А там внутри сети еще же и маршрутизатор стоит между 10.10.10.0.0/24, 10.10.2.0/24 и 10.10.100.0/24? А какие правила на нем настроены? А там NAT на нем стоит или маршрут на 10.0.0.0/8 с сервера прописан в сторону роутера статично? А PBR роутер поддерживает?
Identity Agent вместе с собой ставит TDI драйвер, который перехватывает все подключения и для каждого пользователя генерирует свой пул source портов, по которым потом сам шлюз определяет каждого пользователя на терминальном сервере.
Ну-ну-ну, мы когда в свое время на EMC VNX хотели отказоустойчивые сайты при помощи VPLEX развернуть там как бы основным условием было (тогда по-крайней мере) прямая FC видимость стораджей, ибо там синхронная репликация (active-active резервирование таки), синхронизация состояний и еще тонна каких-то условий. И как вариант (помимо прямых волокон) рассматривался metro L2 чтобы по FCoE гонять все эти радости. Сейчас, конечно, все немного поменялось (в т.ч. по бизнес-требованиям), но осадочек остался.
Ну N2K — это же extender и без «папиного» N5K в общем-то не нужен. Ну да, вместе с «отцом» образуют Access, только он не двухровневый, а просто с выносными модулями (дабы портовую емкость «размазать» по ЦОДу). Они там даже SFP-сборки копеечные под эти связки выпускают. Насчет рекламы уверенно спорить не буду, но мне показалось, что технология претендует на новаторство, коего, как оказалось, здесь нет :)
В живых проектах Cisco предлагает полносвязную пару Aggregation-Access, при том ставить туда 6к или 7к — зависит исключительно от нагрузок. Best Practice для ЦОД у них как раз полносвязный по L3 Core — Aggregation на N7K от которых вниз до Access полносвязный VPC/FP. Это практика. Cisco уже давно идет в сторону отказа от классической трехуровневой модели. Даже по Campus Network уже развивается в направление спуска сервисов ядра до клиентских портов — 6800ia (Instant Access) в связке c 6500. Так что HP не новатор, а уж на практике — тем более. И я не защищаю Cisco, просто немного странно приводить такой подход, как великую новацию в сетевой архитектуре.
Текст писал маркетолог HP: «HP упрощает архитектуру сети с трёхуровневой (характерной для традиционных сетевых архитектур Cisco) », ага. Cisco FabricPath, 2012 год, архитектура ЦОД уже давно не трехуровневая, STP никто подавно не использует. HP, мягко говоря, в своих предпосылках немного отстала.
Поможет, конечно. Основной вопрос — как быстро. Думается мне, что до прикрытия финансирования АНБ они, дай бог, несколько сотен аккаунтов сломают. Это если не учитывать двухфакторной авторизации и ненавязчивой просьбы того же гугла или майкрософта к своим пользователям сменить пароли, аккурат после передачи всего этого добра властям.
Для меня, наверное, главным в Стиве была его философия. Он жил согласно тому, что говорил — и многим хотя бы этому стоит у него поучиться. Его философия не принимала слов «а что подумают остальные», «а вдруг не получится». Он делал так, как считал нужным, но при этом всегда итогом становился идеально сделанный продукт, стратегический шаг и маркетинговый ход. Он никогда не сдавался просто потому, что не знал такого слова.
Можно не восхищаться продуктами Apple, но только не их создателем и идеологом.
Если уж брать кольцевые топологии, то надо рассмотреть хотя бы парочку непосредственно кольцевых топологий.
Вполне здравое предложение.
Агрегация каналов позволяет добиться горячего резерва на отдельно взятом канале и может использоваться вместе с STP и прочим, но никак не заменяет его.
Это классическая зашоренность. Посмотрите на SMLT и vPC — собственно, расширения технологий агрегации каналов MLT и PortChannel. Описание того же vPC даже имеет характерный заголовок. Уже давно агрегация каналов не используется исключительно для увеличения пропускной способности.
На счет теплого с мягким не понял, честно.
STP, RSTP, кольцевые топологии, не избавят Ethernet от необходимости в холодном резерве.
Это я где такое писал? Я напротив, говорил, что это и есть основной недостаток STP (как и время сходимости сети), что избыточная инфраструктура в кольцевой топологии лежит мертвым грузом, до тех пор пока не произойдет отказ.
Если уж совсем исчерпывающе рассматривать кольцевые топологи, то и про L3-свичи было бы полезно написать и про Link aggregation. Темы, как мне кажется, немного интереснее, т.к. STP — это все же холодный резерв со всеми вытекающими недостатками.
Ок, чтобы не было ощущения, что я придираюсь к словам, давайте разберемся.
Во-первых, DynDNS позволяет динамически изменять NS записи при изменении IP адреса хоста. Обычно, DynDNS используется в случаях динамически выдаваемых внешних адресов из автономной системы, принадлежащей интернет-провайдеру (или вышестоящему оператору связи). Адреса в автономных системах не нуждаются в какой-либо трансляции, а маршрутизируются через протоколы динамической/статической маршрутизации (RIP, OSPF, BGP и пр.).
Во-вторых, NAT используется, обычно, для трансляции внутренних адресов во внешний.
Таким образом, если у Вас работает DynDNS, то и адрес провайдер вам выдает динамический внешний. Если вы подключаетесь через свой роутер, то NATом является именно он и транслирует ваши локальные адреса через внешний IP адрес наружу. У провайдера в этом случае никакой потребности в NATе нет.
В итоге, DynDNS привязывает некоторое имя хоста к вашему динамическому адресу и без привязки по портам бросает все пакеты на него т.е. они не NATируясь приходят на WAN интерфейс вашего роутера. Роутер, в свою очередь, транслирует внешний интерфейс через свой NAT в вашу локальную сеть и хранит локальную таблицу трансляции.
При схеме с двумя NATами (роутер и провайдер) последний выдает WAN интерфейсу вашего роутера внутренний (серый) ip-адрес и в этом случае DynDNS вам не поможет.
Знакомый прошел регистрацию на сайте, но тем не менее письмо ему не пришло. Как узнать, прошла ли его регистрация? Может список участников можно где-нибудь посмотреть?
Недостатки тут разве что в сложности: хэширование на клиенте через JS, по 2 запроса и ответа от сервера (опять таки, время). А в целом, Вы описали логику аутентификации по Kerberos :)
Кстати, если у злоумышленника есть таки возможность перехватывать Ваши пакеты, то и salt1, md5(salt+password), salt2 он может перехватить. Да, тут встаёт вопрос, может ли он это после обработки дописывать в ответ серверу или, грубо говоря, полностью сэмитировать сессию (в Kerberos ещё помимо проверок паролей идёт шифрование по открытым ключам и выдача всяких посторонних значений для идентификации пользователей и их сессий — не буду подробно расписывать т. к. темы вопроса это не касается :) ).
Но зачем всё усложнять — передавайте пароль по https и никаких лишних ухищрений делать не придётся. Не панацея, конечно, но усложнять веб-системы подобным образом — не самый разумный подход, помоему :)
Я бы этому «упырю» всё таки написал письмо, что логотип Вашей компании следует убрать с сайта — только порочит репутацию. Безотносительно к чьему-либо сарказму.
А там внутри сети еще же и маршрутизатор стоит между 10.10.10.0.0/24, 10.10.2.0/24 и 10.10.100.0/24? А какие правила на нем настроены? А там NAT на нем стоит или маршрут на 10.0.0.0/8 с сервера прописан в сторону роутера статично? А PBR роутер поддерживает?
Вы задачи-то четче ставьте...
Это вы еще далеко дочитали
Для меня, наверное, главным в Стиве была его философия. Он жил согласно тому, что говорил — и многим хотя бы этому стоит у него поучиться. Его философия не принимала слов «а что подумают остальные», «а вдруг не получится». Он делал так, как считал нужным, но при этом всегда итогом становился идеально сделанный продукт, стратегический шаг и маркетинговый ход. Он никогда не сдавался просто потому, что не знал такого слова.
Можно не восхищаться продуктами Apple, но только не их создателем и идеологом.
Вполне здравое предложение.
Это классическая зашоренность. Посмотрите на SMLT и vPC — собственно, расширения технологий агрегации каналов MLT и PortChannel. Описание того же vPC даже имеет характерный заголовок. Уже давно агрегация каналов не используется исключительно для увеличения пропускной способности.
На счет теплого с мягким не понял, честно.
Это я где такое писал? Я напротив, говорил, что это и есть основной недостаток STP (как и время сходимости сети), что избыточная инфраструктура в кольцевой топологии лежит мертвым грузом, до тех пор пока не произойдет отказ.
Во-первых, DynDNS позволяет динамически изменять NS записи при изменении IP адреса хоста. Обычно, DynDNS используется в случаях динамически выдаваемых внешних адресов из автономной системы, принадлежащей интернет-провайдеру (или вышестоящему оператору связи). Адреса в автономных системах не нуждаются в какой-либо трансляции, а маршрутизируются через протоколы динамической/статической маршрутизации (RIP, OSPF, BGP и пр.).
Во-вторых, NAT используется, обычно, для трансляции внутренних адресов во внешний.
Таким образом, если у Вас работает DynDNS, то и адрес провайдер вам выдает динамический внешний. Если вы подключаетесь через свой роутер, то NATом является именно он и транслирует ваши локальные адреса через внешний IP адрес наружу. У провайдера в этом случае никакой потребности в NATе нет.
В итоге, DynDNS привязывает некоторое имя хоста к вашему динамическому адресу и без привязки по портам бросает все пакеты на него т.е. они не NATируясь приходят на WAN интерфейс вашего роутера. Роутер, в свою очередь, транслирует внешний интерфейс через свой NAT в вашу локальную сеть и хранит локальную таблицу трансляции.
При схеме с двумя NATами (роутер и провайдер) последний выдает WAN интерфейсу вашего роутера внутренний (серый) ip-адрес и в этом случае DynDNS вам не поможет.
Кстати, если у злоумышленника есть таки возможность перехватывать Ваши пакеты, то и salt1, md5(salt+password), salt2 он может перехватить. Да, тут встаёт вопрос, может ли он это после обработки дописывать в ответ серверу или, грубо говоря, полностью сэмитировать сессию (в Kerberos ещё помимо проверок паролей идёт шифрование по открытым ключам и выдача всяких посторонних значений для идентификации пользователей и их сессий — не буду подробно расписывать т. к. темы вопроса это не касается :) ).
Но зачем всё усложнять — передавайте пароль по https и никаких лишних ухищрений делать не придётся. Не панацея, конечно, но усложнять веб-системы подобным образом — не самый разумный подход, помоему :)
phone: +7 812 3361217
fax-no: +7 812 3361217
e-mail: art-work@mail.ru
Я бы этому «упырю» всё таки написал письмо, что логотип Вашей компании следует убрать с сайта — только порочит репутацию. Безотносительно к чьему-либо сарказму.