А кто сказал, что он лучший?
Если у него самый короткий AS-PATH, то это далеко не означает, что связь по этому линку будет самой быстрой.
Это получается самый настоящий рандом. С тем же успехом можно принимать от всех дефолт и балансировать «как бог на душу положит», per-flow.
«Неверно, что будет 64 семьи без девочек, 32 семьи с одной девочкой»
Это как раз верно.
Я свою ошибку понял.
«Мальчик будет в каждой, т.е. их 128, они нас больше не интересуют.»
Вот это не верно. В реальности будут семьи и только с девочками.
Допустим, в стране в среднем рожают 1 ребёнка. Получим 64 мальчика + 64 девочки.
Допустим, рожают 2 детей. Получим варианты — 1 ребёнок в семье (64 мальчика) или 2 ребёнка (32 мальчика + 96 девочек), суммарно по 96 каждых.
Допустим, рожают 3 детей. Получим варианты — 1 ребёнок в семье (64 мальчика), или 2 ребёнка (32 мальчика + 32 девочки), или 3 ребёнка (16 мальчиков + 80 девочек), суммарно 112 каждых.
Логику можно продолжить.
Так что мы либо рассматриваем вариант с конечным количеством детей в семье (тогда семьи без мальчиков приведут соотношение к 50%), либо с бесконечным и мальчиками в каждой семье (тогда маловероятные семьи с огромным количеством девочек приведут к 50%).
50% будет при бесконечном числе семей и потенциальных детей в семье.
Поскольку в реальности детей гораздо меньше бесконечности, девочек должно получиться всё-таки меньше.
Насчёт FCoE, кстати, мне представители самой Cisco (и не только) говорили, что это чисто политическая штука, чтобы FC-специалисты это могли админить, доказывали свою незаменимость и не препятствовали продажам.
А с технической части нафиг она не нужна.
Насчёт Juniper я удивлён.
Сам видел статью, где перечислялись вендоры, явно требующие покупать «свои» SFP-модули. И Juniper был назван одним из немногих, кто такое делать не заставлял.
Клиент играет фактически против кухни. Его выигрыш — её проигрыш, и наоборот.
Соответственно, кухня вносит выгодные ей временные задержки в процесс торговли. Чтобы клиент чуть-чуть не успел, чуть-чуть поторопился, и т.д.
Мне кажется, или вышеупомянутая связка голой асы + 50 пользователей + сек. плюс уже на 20% дороже голого SRX, который всё это умеет из коробки? Хотите IPS на асе — опять же, покупать модуль. И никакого UTM (даже платного). И производительность в 2,5 раза меньше.
Тут корректнее сравнивать не с SRX210HE, а с SRX100B, который по GPL стоит $ 447. ASA5505-K8 по GPL без смартнета — $ 595, на 33% дороже.
Идентификация — установление личности субъекта.
Аутентификация — подтверждение подлинности субъекта.
Авторизация — проверка прав доступа субъекта к ресурсам.
Чтобы подтвердить мне, что я msamoylov мне пароль не нужен, достаточно паспорта (идентификация)
Вот в этой фразе вы утверждаете, что подтверждение подлинности у вас — идентификация. Что неверно.
Статья про ААА, если открыть тот же гайд по ссылке выше, то мы увидим, что настройка authentication обязательна, а authorization и accounting — опциональны.
Всё равно, что сказать, что смысл Active Directory — применение групповых политик и SSO на ресурсы доверенных доменов, хотя это всё — дополнительные фишки. А смысл — наличие централизованной базы учёток.
Про RADIUS напутал, каюсь. Он не поддерживает покомандной авторизации. Помнил ведь, что что-то там не поддерживалось по сравнению с TACACS. =)
Статья, кстати, не моя. Автор работает в Positive Research и её цель — очевидно, показать возможности Max Patrol. :)
На этом примере видно, что настроены три Radius-сервера. Но возникает вопрос: как они будут работать? Первое, что приходит в голову: скорее всего, они будут работать по очереди: при недоступности 192.168.1.1 идет обращение к 192.168.1.2 и т. д. Но это не так.
Разве? Мне казалось, что это именно так. Более того, документация по ссылке из статьи это подтверждает.
И что всё ок, если «хотя бы одно да» — тоже не так. Как только получен первый «нет», сразу в аутентификации отказано.
«Аутентификация — пользователь подтверждает, что он тот, за кого себя выдаёт.»
= предъявил паспорт с фото и сказал пароль
«прав на железку не будет, если не будет авторизации, будете постоянно успешно логиниться»
Пользователь вбивает команду enable и получает полный доступ. Что он делает не так?
Смысл ААА в централизованном хранении учёток и/или прав, чтобы устройства пользовались единой базой. Это устраняет необходимость поддерживать такую базу локально на каждом устройстве, что непрактично и зачастую невозможно.
А всякие связки трёх компонентов — побочный эффект, хоть и полезный.
Можно прекрасно делать ААА с RADIUS, который accounting, если не ошибаюсь не поддерживает.
Если вы не знаете, как работает ААА в Cisco, то на курсы повышения квалификации стоит сходить как раз вам, вместо того, чтобы писать тут заведомо неверные комментарии и лениться сделать стенд.
Проблем с терминологией у меня нет, именно это я и имел ввиду.
В данном случае подразумеваются права на логин в железку. Именно это настраивается командами aaa authentication…
Всё прекрасно работает, проверьте сами.
Вы ничего не путаете?
Аутентификация — пользователь подтверждает, что он тот, за кого себя выдаёт.
Авторизация — пользователю даются права на что-то.
Как первое для работы может требовать второе?
Там стоит ограничение на частоту отправки реплаев, чтобы этим не перегрузить процессор.
Решается командой ip icmp rate-limit unreachable [ms]. По умолчанию стоит не более 1 unreachable в 500мс.
Если у него самый короткий AS-PATH, то это далеко не означает, что связь по этому линку будет самой быстрой.
Это получается самый настоящий рандом. С тем же успехом можно принимать от всех дефолт и балансировать «как бог на душу положит», per-flow.
Судя по даташиту сетевой карты, она поддерживает 100M/1G/10G.
Какой выставим — такая скорость и будет.
Это как раз верно.
Я свою ошибку понял.
«Мальчик будет в каждой, т.е. их 128, они нас больше не интересуют.»
Вот это не верно. В реальности будут семьи и только с девочками.
Допустим, в стране в среднем рожают 1 ребёнка. Получим 64 мальчика + 64 девочки.
Допустим, рожают 2 детей. Получим варианты — 1 ребёнок в семье (64 мальчика) или 2 ребёнка (32 мальчика + 96 девочек), суммарно по 96 каждых.
Допустим, рожают 3 детей. Получим варианты — 1 ребёнок в семье (64 мальчика), или 2 ребёнка (32 мальчика + 32 девочки), или 3 ребёнка (16 мальчиков + 80 девочек), суммарно 112 каждых.
Логику можно продолжить.
Так что мы либо рассматриваем вариант с конечным количеством детей в семье (тогда семьи без мальчиков приведут соотношение к 50%), либо с бесконечным и мальчиками в каждой семье (тогда маловероятные семьи с огромным количеством девочек приведут к 50%).
Поскольку в реальности детей гораздо меньше бесконечности, девочек должно получиться всё-таки меньше.
А нужны ли были для лабы роутеры J-серии? Я думал, SRX их во всём может заменить.
А с технической части нафиг она не нужна.
Сам видел статью, где перечислялись вендоры, явно требующие покупать «свои» SFP-модули. И Juniper был назван одним из немногих, кто такое делать не заставлял.
Соответственно, кухня вносит выгодные ей временные задержки в процесс торговли. Чтобы клиент чуть-чуть не успел, чуть-чуть поторопился, и т.д.
Тут корректнее сравнивать не с SRX210HE, а с SRX100B, который по GPL стоит $ 447. ASA5505-K8 по GPL без смартнета — $ 595, на 33% дороже.
Идентификация — установление личности субъекта.
Аутентификация — подтверждение подлинности субъекта.
Авторизация — проверка прав доступа субъекта к ресурсам.
Вот в этой фразе вы утверждаете, что подтверждение подлинности у вас — идентификация. Что неверно.
Статья про ААА, если открыть тот же гайд по ссылке выше, то мы увидим, что настройка authentication обязательна, а authorization и accounting — опциональны.
Всё равно, что сказать, что смысл Active Directory — применение групповых политик и SSO на ресурсы доверенных доменов, хотя это всё — дополнительные фишки. А смысл — наличие централизованной базы учёток.
Про RADIUS напутал, каюсь. Он не поддерживает покомандной авторизации. Помнил ведь, что что-то там не поддерживалось по сравнению с TACACS. =)
Статья, кстати, не моя. Автор работает в Positive Research и её цель — очевидно, показать возможности Max Patrol. :)
Разве? Мне казалось, что это именно так. Более того, документация по ссылке из статьи это подтверждает.
И что всё ок, если «хотя бы одно да» — тоже не так. Как только получен первый «нет», сразу в аутентификации отказано.
«Аутентификация — пользователь подтверждает, что он тот, за кого себя выдаёт.»
= предъявил паспорт с фото и сказал пароль
«прав на железку не будет, если не будет авторизации, будете постоянно успешно логиниться»
Пользователь вбивает команду enable и получает полный доступ. Что он делает не так?
Смысл ААА в централизованном хранении учёток и/или прав, чтобы устройства пользовались единой базой. Это устраняет необходимость поддерживать такую базу локально на каждом устройстве, что непрактично и зачастую невозможно.
А всякие связки трёх компонентов — побочный эффект, хоть и полезный.
Можно прекрасно делать ААА с RADIUS, который accounting, если не ошибаюсь не поддерживает.
Если вы не знаете, как работает ААА в Cisco, то на курсы повышения квалификации стоит сходить как раз вам, вместо того, чтобы писать тут заведомо неверные комментарии и лениться сделать стенд.
В данном случае подразумеваются права на логин в железку. Именно это настраивается командами aaa authentication…
Всё прекрасно работает, проверьте сами.
Аутентификация — пользователь подтверждает, что он тот, за кого себя выдаёт.
Авторизация — пользователю даются права на что-то.
Как первое для работы может требовать второе?
R2(config)#ip icmp rate-limit unreachable 500
R1#traceroute 192.168.12.2
1 192.168.12.2 84 msec * 60 msec
Должно быть как-то так.
Решается командой ip icmp rate-limit unreachable [ms]. По умолчанию стоит не более 1 unreachable в 500мс.