Можно ли скрыть реальный IP адрес при подключении через GlobalProtect?

Dali23, а в чем сама проблема? вы хотите уехать из германии и сделать вид что вы никуда не уезжали? Может попробуете узнать и договориться с компанией, что 2 недели вас не будет и будете работать удаленно с другой страны. Вдруг на самом деле всё просто и вам не нужно ничего скрывать...

Можно ли скрыть реальный IP адрес при подключении через GlobalProtect?

Dali23, Смотря от чего спасать, подключиться вы сможете и оно будет работать, но ваша организация будет иметь инфу что вы работаете через ВПН. Как вариант можно оставить комп включенным в германии и к нему как-то подключаться. Но всё зависит от конфига глобал протекта, такой вариант тоже может блокироваться. Можете предварительно перед отъездом проверить несколько вариантов, если с вами свяжутся безопасники, то не прокатило ))) В нормальных конторах при таких событиях создается инцидент в софте и потом с этим инцидентом должен уже разобраться живой человек, например может позвонить и спросить вас что к чему, может подумают что ваш комп взломали и так далее... Но всё зависит от конфига, может быть это всё не настроено в вашей компании и у вас будет все работать и никто про это не узнает.

Можно ли скрыть реальный IP адрес при подключении через GlobalProtect?

Global Protect умеет запускать кастомные скрипты на винде, так что организация может задолбатся и сделать какие-то трейсы и грузить их к себе и просматривать кто за впн сидит. Если еще стоит ADEM, то я 100% уверен что эта инфа видна без всяких заморочек. Просто не могу найти нужный скрин чтобы показать.

Как назначить статичного assert маршрутизатора в multicast и как продлить время пребывания в группе клиента?

Иногда вижу в логах, что он становится assert и может в тот момент пропасть интернет у него, это не повлияет на прохождения multicast дальше, точнее как быстро в сети будет выбран новый assert если этот "отпадёт"?

Если роутер становится форвардером в одном сегменте с помощью PIM Assert и в какой то момент он перестает быть доступным для этого сегмента, тогда мультикаст не будет работать. Надо ждать пока выберут нового форвардера. RFC не читал, но у многих вендоров time out 180 секунд, через это время найдется новый форвардер. Если проблема в этом, то надо смотреть на таймеры PIM может что-то можно будеть уменьшить.

Советовали в IGMP snooping продлить membership interval. Это поможет?

Не могу ничего посоветовать, PIM это роутинг, а IGMP snooping используется в свичах. Если думаете что в нем проблема, то можете вообще на время отключить его. Если проблема в том, что в сегменте выключается форвардер и нужно время на то, чтобы выбрать нового, то снупинг не поможет.

P.S. очень мало деталей для решения мультикаст проблем

Как назначить статичного assert маршрутизатора в multicast и как продлить время пребывания в группе клиента?

Я хочу свой маршрутизатор RP сделать assert для всех остальных маршрутизаторов

PIM assert это механизм, который позволяет избавиться от ненужного мультикаст трафика. Может вы путаете термин? Потому что Assert никак не связан с вашей проблемой.
А в чём конкретно проблема то? Как влияет нестабильный интернет на вашу проблему? нужны детали и топология, а то пока ничего не ясно.

как продлить время пребывания в группе клиента?

Время пребывания клиента в группе вообще не зависит от PIM, клиент может быть в группе без PIM и вообще без приходящего мультикаст трафика.

Как настроить Trunk в cisco SG350 10-port через веб-интерфейс?

вроде на таких свичах нужно для каждого влана отдельно выбирать tagged/untagged.

Как называется атака когда подменяют таблицу маршрутизации?

bgp реквест на маршрутизацию пакета

BGP не посылает никаких реквестов на маршрутизацию, такого нету в природе этого протокола.

Как называется атака когда подменяют таблицу маршрутизации?

скроее всего она называется BGP hijacking, но я бы не назвал бы это подменой. Это просто неправильная конфигурация.

Почему не корректно отрабатывает протокол OSPF?

LMM29, ну это уже совсем аномалия, скорее всего по каким то причинам OSPF не надеется на BFD... А у вас BFD на других сегментах сети тоже не работают? У некоторых вендоров можно BFD на LDP вешать, может ваш тоже может.
P.S. никогда не любил OSPF, только из-за перевел бы всё на is-is :)

Почему не корректно отрабатывает протокол OSPF?

LMM29, а как он себя ведет в вашей ситуации? BFD живой, а остальной траффик не ходит? или BFD падает, но OSPF не падает

Какой ближайший хоп у России с европейской страной?

Juchok,

А можно подробнее? Я интересовался данным вопросом довольно давно, но насколько помню, оба обеспечивают быструю сходимость динамических маршрутов, оба требуют объединения каналов в логические узлы (речь об автономных системах), оба работают для маршрутизации междоменных систем.

BGP не обечпечивает быструю сходимость. IS-IS- бечпечивает, он использует алгоритм SPF, который во много раз быстрее алгоритма BGP, который в зависимости от случая должен сравнить префикс по 1-11(не помню точное число) пунктам.
IS-IS не использует автономные системы.
IS-IS ~это IGP, он работает внутри одного домена. Можно конечно связывать домены, но это можно сделать и в OSPF, хотя это никому не нужно и никто не использует.
BGP работает поверх IP, IS-IS не использует IP как транспорт, у него свой протокол.
IS-IS это брат OSPF-а, оба выполняют оду и ту же функию, просто протоколы разные.
Между IS-IS и BGP столько же общего, как между OSPF и BGP и даже меньше )).

Какой ближайший хоп у России с европейской страной?

Juchok,

(кстати, если в курсе, можете в двух слова рассказать о разнице в протоколах BGP и IS-IS (для переживающих - не путать с террористическую группировку с проприетарным протоколом динамической маршрутизации компании Cisco Systems)

Ну он воообще не проприетарный. BGP и IS-IS это совершенно разные протоколы, разница между ними огромная, проще сказать что между ними нету ничего общего.

Не работает InterVLAN routing c3750g?

antonzlk,

я вот думаю нет ли там какого нибудь прикола, например чтобы работал транк на реальной 3750 нужно обязательно включать инкапсуляцию на порту, в PT работает без этого.

нет, вашего конфига достаточно.

роутер должен значить марштруты 101 и 102

"роутером" в данном случае и выступает 3750

Я имел ввиду роутер на котором прописан 172.16.0.1.

P.S. у вас хост с 101 сети пингует 192.168.2.1 ? если да, то это тоже означает что маршрутизация работает.

Не работает InterVLAN routing c3750g?

сеть 102: шлюз пингуется (2.1), dhcp пингуется(1.181), соседи внутри vlan пингуются, машины без статического IP получают его от 1.181 без проблем

Ну раз из сети 102 пингуется 1.181 значит роутинг работает.
Может быть поможет вывод traceroute из хоста в 102 или 101 сети в сторону 8.8.8.8

на роутере 2 маршрута
в интернет и обратно, точно не скажу не помню как они там выглядят. что то вроде 0.0.0.0/0 **.***.**.** и **.***.**.**/24

Ну если тольео эти маршруты, то интернета у клиентов не будет, роутер должен значить марштруты 101 и 102, и натить их куда то дальше.

P.S. нсли это новые сабнеты, то надо смотреть еще маршрутизацию на ротуере + НАТ

Huawei CloudEngine ACL на Vlan?

traffic behavior tb_GUEST
statistics enable

тут должны указать что надо делать с трафиком. Если deny не стоит дефолтно, то его надо указать.

Что лучше, SONiC или Cisco IOS?

Cisco - стандарт качества и работоспособности

Думал. что интернет всё помнит, но нет :(. Был график с количеством багов софта и сравнивал cisco с другими вендорами. Там cisco занял первое место по количеству багов (Больше всгео багов у cisco), на последнем месте была Arista(меньше всего багов). Щас попытался найти этот график но его нигде нету :(

Что лучше, SONiC или Cisco IOS?

hint000, Перенес :)

Что лучше, SONiC или Cisco IOS?

Bermut,

позволят сделать все выше описанные действия(nat, mangle, L2 фильтрацию)?

эти модели могут всё о чем вы писали, но вот не думаю, что полный функционал mangle там присутствует. Можно с костылями маркировать траффик по IP/PORT и перекидывать в другую таблицу маршрутизации. Mangle умеет менять TTL на ходу, менять TCP MSS и еще много чего, что эти свичи не могут.

Не будут ли они привередливы к qsfp28 модулям/dac кабелям?

Скорее всего будут такие, которые не заработают. У меня не заработали микротиковские DAC на N9K-C93180YC-FX3. Opway,10gtek,juniper,finisar работали отлично.

Необходимы ли им лицензии для полноценной работы?

Знаю, что для отдельных VRF и PBR нужна лицензия. Никогда не использовал эти свичи без лицензии, так что не знаю что там работает без них.

Что лучше, SONiC или Cisco IOS?

думаю sonic позволит использовать маркировку соединений и раскидывание их по разным таблицам маршрутизации, и в целом фильтрацию L4 уровня, то позволит ли такое IOS?

В NX-OS можно маркировать траффик и раскидывать их в нужные интерфейсы не используя таблицу маршрутизации (PBR), но вот я сомневаюсь, что можно легко раскидвать траффик в разные таблицы маршрутизации без костылей. Вот с костылями это возможно (Например сделать локальный луп на портах и с помощью этих портов соеденять несколько таблиц маршрутизаций, или же программный vrf leak). Фильтрация на L4 работает.

Возможно ли на ios фильтровать соединения одного L2 домена, при этом на L4 уровне?

Возможно, есть Vlan access map, который позволяет сделать ACL по мак адрессам или по IP и фильтровать траффик до того как он дойдет до шлюза.

Умеет ли ios в d/snat?

По документам умеет, но очень много лимитов. Вообще я бы не делал NAT на свичах, даже если производитель говорит, что всё работает. Ну не научились они его нормально делать, сделали кое как для галочки и всё. Единственный раз был свидетелем dst nat на catalyst 9k свичах, после долгих отговорок клиент всё-таки решил сделать этот нат, было 4 свича по 2 штуки в стеке, на обоих сделали нат и через 2 недели high cpu, packet loss. Пока не выключили нат проблема не ушла
.
тут инфа на нексус 5к нат

Что будет лучше для резюме?

Ну если это резюме для сетевика, то на одном свиче далеко не уедешь. Я думаю, что для резюме достаточно будет самой технологии, а вот делали вы ее на cisco/sonic/arista/huawei/juniper уже не имеет разницы, потому что работают они все одинаково, переделать конфиг одного вендора на другой со всеми тестами можно за несколько дней, максимум неделя.

Или существуют коммутаторы лучше предложенных мною, на Б/У рынке в бюджете до 100к? В целом, что будет лучше для домашней лаболатории?

Думаю что вы потратите больше чем 100к, так как QSFP стоят побольше обычных SFP+, не совсем плохие наверное штука от 4-5к, DAC будет дешевле, а AOC дороже.

P.S. Я тоже любитель домашних лаб, начинах с покупи железок, тоже брал по 1, но как только начал глубоко изучать технологии, понял что например 1 свича не хватит, в большинстве случаях надо 4 например, а это уже слишком дорого :) после этого вся моя Network Lab переехала в виртуализацию.

Как из одной локальной сети сделать запрос в другую локальную сеть через SSH?

Почему нельзя просто сделать ssh user@192.168.2.26 с машины под адресом 192.168.1.3?

Почему нельзя, если можно. У всех обычно так и работает. У вас проблемы в сети скорее всего, потому и не работает. Может быть фаервол блокирует, не работает маршрутизация, нужен нат ... так можно еще десяток терминов дописать.

Чем лучше эмулировать Cisco Nexus N3K-C3064PQ, если не GNS3?

shurshur,

Вот тут есть мануал как в eve-ng запустить (не пробовал)

Этот метод работает, использую NXOS в eve-ng, ставил по вашему мануалу.

@pelzateev

Чем лучше эмулировать Cisco Nexus N3K-C3064PQ

в EVE-NG можете запустить виртуальный нексус, но вот эмулировать конкретную платформу нексуса там нельзя.