Вот интересно, а можно как-то отменить такие решения? Или как-то повлиять? Я как потребитель ни хочу ни чего из вышеперечисленного. А навигатора в списке нет…
Там дело не в количестве. Чтоб поиметь проблем хватит и одного устройства. В какой-то момент шина просто виснет и все. Но времени прошло много, может еще что-то поправили. Проще всего взять последний datasheet и посмотреть errata.
С точки зрения стандарта, Вы и автор безусловно правы. Но еще и практика. На моей (25 лет в сетях) большинство вендоров и хоть сколько-нибудь серьезные коммутаторы делают как я написал. Все у cisco, вроде все у джунипера и у всех huawei что я видел. Если для вас это небольшое количество, то по факту это огромная часть рынка. Нет ни малейшего смысла ждать пока bpdu с tc доберется до рута. В 802.1w уже должно было быть в стандарте такое поведение с небольшой вариацией.
Bridge Priority (приоритет, от 0 до 65535, по умолчанию 32768)
Нет. Максимум 61440 и потому что инкремент строго в 4096, а не полный диапазон в 16 бит.
то сравниваются MAC-адреса (посимвольно, тот который меньше, тот побеждает).
«посимвольно» маки ни кто не сравнивает. это в первую очередь 48-bit число. Символьное представление только для удобства людей.
TCN — на мой взгляд пропущено наиважнейшее его свойство. Как только он попадает на коммутатор первым делом происходит мгновенное очищение таблицы мак адресов.
Ну и мысли в слух. Classic STP — зло. В первую очередь из-за времени сходимости. Не нужно его использовать, если есть другие варианты. Реинкарнации не сильно лучше. Простой каналов, куча костылей для обработки сложных кейсов. Причем у каждого вендора, они свои. Лучше вообще смотреть в сторону L3 фабрик. На худой конец L2 агрегацию линков.
Не надо использовать telnet. Посмотрите на paramiko как вариант замены библиотеки для транспорта. Если у вас конечно нет таких динозавров, которые только телнет умеют.
Обратите внимание на подключение EEPROM Flash. Линии I2C заведены на ноги, где нет аппаратного I2C. Странное решение, не правда ли?
В свое время наелся с аппаратным I2C в stm32f103. Достаточно посмотреть errata на него чтобы все стало понятно и не выглядело странным. Слишком много ограничений и багов.
Не надо вводить людей в заблуждение. Исключительные права не на cli, а на вполне определённые патентованные команды. Элементарная защита IC/IP. Этим занимаются все и FSF/GNU/GPL в том числе. Да и история создания Arista не очень красивая. Ни кто же не предъявляет иск разработчикам zebra/quagga в которой cli 100% скопирован с cisco устройств уже пару десятилетий как.
1. Для этого всегда должны быть «Jump host». Следить за ними намного проще, чем за тысячами vps/ec2, на которые не заходишь годами. Jump host в своюб очередь можно так же закрыть фаерволом, а доступ к нему получать исключительно через vpn.
2. Не помогает ни как, если атака нацелена специально на вас.
3. В некоторых случаях, которые появлялись уже неоднократно, достаточно одного раза. Но штука полезная, если нет других вариантов.
А где тут хоть что-то необычное? Хотя конечно молодцы что разобрались, но ощущения больше такие, что документацию изначально ни кто не читал.
1. В любом учебнике.
2. В общем-то тоже. И в RFC нет рекомендаций 2-х минут. Там по умолчанию часов 8 было, а 2 минуты для MSL просто как пример приводили.
3.
Снова углубились в чтение документации, где и был обнаружен параметр ядра igmp_max_memberships, который ограничивает количество multicast-соединений для одного сокета
К сокету он отношения не имеет, даже если вы видите socket error 105. Параметр означает количество мультикаст групп к которым может подключится хост.
man ctld — штатный таргет без извратов с портами и пакетами уже в системе.
Если на таргете zfs, то md не нужен. ctld умеет делать LUN прямо из zvol.
Ребутать сервер через шаг несерьезно. kldload -v iscsi_initiator.ko в стандартном ядре уже есть.
Пересобирать jail наверное можно, если есть специальные требования, но намного удобнее использовать готовые бинарники от дистрибутива, с которыми еще и freebsd-update будет работать.
С jail.conf удобно работать через инклуды для конкретных jail или сразу на директорию, в которых лежат файлы с конфигами тюрем.
Алиас, если в той же сети, что и физ интерфейс нужно добавлять с /32
em0 не относиться к vmware это драйвера интеловской сетевой карты, которую vmware эмулирует
А что именно интересует? Какие-то части наверное могу адаптировать под стаью. Но большого смысла не вижу. Проект целиком показать не могу, а без этого все сведется к очередному руководству, которых и так полно в сети.
Александр, спасибо за статью. Если думаете и дальше делать модули с возможностью автономной работы, то советую еще присмотреться к esp32. Оно дороже, но возможностей больше. Мне 1-wire по разным причинам не подходило поэтому использовал stm32 для сбора информации с датчиков, а потом подключал к rpi, что бы был легкий доступ в сеть. Недавно rpi заменил на esp32 подключил 3 stm32 по spi. Еще и блютус есть, использую его + uart как консоль в случае необходимости либо как доступ к булоадеру микроконтроллеров.
Неплохо, но до перла как-то раз услышанного от непрофильного переводчика в виде «протокола раскидистого дерева» далеко. А правильно все таки «покрывающего».
Вот уж новость. Поддерживались конечно. Нужно было только два условия:
1. vtp mode transparent
2. enhanced image
Но так как люди предпочитают использовать vtp по непонятным мне причинам, то там конечно есть ограничение до 1005. А с другой стороны все это тоже бесполезно ведь максимум там 64 влана поддерживается, если есть STP.
f1af, а вот интересно почему 2950? Он не продается уже 7 лет у вендора.
Быстро окупается, если этим заняться. При смене работы это будет меньше месячной зарплаты. При смене страны легко может стать 1/10 зп, если конечно настоящий специалист, а не дампы. Обычно 2-3 вопроса достаточно, чтобы понять кто перед тобой.
Нет. Максимум 61440 и потому что инкремент строго в 4096, а не полный диапазон в 16 бит.
«посимвольно» маки ни кто не сравнивает. это в первую очередь 48-bit число. Символьное представление только для удобства людей.
TCN — на мой взгляд пропущено наиважнейшее его свойство. Как только он попадает на коммутатор первым делом происходит мгновенное очищение таблицы мак адресов.
Ну и мысли в слух. Classic STP — зло. В первую очередь из-за времени сходимости. Не нужно его использовать, если есть другие варианты. Реинкарнации не сильно лучше. Простой каналов, куча костылей для обработки сложных кейсов. Причем у каждого вендора, они свои. Лучше вообще смотреть в сторону L3 фабрик. На худой конец L2 агрегацию линков.
В свое время наелся с аппаратным I2C в stm32f103. Достаточно посмотреть errata на него чтобы все стало понятно и не выглядело странным. Слишком много ограничений и багов.
2. Не помогает ни как, если атака нацелена специально на вас.
3. В некоторых случаях, которые появлялись уже неоднократно, достаточно одного раза. Но штука полезная, если нет других вариантов.
1. В любом учебнике.
2. В общем-то тоже. И в RFC нет рекомендаций 2-х минут. Там по умолчанию часов 8 было, а 2 минуты для MSL просто как пример приводили.
3.
К сокету он отношения не имеет, даже если вы видите socket error 105. Параметр означает количество мультикаст групп к которым может подключится хост.
Если на таргете zfs, то md не нужен. ctld умеет делать LUN прямо из zvol.
Ребутать сервер через шаг несерьезно. kldload -v iscsi_initiator.ko в стандартном ядре уже есть.
Пересобирать jail наверное можно, если есть специальные требования, но намного удобнее использовать готовые бинарники от дистрибутива, с которыми еще и freebsd-update будет работать.
С jail.conf удобно работать через инклуды для конкретных jail или сразу на директорию, в которых лежат файлы с конфигами тюрем.
Алиас, если в той же сети, что и физ интерфейс нужно добавлять с /32
em0 не относиться к vmware это драйвера интеловской сетевой карты, которую vmware эмулирует
Неплохо, но до перла как-то раз услышанного от непрофильного переводчика в виде «протокола раскидистого дерева» далеко. А правильно все таки «покрывающего».
1. vtp mode transparent
2. enhanced image
Но так как люди предпочитают использовать vtp по непонятным мне причинам, то там конечно есть ограничение до 1005. А с другой стороны все это тоже бесполезно ведь максимум там 64 влана поддерживается, если есть STP.
f1af, а вот интересно почему 2950? Он не продается уже 7 лет у вендора.