Ответы пользователя по тегу Cisco
  • EIGRP OSPF Можно ли положить сеть?

    @JDima
    Можно ли, умышленно или случайно, добавить в процесс eigrp на пограничном вышеуказанном роутере настройки, которые бы положили сеть на предприятии 1

    Запросто.
    В принципе, как я думаю, максимум что худшего может произойти - не долетать анонсы с пограничного роутера на остальные роутеры домена eigrp

    Не... Худшее - это когда у предприятия 1 есть жутко важная сеть 10.0.0.0/24, а предприятие 2 присылает анонс на 10.0.0.0/25, и сразу получит трафик до половины жутко важной сети. Если есть пересечение адресных пространств, нечто подобное несложно организовать по ошибке.

    Решение: на самом дальнем из доступных предприятию 1 железок с EIGRP вбить в prefix-list'ы полный список сетей с масками, которые может прислать принадлежащий предприятию 2 EIGRP сосед. Этот prefix-list привязать к distribute-list'у в процессе EIGRP.

    Но это все равно не от всего защитит. Мощный флуд query может вызвать проблемы. Так почему бы не поднять между двумя предприятиями BGP, и чтобы каждое из них полностью контролировало свой IGP, и при этом был обмен через посторонний протокол? Конечно, при этом тоже нужно будет фильтровать префиксы во всех точках пересечения.
    Ответ написан
    5 комментариев
  • Почему перестает отвечать IP-адрес на BVI?

    @JDima
    Явный баг. Бывает. Скорее всего, обновление или откат помогут.

    Ничего более конкретного сказать нельзя, не зная, что за железка и какой на ней софт.
    Ответ написан
    Комментировать
  • Multicast PIM: почему AutoRP в режиме Sparse работает с выключенным Listner'ом?

    @JDima
    А конфигурация какая? Поведение подозрительно похоже на «ip pim sparse-dense».
    Ну и никуда без модели железки и версии ее софта…
    Ответ написан
  • Вопрос по дизайну multipoint VPN

    @JDima
    Ну конечно же от асашек и L2L туннелей стоит отказаться, если деньги есть. Завтра еще 10 точек добавятся — и кошмар.

    Если имплементация с нуля, то лучше сразу Flex VPN.
    Ответ написан
    Комментировать
  • Посоветуйте хороший wifi роутер для офиса

    @JDima
    Упомянутая выше циска 1141 — бюджетный хлам. Что «не падало на 90 коннектов» — странный аргумент. С чего точке доступа падать? Вот только качество связи для каждого из коннектов было соответствующим.

    Нужна «one AP to rule them all» — берите 3600, она исключительно хороша, проверено. Но правильнее расставить несколько более слабых точек по всему этажу. С одной точкой слишком много клиентов будут толкаться друг с другом.
    Ответ написан
  • ARP записи в Windows7, шлюз cisco 2651?

    @JDima
    С какого рожна циска вообще ретранслирует левые приватные адреса мне в локальную сеть?

    Вопрос немного неправильный.
    Правильный вопрос: «с какого рожна винда шлет arp запросы на хосты, которые не соответствуют локальным интерфейсам?».

    У меня например нет уверенности, что те записи вызваны именно циской. Если проблема повторится — попробуйте debug arp на время… Ну и, в принципе, железка древняя, софт наверняка еще более древний, попробуйте на интерфейсах:
    ip proxy-arp
    no ip proxy-arp
    Может, что-то где-то не всосало. Но все равно это не объясняет, почему винды изначально отправляют запросы.
    Ответ написан
  • Cisco IOS 12.4.24 просит лицензию при подключении AnyConnect?

    @JDima
    Сколько юзеров уже подключено? Или первого отшивает? Что говорит «show license»? Ребуталась ли железка (мало ли)?
    Ответ написан
  • Схема для микрорайона?

    @JDima
    Как вы умудрились поднять шейпер на 6500, если он не поддерживает шейпинг?
    но как заставить сначала ходить на dns…

    Если пользователь обязан настраивать именно провайдерские DNS, то можно создать отдельный VRF для задолжников с той же адресацией, с отдельным DNS сервером, имеющим тот же адрес, что и «честный» сервер.
    Или как-то подкрутить основной сервер, чтобы он задолжникам выдавал один и тот же адрес.
    Ответ написан
  • Как тестировать multicast?

    @JDima
    Как работает mtrace, что можно взять из его вывода?

    learningnetwork.cisco.com/thread/26882
    Как работает ping 239.0.0.2

    Посылается банальный icmp echo на группу. Получатели, если возможно, отзываются reply, где source IP равен интерфейсному адресу. Отправитель echo при получении такого reply отображает вам адреса отправивших reply.
    Говоря о цисках: если вы настроили на int vlan «ip igmp join-group 239.0.0.2», то если PIM настроен верно — циска ответит на пинг на эту группу из другого конца сети. И скорее всего, если не закосячен IGMP, любой хост в этом VLANе сможет слушать группу. Это — отличная предварительная проверка. Если она провалилась, то у вас точно проблема.
    За других вендоров не отвечаю.
    как проверить конкретный канал(например 226.0.0.5) на работоспособность

    Пинг — принципиальная проверка работоспособности. А дальше, чтобы понять, как построен SPT, пройдитесь по железкам и посмотрите, что там с show ip mroute.

    И да, если вы тестируете IPTV, то финальным этапом тестирования должен быть тот самый VLC или реальное приложение. С проверкой состояний IGMP и PIM в процессе трансляций.

    И ни в коем случае не вводите мультикаст в продакшн, не получив полное понимание того, какие есть варианты работы PIM, IGMP, как их дебажить и траблшутить.
    Ответ написан
  • Где взять прошивки Cisco без заказа?

    @JDima
    К сожалению, образом помочь не могу, но:
    1) Ставьте что-нибудь из одного из образов по ссылке выше, убеждайтесь в отсутствии бага, и потом закупайте новый софт. Штамп «ED» — вовсе не приговор, нередко они стабильнее MD. И при таком различии в версиях велик шанс, что комплект багов там будет другой, мало пересекающийся с вашим.
    2) Купите смартнет. Хотя бы на один из роутеров. Это не только полный доступ к иосам прямо из печки, но и поддержка TAC, который как раз и будет разбираться с багами. И это вовсе не дорого. Вы, к примеру, уверены, что падения вызваны софтовым глюком? Вы его идентифицировали по баг тулкиту? По моему опыту, IOS в 80% случаев валится по аппаратным причинам, и надо менять железку по RMA.

    А еще крэши очень не любят воспроизводиться в лабораторных условиях…
    Ответ написан
    3 комментария
  • Умеет ли Linux MPLS?

    @JDima
    когда можно будет iptables'ом фильтровать пакеты по метке

    Странный вы человек. Всех бесит тот факт, что на серьезных железках обычно только по метке/EXP и можно фильтровать, не имея доступа к L3/L4 заголовкам, а вы, наоборот, стремитесь к этому…
    Цель-то какая? Аналог SGT?
    Ответ написан
  • Remote-access VPN с сертификатами

    @JDima
    crypto isakmp policy 20
    authentication rsa-sig

    Не сработает — новый дебаг.
    Ответ написан
  • Выбор IP-телефона?

    @JDima
    Если не секрет: с какой целью поставлена такая задача? Вы ведь понимаете, что с точки зрения администрирования это будет кошмар?
    Ответ написан
  • CISCO Call Manager Express — лицензирование телефонов?

    @JDima
    Если мне память не отшибло, лицензирование там RTU, то есть «max-dn» можно вводить максимальное для платформы, и циска очень вежливо просит перечислить денюшку и получить бумажку, с которой можно сходить в туалет или повесить ее на стену, ни на что иное она не годится :)

    Короче, просто настраивайте по манам, должно работать. Само собой фича UC должна быть активирована (например, вечным триалом).
    Ответ написан
  • Замучил VPN (Cisco 2801)

    @JDima
    «Но при подключении по RDP, соединение не проходит (соединяюсь по адресу 192.168.20.1)». Пинги до 192.168.20.1 и обратно доходят, я правильно понял?

    «Отследив трафик в сети, выяснил, что запрос доходит до сервера, но сервер не отвечает.» — как выяснили? ACL с permit или capture на интерфейсе к серверу? С каким source IP пакеты летят на сервер — из 192.168.5.0/24?
    Где-нибудь еще в конфигурации роутера упоминается конкретно порт 3389?

    «telnet 192.168.20.1 3389 также не проходит» — рвется по RST или по таймауту?

    На сервере что с локальным файрволом? Нет ли там сети 192.168.5.0/24? Скорее всего, дело именно в этом.
    Ответ написан
  • QinQ на 2970 как?

    @JDima
    QinQ добавляет 4 байта.
    На L2 понятия «фрагментация» не существует.
    Как вы представляете себе обходные пути, помимо общего снижения размера содержимого пакетов?
    Ответ написан
    Комментировать
  • NetFlow Analyzer не разбирает часть трафика?

    @JDima
    Стесняюсь спросить — а вендору кейс завести нельзя?
    Ответ написан
  • Настроить порт Cisco 2500

    @JDima
    вся сеть НЕ видет Принтер HP который воткнут во 2й порт.

    Ну это самое…
    Port Summary
               STP   Admin   Physical   Physical   Link   Link
    Pr  Type   Stat   Mode     Mode      Status   Status  Trap     POE
    -- ------- ---- ------- ---------- ---------- ------ ------- -------
    1  Normal  Forw Enable  Auto       1000 Full  Up     Enable  N/A
    2  Normal  Disa Enable  Auto       Auto       Down   Enable  N/A
    3  Normal  Forw Enable  Auto       1000 Full  Up     Enable  Enable  (Power On )
    4  Normal  Forw Enable  Auto       1000 Full  Up     Enable  Enable  (Power On )

    Ничего не смущает? :)
    Ответ написан
  • VPN-tunel cisco

    @JDima
    У цисок совершенно стандартная реализация IPSec (как вариант — с L2TP). Раз «подешевле» — смотрите в сторону каких-нибудь микротиков и тому подобного. Наверняка и dd-wrt сгодится. Если с бюджетом все не настолько плохо, то действительно можно 8ХХ взять, только внимание на производительность.
    Ну и как бы имеет смысл обновить софт… Сказать «12.4(15)T5 устарел лет на пять» — ничего не сказать. Последний представитель той линейки софта — 12.4(15)T17, и кроме багфиксов там толком ничего и не было на протяжении 12-и серий. При задействовании нового функционала рискуете получить много приключений на ровном месте…
    Ответ написан
    Комментировать
  • CISCO ASA 5510 или Allied AT-AR-770S

    @JDima
    наличие гигабитных портов резко повышает стоимость.

    Не наличие гигабитных портов, а наличие шильдика «Cisco» :)
    Не совсем понятна возможность реализации failover подключений.

    Грубо говоря: перед ASA стоит свитч, в который воткнуты внутренние машины, а за асой — свитч, в который воткнуты интернет-каналы. Асы работают в active/standby: как только сдохла первая, вторая мгновенно хватает те же адреса и продолжает роутить без потери соединений.
    без подписки фиг получишь обновления операционки.

    Официально — фиг (но обычно smartnet — лишь 10% стоимости железки в год, и иногда оно того стоит). Неофициально — торренты, без проблем. Во времена 3600-х это тем более не было проблемой.
    только с разницей в 2к уе в цене.

    Смотрю на яндекс.маркете. Обе стоят примерно одинаково. Циска даже немного дешевле.
    Только вот брать сейчас 5510 — никакого смысла, она сильно устарела и наверняка скоро станет EOL. Есть 5512-X за те же деньги.
    Канал 2 для внешних серверов (99,999% ftp-data) (для обмена видеоматериалами)

    «До»? То есть удастся на уровне таблицы маршрутизации разграничить доступ? Иначе задача немного усложнится.
    Ответ написан
    Комментировать