Драйверы Для Встроенной Сетевой Карты Intel
Posted : admin On 27.08.2019- Драйвер Для Встроенной Сетевой Карты Intel Pro/100 S
- Драйвера Для Встроенной Сетевой Карты Intel 82801
- Драйвер Для Встроенной Сетевой Карты Intel Windows 7
Драйвера для сетевых карт Intel- список всех моделей для данного производителя, представленных на сайте Driverlib.ru. Сетевые карты Intel. Mon, - 10:16. Ссылка на драйвер. Intel/ Сборка. Windows XP/ 2000. PRO Wireless and WiFi Link Drivers 15.6.1. Сетевые карты Intel (VEN_8086). Последняя версия: скачать / скачать. Сетевые карты SiS (VEN_1039). Поставил Intel Proset wireless и при ручной диагностике начинает проваливать все тесты, начиная с Radio test (пишет что hardware radio is off). Пробовал драйверы с сайта леново, интела и из первого сообщения - результат одинаковый - пишет что работает, но ничего не ищет. Подскажите - как лечить!? Ноутбук: Lenovo Y430-1. Скачать бесплатно Драйвер для встроенной. Intel Graphics Media Accelerator. Для звуковой карты. Driver.ru - Одна из крупнейших в мире библиотек драйверов для компьютерного оборудования.
Сетевой инженер Кристиан Кильхофнер (Kristian Kielhofner), купив новые серверы для обработки VoIP-трафика,. Серверы периодически падали без видимой причины. Но самое странное, что на серверах иногда отключался Ethernet-контроллер. Отключался в прямом смысле: система некоторое время работала нормально, но после обработки определённого количества трафика интерфейс выдавал аппаратную ошибку и обрывал связь, а восстановление работы было возможно только после холодной перезагрузки. Кристиан провёл небольшое исследование и о том, что у других пользователей тоже бывают проблемы с контроллерами Intel 82574L, говорили, что у них баги в EEPROM, ASPM и т.д.
Кристиан с коллегами потратил несколько месяцев на поиск причин, почему в их случае контроллеры выдавали ошибку. В конце концов, им удалось докопаться до сути. Инженер начал исследовать с помощью Wireshark содержимое пакетов, которые проходили через сетевую карту непосредственно перед отключением интерфейса — и обнаружил некоторую закономерность.
Последний пакет всегда был ответом по протоколу SIP, он всегда был определённой длины и всегда поступал после запроса конкретного производителя IP-телефонов. Кристиан говорит, что в пятницу вечером поднял на уши спецов из компании, продавшей ему телефоны этой марки. Он предоставил им доказательства и потребовал ответа.
Они собрались все вместе, чтобы проверить баг, сделали тестовую конфигурацию на разных серверах и разных моделях телефонов — и смогли воспроизвести его! Правда, баг проявлялся не на всех моделях серверов и телефонов. После долгого анализа, в конце концов, всё-таки удалось выявить конкретный пакет, из-за которого падал интерфейс Ethernet. Это оказался полученный INVITE, а не 100 Trying. Для проверки взяли программу, изолировали INVITE от телефона — и отправили этот пакет на сетевую карту. Трюк сработал. Каждый может проверить работу «пакета смерти» на своей сетевой карте Intel, установив виртуальную машину и отправив оттуда пакет с помощью tcpreplay, или можно это сделать с другого компьютера по локальной сети.
«Пакет смерти» срабатывает под любыми ОС, независимо от настроек файрвола, если только файрвол не блокирует на уровне OSI 2/3. Кстати, Кристиан довёл анализ до логического завершения и выяснил, какие конкретно байты превращают любой пакет в «пакет смерти» для Ethernet-карты Intel. Отключение интерфейса происходит, если по адресу 0x47f находится значение 2 или 3. Байт 0x47f = 32 HEX (2 ASCII) Байт 0x47f = 33 HEX (3 ASCII) Если там 4, то всё OK.
Подходит любой пакет: HTTP POST, ICMP echo-request и проч. Например, на веб-сервере можно сконфигурировать ответ 200 таким образом, что он будет «убивать» сетевые интерфейсы на клиентских машинах. Кристиан Кильхофнер говорит, что занимается сетями 15 лет и никогда не видел ничего подобного. Он уже связался с инженерами Intel, и они подтвердили, что действительно, это баг в прошивке EEPROM на контроллерах 82574L. Intel, что проблема ограничена одним из производителей материнских плат, который записал неправильный образ EEPROM в процессе производства. Название производителя не сообщается. Метки:.
Добавить метки Пометьте публикацию своими метками Метки необходимо разделять запятой. Например: php, javascript, андронный коллайдер, задача трех тел.
Слово EEPROM всегда тождественно слову FIRMWARE, или я что-то не понимаю? При включении FIRMWARE загружается из EEPROM, а при загрузке драйвера может быть загружен другой FIRMWARE, более новый и совершенный, чем тот, который загружен ранее из EEPROM, с исправлением ошибок? Но, вроде EEPROM — это не только FIRMWARE, но и всякие константы управляющие. Читал как-то в сети одну страшную историю, что запись неправильного значения байта по определённому адресу EEPROM может сразу убить сетевую карту наповал, что не лечится даже холодной перезагрузкой. А при чем здесь это? Речь идет о том, что как и при любой другой dos уязвимости, нашедший эту уязвимость обычно дает время вендору выпустить фикс, а не бежит хвастаться налево и направо, практически выдав готовый эксплоит.
Задайте лучше вопрос владельцам таких серверов: «готовы ли они к возможным dos-атакам на их ресурсы при отсутствии свежих прошивок»? Я не в курсе деталей, возможно, Intel была уведомлена уже давно, тогда никаких претензий. Но в таком случае об этом стоило написать в новости, а то иначе возникают такие вопросы, как у меня.
У Supermicro отличные мамки, а у Intel — лучшие сетевые карты и драйвера к ним (imho). И в данном инциденте у меня претензии не только к Intel, но и к тем людям (вполне возможно, что сам Кристиан к этому непричастен), которые дали в руки кулхацкерам новую игрушку.
В любом случае есть какое-либо ближайшее к вам оборудование, возможностей которого достаточно для выполнения подобных задач. Вовсе не обязательно. Я не в курсе хардварных платформ (а именно такие и ставятся в ЦОДы), способных на подобный анализ.
Драйвер Для Встроенной Сетевой Карты Intel Pro/100 S
IPS в inline там не используются (если нет подписки на какой-нибудь anti-DDOS). IDS или другие любого рода анализаторы зеркалированного трафика — запросто, но к тому моменту, когда они обнаружат совпадение — пакет уже попал в цель.
На софтверных роутерных платформах, которые и так хиленькие, тоже не принято задействовать подобный весьма тяжелый функционал. Задача: «РС1 обращается на ТСР порт 445 РС2. Необходимо заблокировать подобную активность.» Решение: create accessprofile packetcontentmask offset16-31 0x0 0x0 0x000000ff 0x0 offset32-47 0x0 0x0 0xffff0000 0x0 profileid 1 config accessprofile profileid 1 add accessid 1 packetcontentmask offset16-31 0x0 0x0 0x00000006 0x0 offset32-47 0x0 0x0 0x01bd0000 0x0 port 1 deny Вот и все, ТСР destination port 445 заблокирован.
Можно поступить несколько иначе, а именно: create accessprofile packetcontentmask offset32-47 0x0 0x0 0xffff0000 0x0 profileid 1 config accessprofile profileid 1 add accessid 1 packetcontentmask offset32-47 0x0 0x0 0x01bd0000 0x0 port 1 deny Т.е. Не указывать протокол (offset16-31 0x0 0x0 0x000000ff), в таком варианте будут заблокированы все пакеты с destination port 445 вне зависимости от протокола, т.е. Под данное правило попадут и ТСР и UDP пакеты.
А я-то привык к «deny tcp host 1.1.1.1 host 2.2.2.2 eq 445» Ну в принципе верю, что они и в содержимом пакета ковыряться могут, хотя примеров не видел (пока что сойдет и анализ TCP внутри GRE). Поздравляю — свитч за 5000р. Хоть в чем-то обходит свитч за $100k:).
На самом деле это самая лучшая и 100% работающая реализация. Работающая только в определенных условиях и абсолютно несопровождаемая. На нормальном оборудовании требуется штук 5 шаблонных команд накатить разом на все устройства, и у нехорошего человека не получится не то что arp заспуфить, но и вообще выставить себе статический адрес. И при этом полноценно работающий DHCP, легкая миграция устройств с порта на порт (BYOD же, да и корпоративные ноутбуки) и так далее. У нас в фирме это получается на более чем 800 коммутаторов. У вас на 800 коммутаторов нет DHCP? В ARP reply проверяется мак и в L2 заголовке, и в содержании пакета, как и IP адреса?
На каждый порт руками прописываются допустимые src mac, src IP, а также то же самое для ARP? Ну и само по себе наличие 800 коммутаторов (8-портовых?) — ужас. Они размазаны ровным слоем по всей стране, или же можно найти по несколько десятков на локацию? Отвечу за автора — у меня в сети 300 коммутаторов D-Link, на каждый порт выделено по 8 ip из серого диапазона, и для них разрешены ACL'ками только ARP и IP-пакеты с этими ip. А само собержание arp пакета проверяется?
Как бы ничто не заставляет содержимое arp пакета совпадать с его заголовком. Устройство может использовать правильный src IP, правильный src mac, но в самом arp пакете указать IP первого хопа и какой-нибудь левый мак. Собственно, сеть выйдет из строя, если достаточно часто слать garp'ы. «ip sourceipmask 255.255.255.248» А сюда случаем не попадет первый хоп?
Как-то не вижу я защиты от спуфинга наиболее важного адреса в подсети со стороны порта, которому назначен блок из первых восьми адресов подсети. Нормальные механизмы безопасности автоматически прикрывают подобные дыры. А как защититься, как не контролировать на порту арп ответы, зная заранее какой айпи на этом порту должен быть? Роутер отслеживает обмен по DHCP и запоминает, куда какой адрес назначило.
Заодно проверяются и DHCP запросы. Опять же, конфигурация на 100% шаблонная, не требуется никакой специфики для каждого устройства (если предположить, что наименования аплинков будут одинаковые). И никакого колхоза. Можно прикрутить более серьезные решения — к примеру, ISE на базе 802.1x. Тут уже ограничения на порт будут применяться в зависимости от того, какое устройство к нему подключилось, залогинилось ли оно в домен (до логона один набор портовых ACL, после — другой) и так далее. Идеально все работает уже многие годы. Ради интереса.
Назовите общий порядок числа сотрудников в компании, а также количество сетевиков, сопровождающих этот зоопарк. Серьезно — у меня возникает ощущение, что я попал в 90-е:) ACL и dhcp конфигурируется скриптом Не понял. У любой машины на любом порту может смениться адрес. Каким образом скрипт отслеживает это? Он присосался к DHCP серверам и при любом изменении залезает на свитч и правит конфиги?
Да и выше вы писали «у меня по 1 адресу на порт», т.е. Статика на пару десятков тысяч машин? Кстати — дэлинк умеет вставлять 82-ю опцию в обмен? Роутер отслеживает обмен по DHCP и запоминает, куда какой адрес назначило.
Заодно проверяются и DHCP запросы. Опять же, конфигурация на 100% шаблонная, не требуется никакой специфики для каждого устройства (если предположить, что наименования аплинков будут одинаковые). И никакого колхоза. У длинка есть и такая функция, но нам она неудобна — появляется привязка к макам и нет полной защиты от содержимого ARP-пакета, насколько я помню. А так пользуемся как раз dhcp option 82, назначаем в зависимости от порта IP и вообще не паримся по поводу MAC'ов клиента (а значит, и не требуем от них танцев со сменой MAC при смене девайсов). Если роутер даже будет знать ARP записи клиентов — это не защитит самих клиентов от арп-спуфинг атаки. Все эти полумеры легко обойти, о которых вы пишете и о каких еще даже не знаете, единственный 100% вариант — вручную контролировать арп-ответы.
Вы сильно заблуждаетесь в средствах защиты, которые используете. Я многие подобные вещи обходил на множестве разного рода оборудования, в длинке тоже есть автозащита, настраиваемая шаблонно — но и она не работает как надо. 3 сетевых инженера поддерживают это, но на самом деле это отнимает 20% времени лишь одного из них. Другие же заняты более серьезными задачами. Смениться адрес не может, dhcp выдает адрес, согласно порту(по dhcp snooping) получает номер свитча и его порт — на dhcp сервере для каждой такой записи заранее сконфигурен пул адресов(из одного адреса, но можно и больше). Если человек меняет порт — меняется и айпи адрес.
В лихие 90ые те технологии, которые мы сейчас используем, даже и представить не могли. А поддержку 802.1x должны иметь и оконечные устройства, а мы такого позволить себе не можем в нашем бизнесе. Если роутер даже будет знать ARP записи клиентов — это не защитит самих клиентов от арп-спуфинг атаки. Пардон, я как человек, привычный к L3 свитчам на уровне доступа, временами называю их по роли в данном контексте. Разумеется, весь анализ происходит на уровне порта.
Единственный 100% вариант — вручную контролировать арп-ответы. Автоматический механизм не менее (а то и более) надежен, но куда удобнее в работе. В длинке тоже есть автозащита, настраиваемая шаблонно — но и она не работает как надо.
Это — d-link. Настройте на каталисте DHCP snooping + DAI + IP source guard + port-security (по части количества mac адресов), и попробуйте это обойти. В лихие 90ые те технологии, которые мы сейчас используем, даже и представить не могли. Матчинг по смещению в пакете? STP размером с город?:). Еще раз повторю — вы заблуждаетесь.
У меня не остается уже времени на споры с вами. Для начала вы должны перестать смотреть сверху вниз. DHCP snooping + DAI + IP source guard + port-security — я по прежнему могу послать ложный arp-ответ(сообщить в сеть на арп-запрос, что некий IP это мой мак). Да, я не смогу через себя пропускать ложный трафик, но в арп таблице какого-нибудь Васи Пупкина будет мой мак — а значит он не получит доступ к хосту, тк айпи пакеты пойдут на мой мак, а не на мак Леши, или Пети, или вообще его шлюза. В итоге у него ничего работать не будет.
Ваша защита в этом плане бессильна. И да, когда ты оператор — ты не можешь покупать свитчи за штуку баксов, их у тебя не 10шт, а сотни и тысячи, а порт абонента надо сделать как можно дешевле — никто не хочет платить по 70тр в месяц, а хотят по 200-300р. Я по прежнему могу послать ложный arp-ответ(сообщить в сеть на арп-запрос, что некий IP это мой мак) Нет. Содержимое arp пакета сверяется с комбинацией mac-IP, которые упоминались на этапе получения адреса по DHCP. Почитайте к примеру.
И да, когда ты оператор — ты не можешь покупать свитчи за штуку баксов Тут согласен. У оператора, обслуживающего хомячков, нет задачи ставить качественное и приятное в работе оборудование. Их у тебя не 10шт, а сотни и тысячи У меня сотни 100% — каталисты. Но опять же, у меня требования к коммутаторам иные.
Да, прочитал, на бумаге вроде бы это должно все работать, но по факту оператор точно не сможет это использовать — тк вылазит куча других проблем. Например у человека постоянно меняется мак, а айпи адрес ему должен выдаваться всегда один, допустим что для серых адресов мы можем выделить пул из 2 адресов на такой случай, но как быть с реальником? Фиговая утилизация будет.
Ну или dhcp не работает (такое бывает 1 случай на 20 компьютеров, как это не удивительно). В жестоком мире мы живем, не все так просто, как нас учили в начальной школе. Например у человека постоянно меняется мак, а айпи адрес ему должен выдаваться всегда один Опция 82 Свитч лишь наблюдает за обменом и запоминает согласованные адреса, но сам ничего не предлагает. А на сервере можно придумать совершенно произвольные алгоритмы выдачи адресов. Особенно если сервер не от MS как это принято в ентерпрайсах.
В жестоком мире мы живем Вы — да:) У нас как-то принята унификация в том числе и рабочих мест. Не нужно подстраиваться под любые нестандартные виды поведения у клиента. Разрабатывается стандарт, тестируется и внедряется. Обычно рекомендации «начальной школы» прекрасно работают. Их ведь неглупые люди придумывали. И никакие костыли не нужны, и никакого колхоза нет.
Обычно операторы (не хомячковые, а нормальные) тоже задействуют этот функционал. И железо у них на CPE — вовсе не дэлинки, а чаще всего те же циски, это я по опыту говорю. Это у вас со стороны попаболь на это дело, хотя цель дастигнута и на желе гораздо дешевле.
Нам нужно PoE, совместимость с Cisco ISE, в большинстве случаев — локальный роутинг с VRFами. Это еще самый минимум.
Билайн использует длинки — он хомячковый? Билайн разный бывает. Есть тот, который подключает хомячков. А есть — для корпоративных пользователей. Я как корпоративный пользователь ничего кроме цисок на другом конце протянутых к нам патч-кордов не видел. И кстати: допустим что для серых адресов мы можем выделить пул из 2 адресов на такой случай, но как быть с реальником?
У меня дома Онлайм. Я получаю на порт сразу 5 глобально маршрутизируемых адресов, один можно зарезервировать навеки, и при этом технология подключения — банальный IPoE без всяких лишних инкапсуляций.
Ну и надо ли говорить, что провайдер, выдающий клиентам адреса за NAT, достоит сильнейшего осуждения, и по современным меркам должен считаться вымирающим динозавром, от которого все стараются убежать? Цель — предотвратить арп-спуфинг. Само собой мы подключаем и хомячков, и корпоративных пользователей, и крупных операторов связи, но вопрос с хомячками надо решать дешево. Вы не работали похоже в этой сфере и не догадываетесь о всех ее тонкостях, тут нельзя положить болт и сказать, раз ты такой нестандартный клиент — то не подключайся к нам, например не хочешь работать по 802.1x, который так любят использовать в корпоративном сегменте. Мы выдаем серые адреса, НО на время сессии в интернете человеку выделяется реальный динамический адрес, можно получить и статический — за отдельную плату. Используется NAT(а не PAT) с большим пулом адресов, При этом большая утилизация реальных адресов — за что райп нас по головке гладит, а у других, менее добросовестных провайдеров — адреса забирает, выдача IPv4 адресов сейчас особенно жестко проходит.
Тоже IPoE кстати. Цель — предотвратить арп-спуфинг.
Но это лишь опциональная мелочь для нас. Потому некорректно говорить «ха-ха, ты переплатил». Для нас важна гибкость. Вариант «зарезервировать за каждым портом диапазон адресов» не годится. Вы не работали похоже в этой сфере и не догадываетесь о всех ее тонкостях Почему же?
Поэтому и говорю, что надо стараться делать одновременно и гибко, и удобно. Тогда и с нестандартными устройствами проблем не будет. Мой провайдер под названием «Онлайм» не позволяет слать пакеты тем, кто не получил адрес с DHCP. И почему-то это у них не вызывает проблем. Даже учитывая, что с их архитектурой можно поставить дома 5-портовый свитч вместо роутера, что, вообще говоря, встречается исключительно редко.
А у вас вон не все клиенты умудряются получить адрес Может, дэлинки слишком активно фильтруют пакеты?:) При этом большая утилизация реальных адресов — за что райп нас по головке гладит Вам хорошо. Клиенты страдают. Вам плевать на клиентов. Круто Ну хоть хорошо, что не PAT. Все очень удобно, скрипт конфиг для свитча сгенерит и никаких проблем. Гибкость тоже есть — можно вон даже пакет смерти зафаерволить, если захочется.
И вообще о чем мы сейчас говорим — это мелочи, у нас помимо этого куча других технологий используется при всем этом. Например помимо юникаста так же надо разбираться и с мультикастом — iptv. А так же для VoIPa тоже кое-что подкручивать надо. И это все должно выйти дешево для клиента, при этом качественно, тк конкуренция жесткая, а мы за 3 года с 200 клиентов до 19 тысяч абонентов подняли базу(не покупкой чужих сетей — а подключениями), что говорит о многом. Не надо конкретизировать, что вот у нас не получают, в этом чаще всего виноваты кривые драйвера сетевух и дешевые китайские роутеры, которые абоненты не пойми откуда достают.
У тех, у кого нормальный софт и железо исправно получают адреса, однако даже последней зануде можно выдать статический адрес, а не отказать ему в услуге. С чего вы взяли, что наши клиенты страдают? И заявление — что нам плевать, не совсем уместно. Мы — как никто другие, заботимся о наших клиентах, а не ставим их в жесткие рамки. Можно вон даже пакет смерти зафаерволить А как именно будете файрволить? По определенному значению одного байта?
Ждите вал звонков. Вот вы хвастаетесь IPTV. Это: 1) PIM — для роутинга мультикаста, роутер без данного функционала роутером не считается. 2) IGMP (snooping) для точечной раздачи трафика по отдельным портам. Свитч и роутер без данного функционала ну вы поняли. VOIP — вариантов полно, но сводятся они к платформе, принимающей голос, и QoS на сети.
Вы с d-link'ами даже TE туннели сигнализировать наверняка не можете. Быстрая сходимость при авариях? Динамическое распределение трафика по сети в зависимости от нагрузки вместо базового load-sharing'а?
Однако даже последней зануде можно выдать статический адрес, а не отказать ему в услуге. В предложенном мной чуть выше решении ничто не мешает статические записи создать. Вот только на практике это не требуется. Даже оператору. Может, раз только вы сталкиваетесь с этой проблемой, дело все-таки не в драйверах? Ну например периодически теряющийся discover? Или кривоватый offer?
Мы — как никто другие, заботимся о наших клиентах, а не ставим их в жесткие рамки. И при этом NAT, в XXI веке. И по одному адресу на порт при IPoE.
Вопрос: а почему другой оператор, которому всего-то три года (ага, тот самый онлайм), может сделать по-человечески и не экономить на удобстве абонентов? Может, они просто закупают нормальное оборудование?:). Я что-то не пойму, вы меня троллите что ли? Давайте по порядку.
Я — инженер спд в операторе, опыт в бизнесе 6 лет, знаю все тонкости в этой сфере(технические и экономические), делаю выводы на основании полученного опыта. Вы — вроде сетевой инженер в сфере энтерпрайз решений, все ваши знания касательно операторов сводятся к опыту клиента одного провайдера. Ваша точка зрения: можно ставить циски и использовать исключительно dhcp в вашей сети, статика не пройдет:)) Несколько статический ACL на коммутаторе — это плохо. Моя точка зрения: dhcp в редких случаях не работает, так что статическим адресам тоже надо дать право на жизнь. И после всего этого вы обвиняете меня в том, что я не предлагаю гибкие решения?))) Касательно одного адреса на порт — это наша задумка( легко можно использовать и 5 и 10 адресов на порт — вам тут уже один человек пример показал), основанная на анализе другого провайдера на 15 тысяч клиентов, где мы работали раньше.
Там 90% абонентов имели лишь 1 адрес и этого было достаточно. Что с остальными 10% делать? Да ничего страшного, они все равно в итоге поставили себе wifi-роутер, тк теперь у людей несколько компьютеров и ноутбуков + смартфоны дома. Никаких жалоб никогда не слышал, чтобы кому-то непременно нужен был второй айпи адрес. Более того людям нужен же коммутатор домой для этого, а мы продаем вайфай роутеры им ниже рыночной цены почти по цене тех же свитчей! + бесплатная настройка мастера на дом!
Длинки — это оконечное оборудование перед DTE. В других же местах стоят дасаны и циски, алкатели даже были раньше. Да и многие операторы их используют, возможно даже тот же Олайм. Кстати и у них бывают проблемы, как-то у одной моей подруги до хостинга через один из их пиров не проходили пакеты с размером окна больше 1300 байт, они даже заявку эту не рассмотрели за 2 недели!
Пришлось отключаться — она вебмастер и хостинг — ее хлеб. Что касается того, что им тоже 3 года — так это не показатель, Это же все же Ростелеком, там инвестиций много, а нам же приходилось жить и развиваться за счет собственных оборотных средств. По тарифам мы обходим кстати, при том что работаем в области в основном, где тарифы еще выше. NAT нужен, то, что вы утверждаете обратное — говорит лишь о том, что вы не разбираетесь в специфике вопроса. Вот PAT да, это зло, но нет ничего плохо в нате. Тот же онлайн на сколько мне известно так же работает, тоже выдает серые адреса.
Так же и у нас можно получить и статический реальник по желанию. Я что-то не пойму, вы меня троллите что ли? С какой стати?
Я просто говорю, что вы можете гордиться «выкрутился имевшимися средствами», но только результат вовсе нельзя назвать красивым. И, судя по всему, красиво не получается сделать именно из-за ограничений железа. Все ваши знания касательно операторов сводятся к опыту клиента одного провайдера.
Навскидку я насчитал шесть (из наиболее крупных, и считая только Москву — по регионам с полсотни наберется). Билайн — просто пример.
Там 90% абонентов имели лишь 1 адрес и этого было достаточно. Глобально маршрутизируемый, или за NATом? Кстати и у них бывают проблемы Ну у меня по логам раз месяца в 3 на пару минут физика пропадает. Больше претензий не имею.
Отдельные случаи неинтересны. Важнее, что провайдер может предоставить клиенту удобный сервис. И при выборе между получением интерфейса с глобально маршрутизируемым адресом средствами любого рода инкапсуляции (от PPPoE до L2TP) и получением NATного адреса по IPoE даже не слишком технически грамотный абонент предпочтет первое. Это же все же Ростелеком Их только недавно купили. Все описанное мной существовало задолго до этого.
Просто парни изначально проектировали сеть «на вырост». По тарифам мы обходим кстати Честно? Если вы предложите мне честный гигабит за 100р. В месяц, я все равно откажусь.
Причины чуть выше описаны: наличие на интерфейсе администрируемого мной железа глобально маршрутизируемого адреса является делом принципа. NAT нужен Кому нужен? А мне из-за этого терпеть дополнительные костыли при SIP звонках, при IPSec сессиях и так далее?
И я на самом деле впервые слышу про провайдера, который делает трансляцию адресов, а не PAT. Если можно выдать каждому клиенту по внешнему адресу, то как правило ставятся BRASы и принимают соединения по любого рода инкапсулирующим протоколам. Заявление о намерении совершать покупки в польше.
Тот же онлайн на сколько мне известно так же работает Онлайм? #show ip int gi0/0 GigabitEthernet0/0 is up, line protocol is up Internet address is 77.37.XXX.XXX/21 Broadcast address is 255.255.255.255 Address determined by DHCP Вроде не похоже на адрес из RFC1918. Если подниму бридж-группу — смогу еще четырем устройствам выдать глобально маршрутизируемые адреса. Но так как я перестану управлять первым хопом для внутренних устройств — такого не будет. Абоненту самое главное, чтобы было дешево, работало стабильно и просто — воткнув кабель в розетку.
Про нат некоторые даже не слышали что это и откуда это.Еще есть провайдеры, которые заставляют ставить свои роутеры с кастомной прошивкой или перешивать ваш кастомной для поддержки ихнего впн — и люди ведь даже такими пользуются, там не то чтобы несколько компьютеров сразу не подключишь — там даже один подключить тяжело бывает =) Конечно L2TP + Bras куда круче, но это нужны большие инвестиции на начальном этапе. Спроектировать такое и мы могли, но денег не было. Сейчас то уже можем и так подключать, вот только самое интересное, что мы людям еще даем пиринг с другими сетями, у которых тоже серые айпишники.
Конечно для этого надо было договориться кто какой блок берет. Но в итоге немало так трафика уходит в пиринг без ограничений скорости — и что самое удивительное, люди этим пользуется, Вам этого точно не понять, ровно как и мне — но оно работает: это 20% нашего трафика. NAT плох разве что с сипом и установкой туннелей, но для таких случаев можно попросить статический реальник и у вас все будет, не вижу в этом особой проблемы. Многих абонентов и PAT устраивает. Вконтакте открывается? Всё, больше от домашнего интернета им ничего не надо.
Как и мне от мобильного, вот только я на мобильнике не поднимаю ничего такого, до чего надо достукиваться извне. NAT плох разве что с сипом и установкой туннелей, но для таких случаев можно попросить статический реальник и у вас все будет Угу, и мой поднятый с роутера ipv6ip туннель до GE волшебным образом заработает, как только адрес, в который меня NATят, зафиксируется во времени и пространстве:) Без инспектирования и подмены данных в пакетах будет абсолютный расколбас с приемом вызовов по SIP без предварительной регистрации. С инспектированием — много других забавных проблем, если не повезет. Итого: вы как провайдер неинтересны гикам, да и просто технически продвинутым людям. Вы зря сравниваете онлайм, который сразу строил решение на сотни тысяч абонентов и нагнул Zyxel, кажется, на поставку домовых свичей по списку фич ( считайте что они кастомные ) потому что гарантировал закупку десятков тысяч единиц оборудования и обычного оператора, который сеть развивает по возможности, покупает свичи потому что они дешевле и вынужден подстраиваться как под оборудование так и под клиентов. Скриптинг настройки — вполне вменяемое и рабочее решение, я знаю несколько операторов разного размера, которые так и работают. С другой стороны правильная схема — это хорошо, правда бывает что не работает, или глючит, если зоопарк.
А у старых операторов зоопарк — всегда. На аппаратном файрволе как раз непросто матчить по конкретным байтам в содержимом пакета. Скажем, очень популярная ASA так не может. Хотя IOS роутеры могут, но они как раз редко под такие задачи ставятся. Тут поможет IPS (строго inline). Но потом гарантированно придется разбираться с кучей глюков на сети из-за планомерного дропа случайных пакетов.
Вообще, что-то в этой истории не так. Отключение интерфейса происходит, если по адресу 0x47f находится значение 2 или 3. Один конкретный байт из середины пакета должен содержать одно из двух значений в пределах 256-и доступных для байта. По статистике, в среднем каждый 128-й пакет будет таким.
У меня вот на большинстве интерфейсов pps исчисляется минимум десятками тысяч пакетов в секунду, вовсе не маленьких. В общем, похоже на утку, расчитанную на идиотов, которые сходу внедрят соответствующее правило IPS и найдут массу проблем на свою жопу.
Я так понял, что проблема именно в INVITE пакетах SIP. Возможно в сетевом интерфейсе были заложены какие-либо оптимизации для конкретных протоколов реального времени, и возможно части кода этих оптимизаций по недосмотру программистов наложились друг на друга. Ну, например, неверная вложенность if, т.к.
На столь критичных к времени выполнения задачах никаких изысков архитектуры, естественно, нет. А организовать фильтр — так для этой задачи можно даже любой level1-фильтр прикрутить, если там всё же один критичный байт, не обязательно даже level3-устройств. Проблема именно в INVITE пакетах SIP Неправильная постановка вопроса. Для сетевой карты есть заголовки L2-L4 и следующая за ними мешанина байтов. Для них не существует такой вещи как SIP.
Судя по написанному, в той мешанине байтов один конкретный байт должен принять одно значение из двух. Если дело именно в пакете SIP (а судя по написанному, это не так) — потребуется еще ряд совпадений ближе к началу пакета. Для этой задачи можно даже любой level1-фильтр прикрутить Назовите пример. Из тех, что продаются. Ну и L1 — это уровень электрических сигналов и вспышек света, а не байтов. I know how the OSI stack works.
I know how software is segmented. I know that the contents of a SIP packet shouldn’t do anything to an ethernet adapter. It just doesn’t make any sense. Ага, он понимает, что сетевухе нет дела до SIP. With a modified HTTP server configured to generate the data at byte value (based on headers, host, etc) you could easily configure an HTTP 200 response to contain the packet of death — and kill client machines behind firewalls! В ICMP и HTTP «убийца» запаковывался лишь чтобы сквозь файрволы было легче проходить. А содержание схожее, так как все-таки ему не удалось найти конкретные байты, ответственные за падение, и он тупо поместил в пакет все (в случае HTTP вырезав кусок посередине).
Я его понимаю: это требует невероятного количества времени, так как придется побайтово менять значения пакета и каждую минуту перезагружать машину. Posted by Douglas Boom in Wired Ethernet on Feb 7, 2013 7:41:02 PM Recently there were a few stories published, based on a blog post by an end-user, suggesting specific network packets may cause the Intel® 82574L Gigabit Ethernet Controller to become unresponsive until corrected by a full platform power cycle. Intel was made aware of this issue in September 2012 by the blogs author. Intel worked with the author as well as the original motherboard manufacturer to investigate and determine root cause.
Intel root caused the issue to the specific vendor’s mother board design where an incorrect EEPROM image was programmed during manufacturing. We communicated the findings and recommended corrections to the motherboard manufacturer. It is Intel’s belief that this is an implementation issue isolated to a specific manufacturer, not a design problem with the Intel 82574L Gigabit Ethernet controller. Intel has not observed this issue with any implementations which follow Intel’s published design guidelines. Intel recommends contacting your motherboard manufacturer if you have continued concerns or questions whether your products are impacted. Какой производитель — не уточняется.
Привет друзья! Заметил, что у многих читателей моего блога, проблемы, которые возникают с подключением к Wi-Fi сетям, или работой через Wi-Fi во многих случаях возникают через проблемы в работе беспроводного сетевого адаптера. И не всегда виноват Wi-Fi роутер, которого все сразу берутся перенастраивать по несколько раз:). Давайте несколько слов о том, что такое беспроводной сетевой адаптер (в диспетчере устройств, или в описании драйверов, он скорее всего будет подписан как Wireless Network Adapter). Это устройство, которое собственно и подключает Ваш компьютер, ноутбук, нетбук и т. К интернету по Wi-Fi. Ну и объяснил, но думаю Вы поняли о чем я:).
NEW Рейтинги F1 за 2018 год:, Если у Вас ноутбук, или нетбук, то скорее всего, в нем уже есть встроенный беспроводной сетевой адаптер (разве что устройство старое, или даже очень старое). Если же это обычный стационарный компьютер, то беспроводной сетевой адаптер (Wi-Fi адаптер) подключается отдельно. Может быть к примеру USB-адаптер такой как, или внутренний PCI-адаптер. Подробнее об этих устройствах можете почитать в статье. Не важно какой у Вас Wi-Fi адаптер и на каком устройстве. Нам нужно, что бы он стабильно работал и не возникало разных проблем с подключением и работой с Wi-Fi сетями. А для того, что бы все хорошо работало, нужно сразу установить необходимый драйвер для беспроводного адаптера, а если появляются странные проблемы в работе с беспроводными сетями, и Вы определили, что проблема скорее всего в устройстве (ноутбуке, компьютере и т.
Д.), то нужно попробовать обновить, или же полностью переустановить драйвер на Wireless Network Adapter. Чем мы сейчас и займемся.
Как проверить, установлен ли драйвер на Wi-Fi? Если после установки операционной системы, скажем Windows 7, не работает Wi-Fi на ноутбуке, или другом устройстве, то скорее всего, операционной системе просто не удалось подобрать и установить драйвер для Вашего сетевого адаптера.
Я уже точно не помню, но мне кажется, что я еще не видел случая, что бы Windows 7 сама установила драйвер на Wireless Network Adapter. Как правило, этот драйвер (как и множество других) нужно устанавливать с диска с драйверами, который идет в комплекте с ноутбуком (нетбуком, USB-адаптером, PCI-адаптером и т. Д.), или же скачать драйвер с сайта производителя того же ноутбука.
Для того, что бы проверить, установлен ли драйвер на беспроводной адаптер, нужно зайти в Диспетчер устройств, и глянуть, есть ли он там. Нажмите правой кнопкой мыши на Мой компьютер (или откройте Мой компьютер и нажмите на пустую область), выберите Свойства. Справа нажмите на “Диспетчер устройств”. Найдите вкладку “Сетевые адаптеры” и откройте ее.
Если Вы там увидите устройство, подобное тому, что у меня на скриншоте ниже (с надписью Wireless Network Adapter), то драйвер на Wi-Fi адаптер установлен, возможно он просто отключен, или нет сетей для подключения. Это уже другая история, почитайте статью. Если же подобных устройств Вы там не обнаружили, то нужно установить драйвер. Вы может установить его с диска, который идет в комплекте, или скачать с сайта производителя драйвер для Wireless Network Adapter. Только ищите драйвер для определенной модели ноутбука, USB-адаптера и т.
Драйвера Для Встроенной Сетевой Карты Intel 82801
Ниже в статье, я подробнее покажу, как устанавливать драйвер на Wi-Fi адаптер. Значит драйвер Вы не обнаружили?
Нужно его установить. Драйвер установлен, но Wi-Fi не работает? Проверяем включен ли Wi-Fi адаптер, есть ли доступные сети для подключения, возможно проблема в роутере и т. Если все проверили, то нужно попробовать переустановить (обновить) драйвер. Драйвер установлен, но есть проблемы с подключением к Wi-Fi (устройство не всегда подключается, часто обрывается интернет и т. – Пробуем удалить старый драйвер, и установить новый, скачав его с сайта производителя устройства. Устанавливаем, или обновляем драйвер на Wi-Fi адаптер Где взять драйвер для беспроводного сетевого адаптера?
Как я уже писал Выше, драйвер можно найти на диске, который поставлялся с устройством. Только у этого способа есть один минус. Драйвер, который находиться на диске, возможно уже устарел. А на сайте производителя Вашего устройства, возможно уже есть новая версия драйвера и было бы хорошо, скачать и установить именно новый драйвер. Но если нет возможности, или не хотите искать, то драйвер с диска тоже подойдет. Найти драйвер на беспроводной адаптер не сложно.
Вот например у меня модель ноутбука ASUS – K56CM. Так и задаем Гуглу, или Яндексу запрос “ASUS – K56CM”. Находим в результатах поиска официальный сайт и переходим на него (мы попадаем на страницу нашего устройства). Или можете зайти на сайт Вашего устройства и сделать писк по сайту, задав модель. Если страница откроется на английском, то пищите кнопку смены языка и смените на нужный. Затем, на странице с описанием, в нашем случае ноутбука, ищем что-то типа кнопки “Скачать”, “Загрузки”, “Драйвера” и т.
Переходим по ней. Если нужно, то указываем для какой операционной системы нужен драйвер. Затем в списке ищем драйвер для беспроводного сетевого устройства (можно ориентироваться на надпись Wireless Network Adapter, Wireless Lan Driver) и скачиваем его на компьютер (смотрите на дату обновления драйвера, что бы он был последней версии). Если у Вас не ноутбук, а скажем USB-адаптер подключен к обычному компьютеру, то запрос на поиск драйвера формулируйте так же. Например, “TP-LINK TL-WN721N”, или выполните поиск по названию устройства на сайте производителя. Все, драйвер есть у нас на компьютере. Если Вы хотите просто установить, а не переустанвоить (обновить) драйвер, то распакуйте архив (если драйвер в виде архива) в папку и запустите установочный файл.
Следуйте инструкциям. После перезагрузки Wi-Fi должен заработать. Если нужно переустанвоить (обновить) драйвер Если же Вы хотите переустановить драйвер, то я советую сначала удалить старый. Для этого зайдите в Диспетчер устройств (как это сделать написано в начале статьи) и нажмите правой кнопкой на устройство Wireless Network Adapter.
Драйвер Для Встроенной Сетевой Карты Intel Windows 7
Выберите Свойства. Затем перейдите на вкладку “Драйвер” и нажмите кнопку Удалить. Появиться предупреждение, установите галочку возле “Удалить программы драйверов для этого устройства” и нажмите “Ok”. Все, драйвер удален. Перезагрузите компьютер. Зайдите в Диспетчер устройств. Вы должны увидеть, что появилось неизвестное устройство (Сетевой контроллер).
Это наш беспроводной адаптер, просто драйвера для него нет, сейчас установим. Устанавливать драйвер я советую следующим способом: если драйвер в архиве, то распакуйте его в папку. Зайдите в эту папку и запустите установочный файл, обычно он называется “setup.exe”. Следуйте инструкциям. После установки драйвера, обычно даже без перезагрузки Wi-Fi должен заработать. И я надеюсь, будет работать стабильно. Еще один способ установки драйвера на Wi-Fi адаптер Зайдите в Диспетчер устройств и нажмите правой кнопкой на неизвестное устройство (в нашем случае Сетевой контроллер).
Выберите “Обновить драйверы”. В следующем окне нажмите “Выполнить поиск драйверов на этом компьютере”. Укажите путь к папке с драйверами и нажмите “Далее”. Должна начаться установка драйвера.
Если Windows сообщит, что “Наиболее подходящее программное обеспечение для данного устройства уже установлено”, то попробуйте установить первым способом (с установочного файла). Думаю, что это очень актуальная статья и многим пригодиться, нужно было подготовить ее раньше:). Если возникнут проблемы, которые не получиться решить с помощью этой статьи, то можете задать вопрос в комментариях, или на нашем форуме. Всего хорошего!