glmonarch

У меня два хоста. Вы имеете ввиду статические записи в таблице маков? mac-address-table static 03bf.xxyy.yyzz vlan 2 interface gi 1/1/1 mac-address-table static 03bf.xxyy.yyzz vlan 2 interface gi 1/1/2 если так, то есть два вопроса: 1. Не сойдет ли 6509 с ума, увидев 2 записи с одним маком? 2. Если не сойдет, то не будет ли 6509 все время обращаться к первой найденной записи и, соответственно, к одному и тому же хосту? Не пропадет ли смысл NLB? Пните, в какую сторону курить :)

Доброго здравия всем! Имеется Microsoft NLB кластер из двух хостов с общим IP-адресом 172.26.2.4 (VLAN 172.26.2.0/24). Сеть маршрутизируется Catalyst 6509, на котором есть такая вот запись: arp 172.26.2.4 0100.xxyy.yyzz ARPA Когда клиенты из разных VLAN'ов обращаются к хосту 172.26.2.4, все хосты из подсети 172.26.2.0/24 получают трафик, который предназначается для 172.26.2.4. Это отчетливо видно в Wireshark. Как я понимаю, кошка не знает на каком конкретно порту находится данный MAC 0100.xxyy.yyzz и шлет бродкаст/мультикаст (???) по всему VLAN. Что необходимо поправить, чтобы избежать этого паразитного трафика внутри VLAN? Спасибо. UPD Сразу не указал, что один из хостов (в составе NLB) является виртуалкой внутри кластера ESXi и может "ездить" внутри этого кластера и, соответственно, может "ездить" по нескольким физическим портам коммутатора. Поэтому получается что один хост мертво привязан к физическому порту коммутатора, а второй может "перебирать" порты. Поэтому статические записи здесь не сильно уместны. UPD2 Сначала в настройках Microsoft NLB стоял режим "Multicast" поэтому сначала был MAC 03bf.xxyy.yyzz. Сейчас выставил режим NLB "IGMP Multicast" и MAC поменялся на 0100.xxyy.yyzz Однако на коммутаторе в выводе #sh ip igmp snooping groups этого MAC по прежнему не видно.

Спасибо. Справился назначением для каждого VPN аккаунта своего IP адреса. А затем в firewall'е разрулил доступ для определенных IP'шников.

Всем доброго дня! Подскажите, пожалуйста, камрады, есть ли в Mikrotik функционал разграничения прав доступа к внутренней сети на основе учетных данных VPN пользователей? И если есть, то как называется и в какую сторону гуглить? Поясню. Нужно иметь возможность для каждого VPN юзера прописать к каким сетям/сетевым адресам ему разрешен доступ. Спасибо.

Всем привет! Заранее извиняюсь, если вопрос не для этой темы - ткните куда:) Дано: точки доступа Cisco AIR-LAP1142N-R-K9 (на борту: c1140-k9w7-mx.124-25d.JA2) и виртуальный контроллер vWLC 7-6-100-0. Задача: прицепить точку доступа к контроллеру vWLC. Сразу скажу, что с wi-fi от Cisco дела никогда не имел, поэтому сразу полез на офф сайт читать доки. Что уже сделал: 1. Сконвертировал точку autonomous ==> lightweight таким способом: archive download-sw /overwrite /reload tftp: //location/image-name теперь на борту: c1140-rcvk9w8-mx/c1140-rcvk9w8-mx" 2. Уперся в то, что контроллер ругается на некорректный сертификат от точки. Лог с точки: *Jul 17 15:36:04.000: %CAPWAP-5-CHANGED: CAPWAP changed state to DISCOVERY *Jul 17 15:36:04.000: %CAPWAP-5-CHANGED: CAPWAP changed state to DISCOVERY *Jul 17 15:36:14.007: %CAPWAP-3-ERRORLOG: Go join a capwap controller *Jul 17 15:36:14.000: %CAPWAP-5-DTLSREQSEND: DTLS connection request sent peer_ip: 172.26.18.245 peer_port: 5246 *Jul 17 15:36:14.000: %CAPWAP-5-CHANGED: CAPWAP changed state to *Jul 17 15:36:14.034: %LWAPP-3-CLIENTERRORLOG: Peer certificate verification failed *Jul 17 15:36:14.034: %CAPWAP-3-ERRORLOG: Certificate verification failed! *Jul 17 15:36:14.034: DTLS_CLIENT_ERROR: ../capwap/capwap_wtp_dtls.c:333 Certificate verified failed! *Jul 17 15:36:14.035: %DTLS-4-BAD_CERT: Certificate verification failed. Peer IP: 172.26.18.245 *Jul 17 15:36:14.035: %DTLS-5-SEND_ALERT: Send FATAL : Bad certificate Alert to 172.26.18.245:5246 *Jul 17 15:36:14.035: %DTLS-3-BAD_RECORD: Erroneous record received from 172.26.18.245: Malformed Certificate *Jul 17 15:36:14.035: %DTLS-5-SEND_ALERT: Send FATAL : Close notify Alert to 172.26.18.245:5246 Далее, нужно внести в базу контроллера MAC-адрес точки и ее SHA1-хэш SSC сертификата, чтобы контроллер мог ее опознать. SHA1-хэш предлагается узнать, включив дебаг на контроллере командой #debug pm pki enable Во всех листингах из документации в выводе этого дебага значится SHA1-хэш сертификата, который нужно скопировать и добавить в базу контроллера. Но, у меня данный хэш не светится в выводе. В этом случае на офф форуме Cisco советуют воспользоваться тулзой Cisco Upgrade Tool для апгрейда autonomous_to_lightweight, что якобы после этого в папке с программой появится .csv файл, содержащий искомый хэш. Но, т.к. у меня точка серии 1140, а: The Upgrade Utility version 3.2 does not support the conversion of 1140 and 1250 series autonomous access points to lightweight mode. To convert these autonomous access points to lightweight mode, telnet to the access point and issue the following command to upgrade the IOS: archive download-sw /overwrite /reload tftp: //location/image-name то с этим я пролетаю. Далее, нашел мануал по ручной генерации сертификата: http://www.skytale.net/blog/archives/37-Manually-converting-a-Cisco-AP-to-LAP-mode.html Но и после этого в дебаге контроллера хэш не появился. Вопрос - как найти SHA1-хэш SSC сертификата, чтобы подсунуть его контроллеру? Или есть другие способы подружить точку и виртуальный контроллер? Спасибо.

Всем доброго дня. У меня есть УПАТС Aastra MX-ONE TSW, подключенная к cisco 2651xm по E1 PRI. В свою очередь cisco 2651xm смотрит на asterisk по SIP-trunk. Я хочу использовать cisco 2651xm в качестве шлюза E1 PRI <==> SIP. Звонки с софт-фона 4092, зарегистрированного на Asterisk, на номер 1312 (обычный телефон, подключенный к УПАТС) проходят нормально. А вот звонки в обратном направлении с 1312 на софт-фон 4092 не проходят - в трубке BUSY, в дебаге cisco2651xm следующие строки: Jun 4 15:17:27.477: //-1/xxxxxxxxxxxx/SIP/Event/sipSPIEventInfo: Queued event from SIP SPI : SIPSPI_EV_CC_CALL_SETUP Jun 4 15:17:27.485: //299/B379E416804E/SIP/Event/sipSPICreateRpid: Received Octet3A=0x81 -> Setting ;screen=yes ;privacy=off Jun 4 15:17:27.493: //-1/xxxxxxxxxxxx/SIP/Msg/ccsipDisplayMsg: Sent: INVITE sip:4092@10.2.210.13:5060 SIP/2.0 Via: SIP/2.0/UDP 172.26.18.200:5060;branch=z9hG4bK3BB From: <sip:1312@172.26.18.200>;tag=1A74035E-E40 To: <sip:4092@10.2.210.13> Date: Tue, 04 Jun 2013 15:17:27 GMT Call-ID: B37D8ED0-CC6011E2-9F8C8019-37A47AC2@172.26.18.200 Supported: 100rel,timer,replaces Min-SE: 1800 Cisco-Guid: 3011109910-3428848098-2152595473-2481374176 User-Agent: Cisco-SIPGateway/IOS-12.x Allow: INVITE, OPTIONS, BYE, CANCEL, ACK, PRACK, COMET, REFER, SUBSCRIBE, NOTIFY, INFO, UPDATE, REGISTER CSeq: 101 INVITE Max-Forwards: 70 Remote-Party-ID: <sip:1312@172.26.18.200>;party=calling;screen=yes;privacy=off Timestamp: 1370359047 Contact: <sip:1312@172.26.18.200:5060> Expires: 180 Allow-Events: telephone-event Content-Type: application/sdp Content-Length: 286 v=0 o=CiscoSystemsSIP-GW-UserAgent 1098 7100 IN IP4 172.26.18.200 s=SIP Call c=IN IP4 172.26.18.200 t=0 0 m=audio 19354 RTP/AVP 8 0 101 19 c=IN IP4 172.26.18.200 a=rtpmap:8 PCMA/8000 a=rtpmap:0 PCMU/8000 a=rtpmap:101 telephone-event/8000 a=fmtp:101 0-16 a=rtpmap:19 CN/8000 Jun 4 15:17:27.497: //-1/xxxxxxxxxxxx/SIP/Msg/ccsipDisplayMsg: Received: SIP/2.0 407 Proxy Authentication Required Via: SIP/2.0/UDP 172.26.18.200:5060;branch=z9hG4bK3BB;received=172.26.18.200;rport=53221 From: <sip:1312@172.26.18.200>;tag=1A74035E-E40 To: <sip:4092@10.2.210.13>;tag=as000066d4 Call-ID: B37D8ED0-CC6011E2-9F8C8019-37A47AC2@172.26.18.200 CSeq: 101 INVITE Server: Asterisk PBX 11.2.1 Allow: INVITE, ACK, CANCEL, OPTIONS, BYE, REFER, SUBSCRIBE, NOTIFY, INFO, PUBLISH Supported: replaces Proxy-Authenticate: Digest algorithm=MD5, realm="asterisk", nonce="000077af" Content-Length: 0 Jun 4 15:17:27.501: //299/B379E416804E/SIP/Error/sipSPIHandleAuthChallenge: Error getting credentials Jun 4 15:17:27.501: //299/B379E416804E/SIP/Error/act_sentinvite_new_message: Error handling AuthenticationChallenge Jun 4 15:17:27.509: //-1/xxxxxxxxxxxx/SIP/Msg/ccsipDisplayMsg: Sent: ACK sip:4092@10.2.210.13:5060 SIP/2.0 Via: SIP/2.0/UDP 172.26.18.200:5060;branch=z9hG4bK3BB From: <sip:1312@172.26.18.200>;tag=1A74035E-E40 To: <sip:4092@10.2.210.13>;tag=as000066d4 Date: Tue, 04 Jun 2013 15:17:27 GMT Call-ID: B37D8ED0-CC6011E2-9F8C8019-37A47AC2@172.26.18.200 Max-Forwards: 70 CSeq: 101 ACK Content-Length: 0 Router# Jun 4 15:17:27.513: //-1/xxxxxxxxxxxx/SIP/Event/sipSPIEventInfo: Queued event from SIP SPI : SIPSPI_EV_CC_CALL_DISCONNECT Cisco 2651xm имеет ip 172.26.18.200 Asterisk имеет ip 10.2.210.13 Меня смущает вот это сообщение из дебага: Received: SIP/2.0 407 Proxy Authentication Required Via: SIP/2.0/UDP 172.26.18.200:5060;branch=z9hG4bK3BB;received=172.26.18.200;rport=53221 From: <sip:1312@172.26.18.200>;tag=1A74035E-E40 To: <sip:4092@10.2.210.13>;tag=as000066d4 Правильно ли я понимаю, что cisco пытается зарегистрировать номер 1312 на asterisk? Если, да, то зачем? Как заставить ее корректно звонить на софт-фоны asterisk'а? Может у меня версия ios'а не подходящая для таких целей? Router#sho ver Cisco IOS Software, C2600 Software (C2600-ADVENTERPRISEK9-M), Version 12.4(25a), RELEASE SOFTWARE (fc2) Technical Support: http://www.cisco.com/techsupport Copyright © 1986-2009 by Cisco Systems, Inc. Compiled Fri 22-May-09 21:06 by prod_rel_team ROM: System Bootstrap, Version 12.2(8r) [cmong 8r], RELEASE SOFTWARE (fc1) Router uptime is 5 days, 42 minutes System returned to ROM by reload at 11:55:25 UTC Thu May 30 2013 System restarted at 12:00:38 UTC Thu May 30 2013 System image file is "flash:c2600-adventerprisek9-mz.124-25a.bin" This product contains cryptographic features and is subject to United States and local country laws governing import, export, transfer and use. Delivery of Cisco cryptographic products does not imply third-party authority to import, export, distribute or use encryption. Importers, exporters, distributors and users are responsible for compliance with U.S. and local country laws. By using this product you agree to comply with applicable laws and regulations. If you are unable to comply with U.S. and local laws, return this product immediately. A summary of U.S. laws governing Cisco cryptographic products may be found at: http://www.cisco.com/wwl/export/crypto/tool/stqrg.html If you require further assistance please contact us by sending email to export@cisco.com. Cisco 2651XM (MPC860P) processor (revision 3.1) with 253952K/8192K bytes of memory. Processor board ID FOC08310NX3 M860 processor: part number 5, mask 2 2 FastEthernet interfaces 31 Serial interfaces 2 Channelized E1/PRI ports 32K bytes of NVRAM. 32768K bytes of processor board System flash (Read/Write) Configuration register is 0x2102 Router#sho run Building configuration... Current configuration : 2126 bytes ! ! Last configuration change at 11:52:47 UTC Tue Jun 4 2013 by culture ! version 12.4 service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption ! hostname Router ! boot-start-marker boot-end-marker ! card type e1 1 0 no logging console ! no aaa new-model no network-clock-participate slot 1 no network-clock-participate wic 0 ip cef ! ! ! ! no ip domain lookup ip auth-proxy max-nodata-conns 3 ip admission max-nodata-conns 3 ! ! ! isdn switch-type primary-qsig voice-card 1 ! ! ! voice call carrier capacity active ! voice service voip allow-connections h323 to h323 allow-connections h323 to sip allow-connections sip to h323 redirect ip2ip signaling forward rawmsg sip no call service stop ! ! ! voice class codec 1 codec preference 1 g711alaw codec preference 2 g711ulaw ! ! ! ! ! ! ! ! ! ! ! archive log config hidekeys ! ! controller E1 1/0 pri-group timeslots 1-31 ! controller E1 1/1 ! ! ! ! ! ! interface FastEthernet0/0 no ip address shutdown duplex auto speed auto ! interface FastEthernet0/1 ip address 172.26.18.200 255.255.255.0 duplex auto speed auto ! interface Serial1/0:15 no ip address encapsulation hdlc isdn switch-type primary-qsig isdn overlap-receiving isdn incoming-voice voice isdn global-disconnect isdn contiguous-bchan isdn bchan-number-order ascending no cdp enable ! ip forward-protocol nd ip route 0.0.0.0 0.0.0.0 172.26.18.10 ! ! no ip http server no ip http secure-server ! ! ! ! control-plane ! ! ! voice-port 1/0:15 ! ! ! ! ! dial-peer voice 1 pots description *Aastra MX-ONE* destination-pattern 1312 direct-inward-dial port 1/0:15 forward-digits all ! dial-peer voice 5 voip description *to Asterisk* destination-pattern 4092 voice-class codec 1 session protocol sipv2 session target ipv4:10.2.210.13 session transport udp dtmf-relay rtp-nte ! gateway ! sip-ua sip-server ipv4:10.2.210.13 ! ! ! ! line con 0 line aux 0 line vty 0 4 exec-timeout 30 0 logging synchronous login local transport input telnet ! ! end UPD Снял трафик с порта cisco с помощью Wireshark во время звонка с 1312 на 4092...здесь отчетливо видно, что 407 Proxy Authentication Required приходит от Asterisk'а: Здесь не видно 3-й строки - там cisco посылает ACK в сторону Asterisk'а. С другой стороны в дебаге cisco значится обратное: Received: SIP/2.0 407 Proxy Authentication Required Via: SIP/2.0/UDP 172.26.18.200:5060;branch=z9hG4bK3BB;received=172.26.18.200;rport=53221 From: <sip:1312@172.26.18.200>;tag=1A74035E-E40 To: <sip:4092@10.2.210.13>;tag=as000066d4 Как это понимать? И как таки заставить эту связку работать в обоих направлениях? Спасибо.

Никак конечно. Я некорректно выразился и хотел сказать, что о server2 никто кроме server1 не должен ничего знать. Роутинг между чем и чем? Будет ли это interVLAN routing или что-то другое? Как это? оО int fa 0/1 no sw ip add 1.1.1.1 255.255.255.0 как-то так... Да, L3 порт поднят именно так.

Добрый день. Хочется странного. Есть Switch1 (cisco c3750e), в него в access-порт L2 воткнут server1 и имеет ip адрес 172.26.10.5 из VLAN10. Сам VLAN10 берется на этом свитче с ядра по VTP. Для этого VLAN default gw также ядро. Есть Switch2 (cisco c3750e), на нем поднят L3 физический порт и в него воткнут server2. Этот свитч в том же VTP домене. Server2 имеет ip адрес 192.168.1.5 - об этом адресе VTP ничего не знает и знать не должен никто кроме server1. На обоих серверах статика. Вопрос - как смаршрутизировать эти два сервера только между собой? Знаю, что можно оба порта на цисках засунуть в один отдельный VLAN, но возможности создать отдельный VLAN нет, а в существующие VLAN server2 выпускать нельзя.