Ответы пользователя по тегу Сетевое оборудование
  • Что лучше, SONiC или Cisco IOS?

    @Strabbo
    Перенес с коментов в ответы.

    думаю sonic позволит использовать маркировку соединений и раскидывание их по разным таблицам маршрутизации, и в целом фильтрацию L4 уровня, то позволит ли такое IOS?


    В NX-OS можно маркировать траффик и раскидывать их в нужные интерфейсы не используя таблицу маршрутизации (PBR), но вот я сомневаюсь, что можно легко раскидвать траффик в разные таблицы маршрутизации без костылей. Вот с костылями это возможно (Например сделать локальный луп на портах и с помощью этих портов соеденять несколько таблиц маршрутизаций, или же программный vrf leak). Фильтрация на L4 работает.

    Возможно ли на ios фильтровать соединения одного L2 домена, при этом на L4 уровне?


    Возможно, есть Vlan access map, который позволяет сделать ACL по мак адрессам или по IP и фильтровать траффик до того как он дойдет до шлюза.

    Умеет ли ios в d/snat?


    По документам умеет, но очень много лимитов. Вообще я бы не делал NAT на свичах, даже если производитель говорит, что всё работает. Ну не научились они его нормально делать, сделали кое как для галочки и всё. Единственный раз был свидетелем dst nat на catalyst 9k свичах, после долгих отговорок клиент всё-таки решил сделать этот нат, было 4 свича по 2 штуки в стеке, на обоих сделали нат и через 2 недели high cpu, packet loss. Пока не выключили нат проблема не ушла
    .
    тут инфа на нексус 5к нат

    Что будет лучше для резюме?


    Ну если это резюме для сетевика, то на одном свиче далеко не уедешь. Я думаю, что для резюме достаточно будет самой технологии, а вот делали вы ее на cisco/sonic/arista/huawei/juniper уже не имеет разницы, потому что работают они все одинаково, переделать конфиг одного вендора на другой со всеми тестами можно за несколько дней, максимум неделя.

    Или существуют коммутаторы лучше предложенных мною, на Б/У рынке в бюджете до 100к? В целом, что будет лучше для домашней лаболатории?


    Думаю что вы потратите больше чем 100к, так как QSFP стоят побольше обычных SFP+, не совсем плохие наверное штука от 4-5к, DAC будет дешевле, а AOC дороже.

    P.S. Я тоже любитель домашних лаб, начинах с покупи железок, тоже брал по 1, но как только начал глубоко изучать технологии, понял что например 1 свича не хватит, в большинстве случаях надо 4 например, а это уже слишком дорого :) после этого вся моя Network Lab переехала в виртуализацию.
    Ответ написан
    Комментировать
  • Как получить полную скорость от cisco 2921?

    @Strabbo
    Как получить полную скорость от cisco 2921?

    С вашим конфигом никак. У вас даже скорость в нормальном режиме работы (IMIX) будет меньше, чем на спидтесте.
    Можно выключить НАТ и тогда скорее всего вы получите 1G.
    Посмотрите этот документ, там есть тесты со скоростью с разными конфигурациями

    ПДФ
    Ответ написан
    5 комментариев
  • MikroTik, есть ли инструкция по правильной настройке IS-IS?

    @Strabbo
    вот какие порты использует данный протокол, чтоб ему разрешать передачу трафика через firewall

    Он не использует IP протокол, соответственно никаких портов там нету. IS-IS использует протокол CLNS.
    можно ли огранить отправку маршрутов по аналогии с OSPF filter rules или же данный протокол работает совершенно по-другому

    По стандарту фильтрация работает из одной area в другую или же с Level 2 в Level 1 и наоборот. + может какой то вендор добавил свои методы фильтрации.

    P.S. как ISIS работает в микротике понятия не имею :)
    Ответ написан
    1 комментарий
  • Нужны ли стекируемые коммутаторы?

    @Strabbo
    В вашем случае всё зависит от системы виртуализации, например ESXI сам всё разнесет по портам так что лупа не будет. Так что вы можете даже подключить ваши свичи друг к другу и петли не будет. Но в таком случае усложниться управление- вместо одного стека будете управлять несколькими свичами по отдельности. При добавлении коммутаторов опять таки без стека надо будет много конфигить. Без стека может усложниться подключение к провайдеру и к остальной сети(если она существует).

    P.S. Best Practice зависит от многого, так что тут не можеть быть конкретного ответа, многое зависит от разных факторов.
    Ответ написан
  • Почему не доходит сигнал ping?

    @Strabbo
    Маска подсети неправильная
    Ответ написан
    Комментировать
  • Как вывести коммутатор Huawei из stackа?

    @Strabbo
    Насколько я знаю, есть лишь один метод убрать свич из стэка и это физическое разъеденение. Если у вас кольцо, то проще всего выводить из стэка Slave . Не забудьте вернуть кабель на другой свич чтобы образовалось кольцо. О последствиях покидания разных ролей из стэка можно почитать на их сайте.
    Ответ написан
    Комментировать
  • Существуют ли коммутаторы с возможностью изляции отдельных портов друг от друга?

    @Strabbo
    У коммутаторов Cisco есть такой функционал, называется Private Vlan.
    Ответ написан
    Комментировать
  • Как настроить NAT на Juniper SRX650?

    @Strabbo
    NAT у вас настроен, проблема скорее всего в правилах фаервола.
    У вас есть правило, которое позволяет ходить трафику изнутри снаружу.
    policies {
    from-zone trust to-zone untrust {

    Но у вас нет правила, которое разрешает ходить обратному трафику

    policies {
    from-zone untrust to-zone trust {
    Ответ написан
  • Как реализовать редирект пользователей определенной подсети?

    @Strabbo
    Если не получается сделать с помощью радиус атрибутов, то можно попробовать локальный PBR или же можно использовать VRF. Серый пул в отдельный VRF, у него в таблице маршрутизации будут только IP платежных сайтов и Default на linux маршрутизатор, который будет редиректить на страницу оплаты.
    Ответ написан
    Комментировать
  • Настройка vlan HPE 1950?

    @Strabbo
    Как уже сказал szelga дело может быть в ограничениях.
    даташит говорит следующее:
    Provides basic routing (supporting up to 512 static routes and 32 VLAN interface on
    aggregation model; 32 static routes and 8 VLAN interfaces on access models); allows manual
    routing configuration

    т.е. в зависимости от модели у вас бодует 8 или 32 L3 интерфейса.
    Вы точно создали штук 12? покажите весь конфиг свича
    Ответ написан
  • Cisco как получить доступ к внешнему сайту?

    @Strabbo
    Я заметил, что между роутером и свичом порт в транке, хотя у вас нету саб интерфейсов на роутере, в таком случае нужно со стороны свича портв аксес перевести(гиг1/0/3). аксес лист отвечающий за нат содержит только сеть 192.168.1.0/24, он должен содержать все сети, которые должны иметь доступ в интернет. Дальше идёт настройка самого ната ip nat inside source list 1 pool NAT-POOLp тут без overload у вас будет работать только 1 айпи. Потом идут настройки ДНС сервера, там где у вас ya.ru. Н а всех компах вроде его используют как днс, он должен резолвить все имена, а в нем прописан только ya.ru. надо добавить туда еще cisco.com с соответствующим айпи адресом. Попробуйте всё это исправить, если не заработает завтра еще подумаем.

    P.S. Поздно уже, голова плохо варит, может быть что-то упустил
    Ответ написан
  • Какой тип linux bond выбрать если линки подключены в разные коммутаторы не в стеке?

    @Strabbo
    Если ваши свичи не поддерживают MEC (Multichassis Etherchannel), что-то вроде vss от циско или vpc от циско нексусов, то никак. Только режим active/backup (т.е. одновременно оба работать не будут).

    P.S. Раньше было так и щас скорее всего также, а может быть и нет.
    Ответ написан
    3 комментария
  • Как завернуть трафик в NAT перед IPSEC в Cisco?

    @Strabbo
    1. На loopback interface > ip nat outside
    2. На интерфейсе, который смотрит в сторону 192.168.1.0/24 ip nat inside+ использовать PBR такого типа:
    route-map NEW_RM, permit, sequence 20
    Match clauses:
    ip address (access-lists): NEW_ACL
    Set clauses:
    interface Loopback250
    route-map NEW_RM, permit, sequence 25
    Match clauses:
    Set clauses:
    в ACL указываешь permit ip 192.168.1.0 0.0.0.255 10.х.х.х + wildcard
    вешаешь роут мап на итнерфейс ip policy route-map NEW_RM
    потом натишь ip nat inside source list NEW_ACL interface Loopback250 overload
    порт форвардить ip nat inside source static tcp 192.168.1.7 172.16.197.100 80 extendable
    P.S. Делал это 100 лет назад, вроде ничего не упустил.
    Ответ написан
  • Как получить доступ к бриджу?

    @Strabbo
    Если не меняли IP, то просто пропишите в вашем компе 192.168.2.x. подключитесь с помощью кабеля или вафли и вперед. вот мануал
    Ответ написан
  • Что лучше?WS-C3750E-24TD-S или CISCO WS-C4948-S?

    @Strabbo
    Исходя из даташитов с сайта циско, WS-C4948-S производительнее, но у него нету 10ГБ портов, А в 3750 можно вставить 2 10Г порта
    Ответ написан
    Комментировать
  • Можно ли объединять порты коммутатора для увеличения пропускной способности?

    @Strabbo
    Для получения такой скорости во всех случаях жизни, я бы использовал порты на 10ГБ с каждой стороны. Если такой возможности нету, то можно попробовать Etherchannel(bonding), ваш свич такое умеет, при определенныйх условиях можно получить 2ГБ.
    Вот мануал, ищите LACP и балансировку.
    Ответ написан
    Комментировать
  • Как сделать IIS сервер видимым через VPN-туннель?

    @Strabbo
    Мало информации, но думаю у вас не включен прокси арп на внутренних интерфейсах (или бриджах)
    Ответ написан
    Комментировать
  • Как настроить маршрутизацию для подсетей в разные шлюзы используя L3 коммутатор CISCO 3750?

    @Strabbo
    Использовать PBR или же VRF. С PBR всё просто, если же будете использовать VRF, то там чуть посложнее PBR и конфига больше и разбираться дольше, но в конце я думаю от VRF профита больше будет, когда будете расширять сеть то просто будете добавлять новую сеть в нужный VRF. Конкретно в вашей схеме можно создать 2 VRF, распределить по ним влан 10 в один, а в другой 40 и 50. Настроить импорт и экспорт роутов, чтобы все видели друг друга, а потом уже отдаете по одному дефолту каждому VRF.
    Ответ написан
    4 комментария
  • Как лучше организовать отказоустойчивость linux сервера двумя свичами?

    @Strabbo
    В вашем случае, я бы остановился на active-backup от STP. С quagga тоже можно сделать, но там мороки много если на сервере много IP будет, то придется часто переделывать конфиг на квагге, можно и редистрибюцию настроить, но если будет кейс где не надо редистрибьютить все IP, а надо только конкретные и тд. Или на одном физ сервере будут много виртуалок с другими подсетями или же часто будут меняться или добавляться, то придется часто возиться с квагой. Если траффик не больше 1Г то лучше сделать active-backup. В идале надо бы поставить свичи, которые умеют работать в стеке и от стека уже тянуть агрегированые каналы до сервера.
    Ответ написан
    2 комментария