Задать вопрос
Ответы пользователя по тегу Cisco
  • Какими средствами можно с агрегировать информацию с access листов и сделать ее читаемой?

    @iddqda
    network engineer, netdevops
    1. для похожей задачи использую batfish https://www.batfish.org/ (но в микротик не умеет)
    сделал небольшой бекенд на фастапи который дергает нужные методжы batfish, а вместо фронта набросал чат-бота
    2. что входит и выходит определяется маршрутизацией. к аксесс-листам отношения не имеет (или я не понял вопроса)
    3. для отслеживания изменения не в листах но и конфигах использую oxidized (+librenms)
    Ответ написан
  • Можно ли на Cisco 2911 настроить Openvpn?

    @iddqda
    network engineer, netdevops
    теоретически да можно
    вот с такой штукой Cisco Services-Ready Engine

    это по сути компьютеры выполненные в виде модуля
    туда ставишь линух и опенвпн/вайргард сервисы и вуаля

    а что касается IOS то из VPN-ов там только pptp/l2tp/ipsec

    з.ы. когда то на таких модулях s-terra делала шифрование по ГОСТу
    Ответ написан
    Комментировать
  • Проблемы с OSPF, как суммировать на двух ABR?

    @iddqda
    network engineer, netdevops
    интересный кейс, но без картинки и адресов сложно представить что там реально происходит
    какой тип линка между ABR (broadcast?) и в какой он зоне?
    и странно что не разруливается костами на тунелях. значит тунели нестабильны.
    может у тебя endpoint-ы тунелей тоже в оспф анонсятся? тогда неудивительно что при их суммировании происходит бардак
    Ответ написан
    Комментировать
  • Zabbix. Разделение прототипов элементов данных в одном шаблоне. Как фильтровать?

    @iddqda
    network engineer, netdevops
    не совсем понял вопрос, может просто фильтр для правила обнаружения сделать такой чтоб оба типа интерфейсов пропускал
    {#IFDESCR} = ^Loopback102$ | ^Vlan1$


    или вам разные прототипы нужны для разных типов интерфейсов? (правда не пойму нафига?)
    тогда два одинаковых правила обнаружения (с разным названием и ключем конечно) в одном шаблоне,
    в одном правиле задать фильтр ^Loopback102$, а в другом ^Vlan1$
    ну и разные прототипы на разные правила

    а еще можно фильтровать по ifType:
    discovery[{#IFDESCR}, ifDescr, {#IFTYPE}, ifType]

    ifType = 6 для Ethernet и 24 для loopback
    Ответ написан
  • Cisco ASA UI замена ASDM стоит ли заморачиваться?

    @iddqda
    network engineer, netdevops
    Ну выглядит симпатично. Я бы даже сказал круто
    А надо кому оно или нет - вот тут хз
    Но ты все равно молодец. Сисадмин с ангуларом точно лучше чем просто сисадмин :)

    какие-то рутинные операции наверное можно реализовать в гуе и сделать красиво и удобно
    но основной функционал так в cli и останется
    да и вообще конфигурить в cli удобней если умеешь
    не нужно искать в каком разделе и области экрана какая кнопка находится.
    и автокомплит сильно выручает который в гуе сделать никак
    Зато в гуе удобно статистику смотреть и всякие разные графики

    еще гуй хорош когда пишешь не просто стопиццотый интерфейс к одной железке,
    а некий контроллер который расскатывает конфиг или политику на несколько устройств разом.
    да еще чтоб транзакционная модель была (ACID) т.е. валидация и возможность откатить изменения.
    Правда REST-ом такое будет сложно реализовать

    а вобще даже если никому пользы не будет все равно подобными пет-проектами имеет смысл заниматься
    все полезней чем бухать и/или в сериальчики пыриться
    Ответ написан
    Комментировать
  • Проект сети 2xASA + 2xWanRouter?

    @iddqda
    network engineer, netdevops
    как то так например
    rzpzam0cbktzihxkceyvhuxpzlm.png

    с каждого роутера анонсировать default в ospf с одинаковой метрикой и будет балансировка по ECMP на выход (если аса в него умеет). на вход не будет. active/passive жеж
    Ответ написан
    Комментировать
  • Почему коммутатор CISCO светит свой мак во всех VLAN?

    @iddqda
    network engineer, netdevops
    то что ты прописал айпишник к мак-таблице никак не относится
    айпишник ищи в arp таблице

    таблица маков строится своя для каждого влана. вланы обеспечивают нужную изоляцию.
    поэтому нет смысла одному физическому интерфейсу в разных вланах назначать разные маки
    хотя многие поизводители так делают
    Ответ написан
  • Почему нет маршрутизации?

    @iddqda
    network engineer, netdevops
    потому что судя по всему на туполинке включен нат
    И скорей всего тебе маршрутизация вообще не нужна
    А просто надо чтоб он как свич и/или вайфай точка работал

    если так то не используй WAN порт. воткни все линки в LAN
    и выключи на туполинке DHCP
    Ответ написан
    9 комментариев
  • Парсер ACL Cisco, как правильно?

    @iddqda
    network engineer, netdevops
    не знаю как правильно
    А я для анализа ACL использую batfish
    ну и самописную тулзу обертку для удобства работы с ним
    в которой реализовал всего две необходимые мне функции
    1. проверяет пройдет ли пакет с заданными 5tuple (src ip, src port, dst ip, dst port, proto) через сеть или нет и благодаря какому правилу
    2. ищет ACE которые никогда не сработают

    батфиш умеет это делать сам. Достаточно скормить ему конфиги устройств и вызвать нужные функции
    И только что проверил. ObjectGroups он понимает

    вот пример:
    5f3e3623d47eb773658735.png
    Ответ написан
    4 комментария
  • Два основых шлюза на Windows Server 2016?

    @iddqda
    network engineer, netdevops
    какая интересная картинка
    интересная тем, что судя по картинке и тому что написано в вопросе, L2 связность двух Core обеспечивается только этим твоим сбриджованным сервером. Уверен что через твой бридж мультикаст (hsrp) пройдет?
    И зачем в этой топологии изначально L3 топологии вообще L2 использовать? Может OSPF сразу?
    Ответ написан
  • Мониторинг L2 канала. Как реализовать?

    @iddqda
    network engineer, netdevops
    сходу три варианта:

    1. плюс к пингам мониторьте остояние ospf соседства (1.3.6.1.2.1.14.10.1.6)
    2. переходите на BGP и фильтруете адреса линков
    3. инкапсулируете в GRE MPLS VXLAN whatever
    Ответ написан
  • Как отправить команды подтверждения на оборудование cisco через скрипт python?

    @iddqda
    network engineer, netdevops
    может если до питона дорос то и нахрен уже всякие старомодные ftp?
    result = ssh.send_command('show run')
    with open(f"{device_name}.cfg") as f:
      f.write(result)

    хотя можешь потом с помощью питонячего ftplib положить result на фтп, но это ж такое тухлое легаси уже
    и это... если у тебя больше одной циске или там жунипера аристы хуевея, то забей на нетмико и посмотри на напалм

    з.ы. конкретно эта твоя задача решается совсем просто: scp cisco:running-config .
    Ответ написан
    Комментировать
  • Возможно ли на Cisco 2911 настроить NAT между двух туннелей IPSec?

    @iddqda
    network engineer, netdevops
    ну а в чем проблема?
    из любого интерфейса в любой другой можно нат сделать

    tun2 
    ip nat inside
    !
    Gi0/X
    ip nat outside
    !
    ip nat source list 123 interface Gi0/X overload
    Ответ написан
  • Как запретить доступ к определенной сети для конретных AS?

    @iddqda
    network engineer, netdevops
    да отфильтровать просто. типовая ж задача
    выбирай как удобней
    neighbor 2 distribute-list xxx out
    neighbor 2 prefix-list yyy out
    neighbor 2 route-map zzz out

    ну или для джуника
    policy statement bgp-export term 1 from route-filter 3 reject
    Ответ написан
    Комментировать
  • Мониторинг CUCM с помощью Zabbix?

    @iddqda
    network engineer, netdevops
    обновите CUCM на любой из Known Fixed Releases:
    https://bst.cloudapps.cisco.com/bugsearch/bug/CSCv...
    или ходите заббиксом несекьюрно по http или по какому там протоколу айтемы дергаются в вашем шаблоне
    Ответ написан
    Комментировать
  • Почему Cisco 1941 не получает IP по DHCP на саб-интерфейсе?

    @iddqda
    network engineer, netdevops
    И зачем вам сабинтерфейс?
    Подключайте на физический

    Или портов не хватает?
    Тогда транк вы получаете не от LTE, а от коммутатора.
    Вот в коммутатор и примите LTE нужным вланом
    И уже этот влан терминируйте на соответствующем сабифе
    Ответ написан
    1 комментарий
  • Cisco Nat load balancing + VRF. Как заставить работать ip nat inside destination на VRF?

    @iddqda
    network engineer, netdevops
    уверен что не работает?
    тут нужна поддержка VRF-Aware NAT т.е. несколько таблиц трансляций
    циска знает что если пакет прилетел в интерфейс в VRF1 то и маршрутизировать и натить будет по соответствующим таблицам. Ничего в конфиг для этого отдельно прописывать не нужно.

    И это старая фича. уже минимум лет 8 в IOS-ах такое реализовано

    что за железяка?
    Ответ написан
  • Как быть если провайдер по VPNL2 не предоставляет QinQ?

    @iddqda
    network engineer, netdevops
    на новом филиале должны быть точно такие же вланы что и в головном

    поубивал бы.
    Ладно когда временные костыли лепят на продакшн, но тащить убогие практики в новые проекты ...
    что мешает по L3 с филиалом связность потсроить? Какие сервисы в 2019-м году не умеют в L3?

    но если так уж хочется пачку вланов over любой тарнспорт прокиньте через MPLS или VXLAN-ами
    оборудование придется поновее найти конечно
    можно еще через openvpn накостылить ну и у микротика есть ipoe
    Ответ написан
    4 комментария