clear counters), через минут десять запросите в консоли show interface gi0/0 и предоставьте вывод.show processes cpu sorted 1min и предоставьте вывод.А так правильно ли делать?Судя по вашим комментариям, вы сами понимаете, что 4ESW - это свитч (коммутатор). С какой целью вы планируете подключить в него аплинки от провайдеров? Как вам поможет коммутатор? Вам необходимо маршрутизировать трафик из локальной сети в разные аплинки в зависимости от неких условий, и NATировать соответственно. Подключите аплинки провайдеров во встроенные гигабитные порты (которые работают как L3-интерфейсы), а кабель от локальной сети - в 4ESW-карту.
А если например вставить что-то вроде HWIC-4ESW. Там разве IP адресс на порт можно прописать?Если правильно помню, порядок действий таков: создается VLAN, нужный интерфейс прописывается как access-порт в этом VLAN, создается SVI, соответствующий этому VLAN, на нем прописываются L3-настройки (IP-адрес и т.д.)
После этого накидал схему уже в покет терйсереPacket tracer хорош для начального обучения. Не думаю, что им имеет смысл пользоваться с целью тестирования работоспособности дизайна сети, тем более, когда имеет место специфика аппаратного обеспечения.
он глюканул теперь у него на сетевухе мак 00:00:00:00:00, Cisco пакеты с таким маком дропаетВы проверяли (анализатором трафика или по записям в таблице MAC-адресов коммутатора, в который подключен ip-kvm), в Ethernet-фреймах от устройства Dlink именно этот адрес в качестве MAC-адреса источника?
Ищется универсальное средство по сбору конфигов(как + - со сравнением конфигов)rancid. Насколько знаю, есть модули для снятия конфигурации hp и dlink. Но будьте готовы к тому, что "универсальное" средство придется дорабатывать под ваши нужды.
Подскажите, проблема на аппаратном уровне ?Если наблюдаемая ситуация возникла не сразу после обновления ПО, то, скорее всего, да.
Какое возможно решение ?Если действительно грузились разные образы ПО (этого по приведенным выдержкам из лога не видно), то открывать кейс в TAC Cisco (если есть контракт) или реселлера/интегратора и запросить замену.
show int gi3/28 statussh run int gi3/28Почему винда показывает скорость в 100Mbps?Возможные причины: некорректные настройки, проблемный патч-корд, проблемные трансиверы (маловероятно, но возможно).
Как сделать гигабитку?Определить и устранить причину такого режима работы оборудования.
Как настроить Policy-based Routing на ciscoМодель устройства и версию прошивки (операционной системы) будьте добры уточнить.
Как настроить Policy-based Routing на cisco что бы клиент имеющий ip из сети 172.17.0.0/16 при обращении на любой сайт попадал на страничку заглушку?Не уверен, что PBR здесь поможет. Как один из вариантов - закрыть трафик наружу при помощи ACL и отдавать на все DNS(A)-запросы какой-либо внутренний IPv4-адрес. Первое применяется на граничных маршрутизаторах, второе - на DNS-сервере.
Не поможете примером? Облазил всё что можно. На днсах можно как то через view. Но так же примеров нет.Вот ссылки на примеры использование view: 1, 2. Вот ссылки на примеры реализации разрешения всех имен хостов в заданный IPv4-адрес: 1, 2.
view internal {
match-clients { 172.17.0.0/16; };
zone "." IN {
type master;
file "db.fakeroot";
};
};$ORIGIN .
$TTL 1D
@ IN SOA @ none. ( 0 1D 1H 1W 3H );
IN NS @
* IN A a.b.c.dЕсть несколько десятков серверов в двух стойках к которым в сумме подведено около 10 GbpsЧто значит около 10 Гбит/с? Используются 10-гигабитные линки или агрегация из нескольких гигабитных? По некоторым соображениям первый вариант предпочтительнее.
Периодически «приходят» атаки в несколько гигабит или более и забиваю канал.Интенсивность трафика вам известна откуда? Необходимо понимать, что если мусорный трафик представляет собой UDP или сегменты TCP без установления сессии, то вполне возможна такая ситуация, когда к вашему провайдеру приходит 10-20 гигабит/c адресованного вам трафика, а до вас доходит лишь его часть. Если есть возможность, запросите статистику (данные netflow) хостинг-провайдера.
Хотим сделать схему с защитой с помощью сетевого оборудования Cisco (или какого-либо другого) внутри ДЦ, чтобы не пользоваться данным внешним сервисом и не менять IP.Касательно оборудования Cisco. Было у Cisco Systems решение Clean Pipes, предназначенное для противодействия DDoS-атакам. Состояло из двух компонент - детектора аномалий (Cisco Traffic Anomaly Detector, использовалось опционально) и собственно фильтрующего устройства (Cisco Anomaly Guard). Оба устройства имеют статус End-of-life. Далее совместно с Arbor Networks была разработана архитектура Clean Pipes 2.0, где, насколько мне известно, основную работу выполняло устройство Arbor Peakflow TMS (threat management solution). О существовании современного устройства под брендом Cisco Systems, разработанного для противодействия DDoS-атакам, мне неизвестно.
Подскажите, пожалуйста, возможно ли это и, если да, то в какую сторону копать?Во-первых, определитесь, зачем вам это. Если мусорный трафик на клиента приводит к недоступности вашей сети (т.е. к полной утилизации линка), то это одно. В таком случае вам поможет BGP blackhole (RTBH, remotely triggered blackhole filtering), отбрасывая весь трафик до клиента. Эффективно клиентский хост будет недоступен (т.е. DoS-атака удалась, отказ в обслуживании достигнут), но мусорный трафик будет отброшен на оборудовании провайдера, не влияя на работоспособность вашей сети. На мой взгляд, иметь настроенный RTBH необходимо. Для этого можно использовать, например, программный BGP клиент, вроде exabgp или quagga.
Наверное в специализированных академиях CISCO готовят специалистов более тщательно и знают тонкости вопросов?Не уверен.
Наверное в таком случае качество подготовки курсанта для экзамена более высокое?Опять же не уверен.
Как реально сдать на сертификацию CISCO без спец. обучения и образования, занимаясь только самообучением и самопрактикой?Вполне реально, но важно понимать, что во-первых, знания и навыки, проверяемые на сертификационном экзамене, составляют лишь часть навыков, которые могут вам потребоваться для выполнения рабочих обязанностей, а во-вторых, присутствия даже этих знаний и навыков наличие сертификата не гарантирует.
посмотреть внесенные изменения в конфигурацию (на Junos такое было возможно командой show system rollback A compare B)
show archive config differences running-config startup-configзадать железке скинуть конфигурацию по истечению какого-то временя (аля commit с указанным количеством времени)
configure terminal revert timer 5archive).switchport block multicast на интерфейсе. Документация.Этак команда вырубает мультикаст во все порты от неизвестных маков, в моем случае не помогает вообще.Прошу прощения, проглядел в описании слово unknown (справедливости ради, под 'unknown multicast', насколько мне известно, подразумевается не широковещательный трафик с неизвестным L2-адресом источника, а нечто другое).
Snooping включенЕсли в сети отсутствует мультикаст-маршрутизатор, следует активировать функцию ip igmp snooping querier, чтобы, грубо говоря, коммутатору было что 'снупить'.
Увеличивается нагрузка на CPU вплоть до 80%Какой процесс потребляет больше всего ресурсов? Поможет команда:
show process cpu sortedСамое странное во всём этом что началось это после того как компания закупила моноблоки HP ProOne 600.
Проблема в том, что я не могу выявить виноватого в этой ситуации, не знаю куда еще копать.Вот такой интересный тред на реддит (извините). Чтобы убедиться, что это ваш случай, подсоединитесь ноутбуком в порт в том же L2-домене (влане), что и моноблок и запустите на нем wireshark. Искать следует многоадресную рассылку IPv6 пакетов от моноблока (см. MAC-адрес источника). В качестве решение попробуйте обновить сетевой драйвер моноблока. Если не получится, задумайтесь о фильтрации IPv6-трафика, если этот протокол не используется. Или можете ограничить уровень многоадресного трафика:
storm-control multicast level 0.5Version 12.1(26)E6Я конечно понимаю, работает - не трогай, но можно подумать и об обновлении ПО.
Вопрос: хочу узнать где можно прочитать краткую информацию о настойке железа и технической характеристики.Какое именно оборудование подразумевается?
Вопрос 2: есть ли видео уроки?Видео уроки чего? Настройки? Какого оборудования?
Всё о CiscoCisco Systems имеет решения практически в каждой нише активного сетевого и околосетевого оборудования. Что именно вас интересует?
необходимо настроить чтобы для сайта site.com выдавало мой DNS сервер,либо для всех сайтов использовался мой DNSЯ не понял, что вы хотите сделать. Что значит "выдавало мой DNS сервер"? Вы хотите, чтобы определенное имя хоста разрешалось в заданный IP-адрес? Тогда вам, на мой взгляд, следует:
Да вы полностью правы.Покажите пожалуйста как на текущем конфиге прописать этоЕсли еще актуально, то вот примерная конфигурация. Перед ее применением рекомендую сохранить текущую конфигурацию. Тестировать конфигурацию рекомендую в период наименьшей нагрузки.
ip dns server
ip name-server 8.8.8.8
ip dns server queue limit forwarder 10
ip host site.com 1.2.3.4
ip dhcp pool lab
no dns-server 4.2.2.6 4.2.2.5
dns-server 69.27.242.65Подскажите пожалуйста, как это можно реализовать,На мой взгляд, проще всего это реализовать при помощи expect/pexpect. Следует (программно) залогиниться на каждое устройство, получить hostname (из приветствия или конфигурации), сформировать новую команду (snmp-server name ) и выполнить ее. Есть подозрение, что при помощи SNMP реализовать это будет затруднительно.
В чем смысл сегментации трафика?Сокращение размера (количества устройств) L2-домена, что ведет к большей стабильности (в т.ч. и меньшей интенсивности широковещательного и многоадресного трафика, как уже упомянули)
В чем смысл гонять трафик через специально установленную для этого железку?Если основная услуга - доступ в интернет, то трафик в основном и так проходит через некое центральное устройство, то есть, грубо говоря, мы получаем преимущества без негативного влияния на предоставление сервиса.