URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 44042
[ Назад ]

Исходное сообщение
"OpenNews: В Cisco IOS найдено 12 новых уязвимостей"

Отправлено opennews , 25-Сен-08 17:41 
"Cisco IOS Multiple Vulnerabilities (http://secunia.com/Advisories/31990/)" - в Cisco IOS найдено 12 новых уязвимостей.

URL: http://secunia.com/Advisories/31990/
Новость: http://www.opennet.me/opennews/art.shtml?num=18100


Содержание

Сообщения в этом обсуждении
"В Cisco IOS найдено 12 новых уязвимостей"
Отправлено User294 , 25-Сен-08 17:41 
Буду краток (с).Готично.

"В Cisco IOS найдено 12 новых уязвимостей"
Отправлено RapteR , 25-Сен-08 19:34 
За то теперь будем знать, на что денег тратить не стоит...

"В Cisco IOS найдено 12 новых уязвимостей"
Отправлено Аноним , 26-Сен-08 08:13 
Детям - точно не стОит.

"В Cisco IOS найдено 12 новых уязвимостей"
Отправлено Аноним , 26-Сен-08 08:27 
>Детям - точно не стОит.

Детям нечем, а взрослым, у кого деньги карман оттягивают, фиолетово. Лиш бы интерпрайз.

За те деньги что страна отдайт Cisco за её роутеры, можно было содержать институт+завод платя людям охрененные зарплаты, что бы те выдавали связистам страны эволиционные девайсы. Но откаты, оно как то надёжнее для супер-дядей, по сравнению с которыми спецы тоже дети.

Кстати, сязисты в вузах всё ещё схемотехнику учат? Или уже только готовые девайсы?


"В Cisco IOS найдено 12 новых уязвимостей"
Отправлено maxx_s , 27-Сен-08 02:04 
>[оверквотинг удален]
>Детям нечем, а взрослым, у кого деньги карман оттягивают, фиолетово. Лиш бы
>интерпрайз.
>
>За те деньги что страна отдайт Cisco за её роутеры, можно было
>содержать институт+завод платя людям охрененные зарплаты, что бы те выдавали связистам
>страны эволиционные девайсы. Но откаты, оно как то надёжнее для супер-дядей,
>по сравнению с которыми спецы тоже дети.
>
>Кстати, сязисты в вузах всё ещё схемотехнику учат? Или уже только готовые
>девайсы?

связисты в вузах учат то что предполагает их специальность,
>За те деньги что страна...

причём здесь страна? разговор о рынке и о технологиях.


"В Cisco IOS найдено 12 новых уязвимостей"
Отправлено Аноним , 26-Сен-08 13:42 
>Детям - точно не стОит.

Вообще  удивительные железки:
Стандарт "де факто"  в индустрии, не виснут, траф молотят, все пользуют, это при том  что  находят  критические проблемы постоянно.
Тем у кого в голове  играет национальная  идея "сделаем все  сами", да учат схемотехнику. Сделать лучше - а дерзайте, только кошки это не только железки/софт это еще и  поддержка, тестирование....


"12 новых уязвимостей"
Отправлено Andrey Mitrofanov , 26-Сен-08 13:55 
>только кошки

Гм? $-)

"Кролики -"...
>это не только

> железки/софт это еще и  поддержка, тестирование....

..."ценный мех, но и два... три! килограма легкоусвояиваемого"...



"В Cisco IOS найдено 12 новых уязвимостей"
Отправлено dct , 26-Сен-08 16:07 
>>Детям - точно не стОит.
>
>Вообще  удивительные железки:
>Стандарт "де факто"  в индустрии, не виснут, траф молотят, все пользуют,
>это при том  что  находят  критические проблемы постоянно.
>
>Тем у кого в голове  играет национальная  идея "сделаем все
> сами", да учат схемотехнику. Сделать лучше - а дерзайте, только
>кошки это не только железки/софт это еще и  поддержка, тестирование....
>

Паддержка плядь.. Я знаю один уемверсальный сопсоб решения всех кошководных проблем...
"Попробуйте еще вот этот, и вот этот ИОС.." (С) хучева туя кошкоподдержателей...

И нахрен спрашиваецца такая поддержка?



"В Cisco IOS найдено 12 новых уязвимостей"
Отправлено Ленивый пес , 26-Сен-08 16:54 
>>кошки это не только железки/софт это еще и  поддержка, тестирование....
>>
>
>Паддержка плядь.. Я знаю один уемверсальный сопсоб решения всех кошководных проблем...
>"Попробуйте еще вот этот, и вот этот ИОС.." (С) хучева туя кошкоподдержателей...
>
>
>И нахрен спрашиваецца такая поддержка?

+1 :))

Ибо есть IOS image, и это есть black box.
И так не только с Cisco, справедливости ради. Про "любимый" Dlink вообче молчу :))


"В Cisco IOS найдено 12 новых уязвимостей"
Отправлено User294 , 26-Сен-08 20:03 
>кошки это не только железки/софт это еще и  поддержка, тестирование....

Судя по таким багам тестирование могло бы быть и лучше.Интересно, они код вообще аудитили на предмет дыр или понадеялись сугубо на экзотичность железяк и проприетарность системы, изобразив страуса?



"В Cisco IOS найдено 12 новых уязвимостей"
Отправлено pavlinux , 25-Сен-08 20:03 
Кто мне тут недавно пропердел, по Cicso и сходить в школу......

"В Cisco IOS найдено 12 новых уязвимостей"
Отправлено Mark Silinio , 25-Сен-08 20:08 
хм, и яндекс тут лежит...

"В Cisco IOS найдено 12 новых уязвимостей"
Отправлено xqw4c23ccq , 25-Сен-08 21:48 
Зато Ынтырпрайз! Копите денешки на апдейт IOSа, хе-хе.

"В Cisco IOS найдено 12 новых уязвимостей"
Отправлено Hety , 25-Сен-08 22:29 
А ко-то тут говорил, что специфичные сетевые фишки во фряхе никому не нужны. Да, уже ясно, что если к примеру фряху станут использовать вместо таких вот железок, в ней тоже много всего найдут. Или переедут на Джунипер, в котором тоже найдут. Но там есть шанс, что будут править и бэкпортить. С другой стороны Сиськи - это бренд. Так что многие будут продолжать кушать.

"В Cisco IOS найдено 12 новых уязвимостей"
Отправлено Аноним , 25-Сен-08 22:41 
кушали, кущаем, и будем продолжать... в томже темпе (c)Enterpise

"В Cisco IOS найдено 12 новых уязвимостей"
Отправлено Аноним , 25-Сен-08 23:48 
умники хреновы.....
дайте альтернативу по которой
1. было-бы столько литературы и офигенно расписанной документации с примерами
1. вендора по продукции которого в россии было бы столько же специалистов
1. дешевле и безопаснее

молчали бы лучше властелины пяти софтовых роутеров

P.S.  1. в списке стоит потому что все эти пункты на первом месте


"В Cisco IOS найдено 12 новых уязвимостей"
Отправлено AZY , 25-Сен-08 23:54 
>умники хреновы.....
>дайте альтернативу по которой
>1. было-бы столько литературы и офигенно расписанной документации с примерами
>1. вендора по продукции которого в россии было бы столько же специалистов
>1. дешевле и безопаснее
>
>молчали бы лучше властелины пяти софтовых роутеров
>
>P.S.  1. в списке стоит потому что все эти пункты на
>первом месте

присоединяюсь
Cisco сво


"В Cisco IOS найдено 12 новых уязвимостей"
Отправлено Ptr , 26-Сен-08 00:24 
дешевле+та же документация - Zelax (где возможно)
специалисты те же

"В Cisco IOS найдено 12 новых уязвимостей"
Отправлено Key , 26-Сен-08 00:30 
И всеже сомневаюсь что циску кто-то переплюнет. Далеко всем еще до нее, очень далеко.

"В Cisco IOS найдено 12 новых уязвимостей"
Отправлено fix , 26-Сен-08 08:26 
В *некоторых* случаях - 1/2U сервак с linux/bsd. Плюсы: цена, надежность, быстрый выход адпейтов, производительность. Насчет специалистов и саппорта циски - те же самые смартнеты не во всех регионах дают рельный NBD. Если говорить об уровне технических спецов, то обычно народ, сопровождающий опесурсный софт, прекрасно ладит с цисками. Имхо, но если вы не придерживаетесь проприетарных протоколов типа sccp и eigrp, то более разумным будет построение гибридной сети.
И еще маленький оффтопичный камень в огород циско - тот же самый колмэнеджер 5.1 идет с предустановленным rhes, а апдейтится намного реже и только через цискины апгрейды. Не очень секьюрно получается.

"В Cisco IOS найдено 12 новых уязвимостей"
Отправлено chesnok , 26-Сен-08 12:06 
>В *некоторых* случаях - 1/2U сервак с linux/bsd. Плюсы: цена, надежность, быстрый
>выход адпейтов, производительность. Насчет специалистов и саппорта циски - те же
>самые смартнеты не во всех регионах дают рельный NBD. Если говорить
>об уровне технических спецов, то обычно народ, сопровождающий опесурсный софт, прекрасно
>ладит с цисками. Имхо, но если вы не придерживаетесь проприетарных протоколов
>типа sccp и eigrp, то более разумным будет построение гибридной сети.
>
>И еще маленький оффтопичный камень в огород циско - тот же самый
>колмэнеджер 5.1 идет с предустановленным rhes, а апдейтится намного реже и
>только через цискины апгрейды. Не очень секьюрно получается.

гибридная сеть - это что за сеть, какая от нее будет польза ?
Для сетевых задач есть сетевое оборудование в нормальных и обычных сетях, все остальное жалкое подобие.


"В Cisco IOS найдено 12 новых уязвимостей"
Отправлено fix , 26-Сен-08 13:43 
Польза простая - добиться разумного сочетания цена/стабильность/обслуживаемость. Цискины рутеры и сервера далеко не всегда являются оптимальным выбором с этой точки зрения. А насчет "жалкого подобия" - это просто модное такое течение среди проприетарщиков тянущих на себя одеяло. Основным критерием должен быть не брэнд сам по себе, а соответветствие задачам/бюджету.

"В Cisco IOS найдено 12 новых уязвимостей"
Отправлено Square , 26-Сен-08 14:43 
>>ладит с цисками. Имхо, но если вы не придерживаетесь проприетарных протоколов
>>типа sccp и eigrp, то более разумным будет построение гибридной сети.
>гибридная сеть - это что за сеть, какая от нее будет польза
>?

Человек легко кидающийся словами "candidate CCIE" должен имхо не просто знать что такое "гибридная сеть" но и понимать адекватность и реальность этой сети для большинства офисных решений и решений для малого бизнеса в целом.

>Для сетевых задач есть сетевое оборудование в нормальных и обычных сетях, все
>остальное жалкое подобие.

А вот что такое "нормальная сеть" и "обычная сеть" - знает только тот кто использует эти определения... Что для одного человека - обычно и нормально - для другого может оказаться крайне неоднозначным.. просто у них объем знаний по предмету разный и сфера применения различна...


"В Cisco IOS найдено 12 новых уязвимостей"
Отправлено User294 , 27-Сен-08 03:44 
>В *некоторых* случаях - 1/2U сервак с linux/bsd.

Блин, магистры, покажите фото сервака высотой в 1/2U :D


"В Cisco IOS найдено 12 новых уязвимостей"
Отправлено Ленивый пес , 26-Сен-08 09:24 
>[оверквотинг удален]
>дайте альтернативу по которой
>1. было-бы столько литературы и офигенно расписанной документации с примерами
>1. вендора по продукции которого в россии было бы столько же специалистов
>
>1. дешевле и безопаснее
>
>молчали бы лучше властелины пяти софтовых роутеров
>
>P.S.  1. в списке стоит потому что все эти пункты на
>первом месте

Не стал бы столь категорично, но +1
Достаточно посмотреть feathure list in  http://tools.cisco.com/ITDIT/ISTMAIN/servlet/index,
потом посмотреть список интерфейсных модулей на Cisco GPL,
то сразу станет понятно что альтернативы во многих случаях просто нет.


"В Cisco IOS найдено 12 новых уязвимостей"
Отправлено nanodaemon , 26-Сен-08 06:30 
нету альтернативы промышленным решениям cisco и juniper. кстати, кто релиз нотес на иосы читал знает то что вообще это работает чудо. но вот то что в ISP аппаратные решения нельзя заменить софтварными это факт.

"В Cisco IOS найдено 12 новых уязвимостей"
Отправлено Другой аноним , 26-Сен-08 07:58 
>нету альтернативы промышленным решениям cisco и juniper. кстати, кто релиз нотес на
>иосы читал знает то что вообще это работает чудо. но вот
>то что в ISP аппаратные решения нельзя заменить софтварными это факт.
>

Дима, ну не так это : в наге полно строителей сетей, работающих на софтварных решениях. На удивление, хорошо работающих. Можно долго спорить про правильность, но фокус в том, что свои деньги они имеют, а в провинции альтернатив домосетевым решениям на статик роутинге пока нет. :)


"В Cisco IOS найдено 12 новых уязвимостей"
Отправлено fresco , 26-Сен-08 09:33 
Ну понятно, что не так. Вроде и работает все не хуже. И функционал местами пошире будет. Только вот с фирменной коробочкой -- оно как-то спокойнее...

"В Cisco IOS найдено 12 новых уязвимостей"
Отправлено Аноним , 26-Сен-08 08:18 
А мне тут показали 3СОМ коммутатор с поддержкой BGP - вот думаю приколоться, поставить вместо граничного роутера. Все одно тот (cisco) на ладан дышит, задыхается, да и дешевле выйдет.

"В Cisco IOS найдено 12 новых уязвимостей"
Отправлено ALikD , 26-Сен-08 08:45 
Мне кажется, что Cisco ждёт такое же безрадостное будущее, как и Sun предсказанное Джимом Землином.
У этих компаний много схожего: Своя операционка, своё железо, дороговатое оборудование, чудесные, но закрытые разработки. Про стоимость саппорта от Cisco не знаю, возможно они и в этом схожи, что дорого. А также всё больше появляется конкурентов в решениях для малого бизнеса, логично считать, что дальше будут появляется конкуренты всё в более и более серъёзных сферах деятельности. Ситуация ровно как с Sun, который живёт уже только в очень крупном бизнесе.

"В Cisco IOS найдено 12 новых уязвимостей"
Отправлено andr.mobi , 26-Сен-08 09:37 
IOS давно устарела морально и физически, дырок в ней и раньше находили немало. Надо юзать PIX, и не открывать всякую лажу типа веб-морды, если не хочешь неприятностей

"В Cisco IOS найдено 12 новых уязвимостей"
Отправлено Vitls , 26-Сен-08 10:03 
А PIX типа не Циска?

"В Cisco IOS найдено 12 новых уязвимостей"
Отправлено tiger , 26-Сен-08 10:26 
>А PIX типа не Циска?

тоже циско ;)
пользуясь случаем: pix - гогно, люди более или менее работавшие с ними аргументы не попросят я думаю.


"В Cisco IOS найдено 12 новых уязвимостей"
Отправлено Jet , 26-Сен-08 11:22 
Хуже того, PIX -это банальный писюк... с процессором Целерон... Пикс -это не аппаратное решение, а обычный компьютер в необычной коробке...

"О!"
Отправлено Andrey Mitrofanov , 26-Сен-08 11:33 
>Хуже того, PIX -это банальный писюк... с процессором Целерон...

А я-то думаю, куда б pix, валяющийся без дела деть? Как бы мне на него Debian поставить, на подскажете?


"О!"
Отправлено Jet , 26-Сен-08 11:40 
>>Хуже того, PIX -это банальный писюк... с процессором Целерон...
>
>А я-то думаю, куда б pix, валяющийся без дела деть? Как бы
>мне на него Debian поставить, на подскажете?

Да наверное так же как и прошивку PIX-а на обычный комп... залить образ на флешку и загрузиться...


"проехали"
Отправлено Andrey Mitrofanov , 26-Сен-08 12:05 
>>Как бы мне на него Debian поставить
>Да наверное так же как и прошивку PIX-а на обычный комп... залить
>образ на флешку и загрузиться...

http://en.wikipedia.org/wiki/Cisco_PIX#Description_of_hardware

Тьфу-ты, такого добра и без Сиско навалом. И без приседаний на тему "а как мне прошиффку туда засунуть", как памяти/дисков добавить, куда своп класть...


"В Cisco IOS найдено 12 новых уязвимостей"
Отправлено chesnok , 26-Сен-08 12:07 
>Хуже того, PIX -это банальный писюк... с процессором Целерон... Пикс -это не
>аппаратное решение, а обычный компьютер в необычной коробке...

и кто это говорит? candidate CCIE ?


"В Cisco IOS найдено 12 новых уязвимостей"
Отправлено Jet , 26-Сен-08 12:38 
>>Хуже того, PIX -это банальный писюк... с процессором Целерон... Пикс -это не
>>аппаратное решение, а обычный компьютер в необычной коробке...
>
>и кто это говорит? candidate CCIE ?

Читаем до просветления:
http://en.wikipedia.org/wiki/Cisco_PIX#Description_of_hardware


"В Cisco IOS найдено 12 новых уязвимостей"
Отправлено Ленивый пес , 26-Сен-08 16:57 
>IOS давно устарела морально и физически, дырок в ней и раньше находили
>немало. Надо юзать PIX, и не открывать всякую лажу типа веб-морды,
>если не хочешь неприятностей

Мне нравятся такие могучие утверждения, от них так веет максимализмом и глубоким знанием ПО :)
Вы случайно не из команды разработчиков IOS? А как IOS физически может устареть? Коррозия?
Усталость металла? А кто позволил сверлить в IOS дырки и потом клеить их скотчем? :)

Если учесть многообразие шасси и вариантов сборок IOS, суммарно получается десятки и сотни груп комбинаций version/features set/board. Косяков хватает, в одной сборке есть, в другой - того же уже нет (но что-то другое, в сотнях мегабайт исходных текстов и при постоянной разработке это неизбежно).

А теперь давайте найдем что-то без косяков из opensource. ipv6/wide/kame/..? dated? quagga/zebra? openBGP? ipfilter? packet filter? ipsec tools? net-snmp? openssl? openldap? gnuGK? isc bind? ... список продолжите сами. Хорошо если будет кому сделать backtrace в отладчике, да посмотреть как обойти косяк, если нет возможности проанализировать и исправить исходные тексты. (Вспоминая чудеса Quagga с OSPF LSA5/7)

А PIX - не панацея. Кастомизированная мыльница. Техно и маркетинговый эксперимент от Cisco. Реализация IPsec и IPfilter мне там не нравится, в PIX OS 7 стало получше но ненамного. Условно-примерно, та же мыльница из 870-х могет то же самое плюс кое-что еще.



"В Cisco IOS найдено 12 новых уязвимостей"
Отправлено Sem , 27-Сен-08 14:31 
>Если учесть многообразие шасси и вариантов сборок IOS, суммарно получается десятки и
>сотни груп комбинаций version/features set/board. Косяков хватает, в одной сборке есть,
>в другой - того же уже нет (но что-то другое, в
>сотнях мегабайт исходных текстов и при постоянной разработке это неизбежно).

Если ты наступишь на такой косяк с железкой за 10000$ и тебе в саппорте говорят: "да, мы знаем о проблеме и в одной из новых версий IOS ее решим", то чего тебе делать? Запихивать ее пока на чердак в ожидании этой новой версии?

>А теперь давайте найдем что-то без косяков из opensource. ipv6/wide/kame/..? dated? quagga/zebra?
>openBGP? ipfilter? packet filter? ipsec tools? net-snmp? openssl? openldap? gnuGK? isc
>bind? ... список продолжите сами. Хорошо если будет кому сделать backtrace
>в отладчике, да посмотреть как обойти косяк, если нет возможности проанализировать
>и исправить исходные тексты. (Вспоминая чудеса Quagga с OSPF LSA5/7)

А тут у тебя исходники под рукой. Значит возможность есть всегда. В отличии от...
Если на твой баг репорт не отреагировали, то берешь и сам чинишь. Или нанимаешь программиста, который починит. Почувствуй разницу.


"В Cisco IOS найдено 12 новых уязвимостей"
Отправлено Ленивый пес , 27-Сен-08 16:40 
>>Если учесть многообразие шасси и вариантов сборок IOS, суммарно получается десятки и
>>сотни груп комбинаций version/features set/board. Косяков хватает, в одной сборке есть,
>>в другой - того же уже нет (но что-то другое, в
>>сотнях мегабайт исходных текстов и при постоянной разработке это неизбежно).
>
>Если ты наступишь на такой косяк с железкой за 10000$ и тебе
>в саппорте говорят: "да, мы знаем о проблеме и в одной
>из новых версий IOS ее решим", то чего тебе делать? Запихивать
>ее пока на чердак в ожидании этой новой версии?

Поэтому при новой инсталяции осторожненько так смотрим на новый софт вкупе с новой функциональностью, поковыриваясь в анонсах, готовясь к откату на предыдущий, проверенный.
Грабли известные. Хотя не так часто. Сказал бы, даже редко.

>>А теперь давайте найдем что-то без косяков из opensource. ipv6/wide/kame/..? dated? quagga/zebra?
>>openBGP? ipfilter? packet filter? ipsec tools? net-snmp? openssl? openldap? gnuGK? isc
>>bind? ... список продолжите сами. Хорошо если будет кому сделать backtrace
>>в отладчике, да посмотреть как обойти косяк, если нет возможности проанализировать
>>и исправить исходные тексты. (Вспоминая чудеса Quagga с OSPF LSA5/7)
>
>А тут у тебя исходники под рукой. Значит возможность есть всегда. В
>отличии от...
>Если на твой баг репорт не отреагировали, то берешь и сам чинишь.
>Или нанимаешь программиста, который починит. Почувствуй разницу.

Слава богу, у меня давняя дружба с gdb и gcc. Для себя уж десяток лет, не совру, как _только_ с исходников. Дык беда - мало, ужасающе мало програмистов-специалистов за пределами МКАД. Поймать косяк чаще можно только в локальном контексте, иной раз это требует недель работы... Часто это требует глубокого осмысления кода всего пакета, просто так не воткнешся.

Зато... В коммерческой системе твой проблем-тикет примут, отрапортуют что принят, присвоят инвентарный номер, потом портебую tech info, потом завалят вниманием менеджеры, и через полгода ты получишь напоминание что твоя проблема не забыта :) Ты тоже рапортуешь - работа сделана :)) Утрирую конечно, но в общем так. Пилят...



"В Cisco IOS найдено 12 новых уязвимостей"
Отправлено Аноним , 26-Сен-08 12:18 
Джунипер же !!!! очевидно !!!

"В Cisco IOS найдено 12 новых уязвимостей"
Отправлено Alexey , 26-Сен-08 14:27 
Из своего довольно скромного опыта  - использование cisco зачастую не выгодно в наших реалях.
Фичи ? а многие ли из них нужны ? для типичного офисного рутера что надо ? маршрутизация, фильтрация, QoS , IPSec|SSL да пожалуй и все... в совтовых решениях ( та же BSD ) это все элементарно реализуется, да и производительность - там где 7200 повисал OpenBSD вполне хорошо чувствовала себя . Минусы это потребление энергии побольше, и все таки надежность в основном из-за дисков, но их легко убрать...
ISP - многие ли из них юзают циски ? ))

"В Cisco IOS найдено 12 новых уязвимостей"
Отправлено Ленивый пес , 26-Сен-08 15:32 
>Из своего довольно скромного опыта  - использование cisco зачастую не выгодно
>в наших реалях.
>Фичи ? а многие ли из них нужны ? для типичного офисного
>рутера что надо ? маршрутизация, фильтрация, QoS , IPSec|SSL да пожалуй
>и все... в совтовых решениях ( та же BSD ) это
>все элементарно реализуется, да и производительность - там где 7200 повисал
>OpenBSD вполне хорошо чувствовала себя . Минусы это потребление энергии побольше,
>и все таки надежность в основном из-за дисков, но их легко
>убрать...
>ISP - многие ли из них юзают циски ? ))

Не хочу вас обидеть, но опыт кажется скромный, хотя... опыт - дело наживное, была бы голова на плечах.
Вы не определили технические требования к "типичный офисный рутер".
Слишком много ньансов что бы однозначно утверждать.
Есть и социальные ньюансы помимо технических. Например, наличие мало-мальски подготовленных специалистов. Оплата труда. Жизненный цикл предприятия.

Когда начинаешь тиражировать сетевые сегменты для разветвленного предприятия с VoIP/IPsec/... то при всей любви к open source software опять приходится ставить те же Cisco.


"В Cisco IOS найдено 12 новых уязвимостей"
Отправлено Alexey , 26-Сен-08 16:44 

>Не хочу вас обидеть, но опыт кажется скромный, хотя... опыт - дело
>наживное, была бы голова на плечах.

Никаких обид :) Построив небольшую сетку ( 6 площадок ) для конторы в которой работал, я понял что сети это не то, чем я хочу заниматься 8 часов в день с понедельника по пятницу )))))

>Вы не определили технические требования к "типичный офисный рутер".
>Слишком много ньансов что бы однозначно утверждать.

Ну я примерно обрисовал его функции в предыдущем посте. В плане циски это 2600 а ныне 2800 серии.
> Есть и социальные ньюансы помимо технических. Например, наличие мало-мальски подготовленных
> специалистов. Оплата труда. Жизненный цикл предприятия.

Для того что бы построить небольшую сеть предприятия, нужны не бог весть какие знания. ССNA+ еще немножко )))) - вроде как даже студентов этому штатно уже учат в вузах. Оплата труда... она у всех офисных работников примерно одинаковая ))) как ни жаль )

>Когда начинаешь тиражировать сетевые сегменты для разветвленного предприятия с VoIP/IPsec/... то при
>всей любви к open source software опять приходится ставить те же
>Cisco.

Опять же помимо циски море контор выпускает оборудование для VoIP/IPsec и оно работает.

Речь конечно же не идет про магистральные сети и оборудование. Не идет даже про большие локалки. Речь не идет о найме интеграторов. В среднем и малом бизнесе альтернатив циске очень много и если четко понимать чего хочется и считать копейку, то подход будет другим.



"В Cisco IOS найдено 12 новых уязвимостей"
Отправлено Ленивый пес , 26-Сен-08 17:17 

>Опять же помимо циски море контор выпускает оборудование для VoIP/IPsec и оно
>работает.
>
>Речь конечно же не идет про магистральные сети и оборудование. Не идет
>даже про большие локалки. Речь не идет о найме интеграторов. В
>среднем и малом бизнесе альтернатив циске очень много и если четко
>понимать чего хочется и считать копейку, то подход будет другим.

Эх... Если бы море. Когда начинаешь очередной проект, формируешь _все_ тех и прочие условия , то опять получается все то же самое, вид в профиль... Два-три бренда, у каждого свои бантики. При том что всегда с интересом просматриваешь новые модели/линейки оборудования и при при возможности тестируешь как только в руки попадут.
И считая копейку, стоит задуматься - где в жизненном цикле что и где стоит. Это и насчет офис 8 часов 8 дней в неделю.

Есть и такой мерзкий ньюанс - специалисту по обслуживанию дорогого бренда платят в общем больше, чем ... не бренда. Хотя знаний для грамотного построения сети с любым оборудованием нужно одинаково - алгоритмы в общем те же самые.


"В Cisco IOS найдено 12 новых уязвимостей"
Отправлено emp , 26-Сен-08 16:03 
многие. покажите мне писюк способный отроутить десяток гигабит. слабо ? а 65-ым каталистам не слабо.

"В Cisco IOS найдено 12 новых уязвимостей"
Отправлено Alexey , 26-Сен-08 16:15 
>многие. покажите мне писюк способный отроутить десяток гигабит. слабо ? а 65-ым
>каталистам не слабо.

В контектсте ISP я имел ввиду не писюки конечно же, ИМХО отроутить десяток гигабит можно впринципе железкой любого производителя расчитанной на подобный трафик и работу в ядре сети.
Просто так повелось что в России циска это стандарт де-факто, и психология тут играет уже большую роль...  


"В Cisco IOS найдено 12 новых уязвимостей"
Отправлено Аноним , 27-Сен-08 01:38 
>>многие. покажите мне писюк способный отроутить десяток гигабит. слабо ? а 65-ым
>>каталистам не слабо.
>
>В контектсте ISP я имел ввиду не писюки конечно же, ИМХО отроутить
>десяток гигабит можно впринципе железкой любого производителя расчитанной на подобный трафик
>и работу в ядре сети.
>Просто так повелось что в России циска это стандарт де-факто, и психология
>тут играет уже большую роль...

я вас понял. есть решения. например foundry, hp, red back... и выбирают не всегда адекватно. но это на совести тех кто выбирает. не более.


"В Cisco IOS найдено 12 новых уязвимостей"
Отправлено isp , 26-Сен-08 16:40 
Читайте внимательно на чем испытавалась Internet2, тогда вопросы по 10 гагигбиту и 100-900 кpps снимутся само собой. А вообще странно нормальный ISP знает, где применить PC, а где ASIC. И часто это определяется не им, а общей политикой фирмой :-(.


"В Cisco IOS найдено 12 новых уязвимостей"
Отправлено Аноним , 27-Сен-08 01:30 
>Читайте внимательно на чем испытавалась Internet2, тогда вопросы по 10 гагигбиту и
>100-900 кpps снимутся само собой. А вообще странно нормальный ISP знает,
>где применить PC, а где ASIC. И часто это определяется не
>им, а общей политикой фирмой :-(.

ссылками богаты ?


"В Cisco IOS найдено 12 новых уязвимостей"
Отправлено isp , 28-Сен-08 15:30 
>>Читайте внимательно на чем испытавалась Internet2, тогда вопросы по 10 гагигбиту и
>>100-900 кpps снимутся само собой. А вообще странно нормальный ISP знает,
>>где применить PC, а где ASIC. И часто это определяется не
>>им, а общей политикой фирмой :-(.
>
>ссылками богаты ?

Для совсем ленивых:
http://www.opennet.me/opennews/art.shtml?num=6623


"В Cisco IOS найдено 12 новых уязвимостей"
Отправлено chesnok , 27-Сен-08 01:11 
>многие. покажите мне писюк способный отроутить десяток гигабит. слабо ? а 65-ым
>каталистам не слабо.

слухи ходят, что есть операционная система под названием FreBSD,так она способна и на большее, хотел бы поделися с Вами реалями, но пока найти потверждений данной информации не удалось...


"В Cisco IOS найдено 12 новых уязвимостей"
Отправлено Аноним , 27-Сен-08 01:34 
>>многие. покажите мне писюк способный отроутить десяток гигабит. слабо ? а 65-ым
>>каталистам не слабо.
>
>слухи ходят, что есть операционная система под названием FreBSD,так она способна и
>на большее, хотел бы поделися с Вами реалями, но пока найти
>потверждений данной информации не удалось...

я в курсе чего может FreeBSD. и юзаю её активно до определённых нагрузок. дальше каталисты решают.


"В Cisco IOS найдено 12 новых уязвимостей"
Отправлено chesnok , 27-Сен-08 13:20 
>>>многие. покажите мне писюк способный отроутить десяток гигабит. слабо ? а 65-ым
>>>каталистам не слабо.
>>
>>слухи ходят, что есть операционная система под названием FreBSD,так она способна и
>>на большее, хотел бы поделися с Вами реалями, но пока найти
>>потверждений данной информации не удалось...
>
>я в курсе чего может FreeBSD. и юзаю её активно до определённых
>нагрузок. дальше каталисты решают.

Вы как опытный сетевой инженер внесли бы ясность в дискусию и рассказали какие задачи в сетевом комплексе решает у вас freebsd и какая примерная нагрзка bps/pps есть ли какие-то сервисы и тд?


"В Cisco IOS найдено 12 новых уязвимостей"
Отправлено pev2000 , 28-Сен-08 18:19 
>>>многие. покажите мне писюк способный отроутить десяток гигабит. слабо ? а 65-ым
>>>каталистам не слабо.
>>
>>слухи ходят, что есть операционная система под названием FreBSD,так она способна и
>>на большее, хотел бы поделися с Вами реалями, но пока найти
>>потверждений данной информации не удалось...
>
>я в курсе чего может FreeBSD. и юзаю её активно до определённых
>нагрузок. дальше каталисты решают.

Поведайте, пожалуйста, в чем основная задача каталистов (если я правильно понял cisco catalist) :)
и еще хочется знать на какой платформе должна стоять freebsd чтобы иметь 48 gi или хотя бы 24 fa интерфеса?


"В Cisco IOS найдено 12 новых уязвимостей"
Отправлено Ленивый пес , 27-Сен-08 02:15 
>>многие. покажите мне писюк способный отроутить десяток гигабит. слабо ? а 65-ым
>>каталистам не слабо.
>
>слухи ходят, что есть операционная система под названием FreBSD,так она способна и
>на большее, хотел бы поделися с Вами реалями, но пока найти
>потверждений данной информации не удалось...

Огорчу. Пропускной способности PCI шины не хватит.
http://ru.wikipedia.org/wiki/PCI
Даже выдать поток до полной загрузки 10G карты проблематично. Максимальный бендвич PCIX64 7.5Gbps, если не вру.

Притом что пакет/данные для пакета копируется из одного карты/устройства, потом в память стека, потом в другую карту. ZeroCopy в стеке облегчает жизнь стека, но ограничений шины и неинтеллектуальности карт не снимает.
http://www.cs.inf.ethz.ch/stricker/sada/archive/mimueller.html
Будет BSD + ATCA или что подобное - может будет иначе. Может экспериментально что и есть, пока не встречал.

Ценности BSD для своих задач данный факт не уменьшает.


"В Cisco IOS найдено 12 новых уязвимостей"
Отправлено isp , 28-Сен-08 15:36 
>[оверквотинг удален]
>>>каталистам не слабо.
>>
>>слухи ходят, что есть операционная система под названием FreBSD,так она способна и
>>на большее, хотел бы поделися с Вами реалями, но пока найти
>>потверждений данной информации не удалось...
>
>Огорчу. Пропускной способности PCI шины не хватит.
>http://ru.wikipedia.org/wiki/PCI
>Даже выдать поток до полной загрузки 10G карты проблематично. Максимальный бендвич PCIX64
>7.5Gbps, если не вру.

по стандарту 133 Мгц * 64 бита = 8512 Мбит,
в реальности цифра около 7,5-8 Gbps

>Притом что пакет/данные для пакета копируется из одного карты/устройства, потом в память
>стека, потом в другую карту. ZeroCopy в стеке облегчает жизнь стека,
>но ограничений шины и неинтеллектуальности карт не снимает.
>http://www.cs.inf.ethz.ch/stricker/sada/archive/mimueller.html
>Будет BSD + ATCA или что подобное - может будет иначе. Может
>экспериментально что и есть, пока не встречал.
>
>Ценности BSD для своих задач данный факт не уменьшает.
>


"В Cisco IOS найдено 12 новых уязвимостей"
Отправлено isp , 28-Сен-08 15:41 
>>>многие. покажите мне писюк способный отроутить десяток гигабит. слабо ? а 65-ым
>>>каталистам не слабо.
>>
>>слухи ходят, что есть операционная система под названием FreBSD,так она способна и
>>на большее, хотел бы поделися с Вами реалями, но пока найти
>>потверждений данной информации не удалось...
>
>Огорчу. Пропускной способности PCI шины не хватит.
>http://ru.wikipedia.org/wiki/PCI
>Даже выдать поток до полной загрузки 10G карты проблематично.

Для этого есть карты на Pci express - Chelsio S310E-SR 10Gigabit Ethernet Adapter with PCI-express

Используется связей    1x    2x    4x    8x    12x    16x    32x
PCI Express 1.0, ГБ/c    0,5    1    2    4    6    8    16
PCI Express 2.0, ГБ/c    1    2    4    8    12    16    32


>[оверквотинг удален]
>
>Притом что пакет/данные для пакета копируется из одного карты/устройства, потом в память
>стека, потом в другую карту. ZeroCopy в стеке облегчает жизнь стека,
>но ограничений шины и неинтеллектуальности карт не снимает.
>http://www.cs.inf.ethz.ch/stricker/sada/archive/mimueller.html
>Будет BSD + ATCA или что подобное - может будет иначе. Может
>экспериментально что и есть, пока не встречал.
>
>Ценности BSD для своих задач данный факт не уменьшает.
>


"В Cisco IOS найдено 12 новых уязвимостей"
Отправлено Аноним , 26-Сен-08 13:40 
Джунипер ничето иное что freebsd + проприетарные наработки, ибо
сетевой стек любой бсд масштабируется легко

"В Cisco IOS найдено 12 новых уязвимостей"
Отправлено chesnok , 27-Сен-08 13:31 
>Джунипер ничето иное что freebsd + проприетарные наработки, ибо
>сетевой стек любой бсд масштабируется легко

и куда же он маршрутизируется ? в /dev/null ?
У Вас есть работающий рефлектор маршрутов на freebsd, ведь мы говорим про маршрутизацию в сети оператора связи, как в сети состоящей из 46 узлов с протоколом маршрутизации EIGRP перейти полностью на freebsd ?


"В Cisco IOS найдено 12 новых уязвимостей"
Отправлено Аноним , 26-Сен-08 15:00 
по поводу пиксов - наезд не обоснован
вы просто не умеете с ними работать

плюсы

1. берем два пикса с разными лицензиями соеденяем их шнурком
отдаем в консоли тройку команд и получаем failover ( и не надо долго возиться
с продобной реализацией на писюках)
2. Да там вроде как "дохлые" CPU но только потому что больше им и не надо
почитайте спецификации.
3. ОЧЕНЬ удобная программа для управления ASDM Launcher
4. Наличие трейсера пакетов
   создаем правило запускаем трейс и смотрим в графике как пройдет пакет через пикс -- чем это клево надеюсь объяснять никому не надо.
вот пример http://clip2net.com/page/m0/340827

На возможные вопросы а вот типа я жить не могу без одного супер мега хитрого правила в iptables  отвечу -- если вы нуждаетесь в подобных парвилах
у вас хреновый дизайн сети со всеми вытекающими отсюда последствиями


"В Cisco IOS найдено 12 новых уязвимостей"
Отправлено Аноним , 26-Сен-08 15:39 
>по поводу пиксов - наезд не обоснован
>вы просто не умеете с ними работать
>
>плюсы
>
>1. берем два пикса с разными лицензиями соеденяем их шнурком
>отдаем в консоли тройку команд и получаем failover ( и не надо
>долго возиться
>с продобной реализацией на писюках)

в опенбсд аналогично :)

>На возможные вопросы а вот типа я жить не могу без одного
>супер мега хитрого правила в iptables  отвечу -- если вы
>нуждаетесь в подобных парвилах
>у вас хреновый дизайн сети со всеми вытекающими отсюда последствиями

да уж хитрые правила, на циске тоже бывают хитрые правила,
типа фильтровать адреса 127.0.0.0, потому как циска позволяет использовать эту адресацию для  передачи пакета в наружу. Это тоже косяк имхо.


"В Cisco IOS найдено 12 новых уязвимостей"
Отправлено Аноним , 26-Сен-08 16:26 
>На возможные вопросы а вот типа я жить не могу без одного
>супер мега хитрого правила в iptables  отвечу -- если вы
>нуждаетесь в подобных парвилах
>у вас хреновый дизайн сети со всеми вытекающими отсюда последствиями

Зачет! )

По поводу всех этих глупых холиваров (циска вс опенсоурс).

Каждый вправе делать то, что посчитает нужным.

Когда контора дорастает до определенного уровня неуправляемости, то коммерческие решения покупаются не потому, что они самые лучшие (хотя зачастую таки лучшие), а потому, что с их помощью можно более-менее предсказуемо всем управлять. Это бесполезно рассказывать людям, которые не бывали в больших конторах - слепому не расскажешь о масштабах слона, он его даже предстваить себе не может. Равно как и кричащие о том, что циска - ацтой, не могут себе представить проблем управляемости и предсказуемости бизнеса, которых хоть как-то зависит от передачи данных (дата-центр крупной нефтяной компании, крупный домовой провайдер в МСК, географически распределенная сеть по всей России с примерно 15к гос. служащих). Такими большими сетевыми хозяйствами невозможно или очень сложно, или дороже в сравнении с опен соурсом, управлять. Или нет нужной гибкости.


Если кто-нить хочет опять завопить о том, что фря(линуха, зелакс, что там еще называлось выше?) это хорошо, а циска (джунипер) - аццтой, то вот тупо пример:

1. 89 регионов, по 1-2 крупным региональным центрам, по 10-15 помельче, еще у каждого из 10-15 есть по 1-5 еще мельче. Итого получаем 89х2+89х(2+15)+89х(2+15+5) в самом тяжелом случае, к которому каждая гос. контора изо всех сил стремится. Нормальная такая звезда.
2. Нужно нат+мплс(не везде, около 30% подключений, но со временем это меняется в сторону 100%)+впн+дот1ку+ааа(всё оттуда)+оспф+бгп(не везде)+фильтрация трафика+классификация трафика+исдн(не везде)+фрамерелей(не везде)+хдсл(не везде)

немного сумбурно =)

3. УЧИТЫВАТЬ, что в обычных ХП серверах (не будем брать русский самосбор) винты летят все равно стабильно в масштабах предложенного примера.
4. Потребеление эл-ва.


А теперь, товарищи "одепты опен соурса" предложите унифицированное решение, которое сможет превзойти по легкости набивки (собирания из кубиков софта и железных модулей) циску ISR серию. Чтобы интерфейсные модули под все вышеоговоренные транспорты были. Чтобы дрова работали корректно круглосуточно без утечек памяти. Ну и предложенный набор протоколов.

И чтобы был единый конфиг у всего хоз-ва, который можно легко менять с помощью ssh+tcl.


P.S. А еще учтите текучку кадров и посчитайте затраты на обучение новых сотрудников управлению наколенными системами, которые возможно будут предложены. А еще затраты на разработку документации и описание систем. А еще посчитайте надежность и затраты на смену винтов. А еще на эл-во. А еще на модернизацию (заново играть с железом, дровами, софтом с тестированием). А еще заложите развитие сети и внедрение новых транспортов и пртоколов и технологий. И снова затраты на отладку %))
P.P.S. И чтобы при внезапном отключении питания фс на устройстве портилась только тогда, когда песок из встроенной флешки начинает сыпаться. Мне такое же, только для хбсд или линухи и жестких дисков =)


"В Cisco IOS найдено 12 новых уязвимостей"
Отправлено Square , 26-Сен-08 16:45 
>[оверквотинг удален]
>у каждого из 10-15 есть по 1-5 еще мельче. Итого получаем
>89х2+89х(2+15)+89х(2+15+5) в самом тяжелом случае, к которому каждая гос. контора изо
>всех сил стремится. Нормальная такая звезда.
>2. Нужно нат+мплс(не везде, около 30% подключений, но со временем это меняется
>в сторону 100%)+впн+дот1ку+ааа(всё оттуда)+оспф+бгп(не везде)+фильтрация трафика+классификация трафика+исдн(не везде)+фрамерелей(не везде)+хдсл(не везде)
>А теперь, товарищи "одепты опен соурса" предложите унифицированное решение, которое сможет превзойти
>по легкости набивки (собирания из кубиков софта и железных модулей) циску
>ISR серию. Чтобы интерфейсные модули под все вышеоговоренные транспорты были. Чтобы
>дрова работали корректно круглосуточно без утечек памяти. Ну и предложенный набор
>протоколов.

сменить архитектора


"В Cisco IOS найдено 12 новых уязвимостей"
Отправлено аноним , 26-Сен-08 16:54 
на кого?

неаргументированные высказываения признак тролля? %)

архитектуру сети нельзя трогать ибо она повторяет административную структуру гос. конторы. таких, кстати, минимум 5 в нашей стране.

давайте аргументы, "одепты опен соурса" =))


"В Cisco IOS найдено 12 новых уязвимостей"
Отправлено Аноним , 26-Сен-08 17:10 
>на кого?
>
>неаргументированные высказываения признак тролля? %)
>
>архитектуру сети нельзя трогать ибо она повторяет административную структуру гос. конторы. таких,
>кстати, минимум 5 в нашей стране.
>
>давайте аргументы, "одепты опен соурса" =))

они не поймут Вас пока сами не окажутся на вашем месте -- хотя если и окажутся
то либо поумнеют слегка или вылетят пинком под зад с работы :)


"В Cisco IOS найдено 12 новых уязвимостей"
Отправлено Square , 26-Сен-08 17:13 
>на кого?

На того кто выметет мусор из голов анонимусов.

>неаргументированные высказываения признак тролля? %)

Богатство протоколов и интерфейсов - признак "строим как получится" на протяжении множества лет. Без общего плана, и стратегии использования в будущем. Разумной такую схему называть нельзя. Уже по одному этому признаку - архитектора системы следует заменить на более адекватного.

>архитектуру сети нельзя трогать ибо она повторяет административную структуру гос. конторы. таких, кстати, минимум 5 в нашей стране.

Можно и нужно. Навешать люлей умельцу пропихнувшему строительство собственной сети в регионах.

>давайте аргументы, "одепты опен соурса" =))

Не строить самостоятельно сетей в регионы. Арендовать VPN сетку у оператора связи имеющего все необходимое в оных регионах.

ЭТО - решение. А описанная вами задача - просто пальцы.


"В Cisco IOS найдено 12 новых уязвимостей"
Отправлено Ленивый пес , 26-Сен-08 17:58 
>[оверквотинг удален]
>
>Можно и нужно. Навешать люлей умельцу пропихнувшему строительство собственной сети в регионах.
>
>
>>давайте аргументы, "одепты опен соурса" =))
>
>Не строить самостоятельно сетей в регионы. Арендовать VPN сетку у оператора связи
>имеющего все необходимое в оных регионах.
>
>ЭТО - решение. А описанная вами задача - просто пальцы.

Пилять и еще раз пилять... :)
Вы что, больше СКС одного здания ничего не наблюдали как делается? Или корпоративной сети для 5 пирожковых в славном городе Москва? :)
Даже в размерах города и три-четыре филиала часто куча разных стыков c разными L1/L2 при все желании избежать огорода. Слава богу, TCP/IP - общая часть, без всяких DECnet/X.25/NCP.
А заказ MPLS/VPN возможен и целесообразен далеко и далеко не всегда. Они появились то как пару лет (Orange/Эквант, TTK, РТК, ну еще пару телекомов регионально). Потом затраты (и стартовые, и TCO) на это чаще _намного_ выше - все хотят прибыль. Оутсорсинг - пока такое же понятие, как сникерс и брокер в начале 90-х.


"В Cisco IOS найдено 12 новых уязвимостей"
Отправлено Square , 26-Сен-08 20:50 

>Пилять и еще раз пилять... :)
>Вы что, больше СКС одного здания ничего не наблюдали как делается? Или
>корпоративной сети для 5 пирожковых в славном городе Москва? :)
>Даже в размерах города и три-четыре филиала часто куча разных стыков c
>разными L1/L2 при все желании избежать огорода.

Действительно ужастно... Я вам искренне сочувствую. А вот  например такая компания как сеть игровых автоматов "вулкан удачи",  создала собственного провайдера, арендовала спутник и организовала онлайновую связь  со своими игровыми автоматами на территории 89 регионов, в пунктах доступа намного большем чем то что тут было описано...и заплатила налогов столько, что даже налоговая покраснела от удовольствия...

Было бы желание...


"В Cisco IOS найдено 12 новых уязвимостей"
Отправлено Ленивый пес , 26-Сен-08 21:35 
>
>>Пилять и еще раз пилять... :)
>
>Действительно ужастно... Я вам искренне сочувствую.

Если вас, сэр, это ужасает, то ужаснитесь еще больше - Интырнет именно так и построен и продолжает строиться. :))

Многопротокольность и многоинтерфейсность - нормальная ситуация для LAN/WAN.
Тот же ADSL - связка Annex.X, потом поверх ATMoDSL - Eth, PPP, FR, ...
802.11 - куча протоколов, Eth - и то варианты http://ru.wikipedia.org/wiki/IEEE_802.3 :)

Ну как, сможешь теперь спать или теперь розеток бояться? :)

Кстати, одна из вкусностей циско шасси - модули для разных интерфейсов и богатый набор стеков протоколов в ios.

>А вот  например такая компания
>как сеть игровых автоматов "вулкан удачи",  создала собственного провайдера, арендовала
>спутник и организовала онлайновую связь  со своими игровыми автоматами на
>территории 89 регионов, в пунктах доступа намного большем чем то что
>тут было описано...и заплатила налогов столько, что даже налоговая покраснела от
>удовольствия...
>
>Было бы желание...

Хе... Были бы дурной кэш.
Пример нетиповой.


"В Cisco IOS найдено 12 новых уязвимостей"
Отправлено chesnok , 27-Сен-08 01:28 
>[оверквотинг удален]
>>как сеть игровых автоматов "вулкан удачи",  создала собственного провайдера, арендовала
>>спутник и организовала онлайновую связь  со своими игровыми автоматами на
>>территории 89 регионов, в пунктах доступа намного большем чем то что
>>тут было описано...и заплатила налогов столько, что даже налоговая покраснела от
>>удовольствия...
>>
>>Было бы желание...
>
>Хе... Были бы дурной кэш.
>Пример нетиповой.

я не понимаю зачем это обьяснять этим людям, у которых все ПО или оборудование дороже >1$ вызывет агресию.
Я не представляю как оператор связи может сдать узел в связбнадзор, как он может обеспечить нормальный "стык" с другим оператором, или как можно получить сертификат о безопастности или криптографической защиты?, как он может эксплуатировать не пойми что и не пойми как ?! я даже не понимаю как можно обеспечить нормальную L2/L3 коммутацию/распределенную коммутацию/комутацию по меткам, маршрутизацию и управление трафиком на PC в сети оператора связи, как нормально спроектировать QoS-политику, наверное в freebsd предусмотренн механизм создания qos-груп и централизованное упрвление это просто ужас, как нормально обеспечить для клиентов L2/L3 VPN...как обеспечить передачу многоадресной рассылки, например в рамках IPtv....я не понимаю как можно чтото это сравнивать???


"В Cisco IOS найдено 12 новых уязвимостей"
Отправлено Ленивый пес , 27-Сен-08 02:42 

>[оверквотинг удален]
>он может обеспечить нормальный "стык" с другим оператором, или как можно
>получить сертификат о безопастности или криптографической защиты?, как он может эксплуатировать
>не пойми что и не пойми как ?! я даже не
>понимаю как можно обеспечить нормальную L2/L3 коммутацию/распределенную коммутацию/комутацию по меткам, маршрутизацию
>и управление трафиком на PC в сети оператора связи, как нормально
>спроектировать QoS-политику, наверное в freebsd предусмотренн механизм создания qos-груп и централизованное
>упрвление это просто ужас, как нормально обеспечить для клиентов L2/L3 VPN...как
>обеспечить передачу многоадресной рассылки, например в рамках IPtv....я не понимаю как
>можно чтото это сравнивать???
>

Объяснить человеку устройство сети сложнее двух eth адаптеров до понимания, когда он и этого не изучил, невозможно. Ставить такую цель - быть безрассудным.



"В Cisco IOS найдено 12 новых уязвимостей"
Отправлено Аноним , 26-Сен-08 18:30 
Раз уж я задал такую благодатную почву для флема (пятница), то поддержу ее еще... =)

>Богатство протоколов и интерфейсов - признак "строим как получится" на протяжении >множества лет. Без общего плана, и стратегии использования в будущем. Разумной такую
>схему называть нельзя. Уже по одному этому признаку - архитектора системы
>следует заменить на более адекватного.

ГОС. КОНТОРА, нельзя взять все и переделать за 5 минут. А куда вы все старое оборудование денете? Все апдейтится планово, но 25хх циски планово перетекают на место как раз линуховых (хе-хе) заглушек в "деревни". Как раз циска, поддерживающая железо достаточно долго, позволяет более менее заботиться о сохранении инвестиций.

***
>Можно и нужно. Навешать люлей умельцу пропихнувшему строительство собственной сети в регионах.

ГОС. КОНТОРА, где вы были 15 лет назад? )))

***
>Не строить самостоятельно сетей в регионы. Арендовать VPN сетку у оператора связи
>имеющего все необходимое в оных регионах.

ГОС. КОНТОРА, где вы были 15 лет назад с вашим волшебным дизайном? )))
И где были провайдеры мплс-впн в масштабах ВСЕЙ нашей страны?

***
>
>ЭТО - решение. А описанная вами задача - просто пальцы.

Это не пальцы. А реальная ситуация.

P.S. А вы как раз ничего дельного не предложили.


"В Cisco IOS найдено 12 новых уязвимостей"
Отправлено Ленивый пес , 26-Сен-08 18:56 
>Раз уж я задал такую благодатную почву для флема (пятница), то поддержу
>ее еще... =)

И я, и я! :)

>>Богатство протоколов и интерфейсов - признак "строим как получится" на протяжении >множества лет. Без общего плана, и стратегии использования в будущем. Разумной такую
>>схему называть нельзя. Уже по одному этому признаку - архитектора системы
>>следует заменить на более адекватного.

Пусть он это расскажет ФГУП НИИ Восход, насчет заменить архитектора :))
http://www.voskhod.ru/modules.php?name=projects

>ГОС. КОНТОРА, нельзя взять все и переделать за 5 минут.
>Как раз циска, поддерживающая железо достаточно долго, позволяет более менее заботиться
>о сохранении инвестиций.

Скажем, весьма гут унификация языка конфигурирования и интерфейсов модулей. Не все шоколадно, но таки гут.

>***
>>Можно и нужно. Навешать люлей умельцу пропихнувшему строительство собственной сети в регионах.

Ага, пусть тот уважаемый попросит РТК быстренько соорудить VPN в регионе, при том что там про такое слово узнали недавно как по историческим маштабам.

>ГОС. КОНТОРА, где вы были 15 лет назад? )))
>ГОС. КОНТОРА, где вы были 15 лет назад с вашим волшебным дизайном?
>)))
>И где были провайдеры мплс-впн в масштабах ВСЕЙ нашей страны?
>>
>>ЭТО - решение. А описанная вами задача - просто пальцы.
>
>Это не пальцы. А реальная ситуация.

+1



"В Cisco IOS найдено 12 новых уязвимостей"
Отправлено Square , 26-Сен-08 20:36 
>>ГОС. КОНТОРА, где вы были 15 лет назад? )))
>>ГОС. КОНТОРА, где вы были 15 лет назад с вашим волшебным дизайном?
>>)))
>>И где были провайдеры мплс-впн в масштабах ВСЕЙ нашей страны?
>>>
>>>ЭТО - решение. А описанная вами задача - просто пальцы.
>>
>>Это не пальцы. А реальная ситуация.
>
>+1

- А вот мы какие!!!

- Ваш монстр - уебище...

- Да, но какой большой...


"В Cisco IOS найдено 12 новых уязвимостей"
Отправлено Square , 26-Сен-08 20:22 

>>ЭТО - решение. А описанная вами задача - просто пальцы.
>
>Это не пальцы. А реальная ситуация.
>

Вы  с таким упорством пытаетесь доказать что собственно?
Что намерены и дальше продолжать нагромождать эту систему?
Что количество протоколов и интерфейсов в этой структуре будет умножаться и умножаться?
Флаг как говорится в руки :)

>P.S. А вы как раз ничего дельного не предложили.

Я же уже сказал.. сменить архитектора.


"В Cisco IOS найдено 12 новых уязвимостей"
Отправлено Ленивый пес , 26-Сен-08 20:57 
>
>>>ЭТО - решение. А описанная вами задача - просто пальцы.
>>
>>Это не пальцы. А реальная ситуация.
>>
>
>Вы  с таким упорством пытаетесь доказать что собственно?
>Что намерены и дальше продолжать нагромождать эту систему?
>Что количество протоколов и интерфейсов в этой структуре будет умножаться и умножаться?

Как ты далек от реалий WANостроительства...
Система может эволюционировать. Сегмент с IPoFRoG.703/706 может быть заменен на IPoATMoDSL. RIP в сегменте заменен на OSPF. PPTP на L2TPwIPsec. И так далее.
Старые протоколы и интерфейсы отмирать. Уже не наблюдаю X.25 в новых инсталяциях.

>Я же уже сказал.. сменить архитектора.

Матрицы пересмотрел? Привет, Neo! :)


"В Cisco IOS найдено 12 новых уязвимостей"
Отправлено Square , 26-Сен-08 21:06 

>>Вы  с таким упорством пытаетесь доказать что собственно?
>>Что намерены и дальше продолжать нагромождать эту систему?
>>Что количество протоколов и интерфейсов в этой структуре будет умножаться и умножаться?
>
>Как ты далек от реалий WANостроительства...
>Система может эволюционировать. Сегмент с IPoFRoG.703/706 может быть заменен на IPoATMoDSL. RIP
>в сегменте заменен на OSPF. PPTP на L2TPwIPsec. И так далее.
>Старые протоколы и интерфейсы отмирать. Уже не наблюдаю X.25 в новых инсталяциях.

Ну эволюционируйте дальше :)


"В Cisco IOS найдено 12 новых уязвимостей"
Отправлено Ленивый пес , 26-Сен-08 21:49 
>[оверквотинг удален]
>>>Вы  с таким упорством пытаетесь доказать что собственно?
>>>Что намерены и дальше продолжать нагромождать эту систему?
>>>Что количество протоколов и интерфейсов в этой структуре будет умножаться и умножаться?
>>
>>Как ты далек от реалий WANостроительства...
>>Система может эволюционировать. Сегмент с IPoFRoG.703/706 может быть заменен на IPoATMoDSL. RIP
>>в сегменте заменен на OSPF. PPTP на L2TPwIPsec. И так далее.
>>Старые протоколы и интерфейсы отмирать. Уже не наблюдаю X.25 в новых инсталяциях.
>
>Ну эволюционируйте дальше :)

Ага, вся ИТ-индустрия дружно ждала твоего благословения :)
Начиная с ARPAnet 1969 года :)
http://school.ort.spb.ru/library/informatica/compmarket/inte...

Умей хотя бы признать свое незнание вопроса.
И почитай для начала http://ru.wikipedia.org/wiki/Frame_Relay и внизу про протоколы канального и физического уровня.


"В Cisco IOS найдено 12 новых уязвимостей"
Отправлено Square , 26-Сен-08 22:12 
>>>Как ты далек от реалий WANостроительства...
>>>Система может эволюционировать. Сегмент с IPoFRoG.703/706 может быть заменен на IPoATMoDSL. RIP
>>>в сегменте заменен на OSPF. PPTP на L2TPwIPsec. И так далее.
>>>Старые протоколы и интерфейсы отмирать. Уже не наблюдаю X.25 в новых инсталяциях.
>>
>>Ну эволюционируйте дальше :)
>
>Ага, вся ИТ-индустрия дружно ждала твоего благословения :)
>Начиная с ARPAnet 1969 года :)
>http://school.ort.spb.ru/library/informatica/compmarket/inte...

Совет эволюционировать был адресован вам а не всему интернет.. Так что мимо тазика :)
Потому что в отличие от вас - интернет эволюционирует и довольно энергично.


>Умей хотя бы признать свое незнание вопроса.
>И почитай для начала http://ru.wikipedia.org/wiki/Frame_Relay и внизу про протоколы канального и физического
>уровня.

Возможно вы действительно нашли по указанному адресу что-то для себя интересное, но к обсуждаемому вопросу это отношения не имеет.

Если вам еще не надоело угарать над собственными шутками -  напомню что вопрос- заключается в том что представленная вами структура сети как аргумент в  защиту соображения преимуществ использования брендов -  демонстрирует не  преимущества брендов перед опенсорсными решениями - а отсутствие царя в голове у тех кто  соорудил такую систему, поскольку в современных условиях -  развернуть сеть аналогичного масштаба для государства - раз плюнуть. На построение своей собственной сети  во всех регионах способны сейчас даже частные конторы. Просто вы кормитесь от последовательного "эволюционирования"... и я так полагаю будите выискивать (и вероятно находить :) аргументы в пользу своего виденья мира еще много лет :)



"В Cisco IOS найдено 12 новых уязвимостей"
Отправлено Ленивый пес , 27-Сен-08 01:03 
Брр... Последовательно по пунктам

>Если вам еще не надоело угарать над собственными шутками

Нет, не надоело. Третий день дома кашляю, один раз кашлянул и ударился об дверь. Головой. Сильно. Теперь пишу в форуме :)

> -  напомню
>что вопрос- заключается в том что представленная вами структура сети как
>аргумент в  защиту соображения преимуществ использования брендов

Я _не_ _защищаю_ бренды - они в этом не нуждаются, так же как у меня нет желания защищать их. Мало того, по натуре нонконформист, и бреновость оказывает скорее обратное влияние. И бренд бренду рознь, и линейки оборудования бывают разные.
И меня радуют _грамотные_ системы с open source в своем составе. И внедряю, где считаю разумным. Всему свое место.

> -  демонстрирует
>не  преимущества брендов перед опенсорсными решениями - а отсутствие царя
>в голове у тех кто  соорудил такую систему,

Очень смелое утверждение. Ну ОЧЕНЬ смелое :)
Расскажу это ребятам из ORANGE. А то они не в курсе :)

>поскольку в
>современных условиях -  развернуть сеть аналогичного масштаба для государства -
>раз плюнуть. На построение своей собственной сети  во всех регионах
>способны сейчас даже частные конторы.

Раз плюнуть?
Как строить будем? Тянуть все 5134км оптокабеля с ретрансляторами и врезками?
Или свою многомачтовую радиорелейную сеть? Или спутниковую релейку на 5 геостационарных ящиков? Ты хорошо подумал прежде чем написать? :)

>Просто вы кормитесь от последовательного "эволюционирования"...

Намекаешь что типа тормоз процесса? :))
Ну так попробуй выдумать процессор телепортации состояния пачки электронов на хотя бы 30 км, реализованный в 20 центовом чипе.
А мы пока делаем на том что есть.

И совершенно нормально - четыре года назад организацию-филиал удовлетворял линк FrameRelay 256 и POTS и цена вопроса, то сегодня она плавно подросла до IPoATM 8Mbps c VoIP транком между своими PABX.

>и я так полагаю будите выискивать (и вероятно находить :) аргументы
>в пользу своего виденья мира еще много лет :)

Есть реальное фактическое состояние коммуникаций, последовательно формируемого существующей технокультурой и техноиндустрией день изо дня. И продолжающее менятся, от сегмента к сегменту, от линка к линку, от протокола к протоколу. Караван идет, собаки лают. Все как обычно. Был V21 - появился V34, была пачка xDSL - появился ETSI ADSL/GDSL, были PDH - появились SDH/SONET.  И так далее.
Тебе видиться унифицированным? Так чего так долго голову ломали над АТМ? Ну пользовались бы 802.2 Eth... И WiMax - не нужен, лишнее все это, нет у людей царя в голове...

И неплохо понимать историю коммуникация, что б лучше понимать что будет впереди.


"В Cisco IOS найдено 12 новых уязвимостей"
Отправлено isp , 26-Сен-08 17:28 
Замена винта на флешку решит проблемы с винтом. Карты е1-pci, pci-x никто не отменял - работает нормально и фрейм еще держат. mpls, VRF, OSPF, BGP - работает.
Теперь плюсы и минусы решение cisco :
+ много уже цисковдеов есть :-) - не проблема в специалистах
+ документированы почти все моменты
+ есть железки 6500 vss 1440, которые нет аналогово для PC решениЙ ( :-) ) без специальных ASIC плат, которые выливаются в суммы близкие к киски.
+ откаты...
- вы связаны с брендом альтернативы нет, если сеть уже наполовину постороена
- меньше детализированных знаний, чем у реально строящих и настраивающих на opensource решениях админах
- цена

Теперь плюсы и минусы решение PC опенсоурс :
+ меньше Цена
+ Больше возможностей
+ при правильной централизованной политики отказустойчивость близка к аппаратным-софтовым решениям брендов
- нет плат для SDH (или я не видел)
- на данном этапе transfer выше 20-40 Гбит на бюджетных железках с максимальной оптимизацией - достичь невозможно
- необходимость глубоких знаний в сетевых проколах, стандартах, программном обеспечении и корректной взаимосвязи
- гораздо больше не любит кривых рук :-)


"В Cisco IOS найдено 12 новых уязвимостей"
Отправлено Alexey , 26-Сен-08 17:44 
>Замена винта на флешку решит проблемы с винтом.

Более того, где-то читал статью, как народ в региональном ISP делал рутеры с заливкой системы по сети.


"В Cisco IOS найдено 12 новых уязвимостей"
Отправлено Аноним , 26-Сен-08 19:01 
>Замена винта на флешку решит проблемы с винтом. Карты е1-pci, pci-x никто
>не отменял - работает нормально и фрейм еще держат. mpls, VRF,
>OSPF, BGP - работает.
>Теперь плюсы и минусы решение PC опенсоурс :
>+ меньше Цена

вы в этом точно уверены? сколько будет стоит самый простой компьютер от хп (еще раз - не берем росс. произв. комп. техники), который можно смонтировать в стойку 19" + одна карта для е1?

Для сравнения, тупо циска 1841 по жпл 1900 с хдсл каким-то + 1300 за е1 карточку. 1900+1300-30% станд. скидки == 2240 долларов. И эта циска сможет рутить %) Не берем пока в расчет софт.

С сайта хп сам. деш. сервер (для 19") 890 + 1674 pci-e е1 по прайс.ру == 2564
Даже скажем, что на хп тоже 30% скидка, тогда 623+1674 == 2297

А у циски плюс еще хдсл есть и езернет =))

>+ Больше возможностей

Вот бред-то. Больше возможностей по управлению трафиком? Это как? ))

>- на данном этапе transfer выше 20-40 Гбит на бюджетных железках с
>максимальной оптимизацией - достичь невозможно

да и не надо. в маршрутизации все равно на писюках ничего такого не строят, а для свичей в писюках все равно не будет нужной плотности портов.

>- необходимость глубоких знаний в сетевых проколах, стандартах, программном обеспечении >и корректной взаимосвязи

это не правда. использование цисок не подразумевает пойнт-энд-клик ваще ни разу.

>- гораздо больше не любит кривых рук :-)

кривые руки вообще никому не нужны.


===============================================================================

Итого, подводя итоги:

1. писюки с чем-то, отличным от езернета, размазанного на плате, ничем не дешевле цисок
2. писюки ни разу не лучше цисок по фичам маршрутизации, а зачастую в одном флаконе собрать все, что есть в дефолтовом бесплатном иосе от циски, на писюке нельзя или надо несколько операционок одновременно (оспф+отказоустойчивость на 2-ом уровне+отказоустойчивость на 3-ем уровне+мультикаст+какой-нить протокол стп+вланы - так можно в рамках одной операционки на писюке?)
3. писюки ни разу не проще использовать и обслуживать

===============================================================================


Ну так чем лучше писюки? =)) Ну хоть чем-нибудь???

P.S. Вспоминается анекдот:
- Грузины лучше, чем армяне.
- Чем?
- Чем армяне.


"В Cisco IOS найдено 12 новых уязвимостей"
Отправлено ReSeT , 27-Сен-08 21:34 
Позвольте добавить...

Учитывая что серия ML пролиантов от хп - г..., а все 1U сервера нормально не встают в шкафы 800мм глубиной... То получается неслабый такой "маршрутизатор", который не входит в коммуникационные шкафы, которые редко бывают глубиной больше 800мм...


"В Cisco IOS найдено 12 новых уязвимостей"
Отправлено isp , 28-Сен-08 15:09 

>[оверквотинг удален]
>хп (еще раз - не берем росс. произв. комп. техники), который
>можно смонтировать в стойку 19" + одна карта для е1?
>
>Для сравнения, тупо циска 1841 по жпл 1900 с хдсл каким-то +
>1300 за е1 карточку. 1900+1300-30% станд. скидки == 2240 долларов. И
>эта циска сможет рутить %) Не берем пока в расчет софт.
>
>
>С сайта хп сам. деш. сервер (для 19") 890 + 1674 pci-e
>е1 по прайс.ру == 2564

ну если пошли такие нюансы берем прайс кроникса и видим
Tau-PCI/32-Lite (E1, 32 потока HDLC)      17525 руб
Как минимум в 2 раза дешевле вашей заявленной цены.
Корпус 2u
Серверный корпус T-WIN AIC RMC-2B-0-2
Цена: 4770 руб.
все остальное компануется желательно самим, для наилучшей производительности.

Цена как миниму получается в два раза дешевле, сотни раз посчитано и сделано.

>Даже скажем, что на хп тоже 30% скидка, тогда 623+1674 == 2297
>
>
>А у циски плюс еще хдсл есть и езернет =))

Ether у всех матерей в последнее время встроенный есть, как довесок.
xdsl от 100 до 250 баксов в зависимтости от протокола.
>
>>+ Больше возможностей
>
>Вот бред-то. Больше возможностей по управлению трафиком? Это как? ))

читайте про iptables, ipfw тогда будет ясно.
>
>>- на данном этапе transfer выше 20-40 Гбит на бюджетных железках с
>>максимальной оптимизацией - достичь невозможно
>
>да и не надо. в маршрутизации все равно на писюках ничего такого
>не строят, а для свичей в писюках все равно не будет
>нужной плотности портов.

В плане плотности портов согласен, хотя есть специализированные платы, но там цена с ними почти равнозначна кискам.

>>- необходимость глубоких знаний в сетевых проколах, стандартах, программном обеспечении >и корректной взаимосвязи
>
>это не правда. использование цисок не подразумевает пойнт-энд-клик ваще ни разу.

почти подразумевает зашел на сайт почитал как делать и вперед комбинации крутишь и оис меняшь для нужных фич :-).

>>- гораздо больше не любит кривых рук :-)
>
>кривые руки вообще никому не нужны.

Это точно, но как часто встерчаются :-)

>
>===============================================================================
>
>Итого, подводя итоги:
>
>1. писюки с чем-то, отличным от езернета, размазанного на плате, ничем не
>дешевле цисок

смотри выше дешевле как минмум в 2 раза :-) .

>2. писюки ни разу не лучше цисок по фичам маршрутизации, а зачастую
>в одном флаконе собрать все, что есть в дефолтовом бесплатном иосе
>от циски, на писюке нельзя или надо несколько операционок одновременно (оспф+отказоустойчивость
>на 2-ом уровне+отказоустойчивость на 3-ем уровне+мультикаст+какой-нить протокол стп+вланы - так можно
>в рамках одной операционки на писюке?)

без проблем все делается при достаточном уровне знаний, понимания и опыта.

>3. писюки ни разу не проще использовать и обслуживать

Зависит от организации работы и политики внутри фирмы.
>
>===============================================================================
>
>
>Ну так чем лучше писюки? =)) Ну хоть чем-нибудь???
>
>P.S. Вспоминается анекдот:
>- Грузины лучше, чем армяне.
>- Чем?
>- Чем армяне.

Ага примерно так и получилось, но в вашем ответе, вместо того чтобы детальней разобраться - все поверхностно восприняли.


"В Cisco IOS найдено 12 новых уязвимостей"
Отправлено isp , 28-Сен-08 23:19 
>[оверквотинг удален]
>
>- меньше детализированных знаний, чем у реально строящих и настраивающих на opensource
>решениях админах
>- цена
>
>Теперь плюсы и минусы решение PC опенсоурс :
>+ меньше Цена
>+ Больше возможностей
>+ при правильной централизованной политики отказустойчивость близка к аппаратным-софтовым решениям брендов
>- нет плат для SDH (или я не видел)

маленькое уточнение карты SDH тоже есть, так что все на данный момент основные интерфейсы есть.
http://endace.ru/product_dag38s.htm

>- на данном этапе transfer выше 20-40 Гбит на бюджетных железках с
>максимальной оптимизацией - достичь невозможно
>- необходимость глубоких знаний в сетевых проколах, стандартах, программном обеспечении и корректной
>взаимосвязи
>- гораздо больше не любит кривых рук :-)


"В Cisco IOS найдено 12 новых уязвимостей"
Отправлено Ленивый пес , 26-Сен-08 17:30 
>[оверквотинг удален]
>P.S. А еще учтите текучку кадров и посчитайте затраты на обучение новых
>сотрудников управлению наколенными системами, которые возможно будут предложены. А еще затраты
>на разработку документации и описание систем. А еще посчитайте надежность и
>затраты на смену винтов. А еще на эл-во. А еще на
>модернизацию (заново играть с железом, дровами, софтом с тестированием). А еще
>заложите развитие сети и внедрение новых транспортов и пртоколов и технологий.
>И снова затраты на отладку %))
>P.P.S. И чтобы при внезапном отключении питания фс на устройстве портилась только
>тогда, когда песок из встроенной флешки начинает сыпаться. Мне такое же,
>только для хбсд или линухи и жестких дисков =)

+1

Причем не нужно даже таких маштабов, как вы указали. Веселье с управляемость/стабильностью начинается уже с 4-5-... географических площадок, на каждой 5-10 едениц оборудования увязанного на инфосервисы предприятия в пересчете на пару вменяемых специалистов в ит-отделе.


"В Cisco IOS найдено 12 новых уязвимостей"
Отправлено Alexey , 26-Сен-08 17:41 

>Причем не нужно даже таких маштабов, как вы указали. Веселье с управляемость/стабильностью
>начинается уже с 4-5-... географических площадок, на каждой 5-10 едениц оборудования
>увязанного на инфосервисы предприятия в пересчете на пару вменяемых специалистов в
>ит-отделе.

Полная ерунда. 1500 человек. 6 площадок - BSD/Linux/D-Link. строил и поддерживал один. Все работало без проблем.



"В Cisco IOS найдено 12 новых уязвимостей"
Отправлено Ленивый пес , 26-Сен-08 18:33 
>
>>Причем не нужно даже таких маштабов, как вы указали. Веселье с управляемость/стабильностью
>>начинается уже с 4-5-... географических площадок, на каждой 5-10 едениц оборудования
>>увязанного на инфосервисы предприятия в пересчете на пару вменяемых специалистов в
>>ит-отделе.
>
>Полная ерунда. 1500 человек. 6 площадок - BSD/Linux/D-Link. строил и поддерживал один.
>Все работало без проблем.

Для тебя конкретно - ерунда.
От оно - "все строил и поддерживал _один_. _Все_ работало без проблем". Что такое "все"? web/mail? А ты вечен в преприятии? А кем тебя заменить ежели что не дай боже? Как документировано "все"? Как добавить новый сервис типа VoIP? Как маштабировать на новый сегмент с новым транспортом? И причем быстро? Как реализуеться SLA и мониторинг?
В недавно цитировавшимся немного юморном http://www.samag.ru/cgi-bin/go.pl?q=articles;n=08.2008;a=01 в твоем случае похоже на стартовый уровень предприятия.
Только что переделывали подобное.

Ну не против опенсорс решений, сейчас пишу "из BSD", на котором все самособрано из своих портов, и на работе юзаем-работают BSD/Linux годами (cvs/svn/mail/ipsec/script/cron/netflow/...), и таки...  


"В Cisco IOS найдено 12 новых уязвимостей"
Отправлено Аноним , 26-Сен-08 18:45 
>Причем не нужно даже таких маштабов, как вы указали. Веселье с управляемость/стабильностью
>начинается уже с 4-5-... географических площадок, на каждой 5-10 едениц оборудования
>увязанного на инфосервисы предприятия в пересчете на пару вменяемых специалистов в
>ит-отделе.

Вспоминается один реальный проект (VPN-сеть во всех субъектах федерации, такая тьму-таракань), в каждую точку по два канала с маршрутизацие BGP, спутниковых каналов больше половины. Могу сказать, выбор вендора типа нортел или циска не имеет значения - никто не делает такие сети по уму, основное правило полное осваивание бюджета со следующим тендером на следующий год Ж) и тотальной переделкой всего проекта. поэтому если вместо вендоров поставить писюки ни чего не изменится, все равно ничего работать не будет.


"В Cisco IOS найдено 12 новых уязвимостей"
Отправлено Ленивый пес , 26-Сен-08 19:14 

>Вспоминается один реальный проект (VPN-сеть во всех субъектах федерации, такая тьму-таракань), в
>каждую точку по два канала с маршрутизацие BGP, спутниковых каналов больше
>половины. Могу сказать, выбор вендора типа нортел или циска не имеет
>значения - никто не делает такие сети по уму, основное правило
>полное осваивание бюджета со следующим тендером на следующий год Ж) и
>тотальной переделкой всего проекта. поэтому если вместо вендоров поставить писюки ни
>чего не изменится, все равно ничего работать не будет.

Ну не стоит так категорично. Участвовал в кусках трех подобных _гос_-проектов по субсубподряду (можна не буду писать какие?). Там другой ньюанс - все руководители говорят что "надо!", бюджет откатывают на все и до упора, а потом начинают думать что с этим делать и искать специалистов за 15тыс рупий/мес :))
Ну через год начинают работать _немного_, переделав на 10-15%. По разговорам с коллегами, в разных регионах +- лапоть.




"В Cisco IOS найдено 12 новых уязвимостей"
Отправлено harrytv , 26-Сен-08 21:27 
Блин, вставлю и свои 5 копеек.
Думаю те, кто рулит сетью с десятками и сотнями активных устройств предпочтет, как минимум, единый интерфейс и логику работы. Надежность и документированность тоже не на последнем месте. Уязвимости есть в любом софте, кроме неработающего.
Откаты в нашей стране и в ЖКХ неплохие - там без сиски обходятся ОК.

"В Cisco IOS найдено 12 новых уязвимостей"
Отправлено Аноним , 26-Сен-08 22:30 
Да, возможно, у Вас другой опыт. Почему-то уверен, что большие VPN с многократным резервированем и коэффициентом доступности 0,997 в масштабах страны можно строить только на бумаге и даже сдавать приемной коммисии (думаю большинство догадается как), но не эксплатировать. Такие сети относятся к разряду сложных систем и для их функционирования необходима необходимость, уж извините за тафталогию, а они нафиг не нужны ни государству, ни чиновникам, может быть и населению, т.к. люди нуждаются больше в еде и жилье. Так что
слушайте музыку Пахмутовой:
-----
Забота у нас простая,
Забота наша такая:
Жила бы страна родная, —
И нету других забот.

"В Cisco IOS найдено 12 новых уязвимостей"
Отправлено harrytv , 28-Сен-08 15:08 
>... что большие VPN с многократным резервированем и коэффициентом доступности 0,997 в
> масштабах страны

Что есть VPN сеть? Я так думал, что есть сети ip, а поверх гоняйте что хотите.
Большие ip сети масштаба страны на сиско строить можно, нужно ли это пресловутому "народу"  - не технический вопрос.


"В Cisco IOS найдено 12 новых уязвимостей"
Отправлено chesnok , 27-Сен-08 01:38 
>[оверквотинг удален]
>>P.P.S. И чтобы при внезапном отключении питания фс на устройстве портилась только
>>тогда, когда песок из встроенной флешки начинает сыпаться. Мне такое же,
>>только для хбсд или линухи и жестких дисков =)
>
>+1
>
>Причем не нужно даже таких маштабов, как вы указали. Веселье с управляемость/стабильностью
>начинается уже с 4-5-... географических площадок, на каждой 5-10 едениц оборудования
>увязанного на инфосервисы предприятия в пересчете на пару вменяемых специалистов в
>ит-отделе.

согласен,

видимо люди, которые рассказывают о превосходстве ПК - трактуют термин сеть или корпоративня сети иначе, и в их сетевых комплексах нет приложений с трбованиями типа:
Mission-Critical,Mission-Critical...


"В Cisco IOS найдено 12 новых уязвимостей"
Отправлено Alex_Dert , 28-Сен-08 09:51 
>>[оверквотинг удален]

Почитал и ужаснулся...
с такими коллегами, отписавшимися выше и радеющими за опен соурс, оного в бизнес-телеком+ сетях скоро совсем не останется. "умельцы" бегающие из одной конторы в 1500 человек в другую и насаждающие "типовые решения супер-подходящие для всех и каждого за $2".

З.Ы.
учитесь, умельцы linx/bsd, не только в коде разбираться и переписывать под себя каждый второй драйвер, но и понимаюнию требований, стандартов компаний и "бизнеса".

З.З.Ы.
В своем регионе (крск, край) к сожалению, пока не встречал адекватных администраторов, даже из крупных сетей, оптимально использующих все плюсы проприеритарных и опен соурс решений.



"В Cisco IOS найдено 12 новых уязвимостей"
Отправлено chesnok , 28-Сен-08 14:45 
>В своем регионе (крск, край) к сожалению, пока не встречал адекватных администраторов,
>даже из крупных сетей, оптимально использующих все плюсы проприеритарных и опен
>соурс решений.

это мечта работодателя, в малом/начальном бизнесе, но отличие в том, что средний бизнес это уже начинает понимать, что кухонный комбайнов хороших не сущетсвует, ну и каким-то образом это видимо связанно с $...

а так здорово получается нанимаем 1-го специаиста: freebsd-any-key-администратора он обеспечит поддержку/администрирование: 1с+++wine, frebsd++++,телефонную станцию panasonic(другие производители не поддерживаются), построенние корпоративной сети, управление маршрутизаторами/коммутаторами, да и вообще оценка эффективности и планирования...
незаменимый специалист, цена которого 300-500$ в городе Москва


"В Cisco IOS найдено 12 новых уязвимостей"
Отправлено isp , 28-Сен-08 15:49 
>[оверквотинг удален]
>>соурс решений.
>
>это мечта работодателя, в малом/начальном бизнесе, но отличие в том, что средний
>бизнес это уже начинает понимать, что кухонный комбайнов хороших не сущетсвует,
>ну и каким-то образом это видимо связанно с $...
>
>а так здорово получается нанимаем 1-го специаиста: freebsd-any-key-администратора он обеспечит поддержку/администрирование: 1с+++wine,
>frebsd++++,телефонную станцию panasonic(другие производители не поддерживаются), построенние корпоративной сети, управление маршрутизаторами/коммутаторами,
>да и вообще оценка эффективности и планирования...
>незаменимый специалист, цена которого 300-500$ в городе Москва

Очень интересно понятие anykey к Unix-администраторам.
Если смотреть откуда и для кого слово данное возникло, то оно относилась к людям, которые жмут только кнопки и появилось для пользователей графических ОС (Аpple, Windows 3.1 и т.д.)

Если смотреть, что есть CVMS, то такое понятие кошкарям тоже подходит.
А если посмотреть на запад, то Unix/linux администратор там получает аналогично цисковеду и знаний от него требует довольно глубоких.
Не бойтесь киска не умрет в бижайшем будущем :-). И мои и ваши сертификаты CCNA и т.д. еще пригодятся :-).



"В Cisco IOS найдено 12 новых уязвимостей"
Отправлено chesnok , 28-Сен-08 17:22 
>[оверквотинг удален]
>Очень интересно понятие anykey к Unix-администраторам.
>Если смотреть откуда и для кого слово данное возникло, то оно относилась
>к людям, которые жмут только кнопки и появилось для пользователей графических
>ОС (Аpple, Windows 3.1 и т.д.)
>
>Если смотреть, что есть CVMS, то такое понятие кошкарям тоже подходит.
>А если посмотреть на запад, то Unix/linux администратор там получает аналогично цисковеду
>и знаний от него требует довольно глубоких.
>Не бойтесь киска не умрет в бижайшем будущем :-). И мои и
>ваши сертификаты CCNA и т.д. еще пригодятся :-).

немного путаете понятияе - сертифицированный профессионал и самоучка, который в жизни видел только пк с freebsd.
Да на западе конпесация выше чем у нас, но только за профессиональную работу, кстати потребность именно в "специалистах" по freebsd и тд большая в нашей стране чем на западе, поскольку у нас еще остались колхозы, где считаю,что можно экономить и экономить и при этом быстро и интенсивно развиваться. Если Вы к примеру захоти работать в америке им интересно какой вы в впервую очередь специалист,а не сколько установили патчей или связок или "секономили" денег, и work permit дается только для специалистов.


"В Cisco IOS найдено 12 новых уязвимостей"
Отправлено isp , 28-Сен-08 18:14 
>[оверквотинг удален]
>>к людям, которые жмут только кнопки и появилось для пользователей графических
>>ОС (Аpple, Windows 3.1 и т.д.)
>>
>>Если смотреть, что есть CVMS, то такое понятие кошкарям тоже подходит.
>>А если посмотреть на запад, то Unix/linux администратор там получает аналогично цисковеду
>>и знаний от него требует довольно глубоких.
>>Не бойтесь киска не умрет в бижайшем будущем :-). И мои и
>>ваши сертификаты CCNA и т.д. еще пригодятся :-).
>
>немного путаете понятияе - сертифицированный профессионал и самоучка, который в жизни видел

Не путаю, сертификация есть и у ред хата и у сана и у IBM, так на freebsd и linux администрирования нужен сертификат

>только пк с freebsd.
>Да на западе конпесация выше чем у нас, но только за профессиональную
>работу, кстати потребность именно в "специалистах" по freebsd и тд большая
>в нашей стране чем на западе, поскольку у нас еще остались
>колхозы, где считаю,что можно экономить и экономить и при этом быстро
>и интенсивно развиваться.

Не согласен сейчас у них наоброт спрос повысился, совсем недавно мне знакомые из агенство очень просили им с десяток найти сертифицированных админов для европы.

> Если Вы к примеру захоти работать в америке
>им интересно какой вы в впервую очередь специалист,а не сколько установили
>патчей или связок или "секономили" денег, и work permit дается только
>для специалистов.

В резюме описываются обязанности и навыки, и для контор больших очень важны глубокие скилсы.


"В Cisco IOS найдено 12 новых уязвимостей"
Отправлено chesnok , 28-Сен-08 18:47 
>[оверквотинг удален]
>из агенство очень просили им с десяток найти сертифицированных админов для
>европы.
>
>> Если Вы к примеру захоти работать в америке
>>им интересно какой вы в впервую очередь специалист,а не сколько установили
>>патчей или связок или "секономили" денег, и work permit дается только
>>для специалистов.
>
>В резюме описываются обязанности и навыки, и для контор больших очень важны
>глубокие скилсы.

о каких странах у вас есть информация?
в боьшинстве своем интересен специалит по unix - solaris,aix,ibm но не как не freebsd, тоже само и касается linux - redhat,suse...


"В Cisco IOS найдено 12 новых уязвимостей"
Отправлено isp , 28-Сен-08 19:20 
>[оверквотинг удален]
>>
>>> Если Вы к примеру захоти работать в америке
>>>им интересно какой вы в впервую очередь специалист,а не сколько установили
>>>патчей или связок или "секономили" денег, и work permit дается только
>>>для специалистов.
>>
>>В резюме описываются обязанности и навыки, и для контор больших очень важны
>>глубокие скилсы.
>
>о каких странах у вас есть информация?

Речь шла о норвегии и швеции.

>в боьшинстве своем интересен специалит по unix - solaris,aix,ibm

согласен

>но не как
>не freebsd,

в том агенстве у yих позиция шла ibm/freebsd administrator

>тоже само и касается linux - redhat,suse...

тоже согласен



"В Cisco IOS найдено 12 новых уязвимостей"
Отправлено Аноним , 29-Сен-08 09:28 
тут статья по дрывости ИОСа.
ИОС дыряв и это факт, причем фиксы только заплатки, которые архитектурно ничего не меняют.
потому как в ней нет разделение юзерленда с кернелом вообще.
Выход один менять архитектуру, что по моему делается с иос хр, насколько успешно не
известно, покажет время.
Насчет mission critical это от лукавого :), потому как сертифицированному специалисту кошарнику надо же отмазаться в случае проблемы: "это иос виноват", что сложнее сделать unix админу.

Сколько разбирал циски пока еще не видел никаких там внутри специализированных ASIC и т.д.
циска 7206 это тот же самый PC только на в форм-факторе compactPCI, как и все железо операторского класса. И говорить о том что якобы циска делает свою модель маршрутизаторов просто абсурдно, так же как и джунипер. У джунипера насколько я видел интерфейсные платы интересные(собственные), а по сути это тот же самый compactPCI.

Вот вопрос господам цисководам:
почему на Cisco 7206 c NPE-400 стоит чип интела i82543 что по всем спекам проходит как гигабитный контроллер. Только трансивер стоит на fast ethernet. Отсюда вопрос к чему бы это?
по сути дела для того чтоб получить гигабит необходимо перепаять трансивер, который стоит копейки. А циска уже продает это за другие деньги. А вы говорите решения от циско.
Главней всего маркетинг, а железо потом.

Не бывает технологического преимущества, потому как достичь этого не возможно.
Программисты из циско лучше програмистов из каких-либо открытых проектов, имеется ввиду серъезных проектов(netbsd, openbsd, freebsd и т.д.)? ответ конечно же нет, местами даже хуже.

А те господа цисководы котрые получили бумажки (CCNA, CCNIE) считают что нет лучше решений чем циска, потому как им показали только циско решения и это тоже часть маркетинга. Специалист обученный под вендора естественно будет советовать покупать железо данного вендора.

Порой мне кажется что вендоры шуты .



"В Cisco IOS найдено 12 новых уязвимостей"
Отправлено chesnok , 30-Сен-08 01:22 
>[оверквотинг удален]
>Программисты из циско лучше програмистов из каких-либо открытых проектов, имеется ввиду серъезных
>проектов(netbsd, openbsd, freebsd и т.д.)? ответ конечно же нет, местами даже
>хуже.
>
>А те господа цисководы котрые получили бумажки (CCNA, CCNIE) считают что нет
>лучше решений чем циска, потому как им показали только циско решения
>и это тоже часть маркетинга. Специалист обученный под вендора естественно будет
>советовать покупать железо данного вендора.
>
>Порой мне кажется что вендоры шуты .

по каким "спекам" его считают как fe?
Да нет, cisco дает надежноть и гарантию, а то, что pc может эмулировать что-то то вовсе не означает его превосходсво или равенство с маршрутизатором, при всем при этом IOS действительно не сверх идеален, но сверхнадежного просто не может быть, cicso ios как ос возможно проще, но в нем реализованным мехниазмы и управление намного лучше и оптималльнее нежели в ПК, который по своей сущености не является устройством сетевого уровня, взять устройство mem-pool-menager, или cef, я не думаю, что ПК с freebsd способен вообще осущетсвлять L2/L3 коммутацию...говорить об этом особого смысла нет, ПК не предоставляет на уровне SMB/Enterprice НИКАКИХ рещений, и прич тому достаточно...

Программисты впринципе везде одинаковые (хотя вы наверное скажете, что в микрософт наверное идиоты) = вопрос лишь в их коичестве и общих ресурсах, можно взять какой-нить из продуктов Oracle и попытаться разобраться в его и коде и создать свой - вопрос ресурсов, в oracle не одна тысяча программистов работает...
Дженипер произходит хорошее оборудование, но средства которые эта компания тратит нарзвитие новых технолгий существенно ниже cisco systems, к тому же, cisco на данный момент считает лидером именно по возможностям устройства и по кол-ву модулей и интерфейсных плат, а приимущство дженипер только однр - это тупая "мясорубка" трафика, например где мне ее удалось видеть так считают все (ртком, синтера).



"В Cisco IOS найдено 12 новых уязвимостей"
Отправлено wxlnet , 05-Июн-09 18:47 
I don't what your mean.