Příspěvky

136

Sítě / Re:Skype „zahltí“ providerovi siť

« kdy: 03. 11. 2014, 13:26:09 »

To bude velmi velmi velmi srandovny provider Skype zvykol otvarat vela spojeni, ale to robia aj torrenty. Provider bude mat pravdepodobne velmi slabeho sietara.

137

Server / Re:Nginx - vyrovnávanie výkonu

« kdy: 25. 10. 2014, 17:48:31 »

Tak ako pisu ostatny, nie je problem spravit upstream v inej sietii, ale je to v podstate blbost. Round Robin DNS by v tomto pripade malo byt dostacujuce.

138

Sítě / Re:Zapojení Top of Rack switche na uplink data centra

« kdy: 23. 10. 2014, 23:25:46 »

Dik za odpoved, ale niektore casti nechapem. Predtym si vsak ujasnime jednu vec... Sme startup. Nemozeme si dovolit o moc viac nez mame. V ramci geografickej redundancie mame este jeden server v colocation v inej casti Bratislavy a u ineho providera.

Co sa tyka L2/L3... Mne pride L2 ako jednoduchsie riesenie. Pretoze: Od Data Centra mame gateway ktory je zrieseny cez HSRP a teda aspon z mojho pohladu by mal byt "vzdy dostupny". Ak to prepojime na L2 urovni, bude to LAG a teda agregovana linka s dvojnasobnou kapacitou spravajuca sa ako "jeden kabel", akurat pojde do kazdeho switchu.
Co sa moze stat? Switch bude mat bug... Nieco skape a cely rack je dole. Lenze IMHO ak pouzijem 2 rovnake switche aj bez zapojenia do stacku, ak budu mat rovnaky bug, moze ich jeden sprosty ethernet frame zhodit oba aj ked su nezavisle.
Predpokladal som ze Stack je celkom dobre riesenie. Agregovat linku cez 2 nezavisle switche asi nepojde, cize cely tento setup je zavisly na tom mat stack, alebo nejaky proprietarny protokol ala SMLT.

L3 riesenie musi byt na urovni switchov. Nechcem na serveroch nic specialne nastavovat, tym by som akurat presuval potencial pre problemy inde. S active/backup bondingom som za vela vela rokov este nikdy nemal problemy, rad by som tento setup zachoval.
Pri tomto rieseni by asi bolo dobre dat do racku 2x Cisco 3750G a spravit HSRP bez stackovania.

Proti comu sa vlastne chcem branit?
a) Ak providerovi fyzicky skape switch --> Preto mame 2 uplinky
b) Ak nam fyzicky skape switch --> Preto bonding na strane serverov

Predpokladam ze proti vadnej konfiguracii/ludskej chybe/etc sa branit neda.

Tuto https://supportforums.cisco.com/discussion/11206431/3750-stacking-and-hsrp sa riesi nieco podobne, nakoniec skoncil pri LAGu a stackovanych 3750 switchoch.

V com ma teda prepojenie na urovni L2 nevyhody? Preco Data Centrum preferuje L3 spoj?

Zaujalo ma to preto, nakolko to teraz musim riesit ja a jedna sa o Telekom Datacentrum v BA. U predosleho zamestnavatela nam siet riesila Fujitsu a viem ze koli tomu davali do racku 2 male cisco routre (nie switche), pretoze Data Centrum R-IT nedovolovalo redundatne L2 spoje. Detaily ma vtedy nezaujimaly.

A tiez sa pamatam ze Data Centrum UpstreamNet tiez vo Viedni bolo o tom istom. Redundatny spoj na ich switche bol rieseny cez nejaky L3 spoj, detaily ma vtedy nezaujimaly.

Teraz nam sice je umoznene pouzit L2 prepoj cez LAG, ale uz 3x pocujem nezavisle od seba ze L3 spoj je preferovany. Preco? Pripada mi to ako komplikovanejsi setup.

139

Sítě / Zapojení Top of Rack switche na uplink data centra

« kdy: 23. 10. 2014, 15:19:18 »

Hello,

Doteraz som sa nezaoberal sietarinou natolko aby som musel riesit uplink v data centre, cize moje otazky mozu zniet blbo. Potesili by ma rady, ako to mate vyriesene vy, ake su vyhody ci nevyhody toho ci ineho riesenia.

Mame cerstvo prenajaty 1/2 rack, v nom iba zatial iba 5 serverov a par dalsich zariadeni... Avsak:
a) Sme optimisti, ratame s rastom
b) Setup velmi intenzivne pouziva VLANy
c) Vsetky servre pouzivaju bonding typu active/backup
d) Chceme dosiahnut plnu redundanciu siete
e) Teraz mame 2 CU ethernet kable v racku, kazdy ide u providera do ineho Cisco Nexus

Moznost 1: Nechat si napatchovat 2 kable pre kazdy server

Nechceme. Do buducnosti nevyhodne riesenie, navyse by sme casto museli konzultovat zmeny na VLANoch.


Moznost 2: Spravit LACP LAG medzi tymi dvoma uplinkami (navrhnute Data Centrom).

Tato moznost sa mi zatial pozdava najviac. Do racku dame stackovatelne switche, ci uz Avaya 5650, alebo Cisco 3750G, alebo 2960S. Nie nebudu nove a viem ze miesam L2 (2960) a L3... Nie som si isty aku vyhodu by pre nas predstavovali L3 switche. Cize ak sa nemylim, toto prepojenie na L2 urovni mozem spravit tak ze do jedneho naseho switchu pojde 1 CU uplink, druhy do druheho a tym ze to bude Stack, mozem spravit LAG aj cez tieto 2 switche. Aspon takto to chapem ja.

Ake ma nevyhody toto riesenie?


Moznost 3: Pouzit L3 switche a routovat (preferovane Data Centrom)

Toto je preferovana metoda Data Centrom, ale pre mna je zatial najzlozitejsia na pochopenie. Predpokladam ze default gateway by pre nas bol nas switch stack a tomu by bola announcovana routa do internetu. Zatial som nedosiel na to v com je toto riesenie jednoduchsie..?


Dalsie info:

Data Centrum nema zapnute STP na uplinkoch, cize pouzitie individualnych switchov (nie stack) by mohlo byt problematicke... Museli by byt prepojene, nakolko kazdy server moze mat prave na iny switch aktivny interface. Lenze ak to spravne chapem, mohlo by tu dojst k switch loopu ak by sa omylom prepojila Internetova VLANa medzi switchmi.


Ak si niekde v texte odporujem, alebo pisem blbost, kritika ma potesi. Dakujem.

140

Sítě / Re:Ako ziskat Nortel/Avaya firmware?

« kdy: 23. 10. 2014, 04:20:23 »

Uz to mam... Kebyze dakto potrebuje.
S tym ze "Currently the highest a 5500 switch can go is v6.3.3 as of today.  The v6.6 software is for 5600 switches only."

141

Sítě / Re:Ako ziskat Nortel/Avaya firmware?

« kdy: 22. 10. 2014, 00:39:55 »

V prvni rade gratuluju k dobrymu nakupu, s temahle switchema si hraju uz dlouho. Do produkce bych se to ani nasadit nebal, nam bezi uz skoro 7 let v kuse v podstate bez jedinyho problemu a to vcetne PoE (jsou to 5520).

Firmware Ti sezenu az vyresim problem s heslem u myho Avaya uctu, snad behem dneska. V podstate na nic jsme ve firme SA nemeli, melo by stacit byt jednou jejich zakaznikem, tj. mit SoldTo ID.

Any luck ziskat ten update? Dik.

142

Server / Re:Přidání serveru do /etc/hosts

« kdy: 17. 10. 2014, 21:21:19 »

Predpokladam spravne ze to PC nie je GNU/Linux?

Najjednoduchsie bude pridat si ten zaznam na lokalnom routery. Vacsina domacisch routrov pridava cez DHCP pridelene mena do vlastneho resolveru a umoznuje pridat dalsie staticke zaznamy.

143

Sítě / Re:Ako ziskat Nortel/Avaya firmware?

« kdy: 16. 10. 2014, 11:40:08 »

V prvni rade gratuluju k dobrymu nakupu, s temahle switchema si hraju uz dlouho. Do produkce bych se to ani nasadit nebal, nam bezi uz skoro 7 let v kuse v podstate bez jedinyho problemu a to vcetne PoE (jsou to 5520).

Firmware Ti sezenu az vyresim problem s heslem u myho Avaya uctu, snad behem dneska. V podstate na nic jsme ve firme SA nemeli, melo by stacit byt jednou jejich zakaznikem, tj. mit SoldTo ID.

Dakujem! Ja som bol uz nadseny ked som nasiel clanky tohoto cloveka: http://blog.michaelfmcnamara.com/2011/01/vlans-ip-routing-ethernet-routing-switch/
Uz sa tesim na vecey ked zaspia deti

144

Sítě / Ako ziskat Nortel/Avaya firmware?

« kdy: 15. 10. 2014, 19:51:16 »

Hello,

Vie mi niekto pomoct ziskat aktualny Nortel/Avaya firmware pre Ethernet Routing Switch rady 5000?

Konkretne by som chcel ERS 5000 Series Secure Runtime Image Software v6.6.1
https://support.avaya.com/downloads/download-details.action?contentId=C20147171451271470_7&productId=P0611&releaseId=6.6.x

Dakujem.



Cez eBay som na exeperimenty so stackovatelnymi switchmi kupil 4 Nortel BayStack 5510-48t switche aj so stack kablami s cielom ziskat skusenosti SMLT a vseobecne redundacie cez nielko switchov.
Doteraz som vzdy riesil len access switche, vzdy to boli Cisco a nikdy som nesiel dalej ako tagged VLANy... Nebol dovod. Pre vsetky Cisca v mojom LABe ktore este nemaju SW EOL nebol nikdy problem zohnat najnovsi IOS, teraz ma sokovalo ake zlozite je to pre tieto switche.

Kontaktoval som Avaya, ze mi ide o nekomercne pouzitie, chcem sa naucit robit s ich switchmi (vyhoda pre nich) a ze by ma potesilo ziskat v6.6.1 pre tieto vyse 10 rokov stare switche, lenze tam ma odkazali len na plateny SW maintenance...
Vazne cakaju ze dam tieto switche niekam do produkcie? Alebo ze zaplatim za ten firmware 10 nasobok toho co ma stali tie 3 switche?

145

Software / Re:Openswan nebo racoon pro IPsec

« kdy: 15. 10. 2014, 15:52:12 »

Nakolko IP Sec ide z pravidla z WAN siete, je riesenie postavene len na subnetoch imho uplne nedostacujuce. Staci aby zle skonfihurovane zariadenia providera konektivity umoaznovali IP spoofing.
Ratam s tym ze ked uz niekto nasadzuje IP Sec, ide mu o bezpecnost. Cize je nutne markovat ESP packety pred desifrovanim a nasledne aj ked prejdu procesom desifrovania ich na zaklade marku ktory tym nezmizne dalej spracuvat.

Netkey bol pre nas v pohode pre vsetky interne spoje. Casom sme terminovali vyse 100 s2s tunnelov s uplne diverznymi zariadeniami a zacali byt problemy s ESP SA. Proste tunel bol up/erouted, ale traffic neprechadzal. Stacilo vytvorit novu ESP SA (ISAKMP SA zostala) a tunnel zase fungoval. A to sme mali vzdy vsetky parametre (aj lifetime) fixne dohodnute. Po prechode na KLIPS zrazu vsetko fungovalo bez problemov... a z 2 - 3 alarmov denne, sme zisli na par alrmov rocne (monitoring/ping alebo TCP session).

146

Server / Re:Protipirátská ochrana LAMP aplikace

« kdy: 15. 10. 2014, 14:01:30 »

zbytocne vyhodeny cas, pripadne peniaze.
Ak to ma byt tajne, prejdite na SaaS model.

147

Software / Re:Openswan nebo racoon pro IPsec

« kdy: 15. 10. 2014, 13:55:52 »

Osobne velmi silno odporucam LibreSwan (resp. OpenSwan) s KLIPS stackom.
KLIPS sa mi osvedcil ako neporovnatelne stabilnejsi oproti Netkey, napriek faktu ze Netkey je v jadre uz par rokov.

Zaroven ma KLIPS obrovsku vyhodu vo vytvoreni ipsec0 interface a odpada tak nutnost markovat packety. Tato drobnost velmi zprehladnuje a zjednodusuje FW.

V pripade debianu teda OpenSwan + OpenSwan Modules (DKMS), alebo LibreSwan a trochu manualnej prace.

148

Odkladiště / Re:Potvrzení doporučení na LinkedIn

« kdy: 06. 10. 2014, 13:45:49 »

Profile -> edit profile -> zascrollovat _uplne dole_ k bloku "recommendations", click edit na pravo ->
Potom znova uplne na pravo click manage -> tam treba zaskrtnut ten check box, tym bude viditelna

149

Hardware / Re:RAID 5

« kdy: 03. 10. 2014, 16:28:56 »

Jak poznám, že řadič na mojí desce "Asus p5q pro" nebo jiný má funkci automatického dopočítání dat?? Nazývá se nějak tato funkce nebo má nějaké označení??

Tato doska ma ak sa nemylim LEN HostRAID a teda je na RAID 5 uplne nevhodna... Naco chces to pole? Ak to musi byt raid 5, zober aspon poriadny radic... Uz za 100 - 200 Eur mas radice s DRAM a Batrry Backupom.
Cez integrovany radic jednoznacne len AHCI a SW RAID.

Jinak, když mě odejde řadič na desce nebo jiný, tak je mě jasné, že mě RAID nepoběží, ale předpokládám, že RAID je standart a jestli mě disky v RAID 5 běžely na původní zákl. desce a poté je přenesu na jinou desku s integrovaný nebo jiným řadičem podporující RAID 5, tak data budou opět čitelná.

NIE. Musis mat cip od toho isteho vyrobcu, inak sa nepohned. Pravdaze sa da zrobit manualna recovery pomocou na to urcenych SW, ale to je jednoduchsie a lacnejsie kupit novu dosku a zmigrovat to inam.

RAID 5 globalne na _nie_ HW RAID globalne neodporucam. Zbytocna zataz na CPU, zbytocne komplikovana recovery pri poskodeni jedneho z diskov.

150

Server / Re:Komerční certifikát pro server

« kdy: 29. 09. 2014, 15:29:24 »

A co su to komercne ucely? My kupujeme lacnaky od "COMODO RSA Domain Validation Secure Server CA".
Wildcard za nejakych 110 Euro netto. Je to certifikat len na domenu, vobec nespecifikuje majitela, ale kto to cita?