The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

форумы  правила/FAQ  поиск  регистрация  вход/выход  слежка  RSS
"Cisco фильрация https"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Маршрутизаторы CISCO и др. оборудование. (ACL, фильтрация и ограничение трафика)
Изначальное сообщение [ Отслеживать ]
Курсы по Juniper Junos в Москве и Петербурге
"Cisco фильрация https"  +/
Сообщение от bratislav email on 16-Авг-17, 21:18 
Добрый день может ли cisco фильтровать (блокировать) https://vk.com и куда копать ?
Спасибо!
Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по ответам | RSS]

1. "Cisco фильрация https"  +/
Сообщение от zanswer CCNA RS and S on 17-Авг-17, 06:07 
> Добрый день может ли cisco фильтровать (блокировать) https://vk.com и куда копать ?
> Спасибо!

Добрый день.

Коммутаторы Cisco Catalyst нет, а вот маршрутизаторы и брандмауэры Cisco ISR, ASR, ASA да. Если бы вы указали, каким устройством вы обладаете, было бы гораздо проще определить направление вашего движения. Но, для примера вот: https://supportforums.cisco.com/document/94511/cisco-ios-how...

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Cisco фильрация https"  +/
Сообщение от bratislav email on 17-Авг-17, 08:09 
>> Добрый день может ли cisco фильтровать (блокировать) https://vk.com и куда копать ?
>> Спасибо!
> Добрый день.
> Коммутаторы Cisco Catalyst нет, а вот маршрутизаторы и брандмауэры Cisco ISR, ASR,
> ASA да. Если бы вы указали, каким устройством вы обладаете, было
> бы гораздо проще определить направление вашего движения. Но, для примера вот:
> https://supportforums.cisco.com/document/94511/cisco-ios-how...

У меня 1921, нашёл вот https://www.cisco.com/c/en/us/td/docs/ios-xml/ios/sec_data_c...
Но это только для http (((


Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "Cisco фильрация https"  +/
Сообщение от zanswer CCNA RS and S on 17-Авг-17, 08:35 
>>> Добрый день может ли cisco фильтровать (блокировать) https://vk.com и куда копать ?
>>> Спасибо!
>> Добрый день.
>> Коммутаторы Cisco Catalyst нет, а вот маршрутизаторы и брандмауэры Cisco ISR, ASR,
>> ASA да. Если бы вы указали, каким устройством вы обладаете, было
>> бы гораздо проще определить направление вашего движения. Но, для примера вот:
>> https://supportforums.cisco.com/document/94511/cisco-ios-how...
> У меня 1921, нашёл вот https://www.cisco.com/c/en/us/td/docs/ios-xml/ios/sec_data_c...
> Но это только для http (((

В HTTPS затруднительно получить значение URI, без использования промежуточной точки осуществляющей дешефрацию трафика и установление нового соединения.

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "Cisco фильрация https"  +/
Сообщение от ЫЫ on 17-Авг-17, 08:53 
> Добрый день может ли cisco фильтровать (блокировать) https://vk.com и куда копать ?
> Спасибо!

забанить по ip?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

5. "Cisco фильрация https"  +/
Сообщение от zanswer CCNA RS and S on 17-Авг-17, 08:56 
>>> Добрый день может ли cisco фильтровать (блокировать) https://vk.com и куда копать ?
>>> Спасибо!
>> Добрый день.
>> Коммутаторы Cisco Catalyst нет, а вот маршрутизаторы и брандмауэры Cisco ISR, ASR,
>> ASA да. Если бы вы указали, каким устройством вы обладаете, было
>> бы гораздо проще определить направление вашего движения. Но, для примера вот:
>> https://supportforums.cisco.com/document/94511/cisco-ios-how...
> У меня 1921, нашёл вот https://www.cisco.com/c/en/us/td/docs/ios-xml/ios/sec_data_c...
> Но это только для http (((

У Cisco есть облачное решение, по подписке, которое позволяет осуществить такие действия и есть решение для Cisco ASA. Маршрутизатор хоть и обладает некоторыми возможностями присущими security appliance, тем не менее последним не является. Поэтому Cisco для решения схожих с вашей задач и предлагает, либо SaaS решение, либо security appliance.

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

6. "Cisco фильрация https"  +/
Сообщение от bratislav email on 17-Авг-17, 08:57 
>[оверквотинг удален]
>>>> Спасибо!
>>> Добрый день.
>>> Коммутаторы Cisco Catalyst нет, а вот маршрутизаторы и брандмауэры Cisco ISR, ASR,
>>> ASA да. Если бы вы указали, каким устройством вы обладаете, было
>>> бы гораздо проще определить направление вашего движения. Но, для примера вот:
>>> https://supportforums.cisco.com/document/94511/cisco-ios-how...
>> У меня 1921, нашёл вот https://www.cisco.com/c/en/us/td/docs/ios-xml/ios/sec_data_c...
>> Но это только для http (((
> В HTTPS затруднительно получить значение URI, без использования промежуточной точки осуществляющей
> дешефрацию трафика и установление нового соединения.

Получается тогда cisco это не вариант для решения этой задачи ? остаёмся на squid (((

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

7. "Cisco фильрация https"  +/
Сообщение от bratislav email on 17-Авг-17, 09:00 
>> Добрый день может ли cisco фильтровать (блокировать) https://vk.com и куда копать ?
>> Спасибо!
> забанить по ip?

Не вариант, так как будут тормозить другие сайты...


Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

8. "Cisco фильрация https"  +/
Сообщение от zanswer CCNA RS and S on 17-Авг-17, 09:27 
>[оверквотинг удален]
>>>> Коммутаторы Cisco Catalyst нет, а вот маршрутизаторы и брандмауэры Cisco ISR, ASR,
>>>> ASA да. Если бы вы указали, каким устройством вы обладаете, было
>>>> бы гораздо проще определить направление вашего движения. Но, для примера вот:
>>>> https://supportforums.cisco.com/document/94511/cisco-ios-how...
>>> У меня 1921, нашёл вот https://www.cisco.com/c/en/us/td/docs/ios-xml/ios/sec_data_c...
>>> Но это только для http (((
>> В HTTPS затруднительно получить значение URI, без использования промежуточной точки осуществляющей
>> дешефрацию трафика и установление нового соединения.
> Получается тогда cisco это не вариант для решения этой задачи ? остаёмся
> на squid (((

Cisco ISR 1921 не имеет поддержки Proxy Firewall/Application Firewall самостоятельной, только через использование Cisco Cloud Web Security SaaS решения. Поэтому без оплаты платной подписки, что вряд ли ваш вариант, только Squid или любое другое промежуточное между Cisco и клиентами, решение.

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

9. "Cisco фильрация https"  +/
Сообщение от Andrey (??) on 17-Авг-17, 09:48 
>[оверквотинг удален]
>>> ASA да. Если бы вы указали, каким устройством вы обладаете, было
>>> бы гораздо проще определить направление вашего движения. Но, для примера вот:
>>> https://supportforums.cisco.com/document/94511/cisco-ios-how...
>> У меня 1921, нашёл вот https://www.cisco.com/c/en/us/td/docs/ios-xml/ios/sec_data_c...
>> Но это только для http (((
> У Cisco есть облачное решение, по подписке, которое позволяет осуществить такие действия
> и есть решение для Cisco ASA. Маршрутизатор хоть и обладает некоторыми
> возможностями присущими security appliance, тем не менее последним не является. Поэтому
> Cisco для решения схожих с вашей задач и предлагает, либо SaaS
> решение, либо security appliance.

У Cisco есть решение уровня NGFW - Cisco ASA FirePower. Можно посмотреть в эту сторону.
В отличии от полностью облачного решения ASA+Firepower не требует перенаправления трафика на облачные ресурсы. Трафик обрабатывается локально. Обновления для FirePower - да, подтаскиваются из облака, при наличии сервисного контракта.

Так-же можно посмотреть в сторону любого другого решения,  которрое определяется абревиатурами МСЭ, UTM или NGFW.

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

10. "Cisco фильрация https"  +/
Сообщение от zanswer CCNA RS and S on 17-Авг-17, 10:42 
>[оверквотинг удален]
>> возможностями присущими security appliance, тем не менее последним не является. Поэтому
>> Cisco для решения схожих с вашей задач и предлагает, либо SaaS
>> решение, либо security appliance.
> У Cisco есть решение уровня NGFW - Cisco ASA FirePower. Можно посмотреть
> в эту сторону.
> В отличии от полностью облачного решения ASA+Firepower не требует перенаправления трафика
> на облачные ресурсы. Трафик обрабатывается локально. Обновления для FirePower - да,
> подтаскиваются из облака, при наличии сервисного контракта.
> Так-же можно посмотреть в сторону любого другого решения,  которрое определяется абревиатурами
> МСЭ, UTM или NGFW.

Не думаю, что у автора стоит вопрос приобретения ASA 5500-X или FirePower устройств, учитывая, что на текущем этапе у него стоит ISR 1921, а значит это либо branch, либо SMB организация в принципе.

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

11. "Cisco фильрация https"  +/
Сообщение от bratislav on 17-Авг-17, 14:08 
> Не думаю, что у автора стоит вопрос приобретения ASA 5500-X или FirePower
> устройств, учитывая, что на текущем этапе у него стоит ISR 1921,
> а значит это либо branch, либо SMB организация в принципе.

К сожалению да 1921 оказалась бесполезной вещью (((
Оставил ubuntu, squid 4, sarg...

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

12. "Cisco фильрация https"  +/
Сообщение от ShyLion (ok) on 17-Авг-17, 14:18 
>> Не думаю, что у автора стоит вопрос приобретения ASA 5500-X или FirePower
>> устройств, учитывая, что на текущем этапе у него стоит ISR 1921,
>> а значит это либо branch, либо SMB организация в принципе.
> К сожалению да 1921 оказалась бесполезной вещью (((
> Оставил ubuntu, squid 4, sarg...

DPI и роутер это разного плана вещи. 1921 тупо не предназначена для такого.
HTTPS можно фильтровать, если соединение использует расширение SSL протокола - SNI. Это умеет например СКАТ. Правда решение скорее операторское.

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

13. "Cisco фильрация https"  +/
Сообщение от bratislav on 17-Авг-17, 14:29 
> DPI и роутер это разного плана вещи. 1921 тупо не предназначена для
> такого.
> HTTPS можно фильтровать, если соединение использует расширение SSL протокола - SNI. Это
> умеет например СКАТ. Правда решение скорее операторское.

DPI на сколько я понимаю тоже не работает с https ?

Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

14. "Cisco фильрация https"  +/
Сообщение от zanswer CCNA RS and S on 17-Авг-17, 15:22 
>> Не думаю, что у автора стоит вопрос приобретения ASA 5500-X или FirePower
>> устройств, учитывая, что на текущем этапе у него стоит ISR 1921,
>> а значит это либо branch, либо SMB организация в принципе.
> К сожалению да 1921 оказалась бесполезной вещью (((
> Оставил ubuntu, squid 4, sarg...

Просто ISR 1921 это именно маршрутизатор, с достаточно богатыми возможностями в области маршрутизации и VPN, но не контент фильтрации. В вашем случае выгоднее бы смотрелась ASA 5500-X, в нужной комплектации нежели ISR 1921.

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

15. "Cisco фильрация https"  +/
Сообщение от ShyLion (ok) on 17-Авг-17, 19:06 
>> DPI и роутер это разного плана вещи. 1921 тупо не предназначена для
>> такого.
>> HTTPS можно фильтровать, если соединение использует расширение SSL протокола - SNI. Это
>> умеет например СКАТ. Правда решение скорее операторское.
> DPI на сколько я понимаю тоже не работает с https ?

DPI это общее название технологии, как VPN или Холодильник.
СКАТ - это DPI решение, которое заглядывает внутрь потоков и HTTPS может фильтровать по имени сервера, ЕСЛИ SSL соединение было с использованием расширения SNI. Сейчас почти все, но не 100% HTTPS серверов используют это расширение, чтобы поддерживались виртуальные сервера, иначе они не будут понимать, какой SSL сертификат предъявлять браузеру. Конечно существуют старые HTTPS серверы, где нет виртуальных серверов и SNI не используется, с ними придется справляться индивидуально.

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

16. "Cisco фильрация https"  +/
Сообщение от Ivan (??) on 17-Авг-17, 19:32 
А смысл ? Когда squid (прозрачный) это всём может делать бесплатно ?
И куда ему эту Сisco деть, выбросить ?
Так как он теперь так и останется со своим ubuntu )))
А Вы ещё платную подписку предлагаете )))


Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

17. "Cisco фильрация https"  +/
Сообщение от ShyLion (ok) on 18-Авг-17, 10:08 
> А смысл ? Когда squid (прозрачный) это всём может делать бесплатно ?

Так ради бога, я против чтоли. Сквид, правда, далеко не  эталон стабильности.

> И куда ему эту Сisco деть, выбросить ?
> Так как он теперь так и останется со своим ubuntu )))

Циски нужно покупать когда у тебя большое предприятие с кучей филиалов. DMVPN, EIGRP и все такое. Покупать единственную циску в SMB смысла никакого. Зачем это сделано и куда ее девать - не знаю.

> А Вы ещё платную подписку предлагаете )))

Я? Где?

Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

18. "Cisco фильрация https"  +/
Сообщение от None (??) on 18-Авг-17, 11:02 
>>> Добрый день может ли cisco фильтровать (блокировать) https://vk.com и куда копать ?
>>> Спасибо!
>> забанить по ip?
> Не вариант, так как будут тормозить другие сайты...

ну так надо icmp reject отдавать, и тормозов не будет

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

19. "Cisco фильрация https"  +/
Сообщение от bratislav email on 18-Авг-17, 12:15 
>>>> Добрый день может ли cisco фильтровать (блокировать) https://vk.com и куда копать ?
>>>> Спасибо!
>>> забанить по ip?
>> Не вариант, так как будут тормозить другие сайты...
> ну так надо icmp reject отдавать, и тормозов не будет

Можно пример ? Сколько адресорв у vk.vom, ok.ru, ... ???

Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

20. "Cisco фильрация https"  +/
Сообщение от Andrey (??) on 18-Авг-17, 13:33 
>> А смысл ? Когда squid (прозрачный) это всём может делать бесплатно ?
> Так ради бога, я против чтоли. Сквид, правда, далеко не  эталон
> стабильности.
>> И куда ему эту Сisco деть, выбросить ?
>> Так как он теперь так и останется со своим ubuntu )))
> Циски нужно покупать когда у тебя большое предприятие с кучей филиалов. DMVPN,
> EIGRP и все такое. Покупать единственную циску в SMB смысла никакого.
> Зачем это сделано и куда ее девать - не знаю.
>> А Вы ещё платную подписку предлагаете )))
> Я? Где?

/*пятница*/ Холивар! Попкорн-печеньки! Хлеба и зрелищ! /*пятница off*/
Для каждой задачи и бюджета - свой микроскоп для гвоздей. Автор сам будет выбирать.
Изначальная тема была тема "на cisco резать vk.com". На соответсвующее ТЗ и было предложено решение.
То, что ТЗ изначально было поставлено расплывчато - ну автору нужно учиться ставить задачи более корректно.

Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

21. "Cisco фильрация https"  +/
Сообщение от bratislav email on 21-Авг-17, 17:11 
В общем фильтровать трафик, собирать статистику с помощью cisco полный бред...
Если Вам нужно абсолютно бесплатное (дешёвое) и работающие решение, используйте ubuntu+squid4+sarg...

ps: если нужна маршрутизация в локальной сети то, лучше использовать cisco 3750.
    если NAT то всё тот же linux+iptables...
Не знаю как другие маршрутизаторы cisco, но 1921, однозначно, дорогостоющиее фуфло (((

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

22. "Cisco фильрация https"  +/
Сообщение от bratislav email on 21-Авг-17, 17:15 
> Добрый день может ли cisco фильтровать (блокировать) https://vk.com и куда копать ?

В общем фильтровать трафик, собирать статистику с помощью cisco полный бред...
Если Вам нужно абсолютно бесплатное (дешёвое) и работающие решение, используйте ubuntu+squid4+sarg...
ps: если нужна маршрутизация в локальной сети то, лучше использовать cisco 3750.
    если NAT то всё тот же linux+iptables...
Не знаю как другие маршрутизаторы cisco, но 1921, однозначно, дорогостоющиее фуфло (((

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

23. "Cisco фильрация https"  –1 +/
Сообщение от ShyLion (ok) on 21-Авг-17, 17:34 
> Не знаю как другие маршрутизаторы cisco, но 1921, однозначно, дорогостоющиее фуфло (((

Не нужно микроскопом гвозди забивать, просто.

Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

24. "Cisco фильрация https"  –1 +/
Сообщение от zanswer CCNA RS and S on 22-Авг-17, 13:07 
>> Добрый день может ли cisco фильтровать (блокировать) https://vk.com и куда копать ?
> В общем фильтровать трафик, собирать статистику с помощью cisco полный бред...
> Если Вам нужно абсолютно бесплатное (дешёвое) и работающие решение, используйте ubuntu+squid4+sarg...
> ps: если нужна маршрутизация в локальной сети то, лучше использовать cisco 3750.
>     если NAT то всё тот же linux+iptables...
> Не знаю как другие маршрутизаторы cisco, но 1921, однозначно, дорогостоющиее фуфло (((

Просто ISR позиционируется, как Corporate Branch, не SMB, поэтому он и содержит функционал устройства работающего в связке с другими сетевыми устройствами. Скажем на пару с Cisco ASA или всякими облачками решениями Cisco.

Как вы правильно заметили, Cisco это не про бесплатно, поэтому тот, кто купил ваш ISR 1921, просто далёк от решений этого класса.

Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

25. "Cisco фильрация https"  +/
Сообщение от eek (ok) on 22-Авг-17, 13:23 
>     если NAT то всё тот же linux+iptables...
> Не знаю как другие маршрутизаторы cisco, но 1921, однозначно, дорогостоющиее фуфло (((

Вы так не расстраивайтесь, вам еще столько всего предстоит узнать. Например: отверткой очень не удобно забивать гвозди.

Это я к чему? Это я к тому, что сначала нужно определять задачи, а потом покупать под них железо.

Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

26. "Cisco фильрация https"  +/
Сообщение от BratiSlav on 22-Авг-17, 19:14 
> Как вы правильно заметили, Cisco это не про бесплатно, поэтому тот, кто
> купил ваш ISR 1921, просто далёк от решений этого класса.

Вы серьёзно? Вы вообще его юзали? Мы его тестили около 2 недель по нагрузкой...
NAT(200 хостов) + NetFlow = CPU 100%, та же ситуация и с VPN.
Так что там ещё, а OSPF так он и в 3750 есть...

Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

27. "Cisco фильрация https"  +/
Сообщение от BratiSlav on 22-Авг-17, 19:15 

> Это я к чему? Это я к тому, что сначала нужно определять
> задачи, а потом покупать под них железо.

Вы серьёзно? Вы вообще его юзали? Мы его тестили около 2 недель по нагрузкой...
NAT(200 хостов) + NetFlow = CPU 100%, та же ситуация и с VPN.
Так что там ещё, а OSPF так он и в 3750 есть...

Ответить | Правка | ^ к родителю #25 | Наверх | Cообщить модератору

28. "Cisco фильрация https"  +1 +/
Сообщение от zanswer CCNA RS and S on 23-Авг-17, 06:18 
>> Как вы правильно заметили, Cisco это не про бесплатно, поэтому тот, кто
>> купил ваш ISR 1921, просто далёк от решений этого класса.
> Вы серьёзно? Вы вообще его юзали? Мы его тестили около 2 недель
> по нагрузкой...
> NAT(200 хостов) + NetFlow = CPU 100%, та же ситуация и с
> VPN.
> Так что там ещё, а OSPF так он и в 3750 есть...

Использовали конечно, заведомо ознакомившись с его спецификацией. Хотя Cisco не публикует для него подробный IMIX профиль, тем не менее можно найти такие тесты.

200 хостов и NetFlow мне не о чём не говорит, производительность можно выразить в PPS, CPS, BPS. На самом деле, есть масса возможных способов, как заставить его выполнять обработку VPN трафика без участия крипто акселератора. Или перенести обработку пакетов с interrupt level на process level.

Я это к тому, что у него достаточно слабый CPU и кроме crypto accelerator других NPU/ASIC нет, не считая Interface Processor, который только и умеет, что кодировать сигналы, да по DMA записывать биты в shared buffer, после чего делая receive interrupt, фактически передавая управление CPU. А вот тут уже раздолье полное, что произойдёт с нашим пакетом, попадёт он в output queue или же осядет в input queue одного из process level процессов и будет ждать там пока scheduler не запустит процесс отвечающий за обработку этой очереди. А IOS между тем имеет не вытесняющую многозадачность, в ней процессы сами решают, когда прекратить своё выполнение.

Поэтому я не берусь комментировать ваш конкретный случай, загрузки CPU, но и не утверждаю, что ISR 1921 это маршрутизатор Carrier Grade класса, нет, это маршрутизатор для малых Corporate Branch. И он проиграет серверу с быстрым процессором, просто в силу того, что не обладает достаточными вычислительными мощностями.

Но, он позволяет использовать фирменные технологии Cisco, DMVPN, Easy VPN, Flex VPN, Get VPN, EIGRP и тд., вам они не нужны? Значит он вам не подходит, даже, если его сильно рекомендует продавец оборудования в магазине.

Сама Cisco к слову сейчас рекомендует к покупке ISR 4400, который укомплектован гораздо более быстрым процессором и современной операционной системой IOS XE, которая основана на ядре Linux + IOS. Так вот у последнего, производительность может быть разблокирована лицензией (зависит от модели).

Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

29. "Cisco фильрация https"  +1 +/
Сообщение от zanswer CCNA RS and S on 23-Авг-17, 06:37 
>> Как вы правильно заметили, Cisco это не про бесплатно, поэтому тот, кто
>> купил ваш ISR 1921, просто далёк от решений этого класса.
> Вы серьёзно? Вы вообще его юзали? Мы его тестили около 2 недель
> по нагрузкой...
> NAT(200 хостов) + NetFlow = CPU 100%, та же ситуация и с
> VPN.
> Так что там ещё, а OSPF так он и в 3750 есть...

Вспомнил кстати отличный пример с troubleshoot сессии по ASR 1000, где инженер Cisco TAC рассказывал интересные особенности архитектуры обработки пакетов для IPSec туннелей.

Так вот опуская все детали, остановлюсь на самом главном, производительность крипто операций. Условно один крипто акселатор может выполнять крипто операции над потоком до 80 Mbit/s (цифра условная), это при условии, что пакет будет соответствовать требованиям для обработки на interrupt level.

Но, стоит нам добавить условие, что пакет фрагментирован, как наша производительность крипто акселератора падает сразу до 10 Mbit/s, вы спросите почему? Ответ, потому, что пакет будет обрабатываться на process level, обработка фрагментированных пакетов на interrupt level не возможна.

И таких архитектурных примеров, как катастрофически снизить производительность аппаратного маршрутизатора, масса. Без знания архитектуры устройства, архитектуры его операционной системы, архитектуры обработки пакетов и того, какие функции и когда не могут быть акселерированы, использовать такие устройства может быть совершенно не возможно.

Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

30. "Cisco фильрация https"  +1 +/
Сообщение от zanswer CCNA RS and S on 23-Авг-17, 06:49 
>> Как вы правильно заметили, Cisco это не про бесплатно, поэтому тот, кто
>> купил ваш ISR 1921, просто далёк от решений этого класса.
> Вы серьёзно? Вы вообще его юзали? Мы его тестили около 2 недель
> по нагрузкой...
> NAT(200 хостов) + NetFlow = CPU 100%, та же ситуация и с
> VPN.
> Так что там ещё, а OSPF так он и в 3750 есть...

Не смог сходу найти детальный IMIX профиль по нему, но, вот, что пишет сама Cisco:

●  The Cisco 1900 Series enables deployment in high-speed WAN environments with concurrent services enabled up to 15 Mbps.

Если совокупный трафик проходящий через маршрутизатор привышает данную цифру, для IMIX профиля, вам необходим более производительный маршрутизатор.

Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

31. "Cisco фильрация https"  +/
Сообщение от bratislav on 23-Авг-17, 09:18 
> Использовали конечно, заведомо ознакомившись с его спецификацией. Хотя Cisco не публикует

для него подробный IMIX профиль )))))))))))))))))))))))))))))))))

> 200 хостов и NetFlow мне не о чём не говорит, производительность можно
> выразить в PPS, CPS, BPS.

Аха зато говорит руководство, когда youtube стал тормозить...

> Я это к тому, что у него достаточно слабый CPU и кроме ))) Слабее corei3 ?
> crypto accelerator других NPU/ASIC нет, не считая Interface Processor, который только
> и умеет, ....  

бла бла бла

И он проиграет серверу с быстрым процессором, просто в силу того, что не обладает достаточными вычислительными
мощностями. УРА!!!!!!! цена/производительность

> Но, он позволяет использовать фирменные технологии Cisco, DMVPN, Easy VPN, Flex VPN,
> Get VPN, EIGRP и тд., вам они не нужны?

EIGRP сомневаюсь что его где-то используют...
> Сама Cisco к слову сейчас рекомендует к покупке ISR 4400, который укомплектован
> гораздо более быстрым процессором и современной операционной системой IOS XE

Вы москвич наверно ?


Ответить | Правка | ^ к родителю #28 | Наверх | Cообщить модератору

32. "Cisco фильрация https"  +/
Сообщение от ShyLion (ok) on 23-Авг-17, 09:22 
> ●  The Cisco 1900 Series enables deployment in high-speed WAN environments
> with concurrent services enabled up to 15 Mbps.
> Если совокупный трафик проходящий через маршрутизатор привышает данную цифру, для IMIX
> профиля, вам необходим более производительный маршрутизатор.

Щас тебе расскажут, что домашний роутер за 1000 рублей спокойно тащит 100 мегабит для трех телевизоров и еще торренты на флешку качает, а циска г-но, даже такого простого не умеет ;)

Ответить | Правка | ^ к родителю #30 | Наверх | Cообщить модератору

33. "Cisco фильрация https"  +/
Сообщение от bratislav on 23-Авг-17, 10:32 
>> ●  The Cisco 1900 Series enables deployment in high-speed WAN environments
>> with concurrent services enabled up to 15 Mbps.
>> Если совокупный трафик проходящий через маршрутизатор привышает данную цифру, для IMIX
>> профиля, вам необходим более производительный маршрутизатор.
> Щас тебе расскажут, что домашний роутер за 1000 рублей спокойно тащит 100
> мегабит для трех телевизоров и еще торренты на флешку качает, а
> циска г-но, даже такого простого не умеет ;)

Насколько я понял перевод в отличии от Вас, 15 это со всеми включенными сервисами...
А реально NAT она (1921) даёт гигабит, только вот разваливается при нагрузке.

Вот интересно что будет если вместо неё поставить кинетик )))

Xeon E3-1230 (загрузка 10-30%) Ubuntu16+suid+mysql+sarg (197 клиентов)


Ответить | Правка | ^ к родителю #32 | Наверх | Cообщить модератору

34. "Cisco фильрация https"  +/
Сообщение от eek (ok) on 23-Авг-17, 11:34 
> Вы серьёзно?

Да.

>Вы вообще его юзали? Мы его тестили около 2 недель
> по нагрузкой...

У меня под 1941 задач нет, как следствие нет и самих 1941.

Тестирование это неотъемлемая часть процесса выбора железа под задачу.

Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору

35. "Cisco фильрация https"  +/
Сообщение от zanswer CCNA RS and S on 23-Авг-17, 11:39 
>[оверквотинг удален]
> бла бла бла
> И он проиграет серверу с быстрым процессором, просто в силу того, что
> не обладает достаточными вычислительными
> мощностями. УРА!!!!!!! цена/производительность
>> Но, он позволяет использовать фирменные технологии Cisco, DMVPN, Easy VPN, Flex VPN,
>> Get VPN, EIGRP и тд., вам они не нужны?
> EIGRP сомневаюсь что его где-то используют...
>> Сама Cisco к слову сейчас рекомендует к покупке ISR 4400, который укомплектован
>> гораздо более быстрым процессором и современной операционной системой IOS XE
> Вы москвич наверно ?

Я живу в Сибири, я сетевой инженер, не системный администратор. Если вы намекаете, что я не представляю, как живёт SMB, то представляю и купил бы туда Mikrotik или PC сервер, куда поставил Kerio, Mikrotik, Ubuntu, по вкусу. То есть тоже самое, что и вы, сейчас используете. Нет, я бы не покупал под ваши задачи ISR 1921.

Относительно EIGRP, конечно же его используют, используют крупные предприятия, иногда операторы связи. Кроме OSPF, на который очевидно вы намекаете, как замену EIGRP, существует IS-IS и он тоже широко используется, но только операторами к примеру.

Я всё это говорю не к тому, чтобы принизить ваше решение или вас, а к тому, чтобы вы поняли, что моя позиция заключается в том, что ISR 1921 это не правильно выбранный инструмент для решения вашей задачи, не больше не меньше.

P/S/ Позавчера настроил на базе Mikrotik Wireless сеть с безшовным роумингом и смешанным способом обработки трафика для разных SSID. Это к тому, что хоть я и сертифицированный специалист Cisco, я не ставлю её везде, просто потому, что это Cisco.

Ответить | Правка | ^ к родителю #31 | Наверх | Cообщить модератору

36. "Cisco фильрация https"  +/
Сообщение от zanswer CCNA RS and S on 23-Авг-17, 11:41 
>> ●  The Cisco 1900 Series enables deployment in high-speed WAN environments
>> with concurrent services enabled up to 15 Mbps.
>> Если совокупный трафик проходящий через маршрутизатор привышает данную цифру, для IMIX
>> профиля, вам необходим более производительный маршрутизатор.
> Щас тебе расскажут, что домашний роутер за 1000 рублей спокойно тащит 100
> мегабит для трех телевизоров и еще торренты на флешку качает, а
> циска г-но, даже такого простого не умеет ;)

К сожалению тема скатилась именно к такому типу комментариев, а жаль. :(

Ответить | Правка | ^ к родителю #32 | Наверх | Cообщить модератору

37. "Cisco фильрация https"  +/
Сообщение от bratislav email on 23-Авг-17, 11:47 
>>> ●  The Cisco 1900 Series enables deployment in high-speed WAN environments
>>> with concurrent services enabled up to 15 Mbps.
>>> Если совокупный трафик проходящий через маршрутизатор привышает данную цифру, для IMIX
>>> профиля, вам необходим более производительный маршрутизатор.
>> Щас тебе расскажут, что домашний роутер за 1000 рублей спокойно тащит 100
>> мегабит для трех телевизоров и еще торренты на флешку качает, а
>> циска г-но, даже такого простого не умеет ;)
> К сожалению тема скатилась именно к такому типу комментариев, а жаль. :(

так а кто эти Коментарии написал )))

Ответить | Правка | ^ к родителю #36 | Наверх | Cообщить модератору

38. "Cisco фильрация https"  +/
Сообщение от zanswer CCNA RS and S on 23-Авг-17, 12:13 
>[оверквотинг удален]
>>> Если совокупный трафик проходящий через маршрутизатор привышает данную цифру, для IMIX
>>> профиля, вам необходим более производительный маршрутизатор.
>> Щас тебе расскажут, что домашний роутер за 1000 рублей спокойно тащит 100
>> мегабит для трех телевизоров и еще торренты на флешку качает, а
>> циска г-но, даже такого простого не умеет ;)
> Насколько я понял перевод в отличии от Вас, 15 это со всеми
> включенными сервисами...
> А реально NAT она (1921) даёт гигабит, только вот разваливается при нагрузке.
> Вот интересно что будет если вместо неё поставить кинетик )))
> Xeon E3-1230 (загрузка 10-30%) Ubuntu16+suid+mysql+sarg (197 клиентов)

Я вмешаюсь в ваш спор, в указанной цитате нет указание на то, какие сервисы именно включены, а какие нет. Поэтому я сказал, что Cisco не публикует подробный IMIX профиль, но можно предположить, что речь идёт о NAT + ACL + NetFlow + VPN и то не факт. Как и не факт, какой именно размер пакетов использовался для тестирования.

Учитывая, что ISR не является line rate capable маршрутизатором, он не может обеспечить одинаковый Bits Per Second для всех размеров пакетов.

Для примера возьмём 1 Gbit/s канал и идеальную ситуацию, когда маршрутизатор выполняет только коммутацию пакетов между интерфейсами gigabitethernet 0/0 и 0/1, без каких либо дополнительных услуг, чистый Layer 3 CEF Switching.

Максимальное количество кадров, которое необходимо чтобы утилизировать 1 Gbit/s:

1 000 000 000 b/s x (84 B x 8b) = 1,488,096 f/s

Минимальное количество кадров, которое необходимо чтобы утилизировать 1 Gbit/s:

1 000 000 000 b/s x (1,538 B x 8b) = 81,274 f/s

Минимальный размер блока данных, который можно передать по Ethernet 46 байт и максимальный 1500 байт. К этому добавим заголовки Ethernet и Inter Frame Gap, это ещё 38 байт.

ISR 1921 конечно же не сможет обеспечить PPS равный 1,5 MPPS, это просто нереально. А если добавить к этому ещё и NAT, или ACL, а если IPS?

То есть говорить о том, что ISR 1921 может выполнять NAT, на скорости линейного порта, в корне не правильно. Обеспечить трансляцию сетевых адресов при 1,5 MPPS он не может, он не может этого сделать даже без NAT.

Если вместо неё поставить Intel Xeon, то возможно удастся достичь тех самых 1,5 MPPS, а может и не удастся, кто знает.

P/S/ К сожалению тема скатилась к извечной войне платформ, поэтому, если технические аспекты никто обсуждать больше не хочет, предлагаю сворачивать этот бесполезный спор, о том, кто круче, мёд или малина. :)

Ответить | Правка | ^ к родителю #33 | Наверх | Cообщить модератору

39. "Cisco фильрация https"  +/
Сообщение от zanswer CCNA RS and S on 23-Авг-17, 12:14 
>>>> ●  The Cisco 1900 Series enables deployment in high-speed WAN environments
>>>> with concurrent services enabled up to 15 Mbps.
>>>> Если совокупный трафик проходящий через маршрутизатор привышает данную цифру, для IMIX
>>>> профиля, вам необходим более производительный маршрутизатор.
>>> Щас тебе расскажут, что домашний роутер за 1000 рублей спокойно тащит 100
>>> мегабит для трех телевизоров и еще торренты на флешку качает, а
>>> циска г-но, даже такого простого не умеет ;)
>> К сожалению тема скатилась именно к такому типу комментариев, а жаль. :(
> так а кто эти Коментарии написал )))

Все мы очевидно, участники дискуссии, кто же ещё. :)

Ответить | Правка | ^ к родителю #37 | Наверх | Cообщить модератору

40. "Cisco фильрация https"  +/
Сообщение от bratislav email on 23-Авг-17, 12:17 
> Я живу в Сибири, я сетевой инженер, не системный администратор. Если вы
> намекаете, что я не представляю, как живёт SMB, то представляю и
> купил бы туда Mikrotik или PC сервер, куда поставил Kerio, Mikrotik,
> Ubuntu, по вкусу. То есть тоже самое, что и вы, сейчас
> используете. Нет, я бы не покупал под ваши задачи ISR 1921.

А Вы представляете что такое государственный контракт ? Когда приходят вот такие сертифицированные... и говорят ваш сервер гав.., ваша сеть гав.., а вот Cisco это да!
В следствии чего в бюджетные уч, и приходит это обор. (сisco, ibm blade). Которые должны стоять и работать, согласно контракту. А то что оно по производительности гав.., по сравнению с тем что было, это до лампочки.

> Относительно EIGRP, конечно же его используют, используют крупные предприятия, иногда

Не буду спорить про операторов, но EIGRP проприетарный протокол только для cisco, когда ospf открыт и работает на том же ... А инженер должен думать, тем более во время кризиса )))


Ответить | Правка | ^ к родителю #35 | Наверх | Cообщить модератору

41. "Cisco фильрация https"  +/
Сообщение от zanswer CCNA RS and S on 23-Авг-17, 12:36 
>[оверквотинг удален]
> сертифицированные... и говорят ваш сервер гав.., ваша сеть гав.., а вот
> Cisco это да!
> В следствии чего в бюджетные уч, и приходит это обор. (сisco, ibm
> blade). Которые должны стоять и работать, согласно контракту. А то что
> оно по производительности гав.., по сравнению с тем что было, это
> до лампочки.
>> Относительно EIGRP, конечно же его используют, используют крупные предприятия, иногда
> Не буду спорить про операторов, но EIGRP проприетарный протокол только для cisco,
> когда ospf открыт и работает на том же ... А инженер
> должен думать, тем более во время кризиса )))

С бюджетом не работаю, что такое контракты представляю. Мне жаль, что у вас сложилось мнение, что наличие сертификата у человека сразу делает его каким-то монстром, я не такой. :)

Относительно EIGRP, у вас несколько устаревшая информация, он открытый RFC 7868, практически, закрыта спецификация EIGRP stub, Unequal Cost Path Load Balancing, может быть чего-то ещё по мелочи, не помню уже. И хотя в большинстве случае, заменить EIGRP на OSPF не такая уж и проблема, тем не менее, EIGRP это distance-vector протокол, а OSPF link-state протокол. И например для DMVPN phase 3, первый подходит лучше, он к тому же требует меньше ресурсов в Control Plane. У него превосходная сходимость из коробки, учитывая, что практически для любого маршрута всегда есть найденный feasible successor. Он прекрасно интегрируется с BFD и я мог бы продолжать и дальше, но всё это детали, которые важны только в конкретной ситуации, конкретной сети.

Что касается OSPF, то я сам его люблю, отличный link-state протокол, я и IS-IS тоже люблю, хоть его обычно те кто любит OSPF, не любят. К слову IS-IS мне даже в чём-то больше нравится, например отсутствие Area 0, что даёт высокую гибкость при построение Level 2 backbone. И тот факт, что IS-IS рассматривает каждый префикс, как leaves, а не nodes, как OSPF, в SPF tree.

Ответить | Правка | ^ к родителю #40 | Наверх | Cообщить модератору

42. "Cisco фильрация https"  +/
Сообщение от zanswer CCNA RS and S on 23-Авг-17, 12:39 
>[оверквотинг удален]
> из коробки, учитывая, что практически для любого маршрута всегда есть найденный
> feasible successor. Он прекрасно интегрируется с BFD и я мог бы
> продолжать и дальше, но всё это детали, которые важны только в
> конкретной ситуации, конкретной сети.
> Что касается OSPF, то я сам его люблю, отличный link-state протокол, я
> и IS-IS тоже люблю, хоть его обычно те кто любит OSPF,
> не любят. К слову IS-IS мне даже в чём-то больше нравится,
> например отсутствие Area 0, что даёт высокую гибкость при построение Level
> 2 backbone. И тот факт, что IS-IS рассматривает каждый префикс, как
> leaves, а не nodes, как OSPF, в SPF tree.

Не дописал, немного: И тот факт, что IS-IS рассматривает каждый префикс, как leaves, а не nodes, как OSPF, в SPF tree, позволяет не выполнять SPF recalculation во всей области, как в случае с OSPF, у которого правда тоже есть inremental SPF, но с оговорками, когда он может быть применён.

Ответить | Правка | ^ к родителю #41 | Наверх | Cообщить модератору

43. "Cisco фильрация https"  +/
Сообщение от bratislav email on 23-Авг-17, 19:18 
> Мне жаль, что у вас сложилось мнение, что наличие сертификата у человека сразу делает его
> каким-то монстром, я не такой. :)

1) Я не знаю кто Вы, но как правило люди у которых они есть приходят и начинают гнуть пальцы, а вот когда доходило до дела...
2) Кстати вот канал https://www.youtube.com/channel/UC1fbn6v4YGulRoiNGJNfGdw , там человек получил эксперта CCIE, не разу не работав с реальным оборудованием cisco)))


Ответить | Правка | ^ к родителю #41 | Наверх | Cообщить модератору

44. "Cisco фильрация https"  +/
Сообщение от zanswer CCNA RS and S on 23-Авг-17, 19:56 
>> Мне жаль, что у вас сложилось мнение, что наличие сертификата у человека сразу делает его
>> каким-то монстром, я не такой. :)
> 1) Я не знаю кто Вы, но как правило люди у которых
> они есть приходят и начинают гнуть пальцы, а вот когда доходило
> до дела...
> 2) Кстати вот канал https://www.youtube.com/channel/UC1fbn6v4YGulRoiNGJNfGdw , там
> человек получил эксперта CCIE, не разу не работав с реальным оборудованием
> cisco)))

Печально, что у вас такой негативный опыт общения с обладателями сертификатов. Что тут ещё сказать, наличие сертификата не делает человека автоматически хуже, чем таковой без сертификата, это я вам точно могу сказать. :)

Автор канала потратил по его словам по меньшей мере 14 месяцев на подготовку, прочитав весь список материалов рекомендуемый INE + RFC? И я вам скажу, что в списке INE для подготовки к CCIE RS хватает книг с очень глубокой теорией сетей.

Что касается работал или нет с реальным оборудованием, многие, если не подавляющие большинство сейчас готовятся по виртуальным стендам, к любому типу сертификации, по простой и очевидной причине, стоимость оборудования которое нужно купить для создания лабораторной работы слишком высокое.

Ответить | Правка | ^ к родителю #43 | Наверх | Cообщить модератору

45. "Cisco фильрация https"  +/
Сообщение от zanswer CCNA RS and S on 23-Авг-17, 20:02 
>[оверквотинг удален]
> тут ещё сказать, наличие сертификата не делает человека автоматически хуже, чем
> таковой без сертификата, это я вам точно могу сказать. :)
> Автор канала потратил по его словам по меньшей мере 14 месяцев на
> подготовку, прочитав весь список материалов рекомендуемый INE + RFC? И я
> вам скажу, что в списке INE для подготовки к CCIE RS
> хватает книг с очень глубокой теорией сетей.
> Что касается работал или нет с реальным оборудованием, многие, если не подавляющие
> большинство сейчас готовятся по виртуальным стендам, к любому типу сертификации, по
> простой и очевидной причине, стоимость оборудования которое нужно купить для создания
> лабораторной работы слишком высокое.

Я опять забыл добавить, что Cisco активно продвигает свои виртуальные решения, ISRv, ASAv, IOS XRv, NX-OSv, CRS1000V и тд. Это официально продаваемые решения, для использования в средах виртуализации и облаках, как замену реальному оборудованию. :)

Ответить | Правка | ^ к родителю #44 | Наверх | Cообщить модератору

46. "Cisco фильрация https"  +/
Сообщение от bratislav email on 23-Авг-17, 21:49 
>> большинство сейчас готовятся по виртуальным стендам, к любому типу сертификации, по
>> простой и очевидной причине, стоимость оборудования которое нужно купить для создания
>> лабораторной работы слишком высокое.

А это случайно не Вы ? )))
В этом то вся и проблема на GNS3 можно собрать практически любую лабу, но что будет происходить в реале под нагрузкой, с таким учеником... хотя наверно тут уже всё зависит больше от смекалки...

Ответить | Правка | ^ к родителю #45 | Наверх | Cообщить модератору

47. "Cisco фильрация https"  +/
Сообщение от zanswer CCNA RS and S on 24-Авг-17, 07:08 
>>> большинство сейчас готовятся по виртуальным стендам, к любому типу сертификации, по
>>> простой и очевидной причине, стоимость оборудования которое нужно купить для создания
>>> лабораторной работы слишком высокое.
> А это случайно не Вы ? )))
> В этом то вся и проблема на GNS3 можно собрать практически любую
> лабу, но что будет происходить в реале под нагрузкой, с таким
> учеником... хотя наверно тут уже всё зависит больше от смекалки...

Случайно не я, мои сертификаты указаны в имени. В моём случае CCIE только в планах, в Сибири его некому продать, если вы понимаете о чём я. ;)

Вы не правильно понимаете суть, лабораторная работа преследует цель выявить насколько глубоко вы понимаете теорию сетей. Она вовсе не про тестирование производительности, нет-нет, она о поиске неисправности, о анализе работы сетевых протоколов на низком уровне, она о практических знаниях требуемых для реализации конкретной топологии.

Чтобы выбрать правильное оборудование, как я уже писал выше, нужно иметь глубокую базу теории сетей, уметь читать спецификации, знать аппаратную архитектуру устройств и операционных систем, устанавливаемых на это оборудование.

В конечном счёте предполагаемое к внедрению оборудование всегда проходит нагрузочное тестирование, перед внедрением, где моделируется условия близкие к итоговой среде.

GNS3 или EVE-NG, я использую последний, нужны для того, чтобы изучить работу протокола или реализовать требуемую топологии, до натурного стенда.

Из интересного, есть большая сеть, очень большая, но задача стояла в том, чтобы выполнить резервирование в фелиалах, там нет пользователей, только оборудование, из условий, на ISR 1921 только два порта и расширение не возможно. Так же требуется, чтобы резервировалась сеть доступа, путём построения кольца, при этом кольцо должно проходить через маршрутизаторы.

И так тут всё очевидно, два маршрутизатора, HSRP/VRRP, для резервирования L3, для реализации кольца через оба маршрутизатора, было принято решение использовать Integrated Routing and Bridging, кольцо размыкается стандартным RSTP, Root выступает один из маршрутизаторов, второй замещает его в случае выхода из строя первого. Для доступа к ядру используются туннели, обмен маршрутной информацией на базе OSPF, опущу тему маршрутизации, она там была тоже с массой условий.

И так, вся эта топология прекрасно работала, когда один из маршрутизаторов полностью выходил из строя. Но, если он терял связь с ядром, за этим следил трекер, который в случае такой ситуации моментально менял приоритет маршрутизатора, тем самым снимая с него роль мастера. Трафик течь через второй маршрутизатор не мог, почему? VRRP отрабатывал штатно, без каких либо нареканий, но, тем не менее клиенты получали ICMP unreachable сообщения от уже потерявшего статус шлюза маршрутизатора. А коммутаторы упорно направляли трафик по кольцу в его сторону.

Не буду вас томить, дело было в том, что bridge-group интерфейс на маршрутизаторе, не удалял виртуальный MAC с интерфейса, а продолжал отвечать если кадр приходил к нему, а чтобы помешало кадру прийти к нему, кольцо ведь проходило через этот маршрутизатор, оно не было разорвано и тот факт, что новый мастер послал Gratuitous ARP не коим образом не мог спасти ситуацию, ведь этот маршрутизатор всё ещё продолжал ловить кадры содержащие виртуальный Destination MAC шлюзового интерфейса. А поскольку в таблице маршрутизации не было маршрута до ядра, он отвечал всем, что сеть не доступна. Решение было найдено незамедлительно, между маршрутизаторами были установленные отношения смежности в OSPF и наш уже не шлюз, стал в случае потери отношений смежности с ядром, в ситуации, когда кольцо не перестроено, а он всё ещё участвует в процессе коммутации кадров, стал маршрутизировать через BVI интерфейс пакеты в сторону нового шлюза. Я конечно же опустил многие шаги, которые привели к конечному результату, поскольку моделировались множества ситуаций, если не все и поэтому поиск устойчивого признака был не простой задачей и данная неисправность проявила себя далеко не сразу.

Помог ли EVE-NG в поиске причины неисправности? Да-да-да! Я потратил не один час на работу с Wireshark в разных точках виртуальной топологии, в которой было три маршрутизатора, три коммутатора и клиент. Была проанализирована работа всех составляющих процесса, работа VRRP, устанавливает ли он нужные флаги в пакетах, посылает ли новый шлюз Gratuitous ARP, обновляют ли коммутаторы свои таблицы коммутации и тд. Изучив попутно теорию работы IRB в книжке Layer 2 Switching for CCIE, мне удалось в конечном счёте найти причину. На мой скромный взгляд это баг IOS, что IRB не удаляет фильтр для виртуального MAC адреса шлюза, после потери роли мастера. Поскольку для не IRB топологий такой MAC адрес сразу же удаляется с интерфейса, как только VRRP теряет роль мастера.

Я не знаю сколько бы занял troubleshooting этой ситуации будь это уже продакшен сеть, учитывая, что там возможности снимать дампы с любого интерфейса, не говоря уже про разные манипуляции с состоянием каналов и устройств вообще строго регламентирована.

Так что виртуальные стенды и топологии помогают изучать, находить и понимать, как именно работает сеть на низком уровне, позволяет отточить навыки поиска неисправностей. И подготовится к сертификации, конечно же, там такого добра хватает в вопросах. :)

Ответить | Правка | ^ к родителю #46 | Наверх | Cообщить модератору

48. "Cisco фильрация https"  +/
Сообщение от Andrey (??) on 24-Авг-17, 09:58 
>> Мне жаль, что у вас сложилось мнение, что наличие сертификата у человека сразу делает его
>> каким-то монстром, я не такой. :)
> 1) Я не знаю кто Вы, но как правило люди у которых
> они есть приходят и начинают гнуть пальцы, а вот когда доходило
> до дела...
> 2) Кстати вот канал https://www.youtube.com/channel/UC1fbn6v4YGulRoiNGJNfGdw , там
> человек получил эксперта CCIE, не разу не работав с реальным оборудованием
> cisco)))

Когда приходят "спецы" и "гнут пальцы" нужно спрашивать по каким документам они делают предложение. Всегда есть DataSheet. Всегда есть BestPractice. Если оборудование уже пару лет на рынке, то почти всегда можно найти что-то типа Miercom Reports - сравнение производительностьи по разным вендорам и по моделям внутри одного вендора. И эти документы всегда должны быть в открытом доступе. Нет таких документов - вендор рассматривается только в крайнем варианте. Стоит научиться отделять DataSheet от презентаций и WhitePaper.
Никогда не надо сразу соглашаться на решение, которое предлагает тот, кто хочет продать. Хотят продать - спецификацию на стол и неделю таймаута на изучение. "Мы вам перезвоним".
По производительности ISR2 в свободном доступе есть документ http://www.anticisco.ru/pubs/ISR_G2_Perfomance.pdf Заметьте что в нем нет даже нагрузки с NetFlow. Про фильтрацию на L7 уже и говорить нечего.

Изучение чего-то нового это всегда время. Это классический пример когда время очень хорошо меняется на деньги.
Вам еще повезло что "пришел спец" со стороны - вы можете его не слушать. Когда подобный "спец" сидит на должности начальника в вашей-же организации - это гораздо хуже.

Ответить | Правка | ^ к родителю #43 | Наверх | Cообщить модератору

49. "Cisco фильрация https"  +/
Сообщение от ЫЫ on 24-Авг-17, 11:38 
>[оверквотинг удален]
> продать. Хотят продать - спецификацию на стол и неделю таймаута на
> изучение. "Мы вам перезвоним".
> По производительности ISR2 в свободном доступе есть документ http://www.anticisco.ru/pubs/ISR_G2_Perfomance.pdf
> Заметьте что в нем нет даже нагрузки с NetFlow. Про фильтрацию
> на L7 уже и говорить нечего.
> Изучение чего-то нового это всегда время. Это классический пример когда время очень
> хорошо меняется на деньги.
> Вам еще повезло что "пришел спец" со стороны - вы можете его
> не слушать. Когда подобный "спец" сидит на должности начальника в вашей-же
> организации - это гораздо хуже.

Все это немножко странно.
Во первых.. какие еще продавцы?
Госконтора- значит тендер. Открытый. Требования - указаны в описании тендера.
Кто составляет тендер - тут конечно вопрос...
Но путь который описываете Вы - он ... ну откуда у конкретного гос-служащего познания в устройстве сетей??? Это все равно что просить блондинку самостоятельно перебрать движок ее Порше...


Ответить | Правка | ^ к родителю #48 | Наверх | Cообщить модератору


Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема


  Закладки на сайте
  Проследить за страницей
Created 1996-2017 by Maxim Chirkov  
ДобавитьРекламаВебмастеруГИД  
Hosting by Ihor