|
[Aug. 6th, 2007|05:43 am] |
Одно из самых неприятных последствий профессиональной деформации Да, пожалуй, вообще, людям свойственна - привычка смотреть на задачи через узкую щель имеющихся навыков. Как в дурацкой песне про дальнобойщика, "он знает лучше всех, он может рассказать, что наша жизнь - шоссе, шоссе длиною в жизнь". Меня всегда раздражала эта песня и я, каждый раз слыша ее, думал о том, какое счастье, что лирический герой - не проктолог, например. Проблема не только в том, что человек склонен решать задачу "как умеет" - это вполне естественно, а в последующей рационализации уже принятого решения, когда он начинает доказывать себе и окружающим, что это решение и является оптимальным в глобальном масштабе.
Вот например, человек задает вроде как простой и обычный вопрос - как бы перевести локальную сеть, несколько гетерогенную, с Windows, на прозрачное шифрование всего трафика. По идее, типовая задача должна иметь типовое решение. Мне, как практикующему консультанту, было бы очень полезно его знать. Например, должен быть способ сказать всем хостам (виндовым, например): используй ipsec transport mode, сертификатам подписанным вот этим CA верить, политику брать из темплейта, с дурацкими вопросами в количестве (n**2)-n не приставать. Однако, когда у кого-нибудь об этом спрашиваешь (не только в том треде, вообще), у всех отскакивает от зубов: шифрование-VPN-туннели-концетратор. Это при том, что в сети имеются отношения any to any (не спрашивайте меня, зачем -но действительно, иногда нужно, да если и нет - все равно сводить топологию к звезде - зачастую дикость). Ну и далее - я уже обсуждал это со многими людьми - все пытаются мне доказать, что задача не типовая, потому что никому не нужно, так как (с восхитительной противоречивостью):
a) железо нынче дешевое, мощности вычислительной хватит, и да, надо делать звезду (на худой конец, дерево), VPN-концентратор и туннели до него, а если просядет, то кластер, а чтобы не single point of failure, то HA. Вместо самомасштабирующегося решения видим великолепный закат солнца вручную.
b) овес нынче дорог, нафиг это шифрование, все компы на нем проседать будут, производительность сети упадет и т д.
c) да что вы там, ядерный чемодан охраняете? не надо вам никакого шифрования, надо бдеть физическую безопасность, а где ее обеспечить невозможно, там кидать VPN-туннель. (дать бы им молотком по голове, слов нет!)
d) кстати, купите у нас высокопроизводительный VPN-концентратор (ну этих хоть понять можно).
UPDATE0: вообще говоря задача, как и следовало ожидать, все же решается стандартными методами. Микрософтовские документы курятся плохо - мало про интероперабельность и много про домены. Но есть человек, который поднял на стенде и обещал потом рассказать, как.
UPDATE1: http://slashdot.org/~cronscript/journal/131319 , решение было под носом: ссылка, стыдно сказать, из википедии. |
|
|
![[info]](http://l-stat.livejournal.com/img/userinfo.gif){kind=small}
arkanoid's journal
bitchy