. Вот примерно так.
Если сеть, то nmap, tcpdump, traceroute, ping.
Вот общие подходы!
Но линукс голый никому не нужен, аднимистрируют сервисы, развернутые на linux, а не саму операционную систему. Поэтому надо разбираться в тех сервисах, которые админишь. А в самой ОС что там разбираться? Если речь об уровне администратора.
Посоветуйте систему контроля версий для документооборота в шарашкиной конторе на 50 человек. А то как-то конченно, у одних доки на раб. компах, у других в шаре, всё путается мешается и т.п. В идеале чтобы её можно было сделать распределенной, ноэто не обязательно.
Гугл помог только всякими гитами и прочими меркуриалами, как я понял это не совсем то. И ещё требование - бесплатность.
Гугл помог только всякими гитами и прочими меркуриалами, как я понял это не совсем то. И ещё требование - бесплатность.
да нахуя вы так прикладываете админов пащадите суки...
Onlyoffice Community Edition
Кто-нибудь знает как в заббиксе прикрепить к письму результат выполнения внешнего скрипта? Ну или как сделать так, чтобы элемент данных обновлялся только по срабатыванию триггера?
Общая задача на первый взгляд очень простая: когда трафик превышает пороговое значение - смотреть внешней проверкой топталкеров на проблемном устройстве и присылать полученный список вместе с уведомлением о проблеме.
Общая задача на первый взгляд очень простая: когда трафик превышает пороговое значение - смотреть внешней проверкой топталкеров на проблемном устройстве и присылать полученный список вместе с уведомлением о проблеме.
Вы понимаете что творите вообще? Я уже наметился быть админом, оттарабанил почти полгода админом без помощников в шаражке, а тут мне заявляют что это для быдла?
И чё мне опять делать теперь.
И чё мне опять делать теперь.
>Я уже наметился быть админом
спасайся пока не поздно!
Куда податься?
Испытываю траблы при установке винды (7, 2008R2) х64, постоянно в процессе установке вылезает окошко, которое блядь сообщает о том, что у меня нет драйвера для дисковода, и предлагает его найти, хотя ставлю все с загрузочной флешки, записанной через ультраизо, образ нормальный, официальный от майкрософт, но один хуй такая поебень. Вариантов воткнуть обычный cdrom в ноутбук и сервак нет, может есть какая альтернатива? Типа записать один раз образ на стандартном ПК, а потом уже с него подгружать с этим ебучим драйвером для материнки? Я просто хз как его вмонтировать в существующий образ, пытался эти дрова запихивать на отдельную флешку вставлял ее, но комп нихуя не видит. Хелп
>Куда податься?
Разработка, бизнес-аналитика, менеджмент ИТ-проектов. Тут есть перспектива. В админстве её нет и быть не может. Ну если, конечно, не хочешь до пенсии носиться с кабелем и обжимкой по серверной и пердолить учетки в AD.
>не хочешь до пенсии носиться с кабелем и обжимкой по серверной и пердолить учетки в AD
Да я ещё в первые два месяца эникейства набегался на всю жизнь вперед.
Парни, парни.
Организую тут бэкап 1с83, пытаюсь сделоть автоматическое выкидывание юзеров.
Пишу в аргументах /C ЗавершитьРаботуПользователей, а оно никого не выкидывает. Кажется этой команды там вообще нет. 1с торговля какая-то. Как быть?
Организую тут бэкап 1с83, пытаюсь сделоть автоматическое выкидывание юзеров.
Пишу в аргументах /C ЗавершитьРаботуПользователей, а оно никого не выкидывает. Кажется этой команды там вообще нет. 1с торговля какая-то. Как быть?
какбудто порашник-админ может ещё что-то кроме как тупоадминить
для этого всего мозги нужны, у админов их нет
какого хрена... попытался вскрыть эту тему, а там - пиздец. Ладно, общий принцип понятет, по маске ищем совпадение. С TCP все ок пакеты лочатся. А с UDP - какая-то муть ёбаная. Я уже попробовал все сдвиги по порядку от 0 до 38, чтобы залочить udp на дестпорт 1900 - нихуя. Мне кажется, дело тут в кривой реализации.
на пике - только вероятные сдвиги.
кстати даже по мануалу порт не лочится
>https://binarylife.ru/iptables-u32-uchebnik/
>Чтобы выяснить порт назначения, возьмем 2 и 3 байты из заголовка UDP (пропустив IP заголовок, как делали раньше): "0>>22&0x3C@0&0xFFFF=53".
беру я такой iptables -A INPUT -m u32 --u32 "0>>22&0x3C@0&0xFFFF=1900" -j DROP
а оно ему какраз
не работает
чушь какая-то.
Ты заебал толстить. Съеби-ка лучше на тематические форумы к братьем по разуму, не засоряй наш тёплый и ламповый IT-Тред на воркаче.
Парни, есть How to для запила сети и AD на малом предприятии (до 50 чел) ? Хотя, я даже сомневаюсь, что там наберется 50 чел. - может просто запилить сервер для 1с, файлопомойки и прочей лабуды?
Есть редакция вин сервера 2008 для малого бизнеса. Хз, существует ли она еще. Домен, почта и файлопомойка доступны из коробки
UMASK
DMVPNщик возвращается. Продолжаю эксперименты с обеспечением избыточности канала на одном хабе. Сами mGRE-тоннели успешно поднимаются, при падении основного линка сеть успешно переключается на второй, всё в порядке, в общем. Есть просто одна закавыка, которая меня смущает.
Топология сети изображена на первой пикче. R1 - хаб с двумя WAN-интерфейсами, R2 - спок с одним WAN-интерфейсом.
Примерная конфигурация R1 такова:
Через интерфейс WAN1 работает туннельный интерфейс tu0, который имеет адрес 172.16.100.1/24.
Через интерфейс WAN2 работает туннельный интерфейс tu1, который имеет адрес 172.16.101.1/24.
Каждый из них защищён отдельным ipsec profile с абсолютно одинаковыми настройками.
Маршрут в сеть 172.16.101.0/24 имеет большую стоимость, как следствие, он является менее приоритетным.
На R1 работает local policy, которая отправляет пакеты, зародившиеся на каждом из интерфейсов на их соответствующие дефолтные шлюзы.
Конфигурация R2:
Через интерфейс WAN1 работают два туннельных интерфейса - tu0 (который имеет адрес 172.16.100.2) и tu1 (который имеет адрес 172.16.101.2). Они используют один ipsec profile, который работает в режиме shared.
Все туннельные подсети находятся в магистральной зоне OSPF. Подсети LAN находятся каждый в своей зоне.
Остальные конфигурации NHRP и OSPF в данном случае значения не имеют, поскольку они работают исправно.
Это вводная. Теперь, что же, собственно, происходит:
После того, как между маршрутизаторами поднимаются туннели, устанавливается защищённое соединение и завершается обмен содержимым LSDB, приоритетным каналом обмена информацией становится туннель в 172.16.100.0/24. И ведь обычный трафик ходит нормально.
Но служебный трафик, выходящий из R1, всегда идёт с того WAN-интерфейса, на котором поднят туннель, в данный момент являющийся "главным". В случае, когда оба туннеля работают нормально, он идёт с WAN1 Не важно, какой туннельный интерфейс обрабатывает пакеты, отправляются в Интернет они всегда с WAN1.
Выглядит это примерно так:
1. Филиальный R2 генерит на "побочном" туннельном интерфейсе tu1 какой-нибудь служебный трафик, к примеру OSPF Hello, инкапсулирует его в GRE и IPSec, после чего выбрасывает его в Интернеты с единственного WAN-интерфейса с адресом получателя WAN2;
2. Пакет приходит на "побочный" WAN2 Хаба;
3. Тот его дешифрует и понимает, что перед ним пакет, инкапсулированный в GRE;
4. После декапсуляции он видит, что пакет пришёл из "побочной" туннельной подсети, адресом назначения является мультикаст-адрес OSPF;
5. Так как на туннельном интерфейсе разрешён приём мультикастовых пакетов, тот корректно обрабатывается и передаётся протоколу выше, то есть OSPF;
6. Спустя некоторое время, OSPF-раутер, работающий на вторичном туннельном интерфейсе tu1, желает отправить hello-пакет в обратную сторону. В качестве адреса назначения он ставит IP-адрес этого интерфейса (172.16.101.1), в качестве назначения - опять же мультикаст;
И ВОТ ТУТ НАЧИНАЮТСЯ ПРОБЛЕМЫ
7. Видя, что интерфейс, с которого идёт отправка, является GRE-туннелем, он шлёпает на пакет заголовок GRE С КОРРЕКТНЫМ, ВНИМАНИЕ, tunnel key;
8. Пакет шифруется, сверху шлёпается заголовок ESP;
9. Затем надевается наружный заголовок IP с адресом отправления "вторичным" WAN2 и адресом назначения единственным WAN-интерфейсом филиала;
10. А ЗАТЕМ ЭТА СУКА ОТПРАВЛЯЕТ ПАКЕТ С WAN1.
И вот хуй знает, как это исправить. Мне нужно, чтобы весь трафик, генерящийся на данном конкретном WAN-интерфейсе всегда с него и уходил. Локальная PBR, почему-то, здесь на него не реагирует. Тесты SLA до шлюзов провайдера она обрабатывает нормально. А вот такую хуйню - нет.
С пакетами NHRP то же самое. Вообще, со всеми инкапсулированным в GRE пакетами. обычный трафик ходит так, как надо.
Пока писал, созрела гипотеза. Вполне возможно, что PBR смотрит только на самый "оригинальный" заголовок IP, То есть тот, который глубже всего инкапсулирован. То есть, необходимо создавать похожие route-mapы и для туннельных интерфейсов, то есть для трафика с source 172.16.100.1 (адрес tu0, "основной" туннель, поднят на WAN1) next hop будет шлюз провайдера для WAN1. Для source 172.16.101.1 (tu1, "побочный" туннель, поднят на WAN2), next jop, соответственно, шлюз провайдера.
Топология сети изображена на первой пикче. R1 - хаб с двумя WAN-интерфейсами, R2 - спок с одним WAN-интерфейсом.
Примерная конфигурация R1 такова:
Через интерфейс WAN1 работает туннельный интерфейс tu0, который имеет адрес 172.16.100.1/24.
Через интерфейс WAN2 работает туннельный интерфейс tu1, который имеет адрес 172.16.101.1/24.
Каждый из них защищён отдельным ipsec profile с абсолютно одинаковыми настройками.
Маршрут в сеть 172.16.101.0/24 имеет большую стоимость, как следствие, он является менее приоритетным.
На R1 работает local policy, которая отправляет пакеты, зародившиеся на каждом из интерфейсов на их соответствующие дефолтные шлюзы.
Конфигурация R2:
Через интерфейс WAN1 работают два туннельных интерфейса - tu0 (который имеет адрес 172.16.100.2) и tu1 (который имеет адрес 172.16.101.2). Они используют один ipsec profile, который работает в режиме shared.
Все туннельные подсети находятся в магистральной зоне OSPF. Подсети LAN находятся каждый в своей зоне.
Остальные конфигурации NHRP и OSPF в данном случае значения не имеют, поскольку они работают исправно.
Это вводная. Теперь, что же, собственно, происходит:
После того, как между маршрутизаторами поднимаются туннели, устанавливается защищённое соединение и завершается обмен содержимым LSDB, приоритетным каналом обмена информацией становится туннель в 172.16.100.0/24. И ведь обычный трафик ходит нормально.
Но служебный трафик, выходящий из R1, всегда идёт с того WAN-интерфейса, на котором поднят туннель, в данный момент являющийся "главным". В случае, когда оба туннеля работают нормально, он идёт с WAN1 Не важно, какой туннельный интерфейс обрабатывает пакеты, отправляются в Интернет они всегда с WAN1.
Выглядит это примерно так:
1. Филиальный R2 генерит на "побочном" туннельном интерфейсе tu1 какой-нибудь служебный трафик, к примеру OSPF Hello, инкапсулирует его в GRE и IPSec, после чего выбрасывает его в Интернеты с единственного WAN-интерфейса с адресом получателя WAN2;
2. Пакет приходит на "побочный" WAN2 Хаба;
3. Тот его дешифрует и понимает, что перед ним пакет, инкапсулированный в GRE;
4. После декапсуляции он видит, что пакет пришёл из "побочной" туннельной подсети, адресом назначения является мультикаст-адрес OSPF;
5. Так как на туннельном интерфейсе разрешён приём мультикастовых пакетов, тот корректно обрабатывается и передаётся протоколу выше, то есть OSPF;
6. Спустя некоторое время, OSPF-раутер, работающий на вторичном туннельном интерфейсе tu1, желает отправить hello-пакет в обратную сторону. В качестве адреса назначения он ставит IP-адрес этого интерфейса (172.16.101.1), в качестве назначения - опять же мультикаст;
И ВОТ ТУТ НАЧИНАЮТСЯ ПРОБЛЕМЫ
7. Видя, что интерфейс, с которого идёт отправка, является GRE-туннелем, он шлёпает на пакет заголовок GRE С КОРРЕКТНЫМ, ВНИМАНИЕ, tunnel key;
8. Пакет шифруется, сверху шлёпается заголовок ESP;
9. Затем надевается наружный заголовок IP с адресом отправления "вторичным" WAN2 и адресом назначения единственным WAN-интерфейсом филиала;
10. А ЗАТЕМ ЭТА СУКА ОТПРАВЛЯЕТ ПАКЕТ С WAN1.
И вот хуй знает, как это исправить. Мне нужно, чтобы весь трафик, генерящийся на данном конкретном WAN-интерфейсе всегда с него и уходил. Локальная PBR, почему-то, здесь на него не реагирует. Тесты SLA до шлюзов провайдера она обрабатывает нормально. А вот такую хуйню - нет.
С пакетами NHRP то же самое. Вообще, со всеми инкапсулированным в GRE пакетами. обычный трафик ходит так, как надо.
Пока писал, созрела гипотеза. Вполне возможно, что PBR смотрит только на самый "оригинальный" заголовок IP, То есть тот, который глубже всего инкапсулирован. То есть, необходимо создавать похожие route-mapы и для туннельных интерфейсов, то есть для трафика с source 172.16.100.1 (адрес tu0, "основной" туннель, поднят на WAN1) next hop будет шлюз провайдера для WAN1. Для source 172.16.101.1 (tu1, "побочный" туннель, поднят на WAN2), next jop, соответственно, шлюз провайдера.
Небольшое пояснение: в адресах WAN-интерфейсов всех маршрутизаторов все октеты равны. Иными словами, значение .100 следует понимать, как 100.100.100.100. Все WAN-подсети имеют маску в 24 бита. У всех интерфейсов "провайдеров" последний октет равен 1.
Анон, покажи local роутмап.
А вообще так делать не стоит, какие-то дикие костыли с PBR. Лучше сделай front-door vrf.
К VRF присматриваюсь, но пока хочу доразобраться с избыточность без VRF, перепробовать всевозможные варианты её организации.
Первая пикча - локальная политика и входящие в неё раутмапы, вторая - соответствующие раутмапам ACLки.
Как уже говорил, локальная политика служит для правильной отправки тестовых пингов, генерящихся двумя тестами SLA, по одному для каждого WAN-интерфейса.
Сами тесты предельно просты: icmp-echo до шлюза провайдера. К тестам привязаны trackи, а они, в свою очередь, каждый к своему дефолтному маршруту со своей метрикой.
msk-br1 - это Хаб R1. Совсем забыл, что в GNS3 нормально переименовать хосты прямо с экрана топологии не получается.
sh ip local policy выглядит несколько вырвиглазно, поэтому вот другой вид
>Локальная PBR, почему-то, здесь на него не реагирует.
А ты уверен что ACL матчит OSPF?
Дык ведь, IP же... Или стоит использовать permit gre host 100.100.100.100 any?
Собрал короче схему, действительно пакеты уходят только в один интерфейс.
Объяснение:
ospf-hello генерится на control-plane, к нему применяется local PBR только один раз за весь процессинг пакета, что в принципе логично. Т.к. ospf-hello еще до инкапсуляции в esp, то в acl он не попадает и pbr его игнорит.
Ниже debug ip packet det:
Sep 22 21:21:07.919: IP: s=172.16.101.1 (local), d=172.16.101.10 (Tunnel1), len 96, local feature, proto=89, Policy Routing(3), rtype 0, forus FALSE, sendself FALSE, mtu 0, fwdchk FALSE
Sep 22 21:21:07.919: IP: s=172.16.101.1 (local), d=172.16.101.10 (Tunnel1), len 96, local feature, proto=89, Logical MN local(14), rtype 0, forus FALSE, sendself FALSE, mtu 0, fwdchk FALSE
Sep 22 21:21:07.919: IP: s=172.16.101.1 (local), d=172.16.101.10 (Tunnel1), len 96, sending, proto=89
Sep 22 21:21:07.919: IP: s=172.16.101.1 (local), d=172.16.101.10 (Tunnel1), len 96, post-encap feature, proto=89, IPSEC Post-encap output classification(13), rtype 1, forus FALSE, sendself FALSE, m tu 0, fwdchk FALSE
Sep 22 21:21:07.919: IP: s=172.16.101.1 (local), d=172.16.101.10 (Tunnel1), len 96, sending full packet, proto=89
Sep 22 21:21:07.919: FIBipv4-packet-proc: route packet from (local) src 110.110.110.110 dst 10.10.10.10
Sep 22 21:21:07.919: FIBfwd-proc: packet routed by adj to Ethernet0/0 100.100.100.1
Sep 22 21:21:07.919: FIBipv4-packet-proc: packet routing succeeded
Анон, не совсем я вкурил в твою схему (или это не твоя схема, а другого анона - не суть). Но я не совсем понимаю, зачем там вообще PBR?
Собирал аналогичную схему DMVPN 2 Hub and spoke, но у меня выглядело все гораздо проще - классика жанра в виде NHRP, mGRE и OSPF || EIGRP. И cost-ами на интерфейсах регулировал приоритеты. Может у меня конечно тоже что-то уходит не так, просто я не посмотрел. Но отказоустойчивость работает нормально.
покажи вывод CEF до ip WAN филиала.
Скорее всего default route у тебя идет через WAN1.
По пункту 9 ты смотрел через Wireshark?
Аноний, подскажи.
Для того, чтобы крутить cisco ios на виртуалке для подготовки к сертификации думаю прикупить вот эту штуку: http://allegro.pl/dell-2950-iii-quad-e5410-2-3gh-32gb-2x146gb-sas-i6943976190.html
там написано, что HDD в комплекте нет.
Сам я не встречался с серверами, поэтому интересуют можно ли установить самый обычный HDD в это устройство и после того, как он придет его можно будет просто включить, без докупания каких-то блоков? Может сумбурно, но ты понел.
И да, не очень понял для чего у тебя применятся PBR, в данном случае он должен переключать default route через ISP1/2. На хабе с одним облаком должен быть один туннельный интерфейс вне зависимости от количества ISP (WAN интерфейсов). На споке тоже самое, просто он должен регистрироваться на обоих хабах (продублировать настройки nhrp) если хочешь кластер в пределах одного облака. Если хочешь Active/Active то надо делать второе такое облако - соответственно +1 туннельный интерфейс на хабах и споках. И как сказал анон выше используй FVRF, тогда сможешь утилизировать обоих ISP и сделать симметричный роутинг.
мимо CCNP
Есть возможность удаленно поучиться на CCNA за деньги с предоставлением доступа к оборудованию и материалам, как думаешь, стоит за это платить или вполне можно самостоятельно?
>И как сказал анон выше используй FVRF, тогда сможешь утилизировать обоих ISP и сделать симметричный роутинг.
Анон, можешь пояснить вкрадце что нам даст VRF в контексте DMVPN? Понят не могу пока зачем городить все это.
Если вообще с сетями никогда не работал, то поучится будет не лишним. Если же представление об этом имеешь, то можно и самостоятельно.
SAS контроллер PERC 6i поддерживает в том числе и SATA диски, просто SAS и SATA не могут быть в одном RAID массиве, и контроллер не поддерживает диски более 2TB.
Это даст упрощение конфигурации и в будущем меньше проблем с маршрутизацией и большей гибкостью, т.к. маршруты по умолчанию будут в своей VRF, т.е. допустим спокам ты можешь отдавать лишь дефолт через туннельный интерфейс.
Для примера:
https://habrahabr.ru/company/cbs/blog/302772/
И на примере FlexVPN:
http://packetpushers.net/cisco-flexvpn-dmvpn-high-level-design/
http://packetpushers.net/flexvpn-configuration/
>брэндовый некросервак
С 99% вероятностью хавает только одобренные дядей HDD. Если не знаешь как перешить контроллер - можешь сразу закладывать в цену покупку нормального контроллера без анальных зондов.
Алсо, заебал этот загончик цискоблядей.
Нормальных админов уже что ли не осталось?
Нормальных админов уже что ли не осталось?
>Нормальных админов уже что ли не осталось?
они вымерли все. Кто сумел - перекатился в другую область. Но это у тех, у кого есть мозг. Для админов это редкость.
>другая область
Гейопс и цискодроч это нихуя не другая область.
Цискодроч - это высшая точка развития админа.
выше только если стать CIO
не, ну если серьезно — сетевики-то вообще не нужны.
> не, ну если серьезно — сетевики-то вообще не нужны.
Написал анон, используя интернетик, настроенный сетевиками.
>На хабе с одним облаком должен быть один туннельный интерфейс вне зависимости от количества ISP (WAN интерфейсов).
Тогда вот хороший вопрос: как поместить этот самый единственный туннельный интерфейс на оба физических WAN-интерфейса?
Схема у меня пока такая: один Хаб с двумя ISP на каждом из которых поднят туннельный интерфейс, каждый в своё облако. На споке один ISP с двумя туннелями, каждый, опять же, смотрит в своё облако.
У меня отказоустойчивость тоже работает нормально. С учётом того, что вся система крутится на виртуалке, время перехода на резервное облако DMVPN после падения основного составляет около 30 секунд. Я бы и сам ничего не заметил, если бы не посмотрел wiresharkом что там и где ползает по каналам.
>По пункту 9 ты смотрел через Wireshark?
Да, именно так. GNS3 очень удобно с ним интегрирован в этом плане.
CEF до 20.20.20.20 на пикрилейте. Надеюсь, это то, что ты просил.
А кто нужен?
Сетевики - признанная элита ИТ, и просто лорды адмиства. Всё остальное по сравнению с ними - грязь из под ногтей. Пора бы уже уяснить, сколько тредов подряд таким как ты это разжёвывают.
На пикрелейте ты можешь увидеть ответ, одного из савсегдатаев форума sysadmins.ru. Сама тема вот здесь: http://sysadmins.ru/topic376404.html Поясню, что происходит. Мимокрокодил создаёт тему, задаёт в ней полностью понятный и подробно расписанный вопрос, в котором ясно видно, что он хочет узнать. Первый же ответ - это пикрелейтед. И это единственный ответ от этого юзера в этой теме. ВСЁ. ОН ПРОСТО ЗАШЁЛ В ТЕМУ, ПУКНУЛ ПРОСТРАННЫМ ВОПРОСОМ В СТИЛЕ "А НАХУЙ ТЕБЕ ВООБЩЕ ЭТА ХУЙНЯ_НЕЙМ??????????777" И ТУТ ЖЕ СЪЕБАЛ. При этом сам вопрос ОПа показан на второй пикче.
То есть тело вообще не понимает, зачем ОП-посте упоминается OSPF, хотя он явно видит термин DMVPN.
А давайте пидорнём всех не-сетевиков в отдельный подшконный тред? Всё равно тут только мы общаемся по делу.
Я не тот анон, у которого кривые костыли с PBR. Просто мне стало интересно, я собрал похожую схему и попробовал разобраться.
>как поместить этот самый единственный туннельный интерфейс на оба физических
Как вариант tunnel source loopback, но это опять костыли какие-то.
Бугурт менятеля картриджей и манипуляторов типа мышь детектед.
плюсую, всяким пердоликам с их негрузящейся у тетьклавы виндой в данном элитном треде не рады.
PBR-инвалид тут, и я сейчас объясню, почему вообще запилил PBR, SLA-тесты и прочую костыльную лабуду, которая, если честно, и мне ни разу не нравится. Дело в том, что может возникнуть такая ситуация, когда шлюз провайдера не отвечает, но status и protocol на этом интерфейсе всё ещё UP, и поэтому маршрутизатор думает, что канал до провайдера всё ещё жив. Это может быть в случае, если между ним и ISP находится какой-нибудь свитч, который, собственно, и держит канал. Если при этом на маршрутизаторе имеется два WAN, то переключения на резервный канал не произойдёт - зачем переключаться, если основной канал и так работает?
Я думаю, что вы оба можете съебать отсюда нахуй, со своим нытьём.
Я не то чтобы хочу купить брендовый. Просто за эти деньги что можно купить с такими характеристиками?
Разве в этом случае не отработал протокол динамической маршрутизации? OSPF не отработает?
В том-то и дело, что в AS OSPF включены только туннельные и LAN-подсети. Внешние интерфейсы хаба незачем включать в AS, поскольку филиалы, разнесены на довольно таки охуенное расстояние самые дальние - Владивосток и Южно-Сахалинск. Хаб в Москве, и использовать Хаб, как ASBR, аннонсирующий дефолтные маршруты для всей AS, не очень разумно.
Кроме того, OSPF таки отрабатывает. То есть он быстро понимает, что через первое облако, привязанное к WAN-порту с упавшим ISP больше ничего не ходит - и перестраивает топологию на резервное облако. И связь между LANами Хаба и Споков восстанавливается
НО. Если кто-то из LAN Хаба захочет получить доступ не к сетям филиала, а просто к Интернету, то этот трафик будет идти в "мёртвый" маршрут по-умолчанию, где благополучно просрётся.
Да, я осознаю, что проблема может быть ещё более глубокой. К примеру, упадёт не шлюз по-умолчанию провайдера, а что-то внутри его собственной AS маршрутизации. Тогда хотя шлюз будет откликаться на тесты Хаба, сам трафик будет загибаться уже внутри сети провайдера.
ОТВЕЧАЙ, СУКА, КТО НУЖЕН-ТО, БЛЯДЬ?! ХУЛИ ЗАМОЛК, МУДИЛО?!!
Только сетевики нужны, остальные либо вымерли либо скоро вымрут, очевидно же.
Пожму руку скромному работяге-админу, мастеру в своей предметной области. Плюну в лицо снобу-сетевику, прочитавшему пару статей на Хабре и заглянувшему одним глазком в талмуд по ccna, и уже мнящему себя царём-королём цисок, господином мокрых писок. Что на это скажешь?
МимоСетевик
То что ты, якшаясь с самой грязью мира ИТ (админами), всё сильнее отдаляешься от элиты мира ИТ (сетевиков).
Опасные у тебя мысли. Сначала ты определяешь какие-то "касты", потом начинаешь всерьёз верить в ту хуйню, которое навоображал, потом начинается - нарциссизм, макиавеллизм, социопатия, затем ты окончательно едешь крышей на почве своей (мнимой) охуенности и избранности, тебя начинают слать отовсюду нахуй, ты такой непонятый поганым быдлом бугуртишь с этого, поднимаешь свой маленький говнофорум, где с такими же поехавшими, как и ты, начинаешь проводить свои дни за пердежом в лужу и игрой в голландский штурвал.
>фантазии
ок
врот тебе хуёк)
>этот порвавшийся заменитель картриджей
>этот шизанутый гейний надрачивания на собственное эго
ну я админ SCOM и заодно рулю AD
че хотел?
мне как-то нечего обсуждать
Продолжаю страдать с DMVPN. Мельком посмотрел сейчас про VRF - очень сильно понравилось то, что увидел. Вот только стал вопрос: имеет ли смысл в энтерпрайзе среднего уровня, с топологией типа "звезда", выебнуться и заюзать MPLS вместе с VRF, или лучше ограничиться одним Lite-VRF?
Прямо один-в-один мой случай. Спасибо, за такой царский подгон, бро.
Сетевики - это просто современные водопроводчики или сантехники. Не более. Админы - это вахтеры постиндустриального мира. Программисты - столяры.
Какая элита, ты о чем, люмпен-пролетарий?
Специалист-водопроводчик в разы способнее тупого дауга-вахтёра пидорашки, так что смысл не поменялся.
>Программисты - столяры.
Скорее говночисты-строители отхожих мест.
>Специалист-водопроводчик в разы способнее тупого дауга-вахтёра пидорашки, так что смысл не поменялся.
Что ты несешь? Без админов инфраструктуру не построишь. Каждый занимается своим делом, сети плетут сетевики, инфраструктуру поднимают админы
У админов дохуя дел и им тут нечего обсуждать
Только сетевики обсуждают одни и те же технологии в которых 20 лет нехуя не менялось
Так, я вернулся, короче я немного проебался да, тут поможет только PI Loopback, так что отпадает. Поэтому на каждом роутере делаешь 2 FVRF (в каждом 1 дефолт, PBR НЕ НУЖЕН), затем на каждом роутере кластера делаешь 2 Tunnel соответственно c source interface ISP1 и 2, в каждом туннеле указываешь разные nhrp network и tunnel id (т.к. это разные облака), а главное УКАЗЫВАЕШЬ Tunnel vrf FVRF-ISP1/2 и каждый туннель будет строиться строго через одного провайдера. На втором роутере можешь поменять на tunnel vrf местами. Однако учти если характеристики каналов у ISP разные, а у туннелей будет одинаковая стоимость и будет балансировка, то будет ПЛОХО. Особенно для voIP и видео.
Ебать, ты либо шутник, либо умственно отсталый, сети всегда менялись и продолжают меняться.
EVPN, LISP и т.д, идет интеграция с облачными решениями и продуктами по виртуализации.
Для BGP постоянно выходят новые RFC и все это постепенно появляется у всех вендоров.
IS-IS переживает второе рождение
Пик, как говорится релейтед.
cumulus@leaf1:~$ net show bgp evpn vni
Advertise Gateway Macip: Disabled
Advertise All VNI flag: Enabled
Number of VNIs: 2
Flags: - Kernel
VNI Orig IP RD Import RT Export RT
10010 10.255.255.11 10.255.255.11:1 65011:10010 65011:10010
* 10020 10.255.255.11 10.255.255.11:2 65011:10020 65011:10020
Просто обычно обсуждаются базовые вещи, т.к. они являются фундаментом для остального.
Анон, твой скрин? Ты в бою реально кумулус где-то видел?
Скрин мой, сегодня собрал лабу. Хочу сказать что Cumulus очень даже молодцы, мало того что они реально пилят и улучшают саму ОС и cli, т.к. еще и вносят драфты в RFC, некоторые из которых уже стали полноценными. Насколько я знаю в РФ только у Яндекса. Скорее всего пойдет дальнейший рост деплоя, т.к. теперь можно интегрировать с NSX от VmWare и OpenStack.
В отличие от cisco такая лаба настраивается за час вместе с чтением документации (которая опять же грамотно оформлена).
Ещё один "Убийца Циско"? Мдакекуж) Бля, скорей бы уже, как же заебали эти монополистические пидоры, подмявшие под себя весь мир и успешно закачивающие в мозги начинающих сетевиков говно, название которому "Сертификация Циско"
Есть ли в России компании/НИИ, занимающиеся разработками в сфере сетевых протоколов/сетей вообще? Хочется вкатиться в сетевое программирование.
Типичная ситуация для быдлорунета в любой области. На просьбу помочь/разъяснить отвечать, как чмо ебанное ЗОЧЕМ ТИПЕ ЭТА777777777
Это те комутаторы на базе x86 с открытым линуксом?
От чего вообще такой дрочь на все эти киски-хуиски? Чем хуже остальное коммутационное оборудование? Тем, что не распиарились что типо такие же гуру-фирмы в сетевых технологиях? Киско - обычный деу матиз под видом баллистической ракеты и управлением как в кабине боинга. Серверочки HP и Dell туда же: те же деу матизы ценой под тесла-мобили.
Плюс во всех обязательные бекдоры напрямую в анб.
Плюс во всех обязательные бекдоры напрямую в анб.
У циски очень много функций в их железках. Обычно в конкретной сети конкретной конторы большая часть не используется, но это уже другая тема.
>Чем хуже остальное коммутационное оборудование?
Хотя бы отсутствием TAC, для начала.
как сеть настроить?
Тротуарную плитку клепаешь?
А зачем тебе это?
Перезагрузи роутер.
Вытащи вилку из розетки, подожди минуту и вставь её обратно.
Циско как азбука никуда не девается.
> >Чем хуже остальное коммутационное оборудование?
> Хотя бы отсутствием TAC, для начала.
Плюс вменяемый выпуск обновлений софта.
Правильно. Циска отстой. Джуниперы рулят.
Такая ситуация ребят. Я обычный эникееадмин в госконторе. Уже давно не вижу никакого развития тут. Хочу вкатится в nix админа/инжа. Я не против винды, мне она тоже нравится, но у нас в основном все вакансии где присутствует винда - это сорт оф то же самое, где я сейчас работаю.
Саму ОС знаю неплохо, потому что админю пару nix'овых серваков. Листаю никсовые вакансии - в основном это все что связано с БД,вебом,мониторингом,SCM. И вот с этим у меня проблемы - практики никакой нет. Как вы считаете, можно ли это все освоить на локалхосте до то того уровня чтоб в резюме написать мол - да, у меня есть опыт работы с БД,вебом,мониторингом и потом не обосраться на собесе?
Я не претендую на сеньёра, мне хватит и жуниора для начала. Только бы свалить из эникейства.
Саму ОС знаю неплохо, потому что админю пару nix'овых серваков. Листаю никсовые вакансии - в основном это все что связано с БД,вебом,мониторингом,SCM. И вот с этим у меня проблемы - практики никакой нет. Как вы считаете, можно ли это все освоить на локалхосте до то того уровня чтоб в резюме написать мол - да, у меня есть опыт работы с БД,вебом,мониторингом и потом не обосраться на собесе?
Я не претендую на сеньёра, мне хватит и жуниора для начала. Только бы свалить из эникейства.
Посоны, как трафик DLNA сервера (minidlna) отправить через vpn в другую подсеть? Site-to-site vpn уже сделан, маршрутизация статическая работает, но тут как я понимаю свои особенности, потому что мультикаст?
X name лучше Y name без обоснования - ответ не достойный инженера.
Всегда все зависит от ситуации и требований.
Сам не люблю вендорлок и стараюсь не использовать такие технологии.
Они делают только лишь ОС, коммутаторы можешь покупать любые с поддержкой ONIE.
Да, я это и имел ввиду. Это круто. Правда я сейчас лицензию посмотрел, и она проприетарная, так что было бы круче если бы совсем всё открыто было. Или чтобы как у ред хат - есть открытая бесплатная версия без поддержки и платная с поддержкой.
Поэтому она и нормальная, развивается, СПО нахуй не нужно, бесплатно хорошего не бывает, кушать хотят все.
Модель редхата мне нравится - профит от СПО всем идёт, прогеры профессиональные работают полный день, изменения вносятся открыто, платная только поддержка.
Собственно, у редхата всё хорошо, не вижу с этим проблем.
Пацандрэ, нужен совет. Пердолю доменную инфраструктуру в банке и что-то это заебало малец. Прошел курсы MS до MCSE, нихрена полезного из них не вынес. Думаю, что надо куда-то в другое русло развиваться. Идти в управленцы или же подучить программирование и пойти в DevOps, что перспективнее?
Хуярь в сети. Будем сплетаться в объятьях витушных.
есть стори как из офисного админа/эникея перекатывались в ынтерпрайз ?
Под энтерпрайзом понимается именно крупная контора какая-то с офисами? Или просто любая компания со сложной серверной инфраструктурой? И тебя опыт сетевиков интересует или виндовых/линуксовых админов?
>есть стори как из офисного админа/эникея перекатывались в ынтерпрайз ?
Есть. Админ небольшого КБ -> ВТБ.
скорее виндусовых хотя и понимаю, что это намного сложнее.
Посоны, как вы отдыхаете? Я вот хоть не бухаю и не упарываю, но каждое воскресенье - это ад какой-то. Из-за недосыпа в течение недели впадаю в сраную спячку до часа дня. Когда всё-таки встаю с кровати, целый день хожу с гудящей головой, неспособный делать вообще хоть что-то кроме как пялиться в монитор. При этом даже в игоры играть не очень тянет, не хватает сосредоточенности. В течение рабочей недели хожу, как огурчик. Дошло до того, что стал выходить по субботам, лишь бы поменьше отдыхать. И ещё не спать впрок не получается: неважно, сколько я спал в выходные, в будни я всё равно буду охуевшим. Пиздец короче.
Много гуляю по лесу, играю с собакой, учу её делать разную хуйню. Мастерю всякие деревянные штуки на даче, работаю руками на свежем воздухе. Только так голову разгружаю.
Игры раньше любил, теперь за компом начинается апатия какая-то, когда не работаю.
Хуй знает, но я до сих пор в игры играю.
Много фапаешь?
Когда как. Иногда всфапну раз пять, иногда по несколько дней не хочется.
>что перспективнее
перспективнее то, что у тебя лучше получается + что тебе более интересно.
лучше быть хорошим Х, чем посредственным Y, а еще хуже плохим Z
>Посоны, как вы отдыхаете?
В зал хожу, в игрульки играю, с женой время пррвожу...
В тред призываются DMVPN-дрочеры и остальные энтерпрайз-сетевики.
Пытаюсь понять вашу схему в Front-VRF DMVPN.
Объясните дураку смысл этого подхода. В чем профит в сравнении с обычным вариантом, когда нет никаких VRF и всё в глобальной таблице?
HUB:
interface Tunnel0
ip address 10.100.0.1 255.255.255.0
no ip redirects
ip nhrp map multicast dynamic
ip nhrp network-id 100
ip nhrp shortcut
ip nhrp redirect
tunnel source Ethernet0/0.100
tunnel mode gre multipoint
tunnel key 100
HUB_2:
!
interface Tunnel0
ip address 10.100.0.2 255.255.255.0
no ip redirects
ip nhrp map multicast dynamic
ip nhrp network-id 100
ip nhrp redirect
tunnel source Ethernet0/0.100
tunnel mode gre multipoint
tunnel key 100
London:
interface Tunnel0
ip address 10.100.0.10 255.255.255.0
no ip redirects
ip nhrp map multicast 10.1.0.1
ip nhrp map multicast 10.1.0.2
ip nhrp map 10.100.0.1 10.1.0.1
ip nhrp map 10.100.0.2 10.1.0.2
ip nhrp network-id 100
ip nhrp nhs 10.100.0.1
ip nhrp nhs 10.100.0.2
ip nhrp shortcut
ip nhrp redirect
tunnel source Ethernet0/0.100
tunnel mode gre multipoint
tunnel key 100
Дальнейшая настройка предполагает поднятие динамики и настройку IKE+IPSec профайлов на туннельных интерфейсах.
Динамика будет работать и обеспечивать отказоустойчивость. Накой тут VRF? В чем профит от него?
Пытаюсь понять вашу схему в Front-VRF DMVPN.
Объясните дураку смысл этого подхода. В чем профит в сравнении с обычным вариантом, когда нет никаких VRF и всё в глобальной таблице?
HUB:
interface Tunnel0
ip address 10.100.0.1 255.255.255.0
no ip redirects
ip nhrp map multicast dynamic
ip nhrp network-id 100
ip nhrp shortcut
ip nhrp redirect
tunnel source Ethernet0/0.100
tunnel mode gre multipoint
tunnel key 100
HUB_2:
!
interface Tunnel0
ip address 10.100.0.2 255.255.255.0
no ip redirects
ip nhrp map multicast dynamic
ip nhrp network-id 100
ip nhrp redirect
tunnel source Ethernet0/0.100
tunnel mode gre multipoint
tunnel key 100
London:
interface Tunnel0
ip address 10.100.0.10 255.255.255.0
no ip redirects
ip nhrp map multicast 10.1.0.1
ip nhrp map multicast 10.1.0.2
ip nhrp map 10.100.0.1 10.1.0.1
ip nhrp map 10.100.0.2 10.1.0.2
ip nhrp network-id 100
ip nhrp nhs 10.100.0.1
ip nhrp nhs 10.100.0.2
ip nhrp shortcut
ip nhrp redirect
tunnel source Ethernet0/0.100
tunnel mode gre multipoint
tunnel key 100
Дальнейшая настройка предполагает поднятие динамики и настройку IKE+IPSec профайлов на туннельных интерфейсах.
Динамика будет работать и обеспечивать отказоустойчивость. Накой тут VRF? В чем профит от него?
Ах ну да, из той статьи на хабре никак я не могу понять профит. Вроде на выходе имеется тоже самое, что и без всяких VRF
Аноны, о чем может говорить 12+ вакантных мест на ХХ у IT-компании, занимающейся разработкой и внедрением информационных систем? Android-программист, Web-программист, SQL, тестировщик, системные аналитик, web-одмин какой-то и внедренцы.
Компания участувует в госзакупках, даже побеждала, в реестре недобросоветных нет. Но у меня в жопе чуйка говорит, что те, кто ищут сразу толпу разного, либо на грани фейла, либо там в духе постсовкового производства кадровый резерв приключился.
Компания участувует в госзакупках, даже побеждала, в реестре недобросоветных нет. Но у меня в жопе чуйка говорит, что те, кто ищут сразу толпу разного, либо на грани фейла, либо там в духе постсовкового производства кадровый резерв приключился.
Может выходят на новое направление? Открывают новый отдел?
>Вроде на выходе имеется тоже самое, что и без всяких VRF
Как минимум в стройной схеме с VRF, в GRT у тебя только то что пришло через туннели, в идеале дефолт от хаба(-ов).
В VRF только дефолты через обоих операторов(у нас так), что максимально удобно.
мимо CCIE
Аццки бухаю в пятницу, потом 2 дня отмокаю. Единственный способ скинуть стресс. Отдал бы 50% зп за возможность работать по удаленке или вдвое меньше.
>В VRF только дефолты через обоих операторов(у нас так), что максимально удобно.
Т.е. чего надо добиться в идеале?
Стык о оператором в отдельном VRF. А то, что отдает хаб попадает в глобал?
>Стык о оператором в отдельном VRF. А то, что отдает хаб попадает в глобал?
Я же написал - у в GRT только то что пришло от хаба(-ов).
Все операторские дела - в отдельных VRF.
Конкретно у нас - в GRT только дефолт, который приходит от двух хабов, в RIB разумеется только один, второй feasible successor.
GRT - Global Routing Table?
>Все операторские дела - в отдельных VRF.
ну по факту что нам дает такая изоляция, кроме того, что одни роуты в одной врф, другие в другой.
Судя по сайту и описаниям вакансий это не понятно. Вроде как это компания одного продукта.
Алсо, это частое явление, как я погляжу. Другое дело, что у многих заявлено, что они делают всё: от батона до гандона одновременно внедряют автоматизацию заводов и верстают сайты.
>GRT - Global Routing Table
Да.
>ну по факту что нам дает такая изоляция, кроме того, что одни роуты в одной врф, другие в другой.
Пример - у тебя спок с двумя каналами в интернет.
Вопрос - каким образом ты будешь настраивать маршруты в сторону хаба(-ов) через обоих операторов?
мимо CCIE
>Вопрос - каким образом ты будешь настраивать маршруты в сторону хаба(-ов) через обоих операторов?
Два туннельных интерфейса, один tun source int ISP1, другой tun source int ISP2.
Где подводные камни?
>каким образом ты будешь настраивать маршруты
туннельные интерфейсы поднимутся, а маршруты раздаст eigrp.
>Два туннельных интерфейса, один tun source int ISP1, другой tun source int ISP2.
И?
Каким образом пакет с ISP2 пойдёт в сторону хаба, при услови что дефолт через ISP1?
>туннельные интерфейсы поднимутся, а маршруты раздаст eigrp.
Однако, что-то новое.
>Каким образом пакет с ISP2 пойдёт в сторону хаба
Ну в таблице маршрутизации будет что-то вроде:
D 10.10.0.10/32 [90/409600] via 10.2.0.10, 00:38:21, Ethernet0/0.200
[90/409600] via 10.1.0.10, 00:38:21, Ethernet0/0.100
разве нет?
>разве нет?
Разумеется нет.
анон, помоги!
собрал схему в EVE. Эмулировал ситуацию, когда у меня есть несколько провайдеров, поднял DMVPN.
Вот что у меня на споке в итоге в глобал роут тейбл:
D 10.10.10.0/24 [90/27008000] via 10.200.0.2, 00:00:08, Tunnel1
[90/27008000] via 10.200.0.1, 00:00:08, Tunnel1
[90/27008000] via 10.100.0.2, 00:00:08, Tunnel0
[90/27008000] via 10.100.0.1, 00:00:08, Tunnel0
Блядь ну все работает и без VRF. Как сделать так, чтобы он понадоблся, чтобы понять зачем он нужен?
Все туннельные интерфейсы поднимаются. Маршруты, как видишь, появляются. ЧЯДНТ??
Вот что на споке:
interface Tunnel0
ip address 10.100.0.10 255.255.255.0
no ip redirects
ip nhrp map 10.100.0.1 111.23.23.1
ip nhrp map 10.100.0.2 111.23.23.2
ip nhrp map multicast 111.23.23.1
ip nhrp map multicast 111.23.23.2
ip nhrp network-id 100
ip nhrp nhs 10.100.0.1
ip nhrp nhs 10.100.0.2
ip nhrp shortcut
ip nhrp redirect
tunnel source Ethernet0/0.400
tunnel mode gre multipoint
tunnel key 100
!
interface Tunnel1
ip address 10.200.0.10 255.255.255.0
no ip redirects
ip nhrp map 10.200.0.1 111.23.23.1
ip nhrp map 10.200.0.2 111.23.23.2
ip nhrp map multicast 111.23.23.1
ip nhrp map multicast 111.23.23.2
ip nhrp network-id 200
ip nhrp nhs 10.200.0.1
ip nhrp nhs 10.200.0.2
ip nhrp shortcut
ip nhrp redirect
tunnel source Ethernet0/0.600
tunnel mode gre multipoint
tunnel key 200
!
interface Ethernet0/0.400
encapsulation dot1Q 400
ip address 211.23.23.10 255.255.255.0
!
interface Ethernet0/0.600
encapsulation dot1Q 600
ip address 222.45.45.10 255.255.255.0
шлюз
ip route 0.0.0.0 0.0.0.0 211.23.23.254
ip route 0.0.0.0 0.0.0.0 222.45.45.254 20
!
Прилетают маршруты от хабов без всяких VRF. Что за херня?
полная GRT со спока:
S* 0.0.0.0/0 [1/0] via 211.23.23.254
10.0.0.0/8 is variably subnetted, 6 subnets, 2 masks
C 10.10.0.10/32 is directly connected, Loopback0
D 10.10.10.0/24 [90/27008000] via 10.200.0.2, 00:06:16, Tunnel1
[90/27008000] via 10.200.0.1, 00:06:16, Tunnel1
[90/27008000] via 10.100.0.2, 00:06:16, Tunnel0
[90/27008000] via 10.100.0.1, 00:06:16, Tunnel0
C 10.100.0.0/24 is directly connected, Tunnel0
L 10.100.0.10/32 is directly connected, Tunnel0
C 10.200.0.0/24 is directly connected, Tunnel1
L 10.200.0.10/32 is directly connected, Tunnel1
211.23.23.0/24 is variably subnetted, 2 subnets, 2 masks
C 211.23.23.0/24 is directly connected, Ethernet0/0.400
L 211.23.23.10/32 is directly connected, Ethernet0/0.400
222.45.45.0/24 is variably subnetted, 2 subnets, 2 masks
C 222.45.45.0/24 is directly connected, Ethernet0/0.600
L 222.45.45.10/32 is directly connected, Ethernet0/0.600
S* 0.0.0.0/0 [1/0] via 211.23.23.254
10.0.0.0/8 is variably subnetted, 6 subnets, 2 masks
C 10.10.0.10/32 is directly connected, Loopback0
D 10.10.10.0/24 [90/27008000] via 10.200.0.2, 00:06:16, Tunnel1
[90/27008000] via 10.200.0.1, 00:06:16, Tunnel1
[90/27008000] via 10.100.0.2, 00:06:16, Tunnel0
[90/27008000] via 10.100.0.1, 00:06:16, Tunnel0
C 10.100.0.0/24 is directly connected, Tunnel0
L 10.100.0.10/32 is directly connected, Tunnel0
C 10.200.0.0/24 is directly connected, Tunnel1
L 10.200.0.10/32 is directly connected, Tunnel1
211.23.23.0/24 is variably subnetted, 2 subnets, 2 masks
C 211.23.23.0/24 is directly connected, Ethernet0/0.400
L 211.23.23.10/32 is directly connected, Ethernet0/0.400
222.45.45.0/24 is variably subnetted, 2 subnets, 2 masks
C 222.45.45.0/24 is directly connected, Ethernet0/0.600
L 222.45.45.10/32 is directly connected, Ethernet0/0.600
>ip route 0.0.0.0 0.0.0.0 222.45.45.254 20
Если это удалить, что будет?
мимо другой дрочащий на DMVPN
Покажи топологию картинкой
мимо CCIE
Вот так это выглядит.
Настроил Лондон с VRF, Франкфурт без VRF. В глобальной таблице маршрутизации на обоих роутерах одна херня - 4 маршрута до 10.10.10.0 по EIGRP.
ничего не происходит
Т.е. туннели не упали и соседства не порушились?
мимо CCIE
да. Удалил на лондоне - tunnel1 упал)
Кажется я близок к разгадке
>Кажется я близок к разгадке
У тебя кривая схема имитирующая провайдеров.
мимо CCIE
>Отдал бы 50% зп за возможность работать по удаленке
С мамкой живешь?
>кривая схема имитирующая прова
а какая картина должна быть-то?
>а какая картина должна быть-то?
Я не про картинку, а про реализацию.
я имел ввиду, почему ты предположил, что схема кривая. Исходя из чего?
Отталкиваясь от этого, я изменю реализацию.
>я имел ввиду, почему ты предположил, что схема кривая.
У тебя дефолт через e0/0.400 и при этом никаких спецификов через e0/0.600 нет.
мимо CCIE
> при этом никаких спецификов через e0/0.600 нет.
вот это вот не совсем понял. Каких ещё спецификов?
>вот это вот не совсем понял. Каких ещё спецификов?
Сделай tracer 111.23.23.1 so 222.45.45.10
Это снимет все вопросы.
А так же рекомендую посмотреть:
sh ip cef 0.0.0.0/0
мимо CCIE
London#sh ip cef vrf inet 0.0.0.0/0
0.0.0.0/0
nexthop 211.23.23.254 Ethernet0/0.400
London#sh ip cef vrf inet2 0.0.0.0/0
0.0.0.0/0
nexthop 222.45.45.254 Ethernet0/0.600
London#
London#traceroute vrf inet2 111.23.23.1 source 222.45.45.10
Type escape sequence to abort.
Tracing the route to 111.23.23.1
VRF info: (vrf in name/id, vrf out name/id)
1 222.45.45.254 1 msec 0 msec 1 msec
2 10.1.1.1 0 msec 1 msec 0 msec
3 111.23.23.1 1 msec 1 msec
Frankfurt#sh ip cef 0.0.0.0/0
0.0.0.0/0
nexthop 211.23.23.254 Ethernet0/0.400
Frankfurt#traceroute 111.23.23.1 so 222.45.45.20
Type escape sequence to abort.
Tracing the route to 111.23.23.1
VRF info: (vrf in name/id, vrf out name/id)
1 211.23.23.254 0 msec 1 msec 1 msec
2 111.23.23.1 1 msec 1 msec
>Frankfurt#traceroute 111.23.23.1 so 222.45.45.20
>Type escape sequence to abort.
>Tracing the route to 111.23.23.1
>VRF info: (vrf in name/id, vrf out name/id)
>1 211.23.23.254 0 msec 1 msec 1 msec
>2 111.23.23.1 1 msec 1 msec
Ничего не смущает?
мимо CCIE
трафик бежит через первого оператора, вместо того, чтобы бежать через второго, потому что
>ip route 0.0.0.0 0.0.0.0 211.23.23.254
А если мы поместим эти дефолт маршруты в разные vrf, то у нас будет утилирироваться оба линка? (при желании)
>трафик бежит через первого оператора, вместо того, чтобы бежать через второго, потому что
>>ip route 0.0.0.0 0.0.0.0 211.23.23.254
Именно. Только в реальной жизни у тебя трафик дропнется на первом же хопе провайдера.
>А если мы поместим эти дефолт маршруты в разные vrf, то у нас будет утилирироваться оба линка? (при желании)
Для начала - два дефолта работать не будут, потребуются специфики, а это редкостный костыль.
При двух VRF эта проблема отпадает как понятие, хвосты туннелей в VRF(где может быть что угодно, хоть дефолт, хоть специфики безумные), головы в GRT.
В итоге минимальные таблицы маршрутизации в VRF и минимальная таблица в GRT(при условии того что от хабов приезжает дефолт).
мимо CCIE
> хвосты туннелей в VRF(где может быть что угодно, хоть дефолт, хоть специфики безумные), головы в GRT.
Анон, что такое "хвосты туннелей" и "головы"? Споки и хабы что ли?
Т.е. если подытожить, то по хорошему как должно быть, чтобы избежать такой ситуации, когда трафик будет дропаться?
Хабы анонсируют дефолт и всё? Или, например, подсеть дацацентра, как у меня в лабе.
Как тогда зарулить трафик в инет, если два дефолта работать не будут.
я же тебе все разжевал, про VRF. Тебе CCIE тоже самое говорит у тебя tunnel vrf и указывается чтоб туннель через нужный дефолт (ISP) шел.
Анон, дрочащий dmvpn, не ты ли год назад тут OSPF в такой же манере учил?
вряд ли
Про DMVPN понял. Посмотрел в WireShark, действительно пакетики приходят на первый Хаб невзирая на то, что маршрут на споке через второй хаб.
Спасибо господам за разъяснение!
CCIE имеет ввиду что IGP маршрутизация будет в GRT, т.е. в основной "головной". А "хвосты" - линки от ISP и дефолты в них в своих VRF. Про дроп трафика - CCIE имеет ввиду что если у тебя трафик будет идти через дефолт провайдера B с адреса провайдера A, провайдер B будет дропать такой трафик, т.к. у него стоят фильтры на source ip (он ведь ожидает что ты используешь то что он тебе выдал). можно отдавать подсеть ДЦ, можешь дефолт - если споки будут Stub, или в Stub Area (в зависимости от IGP).
Все это хороший пример того, как технологии энтерпрайза не встречаются у провайдера и наоборот.
Кстати можно обойтись и без VRF.
На туннельном интерфейсе - Tunnel source Loobpack 0. На Loopback 0 приватный ip адрес. Tunnel destanation на Spoke - удаленный лупбек на HQ, ну и IP SLA с трекингом дефолтов. Естественно лупбеки должны натироваться. Тогда при переключении ISP по треку туннель будет строится с ip адреса нужного ISP. Такая схема подходит для Active/Stanby. Опять же дефолт через IGP нельзя отдавать на споки, поэтому лучше юзать схему с VRF.
Ваш CCNP
На туннельном интерфейсе - Tunnel source Loobpack 0. На Loopback 0 приватный ip адрес. Tunnel destanation на Spoke - удаленный лупбек на HQ, ну и IP SLA с трекингом дефолтов. Естественно лупбеки должны натироваться. Тогда при переключении ISP по треку туннель будет строится с ip адреса нужного ISP. Такая схема подходит для Active/Stanby. Опять же дефолт через IGP нельзя отдавать на споки, поэтому лучше юзать схему с VRF.
Ваш CCNP
Vrf - это технология энтерпрайза или провайдера считается? В моем средне-крупном энтерпрайзе не используется.
vfr-lite (т.е. разделение в пределах одного маршрутизатора) - чистый энтерпрайз
Полноценный VFR - это MPLS/BGP с его RD и RT
CCIE поправь меня, если я не прав.
сетевики такие смешные, всё сыпят какими-то аббревиатурами, такие-то маршруты прописывают. Пока еще они нужны...
мимо бизнес аналитик из энтерпрайза
мимо бизнес аналитик из энтерпрайза
Ох, кек, аналитики такие смешные, что то пиздят хотя они не нужны
Даже когда машинное обучение будет делать всю работу за нас, мы останемся а ты нет.
Запилишь?
>мы останемся
Пффф....вы?! останетесь?!
мимо deep machine learning engineer and big data scientist
Запилю пока свою прохладную:
После универа в своей провинции, пошел работать в этот же самый универ админом, потерял там 3 года жизни, собственно тогда меня держала неплохая по тем меркам зп и что взяли без опыта. Работа была дико тупая, и сколько я не придумывал себе занятия по ИТ, особо не разгуляешься, т.к. бюджета на это нет. Когда понял, что деградирую окончательно если не уйду, начал усиленно читать по сетям - нравилось направление. Рассылал резюме и ходил на собеседования, где меня посылали без опыта. Однажды наткнулся на вакансию в один местный банк, с головой в нашем городе, пошел на собеседование на обычного специалиста и меня взяли. Разделения там тогда не было, мне доверили отвечать за Интернет-Банк + вся эникейская работа + возможность изучать сети, т.к. тогда там был полный ахтунг и надо было переделывать. Примерно в это же время на ведущего устроился мой будущий коллега очень опытный сетевой инженер и собственно тот кто открыл глаза на ИТ в целом, многому научил. Отработал я там 3,5 года из которых 2 последних был уже сетевиком, а коллега ушел в руководители ИТ проектов. И в целом коллектив был отличный, с начальником отдела до сих пор поддерживаем связь. Затем у банка начались проблемы и вскоре отозвали лицензию. Не дожидаясь пиздеца, я начал искать новую работу. Далее почти 2 года проработал в одной крупной компании с филиалом в нашем городе, в качестве сетевого инженера, сапортил 7 офисов компании по миру, участвовал во внедрениях, вел несколько проектов. Тут уже окончательно укрепился в знаниях и опыте на большой инфраструктуре, съездил в пару командировок по миру. Работа была очень интересная, коллеги просто отличные ребята и профи, но зп для ИТ повышались редко и с неохотой, т.к. не от нас доход. Если бы не зп, работал бы там и дальше, но семья есть семья. Когда уходил на следующую работу пытались оставить, но равные по зп условия так и не смогли предложить. Сейчас ушел в интегратор у себя же в провинции, пока не жалуюсь. Хотя ДС и ДС2 манит, и уже звали на пару тройку интересных работ, после тех. интервью.
Главное что надо усвоить - нельзя останавливаться, надо постоянно изучать новое, хоть и иногда заебывает и хочется покоя. Сертификация гарантий не дает, но помогает пройти тупых рекрутеров, дальше тех. интервью все показывает.
продолжай постить на хабре статейки и пить смузи.
бизнес пиздабол постит на двач, доступ к которому предоставляют ненужные сетевики
ок-ок
Можешь, пожалуйста, расписать по пунктам, как в такой сети пакет обрабатывается на хабе? Просто не могу понять, как пакет, пришедший на физический интерфейс, который находится в одном из VRF, потом, после декапсуляции, передаётся туннельному интерфейсу, который в GRT. GRT и таблица VRF, они же изолированы друг от друга? Как между ними может идти маршрутизация?
Или обмен информацией между физическим интерфейсом и висящим на нём туннельным не имеет никакого отношения к маршрутизации? Ну, очередной случай внутрипрограммной контролл-плейн-дата-плейн-мумба-юмба-магии?
В том-то и дело, что нет. Любые пакеты, если нет прямо указывающих на это настроек маршрутизации, всегда маршрутизируются через дефолтный интерфейс. В твоём случае, трафик второго туннеля, висящего на втором WAN-интерфейсе будет попросту уходить с физического интерфейса дефолтного WAN-интерфейса, хотя source-поле внешнего заголовка IP будет иметь адрес физического WAN2.
Это, кстати, может вызвать проблемы с поднятием туннеля, если оборудование твоего провайдера, стоящее на границе с твоей сетью, дропает пакеты, source которых не из его подсети.
Сеть в организацию, админы. Работаю C++ программистом полгода, какое-то время тоже работал год где-то. 27лвл. Талант и тяга к программированию у меня есть, но 8-часовой рабочий день сильно выматывает. Нужно весь день думать, напрягаться, всегда работы много. Пока поправку можно сделать на то, что я нуб и танцую по граблям процентов 50 времени, но тем не менее, всё чаще меня посещает желание свалить или на удалёнку (гибкий график), или во фриланс (опять же, меньше напряга), или в бизнес (ололо), или в науку, или в какую-нибудь профессию, где не нужно постоянно напрягаться, где можно сесть и подумать между делом, и, самое главное, где можно всё быстро сделать и оставшееся время просто следить, чтобы ничто не отвалилось. В моём нынешнем стиле работы даже если всё сделаешь быстро, расслабляться нельзя. Начинаю уже завидовать продавцам и работникам техподдержки. Программист должен помимо работы развиваться, но после рабочего дня, даже если иногда и хочется думать о чём-то техническом, то банально не остаётся сил. Не думал раньше, что это всё так будет. Один плюс - нет ночных смен и работы рано утром. Так вот, господа админы, стоит ли мне идти в админство? Можно ли найти работу без ночных смен? Хватает ли времени на работе на саморазвитие уровня написать скриптик или почитать мануал к какой-нибудь левой утилите, которая потенциально может быть полезна? Можно ли просто отдохнуть и покапчевать, если ничего не валится? Самое главное - есть ли перспектива потом вырости в какую-нибудь серьёзную, и самое главное, интересную должность? Можно ли не напрягаться весь день?
О себе: 27 лвл, как писал выше, недавно кончил универ; линуксоид с давних пор, люблю писать питоновские и баш-скрипты и автоматизировать, недавно начал интересоваться необычными языками программирования, вроде лиспа, а также хочу заняться информационной безопасностью (поиском уязвимостей, анализаторами и т.д.). В сетях пока разбираюсь слабо, но могу освоить на нужном уровне, если это будет необходимо. Нравится, чтобы всё работало как часы, люблю глубоко копать и улучшать что-то там, где другие и не заметят, что можно что-то улучшить. Начальство довольно всякими внедрёнными мелочами, вроде какой-нибудь офигительной таблицы, помещённой в фирменную вики, помогающей не запутаться в серверах и версиях софта - есть несколько хостов, которые использую в качестве разработчика. Забавно, что такие второстепенные задания доставляют удовольствие. Люблю порядок когда есть время его грамотно организовать, но могу работать в и творческом хаосе, пока помню, что где находитя. Вообще, постепенно начинаю упорядочивать все свои рабочие скрипты, информацию. Могу общаться с людьми, умею доносить материал, писать документацию, знаю английский. Предпочитаю неспешный стиль работы, но могу и что-то срочно сделать, главное - не напрягать мозги 8 часов подряд 5 дней в неделю - тяжело, особенно с учётом того, что по вечерам нужно как-то саморазвиваться, книжки читать - на это просто не остаётся времени. Могу переносить рутину (ведь её можно автоматизировать, хе-хе), но не очень напряжную. Надеюсь, здесь ещё есть люди, подобные мне, или прошедшие этап, в котором я сейчас нахожусь.
Спасибо за внимание.
VRF-дрочер снова врывается в тред.
Как еще в энтерпрайзе на практике может использоваться VRF?
Вот пришел пакет с dst 1.1.1.1 и src 2.2.2.2 адресами. Роутер сначала смотрит в grt, если там нет маршрута, то смотрит vrfы?
А если в grt есть маршрут, но с бОльшей метрикой?
Как еще в энтерпрайзе на практике может использоваться VRF?
Вот пришел пакет с dst 1.1.1.1 и src 2.2.2.2 адресами. Роутер сначала смотрит в grt, если там нет маршрута, то смотрит vrfы?
А если в grt есть маршрут, но с бОльшей метрикой?
>Роутер сначала смотрит в grt, если там нет маршрута, то смотрит vrfы?
Роутер смотрит в RIB того инстанса в котором находится интерфейс.
CCIE
Да тут нечего поправлять, схема имеет право на существование, с одним примечанием - это костыль в кубе.
>Пока еще они нужны...
У меня для тебя плохие новости. Пока не придумают замену IP - сетевики были, есть и будут.
С трансформацией и расширением горизонта скиллов, но никуда не денутся.
Как бы АНАЛИТИКИ не пытались похоронить.
>Роутер смотрит в RIB того инстанса в котором находится интерфейс.
туннельный у нас, насколько я помню, в GRT находился, и трафик заворачивался в vrf с помощью tunnel vrf на интерфейсе.
Т.е. после просмотра GRT роутер лез в vrf, когда слал пакет от роутера А к роутеру Б
>туннельный у нас, насколько я помню, в GRT находился, и трафик заворачивался в vrf с помощью tunnel vrf на интерфейсе.
У туннеля голова(ip address x.x.x.x y.y.y.y), находится в GRT.
Хвост туннеля(tunnel vrf / tunnel source / etc.), находится в VRF.
Здесь туннель надо рассматривать как перемычку между GRT и VRF, с некоторой спецификой.
На практике GRE туннели как раз и используются для route-leaking между GRT и VRF.
Как самообучаешься?
Она же из говна сделана.
Суп, есть MICROSOFT ONENOTE. Есть 2 интернет шлюза.
Весь трафик должен идти через ШЛЮЗ_1. Кроме почты, microsoft onenote, который должен идти через ШЛЮЗ_2.
Как решить проблему? Думаю уже неделю, с исключениями в брандмауэре фигня получается.
Весь трафик должен идти через ШЛЮЗ_1. Кроме почты, microsoft onenote, который должен идти через ШЛЮЗ_2.
Как решить проблему? Думаю уже неделю, с исключениями в брандмауэре фигня получается.
Постоянно читаю тематическую литературу по технологиям, официальные студент гайды, блоги CCIE/JNCIE, делаю лабы. Стараюсь не привязывать себя к вендору. Хотя последние полтора года работал с cisco only.
Есть ли смысл в сдаче MTCNA, MTCRE и LPI-1? Проснулось желание, но весь в сомнениях.
наличие любых сертификатов — лучше чем их отсутствие, кто бы что ни говорил.
Плюс это подтянет твои знания. Так что сдавай конечно!
>MTCNA, MTCRE
Говносертификатики за бабло, не ценятся ровно ни кем. Можешь нарыть программы тренинга в инете и самостоятельно погонять микротик в GNS3, польза та же самая будет.
[]i]мимо MTCNA, MTCRE[/i]
Что за шлюзы? Как компьютер подключён к сети? Какова вообще структура сети?
>На практике GRE туннели как раз и используются для route-leaking между GRT и VRF.
Это нормальная ситуация? Больше никаких возможностей сделать это нет?
Это костылетредж?
Можно route-leaking сделать через mp-bgp.
Еще можно соединить патчкордом 2 интерфейса в разных vrf на однои роутере.
Во, третье - то что нужно!
>Можно route-leaking сделать через mp-bgp.
MP-BGP между GRT и VRF? И кто тут про костыли говорит?
>Еще можно соединить патчкордом 2 интерфейса в разных vrf на однои роутере.
Любителя статических маршрутов издалека видно
CCIE
Так я ж их не за свой счет буду сдавать еврей.жпег
Спасибо что приободрил, няша.
Ну я упрощу. Есть комп. Еесть сеть. Есть сервер в сети. От сервера идут 2 интернета. Прошу прощения за косноязычие.
Можешь подробнее про это?
Это некое перераспределение маршрутов из Vrf в GRT? зачем это нужно?
и узлы сети, если так их можно назвать, куча длинк свичей
>Это некое перераспределение маршрутов из Vrf в GRT? зачем это нужно?
Это не перераспределение. Это доступ к префиксам в VRF из GRT и наоборот.
Кейсов для этого может быть много.
У меня в практике было что дочерняя компания жила всей своей сетью в VRF общей сети.
Им потребовался доступ к ресурсу в глобале.
Хм...то есть с помощью VRF мы изолируем одну таблицу от другой, а потом даем доступ оттуда туда???
Какая-то путаница...зачем тогда VRF делать? Или это для того, чтобы ЧАСТЬ маршрутов сделать видимым в GRT?
>с помощью VRF мы изолируем одну таблицу от другой, а потом даем доступ оттуда туда???
Да. Причем это изоляция без каких-либо МСЭ или прочего фильтрующего оверхеда.
>Или это для того, чтобы ЧАСТЬ маршрутов сделать видимым в GRT?
В моём случае это был один /32
CCIE
Перекатывайтесьблядь.
Подскажи, какую можно лабу собрать, чтобы использовать это свойство, дабы закрепить это на практике.
Какой-то кейс, часто встречающийся в реальной жизни. Пока не совсем ясно для сего ковырять дырку в VRF-ах.
Вот прям инфраструктуру собрать в EVE.
>Пока не совсем ясно для сего ковырять дырку в VRF-ах.
Классический кейс - Common Services в VRF или GRT.
После чего эти сервисы импортируются в VRF(-ы).
Собирается топология с L3VPN поверх MPLS.
После чего разбираешься с RD и RT.
Шикарный пост на эту тему есть у stretch - http://packetlife.net/blog/2011/may/19/mpls-vpn-common-services/
CCIE
>Любителя статических маршрутов издалека видно
А вот сейчас обидно было.
У Джереми все статьи в блоге огонь.
на 700х постах перекат обычно делаем
Я думаю, тут все упирается в ЗП и различается от места к месту.
Я вот без вышки, работаю в фиирме на аутсорсе. Творческого хаоса нет, времени на самообучение в течение рабочего дня не то чтобы много, но порядочно. Получаю 30 в городе на 300к людей. Думаю, если бы устроился куда-нибудь, где плаятт больше - обязанностей было бы до кучи и всегда авральный режим.
Сочувствую ребятам из техподдержки, потому что сам на галере отпахал два года.
>одновременно внедряют автоматизацию заводов и верстают сайты.
Веб-интерфейс заказчикам нужон красивый. Устраивался в контору, где датчики всякие и прочий IoT, я думал на сишке писать надо, а они PHP потребовали, и js - веб-интерфейс пилить, чтобы с датчиков инфу собирать
ISCSI
Диск переходит из rw в ro на инициаторе.
Инициатор, дебиан, вывод dmesg, сектор меняется
>[60693.431940] connection1:0: pdu (op 0x1 itt 0x5000001c) rejected. Reason code 0x9
>[60693.431988] connection1:0: detected conn error (1020)
>[60695.471001] connection1:0: pdu (op 0x1 itt 0x6000001d) rejected. Reason code 0x9
>[60695.471015] connection1:0: detected conn error (1020)
>[60697.500476] connection1:0: pdu (op 0x1 itt 0x7000001e) rejected. Reason code 0x9
>[60697.500493] connection1:0: detected conn error (1020)
>[60699.529817] connection1:0: pdu (op 0x1 itt 0x8000001f) rejected. Reason code 0x9
>[60699.529836] connection1:0: detected conn error (1020)
>[60701.572657] connection1:0: pdu (op 0x1 itt 0x90000020) rejected. Reason code 0x9
>[60701.572672] connection1:0: detected conn error (1020)
>[60703.608289] connection1:0: pdu (op 0x1 itt 0xa0000021) rejected. Reason code 0x9
>[60703.608314] connection1:0: detected conn error (1020)
>[60703.608387] sd 3:0:0:0: [sdb] tag#0 FAILED Result: hostbyte=DID_TRANSPORT_DISRUPTED driverbyte=DRIVER_OK
>[60703.608390] sd 3:0:0:0: [sdb] tag#0 CDB: Write Same(10) 41 00 22 c0 49 00 00 10 00 00
>[60703.608394] blk_update_request: I/O error, dev sdb, sector 583026944
Таргет, винсервер 2008r2, event viewer
>Ошибка протокола в инициаторе ISCSI <далее iqn инициатора>
Кто-нибудь сталкивался?
Диск переходит из rw в ro на инициаторе.
Инициатор, дебиан, вывод dmesg, сектор меняется
>[60693.431940] connection1:0: pdu (op 0x1 itt 0x5000001c) rejected. Reason code 0x9
>[60693.431988] connection1:0: detected conn error (1020)
>[60695.471001] connection1:0: pdu (op 0x1 itt 0x6000001d) rejected. Reason code 0x9
>[60695.471015] connection1:0: detected conn error (1020)
>[60697.500476] connection1:0: pdu (op 0x1 itt 0x7000001e) rejected. Reason code 0x9
>[60697.500493] connection1:0: detected conn error (1020)
>[60699.529817] connection1:0: pdu (op 0x1 itt 0x8000001f) rejected. Reason code 0x9
>[60699.529836] connection1:0: detected conn error (1020)
>[60701.572657] connection1:0: pdu (op 0x1 itt 0x90000020) rejected. Reason code 0x9
>[60701.572672] connection1:0: detected conn error (1020)
>[60703.608289] connection1:0: pdu (op 0x1 itt 0xa0000021) rejected. Reason code 0x9
>[60703.608314] connection1:0: detected conn error (1020)
>[60703.608387] sd 3:0:0:0: [sdb] tag#0 FAILED Result: hostbyte=DID_TRANSPORT_DISRUPTED driverbyte=DRIVER_OK
>[60703.608390] sd 3:0:0:0: [sdb] tag#0 CDB: Write Same(10) 41 00 22 c0 49 00 00 10 00 00
>[60703.608394] blk_update_request: I/O error, dev sdb, sector 583026944
Таргет, винсервер 2008r2, event viewer
>Ошибка протокола в инициаторе ISCSI <далее iqn инициатора>
Кто-нибудь сталкивался?
немного разбавлю сетевиков которые обсасывают одно и тоже
зацените кейс:
инвест компания, 1-2к человек
system center не обновлен, сидят на 2012r2 RTM версии
пиздец...3 года не обновлять...
зацените кейс:
инвест компания, 1-2к человек
system center не обновлен, сидят на 2012r2 RTM версии
пиздец...3 года не обновлять...
Сетевиками такие проблемы неведомы. В сетях все меняется гораздо реже.
РАБОТАИТ
@
НИТРОГАЙ
ну да, конечно, ничего не меняется и обновления не выходят, сидим да в носу ковыряем.
Возможно, открывают новое направление или вакансии висят в бэнче.
Этим, кстати, любит ЕПАМ грешить, типа пособеседуйся сейчас, а вакансия как раз через три месяца откроется
Если не секрет - что за провинция? Не слышал прост о крупных системных интеграторах вне ДС/ДС2.
Хлтя бы население скаи.
Население 1.2 млн. сам интегратор небольшой, плотно сидит на заказчиках в области энергетики, совсем недавно открыли филиал у нас городе, чтоб можно было покрывать нашим часовым поясом.
Посоны, с чего начать изучать мониторинг? Я про системы мониторинга типа нагиоса и заббикса. А то уже набралось много серверов и разного сетевого оборудования, а я пока их тупо руками проверяю, через терминал.
Мне хорошо заходят книжки комплексные, и с теорией и с практикой, по типу тех что издаёт O’Reilly. Есть что-нибудь такое на примете?
Для начала попробуй в заббикс добавить те метрики, которые сейчас вручную проверяешь, а потом уж ищи литературу/статьи.
А почему именно в заббикс? Просто систем мониторинга полно, а я даже не знаю какую выбрать, а в них наверняка уклон в разные направления.
Ну, пощупай и то, и то. Только так поймешь, что именно тебе нужно. Сейчас вон еще Prometheus модно.
amigosteam.ru/blog/item/12-nagios-vs-zabbix
Загорелся идеей сделать себе маленькую переносную станцию мониторинга и отладки сети. Как я это вижу:
Маленький, лёгкий и при этом мощный ноутбук/нетбук с какой-нибудь такой же лёгкой ОСью, которая, при этом, поддерживает стандартный "набор сетевика-джентльмена" - Wireshark, Netmap, Multi PuTTY какой-нибудь, генератор пакетов и тому подобное.
Притом чтобы обязательно был последовательный порт на нём либо возможность его добавления, чтобы гигабит-эзер, плюс чтобы Wi-Fi, да ещё плюс чтобы USB третьи.
Докупить к нему ещё какое-нибудь устройство типа "сетевой отвод". И ещё анализатор радиоспектра к нему, для диагностики проблем с WLAN.
Собственно, где бы достать такую вундервафлю-ноутбук?
И тот же самый вопрос про сетевой отвод.
Маленький, лёгкий и при этом мощный ноутбук/нетбук с какой-нибудь такой же лёгкой ОСью, которая, при этом, поддерживает стандартный "набор сетевика-джентльмена" - Wireshark, Netmap, Multi PuTTY какой-нибудь, генератор пакетов и тому подобное.
Притом чтобы обязательно был последовательный порт на нём либо возможность его добавления, чтобы гигабит-эзер, плюс чтобы Wi-Fi, да ещё плюс чтобы USB третьи.
Докупить к нему ещё какое-нибудь устройство типа "сетевой отвод". И ещё анализатор радиоспектра к нему, для диагностики проблем с WLAN.
Собственно, где бы достать такую вундервафлю-ноутбук?
И тот же самый вопрос про сетевой отвод.
Всем привет.
В общем, тут такое дело.. Я работаю в техподдержке провайдера (L2) и соответственно нужно общаться с абонентами. Порядком уже заебался, хотелось бы поменять место работы, аноны, куда можно податься где минимум пиздежа, а?
В общем, тут такое дело.. Я работаю в техподдержке провайдера (L2) и соответственно нужно общаться с абонентами. Порядком уже заебался, хотелось бы поменять место работы, аноны, куда можно податься где минимум пиздежа, а?
Это все здорово, конечно. Но часто ты им будешь пользоваться?
Нельзя запустить пинг или nmap со своего рабочего места?
Единственное, чем, по-моему мнению, будет полезен такой девайс — снятие трафика wireshark-ом.
Пиздешь в том или ином виде есть везде. Ты лучше постарайся полюбить его, если не хочешь до пенсии диагностировать L2 проблемы на коммутаторах.
Можешь идти в правильный энтерпрайз, там если и будет пиздешь, то в основном с коллегами.
>с чего начать изучать мониторинг?
С snmp, лол. Олсо мониторинг разный бывает. Есть zabbix, а есть SCOM... но это уже вопрос, скорее, религии и денег, нежели технический.
В рабочий комп вставь вторую сетевуху и делай span на нее, если нужно что-то шарком снимать с локальной сети. Всё остальное тоже с рабочего компа делать явно удобнее, чем нетбука. И вообще тут скорее вопрос даже не железа, а тупо linux-а на борту компа.
>последовательный порт
Переходник с ком на юсб отлично работает. Но опять же в линуксе - в винде какая-то ебля с драйверами и периодически он еще отваливается почему-то...
>USB третьи
Для чего тебе именно третий usb? Почему не 3.1 или не type-c?
>анализатор радиоспектра к нему, для диагностики проблем с WLAN
Неужели часто бывает нужно?
Поцаны, а как вы icmp прописываете на ваших acl?
permit icmp any any
или
permit icmp host 172.16.5.10 any
или
permit icmp host 172.16.5.10 172.16.0.0 0.0.255.255
Где 172.16.5.10 это админ. Или вообще не так или вообще не паритесь?
permit icmp any any
или
permit icmp host 172.16.5.10 any
или
permit icmp host 172.16.5.10 172.16.0.0 0.0.255.255
Где 172.16.5.10 это админ. Или вообще не так или вообще не паритесь?
>Но часто ты им будешь пользоваться?
>Неужели часто бывает нужно?
Оно, может конечно, и не часто, но когда вдруг бывает нужно, то ты готов отдать руку за это.
А зачем вообще ограничивать хождение ICMP-пакетов внутри LAN? Они юзаются многими приложениями.
У меня, например, ACL организованы по следующей схеме
1. Блок permit-исключений для неких конкретных хостов/подсетей;
2. Блок deny с запретом подсетям LAN ходить туда, куда не надо;
3. permit ip any any.
Зачем отдельно ограничивать именно icmp?
> А зачем вообще ограничивать хождение ICMP-пакетов внутри LAN?
Чтобы злоумышленник не гонял эти пакеты по моим ресурсам, не?
> Блок deny с запретом подсетям LAN ходить туда, куда не надо;
Зачем, если есть неявный deny ip any any?
Так там в листе могут быть и другие ограничения, помимо icmp, просто вопрос конкретно по последнему.
И еще такой вопрос, вам доводилось использовать динамические, рефлексивные или повременные acl? Надо ли этому внимание уделять или достаточно ограничиться extended.
У тебя все ограничивается на каком-то роутере ACL? В компании нет аппаратного межсетевого экрана, который для этого предназначен?
Я не он, но часто бывает, что на площадке нужна отдельная подсеть, например, для подрядчика, где будет доступен только инет, а внутренние сети будут закрыты. Где еще это делать, если не на ядре самой площадки?
Вечер в хату. Хз, куда лезть с таким вопросом, поэтому пишу сюда.
Собсна, работаю админом в небольшом московском негосударственном вузике нет, не какая-то убитая шарага, но и, естественно, не прям топовый универ, занимаюсь в основном тем, что напрямую связано с учебным процессом, соответственно, часто взаимодействую с преподавателями. В том числе с одним чувачком-математиком, который довольно близко общается с ректором.
Тащемта, к сути. Этот самый чувачок подкинул идею: поговорить с ректором на тему запуска в универе полновесного вычислительного кластера. Не как в МГУ, конечно, но примерно по той же схеме: для предоставления выч. мощностей всяким ученым и коммерческим организациям для расчетов. В принципе, по нашим с ним расчетам, за ~2 ляма уже можно было бы поднять что-то вменяемое, благо для нашего универа это вполне разумная сумма. И даже более того, у обоих есть опыт работы с подобной херней.
Вот только есть вопрос, насколько это будет востребовано со стороны потенциальных клиентов и насколько сам ректорат захочет с этим заморачиваться? С одной-то стороны, это нехило поднимет престиж вуза, на который они надрачивают, но с другой - опять же, бабки, оформление и т.д.
Мб, кто-то занимался подобной сранью или хотя бы сталкивался? Насколько вообще есть смысл этим заниматься?
Собсна, работаю админом в небольшом московском негосударственном вузике нет, не какая-то убитая шарага, но и, естественно, не прям топовый универ, занимаюсь в основном тем, что напрямую связано с учебным процессом, соответственно, часто взаимодействую с преподавателями. В том числе с одним чувачком-математиком, который довольно близко общается с ректором.
Тащемта, к сути. Этот самый чувачок подкинул идею: поговорить с ректором на тему запуска в универе полновесного вычислительного кластера. Не как в МГУ, конечно, но примерно по той же схеме: для предоставления выч. мощностей всяким ученым и коммерческим организациям для расчетов. В принципе, по нашим с ним расчетам, за ~2 ляма уже можно было бы поднять что-то вменяемое, благо для нашего универа это вполне разумная сумма. И даже более того, у обоих есть опыт работы с подобной херней.
Вот только есть вопрос, насколько это будет востребовано со стороны потенциальных клиентов и насколько сам ректорат захочет с этим заморачиваться? С одной-то стороны, это нехило поднимет престиж вуза, на который они надрачивают, но с другой - опять же, бабки, оформление и т.д.
Мб, кто-то занимался подобной сранью или хотя бы сталкивался? Насколько вообще есть смысл этим заниматься?
У нас на каждой площадке аппаратный фаерволл разной производительности в зависимости от величины площадки.
>для предоставления выч. мощностей всяким ученым и коммерческим организациям
>за ~2 ляма
Если это в рублях - то абсолютно нереально, тут даже не о чем говорить. Если в долларах, тогда, думаю, хватит на оборудование серверной с двумя кондиционерами, двумя вводами электричества и нормальным ибп - без этого никто к вам свои деньги не понесет, конечно. По железу - для начала можно будет взять пару блейдов с минимальными лезвиями, а потом уже докупать лезвия по мере роста и необходимости. Не забудь также посчитать простенькую СХД и сетевое оборудование, чтобы было с чего блейды грузить и чем соединять между собой. Плюс деньги на лицензии гипервизоров и операционок, плюс контракты на поддержку оборудования вендором... Ну и учитывайте, что вам где-то минимум 60к в месяц нужно будет платить спецу, который сможет всю эту инфру настроить с нуля и после поддерживать в рабочем состоянии и развивать по необходимости.
У нас такой роскоши нет. Если на площадке есть фильтрация, то она на ядре или маршрутизаторе, очевидно. Аппаратный фаервол есть только в ЦОДе, через который идет весь трафик во внешние сети. Т.е. внутри сети фильтраций вообще нет фактически.
>60к в месяц нужно будет платить спецу, который сможет всю эту инфру настроить с нуля и после поддерживать в рабочем состоянии и развивать по необходимости.
За 60к в Москве найти человека, который будет настраивать SAN, LAN, знает СХД, настроит это всё с нуля и будет потом поддерживать?
За 60к/мес можно найти человека, который будет менять винду и переустанавливать картриджи.
>У нас такой роскоши нет.
У нас фаерволл на прощадке играет также роль роутера. Туннель до датацентра на нём. Так что не такая уж и роскошь.
За пуско-наладку, конечно, придется отдать намного больше, но дальше поддерживать инфру будет уже не так дорого - она маленькая и сравнительно простая - сидеть там работать на полный день ради 2-3 стоек нет никакого смысла. Интеграторы, кстати, возьмут на порядок больше, а если их человек будет сидеть на объекте - там вообще ценник от полумиллиона в месяц... у нас сейчас SCOMовец месяц будет сидеть - помогает нам внедрить и настроить мониторинг. 600к, блджад. Самое обидное, сам чел из этих денег хорошо если 5% получит, а то и вовсе за обычную зарплату к нам ездит...
Ну для меня роутер и фаервол - это два разных устройства (4451 и 5585, например). В целом же я не вижу смысла ставить их сразу друг за другом внутри единой энтерпрайз сети на каждой площадке. А всякие ngfw и вовсе только в ЦОДе нужны - на выходе в инет. Там же и площадки по идее соединяются между собой, но это не у всех так - у нас l2vpn, например, и трафик между площадками церез ЦОД не пойдет, конечно.
>В целом же я не вижу смысла ставить их сразу друг за другом внутри единой энтерпрайз сети на каждой площадке.
Ну согласен, в таком случае смысла нет. Но роутер-то ставить придется, чтобы туннели строить, дмвпн свякие и так далее в зависимости от решения. У нас одно устройство на площадке - это фаерволл. Чисто роутера нет. Роль роутера выполняет этот фаерволл. На каждой площадке как раз ngfw - железка с удобоваримым iptables, который пердолиться из единой консоли управления этими ngfw. В филиалах младшие модели, в ЦОД модель постарше.
Не знаю, может это в корне неправильный дизайн, но у нас сделано так. На каждой площадке свой интернет. Если бы все ходили в интернет через голову, то смысла бы в ngfw на каждой площадке (в каждом филиале) не было.
>в корне неправильный дизайн
А у кого он правильный? У нас тоже полно всякой хуйни везде понатыкано. Но вот ngfw в качестве роутера на каждой из площадок - это такое себе. Очень смахивает либо на отмыв бабок на этом деле (у самих на куче площадок да и в ЦОДе та же ситуация, лол), либо на прихоть какого-то горе-архитектора, который когда-то начал так почему-то делать и всем велел, а в итоге оно прижилось.
Олсо что у вас за железо такое волшебное с таблицами и общей консолью? У нас вот на всех площадках роутеры cisco-вские. Есть всё: от 800 серии до ASR1000. В ЦОДе раньше были ASA, но недавно их безопасники на paloalto 5220 поменяли - отличная штука (пощупал старенькую в EVE). Олсо хороший вопрос куда теперь девать ASA - две в ЦОДе валяются и еще две на одной площадке (типичный пример отмыва денег путем покупки ненужного железа).
>дмвпн
>iptables
Как-то у меня одно с другим плохо вяжется... У нас двмпн только там, где нет резервного l2vpn канала, т.е. если резерв сделан поверх инетернет линка. А айпитаблес, кроме меня тут вообще никто в глаза не видел, т.к. это, конечно, совсем не уровень энтерпрайза. С тем же успехом можно и RRAS настривать под виндой, вместо циски, лол.
>Олсо что у вас за железо такое волшебное с таблицами и общей консолью? У нас вот на всех площадках роутеры cisco-вские.
Это аппаратные межсетевые экраны. Вроде Checkpoint-ов, Fortinet-ов или тому подобного железа.
Все подобные железки управляются из единой консоли. По крайней мере чекпоинтами, фортинетами точно из одной консоли можно рулить. В каждый филиал приходит интернет и l3 vpn.
И через оба канала мы строим IPSec туннели до ЦОД. Один резерв, другой активный.
И на каждом таком устройстве политика. По сути тот же аксес-лист, который можно "настраивать мышкой"
>интернет и l3 vpn. IPSec туннели до ЦОД
А при чем тогда тут дмвпн, если у вас айписек и поверх инета, и поверх l3vpn? Ну или как вы без айписека поверх l3vpn маршрутизацию строите - ведь адресация интернет линков на каждой площадке уникальная.
>дмвпн
У нас его нет. Это я пример привел общий.
https://hh.ru/vacancy/22893178
На тему облаков и что это только типа для мелких контор.
На тему облаков и что это только типа для мелких контор.
Занимательно то, что 100% удаленка.
Эм, дружище, привет. Серверная со всем необходимым есть, люди, готовые и способные этим заниматься, тоже.
Бабло, в основном, нужно на само железо сеть, желательно на инфинибэнде. Гипервизоры не нужны, для распараллеливания вычислений какбе уже давно есть дохуя свободных инструментов, а дальше специфичные закрытые библиотеки можно будет докупать по мере необходимости. Единственный вопрос в этом плане - либо брать железо относительных ноунеймов за ящик бичпакетов, но тогда мы сосем хуй с поддержкой, либо закупать ноды от тех же HP с вменяемой поддержкой, но тогда это, очевидно, будет гораздо дороже.
Вопрос в том, насколько в целом это мероприятие имеет смысл и насколько это будет востребовано.
>насколько это будет востребовано
Без исследований рынка сложно сказать. Наука в России нищая, поэтому платить за вычислительные мощности мало кто будет готов. Хуже того, затеяв подобное, вы становитесь сразу оператором услуг связи, персональных данных и прочей хуиты, как и любой хостер или провайдер облачных услуг, а значит должны кучу всего юридически утрясать.
>железо относительных ноунеймов
Если ты про всякие супермикро и крафтвеи - однозначно нельзя. Да у них и не будет, наверно, не то что хороших блейдов, а вообще хоть какие-нибудь были б... На HP, понятно, денег может не быть, но тогда остаются только всякие хуавеи - только будь готов делать публичный имиджевый проект-внедрение (иначе всё равно дорого) и терпеть вонючих китайцев в серверной на постоянной основе, т.к. китайское IT, если его не подпирать постоянно - не взлетает вообще никак.
>Гипервизоры не нужны
Это спорно. Ты же услугу продаешь. То есть клиент должен получить не просто мощности, а еще и среду в которой она запустит свой софт. Если это научные изыскания, то софт еще и самописный скорее всего будет со специфическими требованиями для сборки и запуска.
>затеяв подобное, вы становитесь сразу оператором услуг связи, персональных данных и прочей хуиты
Воу, а вот тут подробнее плес. Это схерали я становлюсь оператором услуг связи и т.д.?
>хороших блейдов
Не-не-не, блейды сразу идут нахер, сравнимый по производительности кластер можно будет гораздо дешевле собрать, а нормальную скорость общения между нодами можно обеспечить за счет того же infiniband.
>то софт еще и самописный скорее всего будет со специфическими требованиями для сборки и запуска
Ну вот тут хз. Те же МГУшники, как понял, особо не заморачиваются. У них все крутится на MPI что,
в общем-то, логично в их случае, и у пользователя выбора особо не: либо юзай то, что есть, либо иди в очко.
>Зачем, если есть неявный deny ip any any?
Затем, что у меня чёрный список, а ты хочешь белый.
Господа, найдётся ли добрая душа, которая запилит образ сидюшника от книжки "CCENT/CCNA ICND1. Официальное руководство Cisco по подготовке к сертификационным экзаменам", второе издание? Книга есть, а вот диск куда-то проебался.
@
ОЙ А ЭТО ШТО ТАМ ЗА ПЕТЯН ТАМ НА ЭКРАНЕ И БУКАВКИ
>За 60к в Москве найти человека, который будет настраивать SAN, LAN, знает СХД, настроит это всё с нуля и будет потом поддерживать?
Да легко. Ещё он плюсом будет пердолить циски, линукса, телефонию, 1с, домен виндовый, пилить сайты и заниматься видеонаблюдением. Даже за 50к легко найти.
Может он еще и приплачивать будет за возможность заниматься всем этим?
> Может он еще и приплачивать будет за возможность заниматься всем этим?
Конечно. Это все равно будет дешевле, чем если бы он пошёл на курсы.
>>>1114248
>Конечно. Это все равно будет дешевле, чем если бы он пошёл на курсы.
Ничего, что такой "специалист" за 60к априори в итоге сделает говноцод? Просто потому что он ни разу не сталкивался с такой инфраструктурой.
Да нормальный дизайн, это нормально когда у всех свой интернет, каналы же не резиновые (особенно L3VPN). Минус тут, если стоят не NGFW, а обычные стейтфул, то пердолинг ACL обеспечен для спецов которые их обслуживают, особенно когда в компании запрещено открывать по ip и без указания назначения (для прохождения аудитов). На прошлой работе в обще стояли 2 кластера, один NGFW в инет, второй обычный стейтфул фильтрация между филиалами. Потом начали переходить c ASA на FTD (тот еще геммор) в внедрять ISE c CTS.
>пердолинг ACL обеспечен для спецов которые их обслуживают
Да, и такой пердолинг у нас на ASA5505 на каждой из 60-ти. Благо конфиг одинаковый почти на всех.
I known you feel bro.jpeg
Это хорошо что одинаковый, можно ансиблом\питоном автоматизировать, а вот когда разные доступа везде - жопа. А с миграйией на FTD очень интересно, да есть тулза в FMC встроенная, да вот только правил в ACL за 12 лет в компании набралось - 25 тыс. в среднем на филиал, а в ЦОДе уже под 100 (такие доступа согласуют больные ИБ), в FMC максимально 22 тыс может быть, причем как это смотрится в веб интерфейсе думаю и так понятно.
остается сидеть и писать скрипт который будет выпиливать правила с 0 хитами и дублирующие. Но все равно чтобы красиво сделать, надо с нуля правила делать на FMC для доменных групп/CTS и т.д.
>FTD, FMC
это что такое?
>100k правил
Проще всё это снести и сделать заново. Главное оперативно реагировать на то, что где-то что-то отвалилось.
>квартальная премия после вычета налогов 711 рубль
Мда.
Мда.
> >FTD, FMC
> это что такое?
Первое - Firepower threat defense я так полагаю.
> >100k правил
> Проще всё это снести и сделать заново. Главное оперативно реагировать на то, что где-то что-то отвалилось.
Лол. Сразу видно эникея, который не админил сеть в энтерпрайзе. Обычно даже просто для одного сервера или системы выпилить непонятное правило - целая проблема. Я недавно по ошибке блокирнул на асе в дц доступ между двумя серверами. Полдня одна из подсистем не могла передать заявки клиентов в базу (условно). Когда админы системы поняли, что это сеть, то уже полтысячи заявок было просрано. Когда мне об этом сказали, то время реагирования (моё) было 2 минуты. Но полдня то просрано. Дошло до директоров дело. И это только по одной системе, а их тут десятки, если не сотни.
>Но полдня то просрано. Дошло до директоров дело.
Pizdi дали?
В догонку. Есть куча правил acl, которые используются далеко не каждый день. Например какой то процесс работает над в неделю по воскресеньям. Или ещё реже. И правило может висеть с нулём хитов не один день. А потом что то важное не сработает, если его убрать.
Обошлось предоставлением подробного объяснения. Но это скорее исключение. Чаще могут и дать.
как вы в этом аду варитесь? для таких масштабов просто необходим ngfw с вебмордой или консолью. Править ACL руками при таких масштабах это же дичайший ад.
А как тут ngfw поможет?
Коллеги, поделитесь паком протоколов nbar для Cisco 3945.
>А как тут ngfw поможет?
И потом он что-то про эникеев нам здесь втирает, лол.
>даже просто для одного сервера или системы выпилить непонятное правило - целая проблема
А если вам поставят задачу перейти с ASA, скажем, на PaloAlto, то вы что начнете втирать, что это вообще невозможно сделать?
Давай, покажи какой ты не эникей.
Начальник требует уйти с ASA5520 на Fortigate, как обьяснить, что затея глупая?
Так в том то и дело, что она не глупая. Старая тупая аса vs некст ген фаервол - выбор очевиден.
>Начальник требует уйти с ASA5520 на Fortigate, как обьяснить, что затея глупая?
А отчего она глупая! Фортинет отличная железка, сами смотрим в сторону неё и уже протестировали. Будем менять наши NGFW StoneSoft на Fortinet.
Очевидно же! Любой аппаратный МСЭ даст возможность гораздо удобнее пердолить политики. И вместо того, чтобы править 100к ACL, в котором фиг разберешься, из CLI, можно будет юзать удобную консоль управления, где можно будет оставлять отчеты по трафику, делать удобный поиск по правилам и т.д. и т.п. И пердолить это все не из CLI, а с вебморды, например. И иметь одну дефолтную политику на все твои ngfw
Аббревиатура ngfw тут используется как имя нарицательное аппаратных межсетевых экранов типа чекпоинта, фортинета и т.д. У всех у них есть единая система управления.
>затея глупая
Затея очень даже здравая. 5520 это stateful МСЭ с возрастом старика.
Другое дело если бы у вас был 5525-X, можно было затолкать пару SSD и запусть FirePower, который если мне память не изменяет, по Гартнеру - выше фортигейта.
CCIE
>stateful
>next generation fw
в чем разница?
>Очевидно же!
Это нам с тобой очевидно, но не большинству сетевиков, которые кроме старых ASA без FirePOWER никаких других фаероволов и не видели. Впрочем, оно не удивительно, т.к. этими железками обычно заведуют безопасники, которые в силу своих охуенных скиллов в лучшем случае ставят их в прозрачном режиме, а чаще и вовсе через span используют. Олсо большинству также не очевидно, что на рынке аппаратных фаерволов сиська со своим firepower далеко не самое топовое решение. Им тупо кажется, что раз это cisco, то круто...
>в чем разница?
Инспекция выше L4, для начала.
CCIE
Вот тебе конкретная разница фортигейта и обычной асы. Даже не знаю стоит ли тут еще что-то обсуждать...
> Next-generation firewalls integrate three key assets: enterprise firewall capabilities, an intrusion prevention system (IPS) and application control. (c) Habr
Правильно ли я понимаю, что NGFW это stateful firewall + примочки в виде ДЛП, Ай Пи Эс и других игрушек безопасников?
Да, но не только эти примочки. Самый главный ngfw функционал - интеграция с AD, привязка сессий к пользователям и возможность на лету управлять тем кому что можно, а кому что нельзя. Т.е. вот прямо на уровне объектов-пользователей и объектов-узлов/сайтов/приложений и даже отдельных типов файлов и прочих хитрых вещей. Преимущество очевидно - упрощается описание политик, плюс к этому если пользователь садится за другой комп в другом офисе - все политики продолжают работать и не нужно ничего руками настраивать, чтобы снова дать/забрать у него доступы.
>Самый главный ngfw функционал - интеграция с AD, привязка сессий к пользователям и возможность на лету управлять тем кому что можно, а кому что нельзя. Т.е. вот прямо на уровне объектов-пользователей и объектов-узлов/сайтов/приложений
Я что-то не понял, а что АСА этой херни не умеет делать что ли?? Нахер она вообще тогда нужна?
>АСА этой херни не умеет делать что ли
ASA умеет в AD и очень давно, когда NGFW еще и не пахло.
Другое дело что без FirePower, ASA инспектирует только L3/L4.
CCIE
>Вот тебе конкретная разница фортигейта и обычной асы. Даже не знаю стоит ли тут еще что-то обсуждать...
Тут стоит отметить что с web-filtering скоро пососут все.
Я про массовый внедрёж https вместе с DNS CAA и HPKP.
Ну и гугл со своим CT тоже поджарит жопы многим.
CCIE, ты вроде в банке работаешь, скажи, есть ли у вас требования к шифровании трафика между филиалами? нужно ли, чтобы везде стояли Vipnet/континент/другая железка умеющая ГОСТ шифрование? Я про передачу персональных данных имею ввиду. Как решена данная проблема? Или забили на неё?
Нам навязывают ставить везде випнеты, а мне что-то не хочется пердолить 100 випнетов.
Нам навязывают ставить везде випнеты, а мне что-то не хочется пердолить 100 випнетов.
Данные попадающие под 152-ФЗ в филиальной сети есть, пока обходимся без ГОСТовского шифрования.
VN и S-Terra есть, на стыках со всяким говном типа Госуслуг и прочего.
>пока обходимся без ГОСТовского шифрования
ну а вдальнейшем что? ставить везде VN?
>ну а вдальнейшем что?
Даже не думали.
Учитывая что сейчас идёт массовый переход на VDI, надеюсь обойдёмся без ГОСТа.
CCIE
И снова ты не прав. Не знаю как фортигейт, но PaloAlto умеет подменять сертификат ssl и вскрывать ВЕСЬ трафик пользователей. Разумеется, нужно политиками раскатать по компам пользователей доверенный сертификат, чтобы они ничего не заподозрили, лол. Более того, ты ведь платишь не только за железку, но и за сигнатуры веб-приложений. Например, если сейчас тебе начальник скажет забанить весь вконтакт - ты пойдешь вбивать адреса их AS-ок ручками... А у палоальты каждый день прилетают обновленные списки и ты можешь одним правилом закрыть весь ВК в любой момент без всякой лишней работы. Более того, есть возможность оставить Васе и Пете оставить доступ к ВК, где можно всё, кроме музыки и видео, а Люде и Кате можно музыку и видео, но нельзя чатиться.
Не понял. Единственное удобство выходит - это веб морда? Я пилю acl на асе через asdm. Далее лучше, чем веб морда. Какие отличия кроме веб морды есть у ngfw? Там вообще нет acl? Там acl не используют понятия source/dest ip и port?
Кому надо выше л4 лезть, есть Firepower на Х версию асашки. У нас вот денег на х версию хватило, а на Firepower нет, лол.
>Не знаю как фортигейт, но PaloAlto умеет подменять сертификат ssl и вскрывать ВЕСЬ трафик пользователей.
В чем я неправ?
Вменяемый браузер посмотрев в CAA-запись и в HPKP увидит другой сертификат, после чего сообщить об этом пользователю.
И пусть комп хоть как доверяет раскатанному сертификату.
Fortigate умеет отчет по посещенным сайтам по AD пользователям выдавать?
>Вменяемый браузер
На работе пользак пользуется тем броузером, который ему админы установили. Олсо реально броузеры тупо доверяет тем корневым сертификатам, которые знают. Погугли про национальный сертификат в Казахстане что-ли...
>Олсо реально броузеры тупо доверяет тем корневым сертификатам, которые знают.
Еще раз - удаленный сервер отдаёт заголовок с pin, браузер вычисляет pin для того сертификата который ему отдали.
Пины будут отличаться, вне зависимости от степени доверия корневым сертификатам.
Гугли MiTM атаку на ssl, блин.
Гугли для чего придумали CAA и HPKP.
Объясни же нам как CAA запретит "поддельному" центру сертификации выпустить сертификат для чужого домена? Никак, блядь! Об этом даже на хабре написали:
>ожидается, что при несоответствии САА-записи центр сертификации прекращает выдачу сертификата, но ведь центр сертификации может переключиться в ручной режим и принять решение о выпуске, если запрос будет признан все-таки подлинным.
Про HPKP вообще молчу - это проверка на стороне клиента, а значит ее результат нам полностью подконтролен, т.к. мы говорим о компьютере в корпоративной сети с централизованным управлением и отсутствием каких-либо прав у рядовых пользователей.
>Объясни же нам как CAA запретит "поддельному" центру сертификации выпустить сертификат для чужого домена?
И где я говорил про запрет?
Я говорил о том что проверив эту DNS-запись, можно делать выводы о скрафченном сертфиикате.
>Про HPKP вообще молчу - это проверка на стороне клиента, а значит ее результат нам полностью подконтролен
Т.е. ты в логику работы браузера умеешь попадать?
Ок-ок, не буду комментировать эти маняфантазии.
Ты, поди, еще и веришь, что всякие paloalto, fortigate и прочите производители ngfw теперь разорятся...
В реальности тот же HPKP почти не используется, т.к. тупо опасен: https://blog.qualys.com/ssllabs/2016/09/06/is-http-public-key-pinning-dead но если для тебя это слишком сложно, почитай вот здесь: https://habrahabr.ru/company/cbs/blog/318592/#comment_9987508 - для приватных CA вообще HPKP не используется и это как бы RFC... Ну а проверки CAA через корпоративный DNS, полностью подконтрольный администраторам - это вообще ни о чем, можно их тупо не выпускать наружу, а можно подменять ответы на те, которые броузер хочет увидеть.
>Я пилю acl на асе через asdm
Тогда ОК, я-то думал ты это делаешь руками из CLI.
А в ASDM можно смотреть, по какому правилу проходит трафик? Например, Вася не может достучатся до 8.8.8.8/32 по 53/udp, можно ли в ASDM поставить на мониторинг трафик по этому dst ip & port и смотреть каким правилом блокирнется трафик от Васи?
Можно, команда называется packet-tracer (не путать с пакетом для эмуляции сетевых устройств!), она доступна и в ASDM.
>она доступна и в ASDM.
Ну про пакет трейсер из CLI я знаю, просто из CLI делать это неудобно.
Ну в ASDM оно не сильно удобнее, но тоже есть.
Пару лет назад тут кто то выкладывал UNL со всеми образами и лабами, нет такого же на EVE? Или может видели где?
Ну вообще то, что работает в UNL можно успешно впихнуть и в EVE. По-моему даже делать ничего не надо.
Посоны, как правильно организуется SAN для небольшой конторки?
Есть около пяти серверов ашпишных (достаточно старых, шестое-седьмое поколение), со своими локальными рейдами аппаратными, на каждом установлен proxmox. Хочу чтобы все они были подключены к надёжной хранилке, чтобы настроить отказоустойчивость - автоматическую миграцию с одного сервера на другой. Что мне для этого понадобится?
Пока что я думал о 10-гигабитной карточке езернетной в каждый сервер, один 10-гигабитный марщрутизатор, и какая-нибудь б/у хранилка, лучше наверное от тех же hp. Но какая? И как реализованы эти хранилки, тупо в виде сервака с кучей дисков и лишь одной вшитой функцией, SCSI-таргет?
Есть около пяти серверов ашпишных (достаточно старых, шестое-седьмое поколение), со своими локальными рейдами аппаратными, на каждом установлен proxmox. Хочу чтобы все они были подключены к надёжной хранилке, чтобы настроить отказоустойчивость - автоматическую миграцию с одного сервера на другой. Что мне для этого понадобится?
Пока что я думал о 10-гигабитной карточке езернетной в каждый сервер, один 10-гигабитный марщрутизатор, и какая-нибудь б/у хранилка, лучше наверное от тех же hp. Но какая? И как реализованы эти хранилки, тупо в виде сервака с кучей дисков и лишь одной вшитой функцией, SCSI-таргет?
>один 10-гигабитный марщрутизатор
а зачем маршрутизатор для SAN? Может коммутатор?
Да-да, коммутатор конечно. Сонный, хуйню пишу, звиняй.
>>111446
Сейчас, если требуется NGFW и хочется циско по мощности хотя бы как 5525X, лучше брать сразу новый аплаинс 2100 серии, по цене разница в 400$ с учетом всех лицензий, а производительность в 4 раза выше. Собственно все тот же набор функций, что и фортинета, палоальто, чекпоинта. Самый дорогой, конечно чекпоинт (по поддержке стоимость в 3-5 раз выше, а саппорт самый ужасный). Про фортинет и палоальто только положительные слова могу сказать, их это тема, циско только догоняет (но хорошо это делает).
Сейчас, если требуется NGFW и хочется циско по мощности хотя бы как 5525X, лучше брать сразу новый аплаинс 2100 серии, по цене разница в 400$ с учетом всех лицензий, а производительность в 4 раза выше. Собственно все тот же набор функций, что и фортинета, палоальто, чекпоинта. Самый дорогой, конечно чекпоинт (по поддержке стоимость в 3-5 раз выше, а саппорт самый ужасный). Про фортинет и палоальто только положительные слова могу сказать, их это тема, циско только догоняет (но хорошо это делает).
> чекпоинт (по поддержке стоимость в 3-5 раз выше, а саппорт самый ужасный).
Что не так с саппортом?
Работаю в интеграторе со всеми, у CP самая поездатая база знаний. Большинство проблем решаются путем поиска в ней.
Да, верно база знаний очень хорошая и ищется все легко (циске на заметку), но как только дело доходит до проблем которые не решаются без подключения саппорта начинается полнейшая дичь. Эти уебки, по другому не назовешь, решают тикет по 3 месяца!!! Причем все линии саппорта работают одинаково хуево и долго. Последний раз дошло до эскалации с их менеджером, ибо нехуй, брать такие деньги за поддержку которая может сказать, "а давайте вы по новой развернете центр управления и все правила перелопатите, а то у нас в лабе с 1 правилом все работает". Плюс опять же у нас какой то конченный саппорт с CP, по которому мы обязаны заводить тикеты у CP не сами, а через дистрибутора, который тоже добавляет задержку в неделю (если пинать еще) и получается испорченный телефон.
Из дешевых вариантов на iSCSI:
1. Купить хранилку, например QNAP (можешь посмотреть на их сайте) или купить опять же супермикро с дисками и SSD и 2 10G адаптерами, поставить туда Solaris c ZFS или что тебе удобнее сапортить.
2. У микротика появились недорогие 10G свичи на 16 портов, на L2 вполне тянут заявленное. Сделай из них 2 фабрики и настрой Multipathing
что скажешь по поводу фортинета? есть нарекания? Будем глобально переходить на него.
1) Эскалируйте как только видите, что инженер тупит или тянет время. Там будут только рады вставить пистон инженегру или снять его с кейса и заменить на толкового.
2) Берите не Collaborative, а Direct support. Может оказаться чуть-чуть подороже, зато без лишней прослойки вроде дистрибьютора (который кстати наверняка с вас денюжку поимел за эту первую линию).
>10-гигабитной карточке езернетной в каждый сервер, один 10-гигабитный марщрутизатор
Есть такое правило - дублировать фабрику. Очень советую два коммутатора и по два адаптера в каждый сервер. Иначе, при малейшем глюке в сети хранения данных, у тебя все виртуалки разом забсодятся и придется каждую из них поднимать руками, что при количестве виртуалок в десятки штуки выльется в часы простоя...
>iSCSI
Единственное преимущество - дешевизна. В принципе, если сеть под него полностью отдельная, то проблем быть не должно. Но мы в России живем и нет никаких гарантий, что в сеть хранения данных не повесят еще и какой-нибудь обычный сетевой интерконнект серверный - не пропадать же свободным 10G портам, лол.
Ну на бумаге цифры красивые и дёшево. Но если по полной инспектировать трафик производительность форти проседает.
Лично мне очень нравится единая консоль управления у Check Point, у других вендоров сравнимой по удобству и функционалу нет. Ну и Sandblast у евреев интересная штука.
Сетевики, а вы на работе у себя занимаетесь кроме LAN ещё и SAN? У нас, например, для этого отдельный стораджист. Но у нас на Fiber Cchannel все построено.
Нам форти продали своё дружественное взаимодействие с ФСТЭК и ФСБ, нам это важно. Отказываемся от stonesoft из этих соображений, он вообще с рынка уходит.
Мне чекпоинт тоже нравится, но дорого.
Нет, конечно. У нас тоже для этого есть отдельный человек, но он вообще всей инфрой занимается как бы, не только СХД. Что до меня, то SAN сети поверхностно, но знаю - был опыт настройки FC хранилки с парой серверов. Вообще иметь опыт из разных сфер, наверно, хорошо - выше шансы стать ведущим внедренцем, архитектором или просто начальником годным.
> ФСТЭК и ФСБ
К сожалению иногда это решает почти всё. Без этого всякие континенты и випнеты давно бы сдохли.
Сделай из ASDM. Выглядит примерно как пикрелейтид.
>Вообще иметь опыт из разных сфер, наверно, хорошо
Вообще сейчас датацентровое направление у циски смотрю. Там как раз и по SAN много тем, и по UCS.
Считаю, что энтерпрайзному сетевику надо в этом понимать. Поверхностно как минимум.
>Нет, конечно. У нас тоже для этого есть отдельный человек
да и вообще на собеседованиях мне пару раз задавали вопрос, мол, как там у меня с сетями хранения дела обстоят.
Не знаю даже. Я сам сейчас большей частью над мониторингом работаю, а это где-то на стыке знания cisco, linux, python и zabbix. Что до SAN, то там все может сильно измениться в будущем, т.к. есть вероятность что на смену FC придет NVMe, по логике работы это похоже будет на iSCSI, только быстрее намного. А понимать надо во всем, чтобы быть гибким к появлению новых вещей, ну или наоборот нужно быть ну очень крутым узким специалистом в какой-нибудь одной области знаний.
Странный вопрос для сетевика, конечно. Но я бы ответил, что знаю для чего и как дублировать фабрику, понимаю что такое зоны и мультипасинг. Однако это всё-таки совсем другие сети... и подобные вопросы - признак поиска шива-специалиста, на которого хотят повесить сразу несколько разных несвязанных направлений.
Это какая версия asdm?
ASDM 7.1(3), ASA 5555 9.1(2)
>что знаю для чего и как дублировать фабрику, понимаю что такое зоны и мультипасинг.
Я думаю чего-то подобного ждали и от меня. Я же ответил тогда, что "WWN это что-то вроде МАК-адреса". На большее меня не хватило.
> ASDM 7.1(3), ASA 5555 9.1(2)
Тогда понятно. Просто не увидел в этом скриншоте возможности посмотреть какое правило сработало. Обновил бы asdm.
Можно там это увидеть - достаточно узлы дерева раскрыть. Пикрелейтид. А иначе какой вообще смысл в пакет-трейсере?!
>Обновил бы asdm
Это аса в старой инфре, откуда мы потихоньку переезжаем в новую. А в новой - палоальты стоят. Так что обновлять точно ничего уже не будем - смысла нет.
>Сетевики, а вы на работе у себя занимаетесь кроме LAN ещё и SAN?
Теперь да.
Сейчас дизайню отдельную сеть для iSCSI/HCI/vSAN/NVMe.
FC в конторе вымер почти полностью
CCIE
>fc вымер почти полностью
Отчего так?
Все то, что ты озвучил выше, работает по ethernet?
>FC в конторе вымер почти полностью
Я имел ввиду, какие преимущества есть у
>iSCSI/HCI/vSAN/NVMe.
перед FC
>Отчего так?
Дорого и немасштабируемо.
>Я имел ввиду, какие преимущества есть у
>>iSCSI/HCI/vSAN/NVMe.
Они все работают поверх Ethernet и/или IP.
Стоимость же 40GE свитчей сейчас уже смешная.
А на подходе уже 100GE занедорого.
CCIE
Скажи, а сочетать на одном железе и LAN, и SAN по-прежнему нельзя? И если нет, то чем хуже тот же FC, его скорости тоже в gen6 сопоставимы с 40-100GE.
>Скажи, а сочетать на одном железе и LAN, и SAN по-прежнему нельзя
Всё можно и даже нужно.
В тестовой лабе гоняли 40GE iSCSI поверх BGP EVPN/VxLAN.
Работает отлично.
>FC, его скорости тоже в gen6 сопоставимы с 40-100GE
Я боюсь предстваить сколько это будет стоить.
CCIE
>В тестовой лабе
В проде раньше такие сочетания приводили к жутким факапам впоследствии... Развиваться и экспериментировать, конечно, приятно и хорошо, но нести ответственность за то, что вся инфра легла или хуже того - глючит, как-то мало кому хочется.
>боюсь предстваить сколько это будет стоить
Для крупных компаний это не всегда настолько принципиально. Всякие финансовые организации охотно переплачивают за проверенные и стабильные, пусть и морально устаревшие, решения.
>В проде раньше такие сочетания приводили к жутким факапам впоследствии...
У нас тестовая лаба это кусок боевой сети, с некритичными продакшн сервисами.
Ну и да, сломя голову мы никуда не торопимся. Всё что делаем, многократно проверяем и тестируем.
>Всякие финансовые организации охотно переплачивают за проверенные и стабильные, пусть и морально устаревшие, решения
Переплачивают по той причине что это немерянное поле для откатов. Так было, есть и будет какое-то количество времени. Этим пока пользуются интеграторы/дистрибьюторы.
HCI с all-flash на борту, сейчас уделывают всех кого не попадя.
CCIE
CCIE, сколько у тебя там вообще людей в банке, занимающихся сетью?
Завидую я вам. У нас есть начальник, который просто вообще не даст сделать LAN и SAN на одном железе в силу своих убеждений и опыта. Тот факт, что это экономически выгоднее - ни разу не аргумент, т.к. деньги компании - это не деньги сотрудников и экономить их не принято (что в целом верно, когда речь идет о покупке лучших из возможных решений). Задачу экономить и не давать откатывать решает закупочный комитет, но, конечно, он не знает о том какие решения вообще бывают, плюс мы тоже не идиоты и закладываем более дорогое оборудование изначально с тем, чтобы когда скажут - уменьшить стоимость осталось пространство для маневра (а просят сократить расходы практически всегда). Неэффективность во все поля, короче.
>CCIE, сколько у тебя там вообще людей в банке, занимающихся сетью?
9 человек.
Надеюсь что еще двоих скоро добавят.
CCIE
>9 человек.
Это ТОЛЬКО сетью? И как у вас там разграничено?
Кто-то рулит одним, кто-то другим? Или как?
Телефонисты в твоем же отделе?
А вообще всей инфраструктурой сколько народа рулит? Сервера, стораджи, сети, телефония - ?
>Это ТОЛЬКО сетью?
Это сеть и телефония.
>Кто-то рулит одним, кто-то другим?
Все взаимозаменяемы. Это принципиально.
Телефонистов 3-е, тоже друг друга заменяют.
>А вообще всей инфраструктурой сколько народа рулит?
Порядка 30 человек.
CCIE
Они для тебя просто руки для рутины, или ты доверяешь планирование и мелкие изменения архитектуры?
> Все взаимозаменяемы. Это принципиально.
Классическая отказоустойчивой схема?
Окей, допустим с сетью ясно - по две сетевухи в каждый сервер и два свитча. но что всё же делать с хранилкой?
Собирать на базе сервера обычного не хочу, хотелось бы отдельную, чисто хранильную железку. Тут не так давно в тредах говорили, что они идут с двумя контроллерами, а диски можно набрать с двумя портами. Если есть такое задёшево, то было бы круто.
>они идут с двумя контроллерами
Ну ты можешь и с одним купить, но это дебилизм будет полный.
>диски можно набрать с двумя портами
Как бы SAS интерфейс - это уже и есть "два порта".
>задёшево
Посмотри что-то уровня HP P2000, например D2700 (AJ941A):
http://h71016.www7.hp.com/dstore/MiddleFrame.asp?ProductLineId=450&FamilyId=3013&BaseId=31362&SkipRedirect=YES&SBLID=%20rel=
Сама корзинка стоит всего 3500$, но в не надо дисков насовать, контроллеры воткнуть и лицензии с карпаками посчитать... где-то под 10к$, наверно, выйдет. Это, вероятно, самое дешевое (потому что старье) из того, что можно брать в продакшен...
https://yadi.sk/d/qv4eEa8D3K3wdu
Аноны, есть тут владелец сабжа\кто-нибудь кто выкачал его целиком?
Хочется стянуть и схоронить годноту куда-нибудь на диск, а с яндекса вытянуть не выходит
Аноны, есть тут владелец сабжа\кто-нибудь кто выкачал его целиком?
Хочется стянуть и схоронить годноту куда-нибудь на диск, а с яндекса вытянуть не выходит
Сегодня вплотную начал работать с AD
6 доменов, 30-40 тысяч учеток и все такое
Думал это интересно - нехуя, мне уже плохо от LDAP запросов что выгрузить всякую хуиту, а квестовые командлеты для AD - говно...
//scom-кун
6 доменов, 30-40 тысяч учеток и все такое
Думал это интересно - нехуя, мне уже плохо от LDAP запросов что выгрузить всякую хуиту, а квестовые командлеты для AD - говно...
//scom-кун
Надо во что то современное вкатываться было.
чего современное? меня все устраивает
AD будет всегда как и мониторинг
>Думал это интересно - нехуя, мне уже плохо от LDAP запросов что выгрузить всякую хуиту, а квестовые командлеты для AD - говно...
Нихуя не интересно. Интересно - когда есть какие-нибудь проекты, а так - целый день пердолишь тупые запросы, делаешь траблшутинг и посылаешь всех нахуй.
Мимоадмин АД в дохуябольшом энтерпрайзе.
Анон, почему у меня кнопка "скачать" не работает? Отдельно файлы скачиваются, а папки нет.
> чего современное? меня все устраивает
> AD будет всегда как и мониторинг
AD уже вымирает и сейчас осталось по сути только в больших энтерпрайзах как legacy технология из за того, что в 2000х годах под неё написали много софта, в частности exchange. Но будущего у этой технологии сегодня нет.
>AD уже вымирает
лол что? а мужики то и не знают !
Бамп, плз халп
Гайды делать лень, читайте архивы в шапке треда.
Если у вас есть предложения по треду/шапке, ответьте комментом на этот пост. Ликуйте интересные обсуждения комментом в этот пост.
Для новичков: https://habrahabr.ru/post/118475/
RHCSA/RHCE:
magnet:?xt=urn:btih:C8915A6B4ED323C68FC0832E2FC37C2567464797&tr=http://bt3.t-ru.org/ann%3Fmagnet
magnet:?xt=urn:btih:A185A975BEAF0D33DCD2A1FADE9D885C1E85B7C8&tr=http://bt3.t-ru.org/ann%3Fmagnet
magnet:?xt=urn:btih:96C782EE746F06B9B7AF31ADE235B19725D242C8&tr=http://bt4.t-ru.org/ann%3Fmagnet
magnet:?xt=urn:btih:2DD6D93426A129913A48131E9C34A16AA05BCBE2&tr=http://bt2.t-ru.org/ann%3Fmagnet
RHCSA OpenStack: magnet:?xt=urn:btih:7C6B318ABE6D176F559AC569369D57A45BD34A36&tr=http://bt4.t-ru.org/ann%3Fmagnet
Тасклист для Linux админа: https://www.reddit.com/r/linuxadmin/comments/2s924h/how_did_you_get_your_start/cnnw1ma
Ютуб курс по Linux: https://www.youtube.com/user/itsemaev/playlists
Для сетевиков: http://xgu.ru/wiki/linkmeup
Курс CCNA: magnet:?xt=urn:btih:B0B3726CA5E04ECEC1937DBCF88BD733401BAF5D&dn=INE CCNA 200-120 videos 2014&tr=udp%3a%2f%2ftracker.openbittorrent.com%3a80&tr=http%3a%2f%2fretracker.hq.ertelecom.ru%2fannounce
Сети для самых маленьких: http://linkmeup.ru/blog/11.html
MCSA/MCSE: magnet:?xt=urn:btih:EB96F52705BC14A7BF5C7B66C4D995238C78724C&tr=http://bt4.t-ru.org/ann%3Fmagnet
>Все друзья юристы 300к в секунду, а я все хуй за печенье сосу
>Мы тут нищие все, как бичи. Плохо кушаем, сил нет даже перекот сделать
>OSPF и BGP просты как палка
>И все хотят разговорный английский!
tg: https://t.me/it2ch (самый старый канал IT-тредов, с февраля 2016)
tg: https://t.me/joinchat/AAAAAEK0kjV2GSZKAJGYqg (свежесозданная, с 9 марта 2017)
Начинающие! Если не хотите сидеть вечно на дне, то учите одно конкретное направление. Учить - это значит ебашить курсы и лабораторные по три-восемь часов в день каждый день, сдавать сертификационные экзамены, учить английский до беглого разговорного на IT тематику. Будете гонять балду - останетесь на дне.
В России IT нет, с небольшими исключениями ! Запомните это. В России в IT работать можно только в аутсорсерах на зарубежные компании, или в компаниях, которые выпускают IT продукты и сервисы, востребованные на мировом рынке. В остальных компаниях в России бюджеты на IT не большие, качество процессов внутри компании низкое, и это будет серьёзно влиять на ваше развитие.
Не ходите работать эникеями, не теряйте время. Пусть вашим первым опытом работы будет любая IT компания, и сразу идите на конкретную специализацию: линук админ, виндовс админ, сетевик, стораджист (storage admin), сервис деск (service desk) в конце концов. IT компания – это компания, где IT приносит основной доход, а не является обслуживающим подразделением. Провайдер, банк, контора разработчиков ПО - это IT компании. Завод, веб-студия, магазинная сеть – это не IT компании.
Уровень зарплат у состоявшихся квалифицированных специалистов в 8-10 годами опыта в Москве в IT – не менее 140000 руб., в идеале - 180-240 тыс.руб.
Уровень зарплат у состоявшихся квалифицированных специалистов в 8-10 годами опыта в миллионнике в IT – не менее 80000 руб., в идеале - 120-180 тыс.руб.
Переезжайте в другие города, если в вашем городе нет квалифицированной работы в IT. Меняйте компании легко, если у вас нет развития, не привязывайтесь к работадателям. Вы всегда себе работу найдёте, если у вас высокая квалификация. Подавайтесь на позиции и проходите собеседования по несколько раз в месяц, в том числе с фейковым именем и фейковым резюме. Не ссыте.
Готовьтесь к эмиграции. На всякий случай, не помешает. У вас одна из самых востребованных и гибких профессий. Попробуйте подаваться на вакансии зарубежом, посмотрите условия эмиграции (требования по закону и иммиграционным программам) и условия жизни.
Не тратьте много времени на женщин. Особенно, если они не разделяют ваших профессиональных интересов и тормозят ваше развитие, не дают переехать в другой город, и ебут мозг всяческими способами.
Бросьте игрушки и сериалы. Ибо нехуй. В отпуске поиграете и посмотрите.
Для программистов раздел /pr и тред "Мы вам перезвоним" в нём. Железо в /hw/, софт в /s/.
Старые треды:
Архив шапки треда и ссылки на треды с 2012 года и до 18.08.2017 - https://pastebin.com/bnfw44ED
https://arhivach.org/thread/197078/ - 12.08.2016-30.08.2016 IT-тред #58 (#694827 ресертификация CCNP и CCDA; #695065 техподдержка-кун уволен; #696256 учебные курсы и сертификация VMware VCP)
https://arhivach.org/thread/201391/ - 30.08.2016-18.09.2016 IT-тред #59 (#704591 техподдержка-кун устроился на работу #705495, #700375 кто-то страдает по BGP, #701024 порядок поиска справочной информации, #701185 попытка вката в профессию, #704529 куда идти после техподдержки провайдера, #706561 и 716508 - ещё сертификация VMware/network virtualization, #707228 лабы по Red Hat Storage/ceph/gluster, #707418 требования для джуниора сетевика, #708048 перекат из дотера в админы, #712657 собеседование мейл ру куна/сетевик, #713978 миниопросник сетевиков, #716450 что значит "знать Active Directory по-минимуму", #717116 надрочить технический английский)
https://arhivach.org/thread/206505/ - 18.09.2016-14.10.2016 IT-тред #60
https://arhivach.org/thread/211561/ - 14.10.2016-03.11.2016 IT-тред #61 (#758298 - дешёвые виртуалки для выполнения лабораторок по vmware esxi/linux/windows)
https://arhivach.org/thread/213360/ - 03.11.2016-08.12.2016 IT-тред #62 ANIMU EDITION
IT-тред #63 https://2ch.hk/wrk/arch/2017-01-27/res/807705.html, там ничего интересного, кроме техподдержки-куна (будет скопировано ниже)
https://arhivach.org/thread/233978/ - 27.01.2017-08.03.2017 IT-тред #64
https://arhivach.org/thread/254730/ - 08.03.2017-17.04.2017 IT-тред #65 (#941909 - как я попал в рабство (тру стори, старая паста), #941464 - дотер-админ и там ниже по тексту интересно по развитию для сетевиков с CCIE-куном, #947098 сбер/сбертех, #949508 собеседование сетевика в Тинькофф банк, #956919 экзамен CCNP Route, #958426 не ходите на говнокурсы, #959679 CCIE унижает учит, #970362 сторадж-админ в треде, #974087 ошибки на интервью, #976694 техподдержка-кун выкарабкивается в админы, так же в треде есть бензоколонка-кун и scom-кун, #996356 собеседование в интегратор на Linux, #998619 тут неплохие рекомендации для начинающего сетевика ниже по треду, в целом тред про техподдержку)
https://arhivach.org/thread/262500/ - 17.04.2017-18.05.2017 IT-тред #66 (#1001276 менять ли работу, если есть предложения, но есть совесть и незаконченные проекты на текущей работе)
https://arhivach.org/thread/270233/ - 18/05/17-23/07/17 IT-тред #67 (#1043372 скиллы DevOps'а)
https://arhivach.org/thread/282577/ - 24/06/17-28/07/17 IT-тред #68
https://arhivach.org/thread/286265/ - 29/07/17 IT-тред #69 (в треде много сетевиков и про зарплаты в IT, #1081068 триал openshift'а, #1086307 190к руб. в 2014м, #1086534 направления развития в системах виртуализации)
https://arhivach.org/thread/294287/ - 16/08/17 ИТ-тред №70 (копаем vpn)