• ↓
  • ↑
  • ⇑
 
Записи с темой: цыски (список заголовков)
17:13 

Шпаргалка #1. Установка SFP модулей сторонних вендоров в Catalyst.

я б хотел помыться и заснуть
Вот захочется мне скажем воткнуть какую-то левую SFP в циску (пишешь "левую", читаешь "любых стороних вендоров";).

*Mar 1 00:00:58.594: %PKI-6-AUTOSAVE: Running configuration saved to NVRAM
*Mar 1 00:22:55.530: %GBIC_SECURITY_CRYPT-4-VN_DATA_CRC_ERROR: GBIC in port Gi0/8 has bad crc
*Mar 1 00:22:55.530: %PM-4-ERR_DISABLE: gbic-invalid error detected on Gi0/8, putting Gi0/8 in err-disable state


Не хочет работать!

# service unsupported-transceiver
# no errdisable detect cause gbic-invalid
# errdisable recovery cause sfp-config-mismatch
# no errdisable detect cause sfp-config-mismatch


Всё равно не хочет. Потому что после service unsupported-transceive циску надо ребутнуть (sic!)
Хорошая новость: ребутнуть её надо всего один раз, после этого можно втыкать на горячую столько трансиверов, сколько захочется.

Видит и ругается:

*Mar 1 00:00:43.805: %PHY-4-UNSUPPORTED_TRANSCEIVER: Unsupported transceiver found in Gi0/8

Брезгует) Но это ничего. Проверяем:

# show idprom interface gi0/8
# show interface status

UPD: NEXUS сторонними трансиверами брезгует, в нексус по возможности ставим родные или хотя бы прошитые под родные SNR.

@темы: цыски

16:05 

А внутре у ней думатель и неонка.

я б хотел помыться и заснуть
Здесь будет о том, что:

cisco asa 5505 прозрачно пропускает bpdu, и совершенно зря я стремалась настраивать в филиалах резервные линки до неё,
cisco asa 5505 после обновления до версии 9.1 совершенно меняет логику работы с NAT, и NAT с конкретного интерфейса на конкретный интерфейс работает, игнорируя Route Lookup. Зато в этой же версии починили косяк, когда при удалении интерфейса слетали все NAT с any интерфейсом,
cisco asa 5505 в любой версии как-то странно себя ведёт на TCP-сессиях: ограничивает размер окна таким образом, чтобы одна сессия занимала не более 50% заданной полосы пропускания,
cisco asa 5505 не умеет выдавать по dhcp статический ip конкретному MAC-адресу.


Странная железка. И чем дальше, тем страньше.

@темы: цыски

11:14 

Хе-хе

я б хотел помыться и заснуть
На cisco expo простите, connect сказали, что asa 5505 обыкновенно ставят в банкоматы.
Улыбает)

@темы: цыски

14:28 

3560

я б хотел помыться и заснуть
При заливке файла на флэшку 3560 каталиста нагрузка на его CPU подскочила до 80%.
С asa таких проблем не наблюдается, но для сетевого оборудования это нормальная практика.
Печаль.

@темы: цыски

09:44 

***

я б хотел помыться и заснуть
Забавно, что медная трасса с 3com с одной стороны и dlink с другой поднимается прекрасно, а с циской не встаёт даже на 10 half.
Трасса как раз примерно стометровая, конечно, но всё же.

update: циска - catalyst 3560

@темы: цыски

15:30 

день пятый

я б хотел помыться и заснуть
Ну и денёк.

Попутно нагуглила хорошее, полезное чтение на ночь:

net-geek.org/dbg/2008/09/overcoming-peer-fraud....
gul-tech.livejournal.com/3790.html

@темы: лытдыбр, цыски

20:01 

из рабочей переписки, официальное

я б хотел помыться и заснуть
ну я типа расшатдаунила Po6 и Po7 на dts-sw-wan-as, но два порта в портченнелах встали в 100Мбит/с, а два в гигабит — и засуспендились, после чего dts-router3-vpn-dev ожидаемо подудонился
Кто завтра спросит, что такое подудонился, будет усажен читать петрушевскую, причём вслух. А я домой.

@темы: цыски, лытдыбр

14:33 

витруальный мальчик админ Вася

я б хотел помыться и заснуть
А посоветуйте мне, друзья, хороший, естественный модулятор голоса в реальном времени.

Какой-нибудь универсальный, потому что никаких навороченных аудиокарточек у меня на работе нет, это было бы слишком просто.
Потому что волею судеб я последнее время подключаю для наше компании телефонию во всяких маленьких городках — а вот в Сарапуле, например. И меня уже порядком подзадолбали просьбы "передать трубочку мальчику", потому что ответы "ну, я типа мальчик" и "включите воображение" их почему-то не устраивают.

Вот в больших городах хорошо, звонишь провайдеру, тебе отвечают по делу, хоть бабой Нюрой представься. Кто платит, тот и клиент. А в маленьких обязательно цирк с конями и позовитемальчика. Ну, вот теперь будет цирк с конями и трансвеститами, потому что я серьёзно собираюсь сэкономить себе время и запустить виртуального мальчика админа Васю.

Просят мальчика — включаешь Васю. А чо.

@темы: лытдыбр, цыски

14:37 

Почему я не люблю облачные сервисы?

я б хотел помыться и заснуть
А я очень не люблю облачные сервисы.

Вот стоит задача: запретить доступ до api.mail.ru со всех наших филиалов. Запретить при помощь файрвола, cisco asa 5505, скажем. Известно, что у api.mail.ru много адресов.
И тут же хочется, конечно, использовать fqdn acl.
А облом.
Если сделать nslookup api.mail.ru 8.8.8.8 (чтобы заведомо ничего не кэшировалось), то выяснится, что:
  • api.mail.ru резолвится только в один адрес за раз
  • но при следующем запросе это будет уже другой адрес
  • и эти адреса не принадлежат одной AS-ке и общего между собою ничего не имеют.

Это называется — облако.
Строго говоря, если есть кэширующий DNS сервер (грубо говоря, DefaultDNS у асы не гугловый, а корпоративный), схема может сработать — пока тот же сервер является DNS-ом у пользователей.
Но вот незадача — время кэширования у асы и корпоративного DNS легко может не совпасть.
Даже если мы настроим проверку обновлений на циске раз в минуту, то за эту минуту, пока acl не обновился, много чего может случиться.

А вот кстати поговорим про обновление acl. Каждый раз, как acl будет обновляться, циска будет фактически выполнять операцию clear xlate, дропая коннекшены (так как на базе fqdn она формирует вполне себе классическую ACL-ку). upd: вроде, всё же нет.

Последний минус этой схемы — на блокируемых адресах может быть размещено что-то полезное. А то так заблочишь api.mail.ru, а тебе mail.ru отдаваться перестанет (чисто теоретически).

Как мы (Николай Второй, император и самодержец) это порешали?
Добавили на корпоративный DNS указ резолвить api.mail.ru в серый внутренний адрес 10.x.x.x, а на ASA, соответственно, блочить запросы к этому ip-шнику.


Здесь для сравнения нужно добавить контрпример, пусть будет maps.google.com.
Сделайте nslookup maps.google.com и почувствуйте разницу: вот это благодатная почва для fqdn acl.


UPD: в попытке всё же воспользоваться fqdn пока сделала

dns domain-lookup inside
dns server-group DefaultDNS
expire-entry-timer minutes 60
poll-timer minutes 1
name-server 10.150.1.2
domain-name tensor.ru

Смотрю, сколько он насобирает за час. Ещё интересно, что произойдёт на стыке. Время жизни записи минута, итого у парня 60 попыток собрать всю эту байду. А потом всё обнулится :) Т.е., на практике меня интересуют очень длинные expire-entry-timer minutes.

UPD: Результаты обкатки показали, что на практике схема рабочая и пока не глючит, если установить достаточно большое время. После запуска начинает работать не сразу, что очевидно.

@темы: цыски

19:15 

lock Доступ к записи ограничен

я б хотел помыться и заснуть
Закрытая запись, не предназначенная для публичного просмотра

URL
10:19 

lock Доступ к записи ограничен

я б хотел помыться и заснуть
Закрытая запись, не предназначенная для публичного просмотра

URL
11:59 

lock Доступ к записи ограничен

я б хотел помыться и заснуть
Закрытая запись, не предназначенная для публичного просмотра

URL
10:00 

Вопрос 5

я б хотел помыться и заснуть
Между автономными системами A и B есть несколько BGP-стыков. Расскажите, как AS A может влиять на распределение по этим каналам трафика от AS B.

Так как, по условию задачи, стыки между AS A и AS B идут напрямую, то, скорее всего, у нас (точнее, у администраторов AS A) есть две опции: балансировать эту нагрузку или влиять на решение AS B, через какой канал отправлять трафик (оставив второй канал резервным). Можно при помощи route-map организовать балансировку таким образом, чтобы на некоторые из наших сетей трафик приходил через один стык, а на некоторые — через другой, но эти сети должны быть не менее /24 — большинство провайдеров фильтрует подсети менее /24.
Для простоты будем считать, что в обоих автономных системах граничное оборудование — cisco.
Для того, чтобы балансировать входящих трафик по двум каналам, нужно выполнить следующие условия: AS path, origin code, метрика IGP и MED должны совпадать — это раз. На маршрутизаторе AS B, принимающем решение о выборе пути, должна быть введена команда maximum-paths n, где n — количество линков, соединяющих AS A и AS B. На это мы, увы, повлиять не можем.
Кроме того, AS B может манипулировать прохождением трафика до нас при помощи атрибутов weight (локально на маршрутизаторе — проприетарная метрика cisco) и local preference (при распространении маршрутов внутри AS B). На это мы тоже не можем повлиять.
В случае же, если все условия, приведённые выше, удовлетворены, администраторы AS B не рулят трафиком при помощи weight и local preference и команда maximum-paths не введена, трафик пойдёт до соседа с наименьшим Router ID. Скорее всего, при выборе пути, по которому пойдёт трафик, мы бы хотели манипулировать какими-то более весомыми метриками, чем Router ID и манипулировали бы значением AS_PATH (в худший маршрут добавить препендов) и MED (считается «слабым» значением, но для наших целей — когда AS_Path совпадает — подходит).
Здесь ещё надо упомянуть про атрибут Community — если на оборудовании AS B заданы некие правила для обработки Community, AS A может управлять входящим трафиком при помощи их — в частности, на практике применяла такой способ для защиты от DDOS (перегрузки внешних каналов) методом Blackhole.

@темы: цыски

10:41 

lock Доступ к записи ограничен

я б хотел помыться и заснуть
Закрытая запись, не предназначенная для публичного просмотра

URL
15:28 

lock Доступ к записи ограничен

я б хотел помыться и заснуть
Закрытая запись, не предназначенная для публичного просмотра

URL
17:36 

я б хотел помыться и заснуть
Этот запрос не работает:

INSERT INTO `hw_port_types` (`hardware_id`,`port_type`,`port_start`,`port_end`,`note`) VALUES ((select id from hardware where hw_type_models='6'),56,0,0,'');

А этот работает:

INSERT INTO `hw_port_types` (`port_type`,`port_start`,`port_end`,`note`,`hardware_id`) (select 56,0,0,'', id from hardware where hw_type_models='6');

Чо-то как-то ваш SQL странный вельми.

@темы: цыски

15:02 

lock Доступ к записи ограничен

я б хотел помыться и заснуть
Закрытая запись, не предназначенная для публичного просмотра

URL
16:36 

я б хотел помыться и заснуть
Обратить внимание на то, что есть, скажем, AS60139, а есть AS-60139 (второе — не опечатка, а полноценный AS-сет из AS60139 и AS197780). Конечно, цифровой AS-сет ничему не противоречит, и всё же выглядит непривычно после всяких AS-TTK и AS-ETYPE. Не полагаться на продавцов, всегда спрашивать у клиентов конкретно: а есть ли у вас, господа хорошие, AS-сет? Продавцам, кстати, тоже объяснить, в каких случаях чёрточка matters. Всегда сравнивать received routers по нейбору и список сетей, полученных с райпа, чтобы не отфильтровать лишнего. Вообще чаще ходить в райп.

UPD: irrtoolset.isc.org/wiki/peval и bgp.he.net/ — для того чтобы быстро посмотреть то, что неудобно посмотреть в райпе (например, список всех префиксов, которые должны анонсироваться AS-set-ом).
запись создана: 12.08.2015 в 11:19

@темы: цыски

17:21 

lock Доступ к записи ограничен

я б хотел помыться и заснуть
Закрытая запись, не предназначенная для публичного просмотра

URL
10:55 

я б хотел помыться и заснуть
На Cisco 7600, оказывается, есть классный баг. При включении strict mode uRPF на порту эта дрянь применяется на все порты сразу.
А поскольку реализована она там софтверно, то тут же начинает на ура дропать пакеты при наличии более-менее серьёзного трафика.
Бдительность.

@темы: цыски

like, inspiration and what Bog sends

главная