Задать вопрос
SLIDERWEB

Владимир Пилипчук

ИТ-Куроводитель
Ответы пользователя по тегу Cisco

  • Несколько вопросов по конфигурация точки доступа CISCO CAP-2700 (в автономном режиме)?

    SLIDERWEB
    @SLIDERWEB
    ИТ-Куроводитель
    Да много конфигураций можно наплодить.
    BVI - это бридж. Обычно его используют для пробросать трафика с провода в воздух.
    Иногда на нем терминируют подсеть управления, чтобы иметь доступ к самой точке (ssh/telnet/etc).

    Могут ли несколько точек (2-3) работать без контроллера в бесшовном режиме?

    Смотря что вы под этом подразумеваете.
    Теоретически - да могут. На всех точках настраиваете одинаковые ssid и авторизацию... клонируете в обшем. Клиенты по мере удаления будут терять старую точку, и переключаться на новую. Но вот роуминга не будет, так как сессии должен кто-то перетаскивать с точки на точку, и это делает контроллер. Без него сессии будут рваться при переключении.
    Ну и стоит помнить, что это все же разные устройства, которые работают на одной частоте. Естественно они будут создавать друг-другу помехи. Разнесением по частоте, каналам, и управление мощностью передатчика для минимизации помех - тоже контроллер занимается.
    Ответ написан
    Комментировать
    Комментировать

  • Cisco AP, BVI интерфейс когда применять, а когда нет?

    SLIDERWEB
    @SLIDERWEB
    ИТ-Куроводитель
    BVI обычно используется для подсети доступа к самой точке. На него обычно садят подстеть управления, а пользовательские вайфаи отдают vlan-ами на сабинтерфейсах. BVI - это бридж. Для чего его использовать или нет - решать Вам.
    Ответ написан
    Комментировать
    Комментировать

  • Как настроить доступ в интернет через VLAN?

    SLIDERWEB
    @SLIDERWEB
    ИТ-Куроводитель
    Отсутствует роутинг. Отсутсвует NAT целевых vlan.
    маршрутизации 0.0.0.0/24 на 10.99.100.1 - это роутинг локального трафика самого коммутатора, а не ваших vlan. Их вы должны сроутить на маршрутизаторе, и там же настроить NAT.
    Ответ написан
    Комментировать
    Комментировать

  • Как соединить две физические (!) сети в CISCO?

    SLIDERWEB
    @SLIDERWEB
    ИТ-Куроводитель
    router eigrp 1
    passive-interface default
    no passive-interface ***
    no auto-summary
    eigrp router-id ***
    network 1 wildcard
    network 2 wildcard
    network N
    ...

    Как-то так... смаршрутизировать вам их нужно... можете конечно статически маршрутов написать ...

    Что не искал там речь про vlan, но тут все физическое... думал в сторону ip route, но не могу допетрить...

    Думаю причина в том, ч то теоретической базы сильно не хватает. Какая разница физическое или нет?
    Вы в курсе что физическое - это default vlan, который обычно VLAN ID 1. Поднимите транк между маршрутизаторами и гоняйте там вланы. На маршрутизаторах 2 интереса не потому, что один IN а второй OUT, а для того, чтобы bandwidth не страдал, и была возможность физически подключить более одного Линка, более и не требуется на самом деле. Роутинг это функционал, а порты маршрутизатора обычно расширяются коммутаторами.
    Ответ написан
    Комментировать
    Комментировать

  • Почему не поднимается EIGRP пиринг в среде EVE-NG?

    SLIDERWEB
    @SLIDERWEB
    ИТ-Куроводитель
    EIGRP обменивается сессионной и маршрутной информацией по multicast, проверьте, не блокируется ли он на устройствах. Если хотите unicast - прописывайте соседство статически.
    Убедитесь, что все анонсируемые подсети в UP, а если это виртуальные интерфейсы - то порты, на которых ALLOW данные vlan - тоже в статусе UP.
    Так же в анонс с обеих сторон добавьте подсеть пиринга (10.1.24.0/30) и соседство поднимется. Почему так - описано в доке по EIGRP.
    Ответ написан
    Комментировать
    Комментировать

  • Как сконфигурировать коммутатор Cisco?

    SLIDERWEB
    @SLIDERWEB
    ИТ-Куроводитель
    много чего можно сделать. все зависит от того, чего надо.
    начните с того, что откажитесь от password и используйте secret
    Ответ написан
    Комментировать
    Комментировать

  • Как настроить маршрутизацию между vlan на cisco 2960?

    SLIDERWEB
    @SLIDERWEB
    ИТ-Куроводитель
    2960 - это L2 устройство, и ни о какой маршрутизации там не может быть и речи.
    На 3750 затерминируйте нужный vlan, поднимите какой нибудь IGP (EIGRP/OSPF/etc) и у вас сработает intervlan routing.
    То что написано в статье - это роутинг для локального трафика коммутатора (NTP/SNMP/ICMP). К искомой вами задачи это не имеет ни какого отношения.

    Vlan20 - это, я так понимаю ваш management-vlan. Их обычно не маршрутизируют в CAN. Но если хотите - ни что не запрещает строутить его на 3750.
    Для того, чтобы трафик полетел в Vlan20 Вам необходимо использовать
    ip default-gateway 192.168.10.1
    а не ip route 10.0.0.0 255.0.0.0 192.168.10.1
    Ответ написан
    Комментировать
    Комментировать

  • Каковы ограничения L2TP подключений на Cisco ASR1002F?

    SLIDERWEB
    @SLIDERWEB Автор вопроса
    ИТ-Куроводитель
    Отвечу на свой вопрос сам, вдруг кому будет актуально.
    Сие ограничение является багом (подтверждено TAC) ряда образов IOS-XE. Проблема была решена в Cisco IOS-XE 15.5(3)S6
    Ответ написан
    Комментировать
    Комментировать

  • Есть ли аналог механизма OSPF DR/BDR в EIGRP?

    SLIDERWEB
    @SLIDERWEB
    ИТ-Куроводитель
    Для EIGRP нет необходимости в DR/BDR, так как каждый роутер знает всю топологию и все возможные маршруты до узла назначения, выбирая при этом лучший(лучшие) маршрут в зависимости от дистации, загрузки канала, задержки и т.д. Для "тупиковых" роутеров можно указать STUB-сеть в анонсах, со всеми вытекающими.
    Это позволяет организовать балансировку трафика между узлами, указав нужный variacnce. Например, если до точки назначение имеется 2 маршрута, то при указании variance 2 в таблицу маршрутизации попадет 2 "лучших" маршрута, между которыми будет распределен траффик примерно 50/50.
    Ответ написан
    Комментировать
    Комментировать

  • Как на коммутаторе cisco SF300-24 просмотреть список всех ip адресов на портах?

    SLIDERWEB
    @SLIDERWEB
    ИТ-Куроводитель
    show arp разве там нет?
    sh arp
Protocol  Address          Age (min)  Hardware Addr   Type   Interface
Internet  10.38.20.56            67   a88e.2437.403a  ARPA   Vlan382
Internet  10.38.40.4             77   0008.3100.0e03  ARPA   Vlan384
Internet  192.168.192.168         -   9c4e.20d0.9941  ARPA   Vlan5
Internet  10.38.0.45             13   1cb7.2c1c.cded  ARPA   Vlan38
    Ответ написан
    Комментировать
    Комментировать

  • Кто-нибудь из Cisco или Mikrotik умеет поправить пакет tcp на лету?

    SLIDERWEB
    @SLIDERWEB
    ИТ-Куроводитель
    Простите, но хотелось бы понять сакральный смысл сего действа. Возможно вам будет удобнее пойти иным путем.
    Что касается сетевого оборудования Cisco (маршрутизаторы и коммутаторы), то мне не известен функционал IOS/IOS-XE который бы позволял так глубоко вмешиваться в трафик.
    Serial оборудования можно получать и по SNMP. А вот если у вас стоит идентификация устройства в топологической иерархии по данному параметру, то здесь, мне кажется, нужно не к Serial а к Hostname привязываться, который легко шьется тем-же SNMP.
    Чтобы ничего не перенастраивать в боевой среде, необходимо настраивать оборудование до его установки в прод. Это называется "ввод в эксплуатацию". В противном случае costЫl.sh будет сопровождать Вас вечно.
    Ответ написан
    Комментировать
    Комментировать

  • Резервный канал через PBR. Как быть с публикуемыми сервисами?

    SLIDERWEB
    @SLIDERWEB
    ИТ-Куроводитель
    Если с BGP проблемы, то одно из решений, которое я использую и сейчас — это проксирование траффика.
    1 — Покупаем VPS, поднимаем на нем nginx/vpn (в зависимости от того, что хотим резервировать), правим DNS — проффит.
    2 — Есть вариант воспользоваться уже готовыми облачными решениями, типа CloudFlare.
    3 — Договариваемся с провайдерами о том, чтобы они разрешил пересылку и маршрутизацию пакетов не из своего пула. Включаем на DNS RR — готово. Два раза проделывал такой трюк — до сих пор работает. Предварительно договариваемся с провами о том, какие префиксы кому разрешить, настраиваем оборудование — и вуаля! Не красиво конечно, но основам построения сетей не противоречит, при должном подходе к реализации. Другое дело, что провайдеры могут не согласиться из за усложнения топологии.
    Ответ написан
    6 комментариев
    6 комментариев

  • Как правильно приоритезировать IPTV на маршрутизаторе

    SLIDERWEB
    @SLIDERWEB Автор вопроса
    ИТ-Куроводитель
    Задачу решил разобравшись с rate-limit.
    На машрутизаторах нет mls поэтому CoS нельзя использовать. Service-policy так же не подходит ввиду работы тольок с исходящим траффиком.
    Остается резать траффик на интерфейсе.

    Собственно на интерфейс роутера, которым он смотрит в LAN, говорим (при ограничении полосы в 16 мегабит)
    rate-limit input access-group 20 16000000 3000000 6000000 conform-action transmit exceed-action drop
rate-limit output access-group 20 16000000 3000000 6000000 conform-action transmit exceed-action drop


    access-list у нас стандартный нумерованный и содержит в себе сеть вещания, 239.0.0.0/8 и 224.0.0.0/8

    16000000 — это задаваемая ширина канала в bps (CAR)
    3000000 и 6000000 — Norm и Max burst bytes (диапазон, обеспечивающий среднюю и верхнюю границы средней пропускной способности, во как!), которые расчитываются от CAR по формулам

    Nb = CAR x (1/8) x 1.5
Eb = 2 x Nb
Но с шагом CAR в 8 bit

    Далее задаем правило, что делать с траффиком. В частности здесь я пропускаю траффик пока он не превышает 16Mbit. Потом начинаем дропать пакеты.
    Решение конечно не очень хорошее, особенно для IPTV, но иного способа регулировать входящий траффик, при топологии «комп -> шлюз», я не нашел.
    Ответ написан
    Комментировать
    Комментировать

  • Как правильно приоритезировать IPTV на маршрутизаторе

    SLIDERWEB
    @SLIDERWEB Автор вопроса
    ИТ-Куроводитель
    Вы наверное не поняли — я получаю от них на порт 2 VLAN — один с интрнетом, второй с «телевизором». Все это приходит на роутер. С роутера ухотит на коммутатор с пятью клиентами.
    проблема в том, что, например, при разговоре по телефону жена включает телефизор, и через какое-то время я слышу бульканье в трубке, иногда связь рвется вовсе. На роутере при этом загрузка не очень большая, утилизация интерфейса всегда где-то около 75-80%

    Для решения сего мне нужно приоритезировать ВХОДЯЩИЙ траффик на внутреннем интерфейсе.
    думаю над rate-limit но обчитавшись официальной доки — в голове теперь кашка.

    Если я не прав — ткните глупого носом в туда, где правильно.
    Ответ написан
    1 комментарий
    1 комментарий

  • Выбрать железку уровня доступа?

    SLIDERWEB
    @SLIDERWEB
    ИТ-Куроводитель
    Catalyst 2960 вам подойдет. В нужной комплектации (2 10G SFP + 100/1000 per port)
    Есть аналоги e D-Link. Но в них я не силен.

    Ответсвенного человека советую брать c прямыми руками, а не гуями.
    набрать — дело нескольких секунд
    conf t
int range f0/1 - f0/48
switch acc vlan 7
switch acc voice vlan 12


    Ждать пока это сделает какой нибудь флэш — на много дольше, и нет гарантии, что все не упадет после этого…
    Ответ написан
    7 комментариев
    7 комментариев

  • Cisco IOS 12.4.24 просит лицензию при подключении AnyConnect?

    SLIDERWEB
    @SLIDERWEB Автор вопроса
    ИТ-Куроводитель
    Вопрос решился подбором ROM-MON и IOS без изменения конфигурации сервисов
    Все заработало в следующей комплектации:

    ROM: System Bootstrap, Version 12.4(13r)T, RELEASE SOFTWARE (fc1)
System image file is "usbflash0:c2800nm-advipservicesk9-mz.151-2.T2.bin"

    В чем сакральный смысл я до сих пор не понимаю…
    Ответ написан
    Комментировать
    Комментировать

  • Cisco IOS 12.4.24 просит лицензию при подключении AnyConnect?

    SLIDERWEB
    @SLIDERWEB Автор вопроса
    ИТ-Куроводитель
    После Вашего совета
    Попробуйте отключить криптоакселератор «no crypto engine onboard 0»
    теперь вообще не подключается… =(
    Ответ написан
    3 комментария
    3 комментария

  • Cisco IOS 12.4.24 просит лицензию при подключении AnyConnect?

    SLIDERWEB
    @SLIDERWEB Автор вопроса
    ИТ-Куроводитель
    Самое интересное, что на всех четырех филиалов эниконнект завелся с полпинка, а вот на одной не хочет… и я не могу понять что я делаю не так… в тонкостях лицензирования сиско, с кожалению, я почти нуб. Там же еще есть тонкости совместимости IOS-ROMMON
    Ответ написан
    Комментировать
    Комментировать

  • MPLS vs Internet для объедения распределенной сети. Нужны аргументы?

    SLIDERWEB
    @SLIDERWEB
    ИТ-Куроводитель
    Мне нужно предоставить весомые аргументы в пользу моего варианта (замена бранчевых кошек на srx100 + каналы через интернет со статикой в бранчах)

    Я думаю, что не суть какое оборудование использовать. Главное чтобы ответсвенные сотрудники умели его правильно готовить.
    Я лично, недавно сталкивался с такой задачей — объяснить руководству. Особо оно не упиралось, руководство это. я лишь объяснил, что использование чужого (операторского) MPLS/VPN — дополнительная колонка в карте рисков. Ничто, кроме совести, не мешает оператору вклиниться в нашу частную сеть + стоимость своего MPLS — в 60 раз дешевле (в нашем случае).
    В итоге на имеющихся кошках приготовил «солянку» Dual Hub DMVPN + MPLS + EIGRP + QoS. Руководство сначала сомневалось, ибо паблик по обоим каналам менее стабилен на порядки, по сравнению с арендуемым MPLS, однако после первых трех месяцев аптайма КСПД и ужасающей статистики по падению каналов (которое никак не сказалось на SLA) — довольно итоговым результатом.
    Ответ написан
    3 комментария
    3 комментария

  • Вопрос опытным специалистам по Cisco (QoS)

    SLIDERWEB
    @SLIDERWEB
    ИТ-Куроводитель
    1. Работает прекрасно уже давно. Красим траффик, потом делаем с ним все что хотим
    2. Если есть Cisco, зачем искать что-то еще. ИМХО
    3. Если работает QoS — особого смысла в ограничении нет. Назве что ограничить максимальную утилизацию около 80-90%, чтобы у провайдера порт не начал дропать большое количество пакетов.
    4. Лично я в данном случае особого смысла в ASA не вижу.

    class-map match-all VIDEO_IN
 match access-group name VIDEO_IN
class-map match-all LOCAL_SERVICES_IN
 match access-group name LOCAL_SERVICES_IN
!
!
 class VIDEO_IN
  set ip precedence 4
 class LOCAL_SERVICES_IN
  set ip precedence 2
!
!

ip access-list extended VIDEO_IN
 permit ip host 10.100.1.3 10.100.0.0 0.0.255.255
 permit ip host 10.100.1.4 10.100.0.0 0.0.255.255
 permit ip host 10.100.1.5 10.100.0.0 0.0.255.255
 permit ip host 10.100.1.6 10.100.0.0 0.0.255.255
ip access-list extended LOCAL_SERVICES_IN
 permit ip host 10.54.1.2 10.0.0.0 0.255.255.255


    Ну вот как-тио так я делю приоритетность траффика по направлению и сервисам.
    На уровне ядра мне этого достаточно. Можно поупражняться с другими параметрами.
    Ответ написан
    4 комментария
    4 комментария