Příspěvky

31

Server / Re:Je bezpečné otevřít Sambu do Internetu?

« kdy: 26. 08. 2016, 11:19:15 »

První a poslední, co každý rozumný ISP blokuje, je nic. Říká se tomu síťová neutralita. Pokud ti ISP něco blokuje, reklamuj to, protože ti neposkytuje internet, ale jakousi okleštěnou cenzurovanou službu částečného přístupu kdoví kam.

Zkuste se takto  bavit s jediným (navíc nadnárodním) providerem v místě :-) Opravdu to blokuje dost poskytovatelů, třeba UPC nebo Netbox.

32

Sítě / Re:Dokumentace sítě

« kdy: 28. 06. 2016, 00:27:13 »

Co se týká fyzické infrastruktury, existují k tomu samozřejmě software, ale jsou obvykle pekelně drahé - používají se většinou k dokumentaci optických sítí, protože dokumentace v budovách není příliš užitečná. I když my máme software, který je schopen třeba trasovat metalické rozvody mezi patchpanely až do koncové zásuvky.

Z těch komerčních pro optiku jsou to třeba Fiber Optics Works od Hexagon safety and infrastructure, IFD od Bentley, OSPINSIGHT od AFO.

Ale pro toto použití je to víc než drahá hračka > 1 000 000 Kč

33

Hardware / Re:Rack case do 500mm nastenneho racku

« kdy: 10. 08. 2015, 08:18:36 »

Toto je 3U, pokud se nepletu: http://www.emko.cz/produkty/it-skrine/mini-itx/mini-itx-19/em-165l-without-psu-2x-5-25-h1342

34

Hardware / Re:Rack case do 500mm nastenneho racku

« kdy: 10. 08. 2015, 08:14:55 »

http://www.emko.cz/produkty/it-skrine/ipc-19 ?

35

Hardware / Re:Rack case do 500mm nastenneho racku

« kdy: 09. 08. 2015, 10:56:47 »

Tady bys měl něco najít: http://www.emko.cz/produkty/it-skrine/mini-itx

některé rackmontovací 1U používáme, bez problémů.

mimochodem, dělají i krabice pro Turris a kdybys chtěl vlastní, tak se můžeš domluvit :-)

36

Hardware / Re:Rack case do 500mm nastenneho racku

« kdy: 09. 08. 2015, 10:49:52 »

Tady bys měl něco najít: http://www.emko.cz/produkty/it-skrine/mini-itx

některé rackmontovací 1U používáme, bez problémů.

37

Sítě / Re:Nestandardní maska sítě 255.255.254.0

« kdy: 10. 07. 2015, 00:15:44 »

A je ještě otázka, proč musejí být počítače v jedné L2 síti, když mezi nimi podle popisu komunikace přes L2 protokoly neprobíhá. Jsou to patrně inteligentní switche, které zvládají VLANy, takže by klidně stačilo vytvořit další VLAN, nové počítače vrazit do ní a routovat to stávajícím routerem.

38

Sítě / Re:Nestandardní maska sítě 255.255.254.0

« kdy: 10. 07. 2015, 00:12:32 »

Asi nejjednodušší řešení je do stejné L2 sítě dát ještě jednu L3 síť 10.57.174.0/24

Znamená to:

• na routeru přibude definice další IP sítě na jednom interface (pomocí ip addr add 10.57.174.1/24 dev eth0)
• nové počítače budou dostávat adresy ze sítě 10.57.174.0/24
• logiku komunikace starých počítačů s novými to nijak nenaruší - budou komunikovat přes router
• komunikace mezi koncovými stanicemi podle popisu moc neprobíhá, takže paket půjde L2 sítí pouze jednou
• počet broadcastů vzroste lineárně - i tak mám pocit, že se vliv broadcastů přeceňuje (ARP potřebujete až po vypadnutí záznamu z ARP cache)

A pak je samozřejmě otázka, proč jsou ty gigabitové switche tak vytížené, zvlášť když se tvrdí, že počítače mezi sebou moc nekomunikují - to je totiž spíš logický nesmysl, protože v udávané situaci by byl bottleneck připojení routeru a zbytek portů by neměl co dělat.

39

Sítě / Re:L2/L3 switch

« kdy: 30. 12. 2014, 15:42:37 »

Mirek Prýmek: Já bych ti doporučil 8 port switch TP-Link TL-SG2008 za cca 1600 Kč.
DgBd:Má to i CLI přes SSH (manuál pro samotné CLI má 169 stránek a je podobná syntaxi Cisek) :-) Z požadavků mimo CLI to nemá možnost použít ssh na další prvky v síti (pro access switche IMHO není třeba), jinak vše (obsolete protokol TACACS+ nepočítám, když podporuje 802.1x přes Radius).

To je zase... RADIUS neumí rozumným způsobem autorizaci. Takže bych s tím obsolete protokolem byl opatrný. Ostatně implementují ho i Juniper nebo HP. Právě kvůli autorizaci CLI příkazů.

40

Sítě / Re:L2/L3 switch

« kdy: 30. 12. 2014, 14:28:15 »

Tak pokud tě neoslovují ani ty další parametry, které jsem zmínil, tak v tom případě je ten NetGear pro tvé účely patrně dostatečně použitelné zařízení.

Jsou nejaky dalsi parametry krome toho CLI?

Nevím, jestli mám opakovat, to co jsem napsal, ale namátkou:

- textová konfigurace (kvůli diffům)
- popisky na portech
- centralizované AAA (autentizace, autorizace, accounting) přes TACACS+, RADIUS
- možnost použít ssh na další prvky v síti
- autorizace na portech - 802.1x
- port mirroring
- syslog

41

Sítě / Re:L2/L3 switch

« kdy: 30. 12. 2014, 13:57:03 »

Asi jsem se ne úplně přesně vyjádřil. CLI jsem myslel CLI přes SSH. Tj. dostanu se pomocí ssh na nejbližší prvek k tomu špatnému a pokračuju dalším hopem opět pomocí ssh.

Ok, to pak ale neni L2 a kdyz tam budes mit spatne IP adresu, tak to stejne nebude fungovat

Za podminek ze 1) ty tvoje zarizeni umi ssh clienta, ale neumi forwardovat port 2) nemuzes na routeru/routerech forwardovat http port nekam, kam se dostanes a 3) nemas v siti nic, co by http port umelo forwardovat, tak mas pravdu. Ja takovy sajty nemam, tak to neresim...

Tak pokud tě neoslovují ani ty další parametry, které jsem zmínil, tak v tom případě je ten NetGear pro tvé účely patrně dostatečně použitelné zařízení.

42

Sítě / Re:L2/L3 switch

« kdy: 30. 12. 2014, 13:48:20 »

obvykle ten, že se k tomu switchi dostaneš právě pouze z přímo připojeného (na L2) zařízení (které neumí webový prohlížeč)

Uz tomu rozumim - ty zarizeni, ktery pouzivas ty, umi nejaky CLI rozhrani po L2 a zaroven mas v siti vzdycky druhy zarizeni, ktery umi fungovat jako klient pro tenhle protokol. Ok, tak tam je rozdil oproti ssh i http. Ja tuhle situaci neresim, protoze mam vzdycky v siti nejaky server, pres ktery se na http dostanu, router, pres kterej si muzu forwardovat port kam potrebuju a situaci spatne nastavene IP adresy neresim

Asi jsem se ne úplně přesně vyjádřil. CLI jsem myslel CLI přes SSH. Tj. dostanu se pomocí ssh na nejbližší prvek k tomu špatnému a pokračuju dalším hopem opět pomocí ssh.

Máme lokality, kde nemáme žádný server, takže si žádný webový prohlížeč ze serveru nepustím (jsou tam jenom pracovní stanice, které mohou být po pracovní době vypnuté, navíc třeba bez centrální správy nebo bez možnosti instalovat nějaký software nebo mít RDP).

43

Sítě / Re:L2/L3 switch

« kdy: 30. 12. 2014, 13:36:11 »

Dál třeba máme společnou část konfigurace, takže při příchodu nového switche to v lepším případě vezmu do myši a plácnu do CLI za pár sekund než abych musel dost dlouho proklikávat webové rozhraní (a na polovinu věcí zapomenul).

To muzes i tak - proste obnovis konfiguraci ze zalohy a zmenis jenom ty individualni rozdily.

v záloze mám nějakou použitou konfiguraci, takže tam bude hromada věcí, které bych musel změnit, hlavně nastavení jednotlivých portů. Taky si třeba u každého portu udržujeme popisek toho, kam je připojený.

co třeba zapomenutá/změněná default gw v případě toho koncového switche?

A ta zpusobuje jaky rozdil mezi pripojenim na ssh a http?

obvykle ten, že se k tomu switchi dostaneš právě pouze z přímo připojeného (na L2) zařízení (které neumí webový prohlížeč)

44

Sítě / Re:L2/L3 switch

« kdy: 30. 12. 2014, 13:16:02 »

Obvykle spravuju switche na vzdálených lokalitách. V případě problémů si prostě nemůžu pustit webový prohlížeč z nejbližšího routeru (protože je to třeba cisco/HP/něco jiného).

Tomu moc nerozumím - jak se liší složitost protunelování si sshčka a http? Pokud se tam nejsi schopný dostat přes http, tak se tam nedostaneš ani přes ssh, ne? (to je otázka, ne polemika)

co třeba zapomenutá/změněná default gw v případě toho koncového switche?

45

Sítě / Re:L2/L3 switch

« kdy: 30. 12. 2014, 13:14:31 »

Dál třeba máme společnou část konfigurace, takže při příchodu nového switche to v lepším případě vezmu do myši a plácnu do CLI za pár sekund než abych musel dost dlouho proklikávat webové rozhraní (a na polovinu věcí zapomenul).