Перейти к содержимому
Калькуляторы

ikiliikkuja

Пользователи
 Просмотреть профиль  Активность

  • Публикации

    44

  • Зарегистрирован

  • Посещение

 Тип публикации 

Сообщения, опубликованные пользователем ikiliikkuja

  4. Опубликовано · Жалоба на ответ

    3 часа назад, alibek сказал:

    Я не вижу оснований, почему список allowed и active может отличаться.

    Все VLAN заведены статикой, никакого GVRP или какой-либо экзотики нет.

    Скорее всего это был глюк, надеюсь разовый.

    pruning, например - экзотика?

  10. Опубликовано · Изменено пользователем ikiliikkuja · Жалоба на ответ

    38 минут назад, god_of_ethernet сказал:

    @Jora_Cornev если вы правило на IN вешаете, то меняйте местами source и destination, а ваше правило можете на OUT повешать
    вход 

    
ip access-list extended DENY_SSH_IN
 deny tcp 172.17.0.0 0.0.255.255 any eq 22
 permit ip any any

    выход  

    
ip access-list extended DENY_SSH_OUT
 deny tcp any 172.17.0.0 0.0.255.255 eq 22
 permit ip any any
     
     

    поправлю ip access-list extended DENY_SSH_OUT  deny tcp any eq 22 172.17.0.0 0.0.255.255

  13. Опубликовано · Жалоба на ответ

    у меня так работает

      

    aaa authentication login default group %groupname%
aaa authentication login console local
aaa authorization config-commands default group %groupname% local
aaa authorization commands default group %groupname% local
aaa accounting default group %groupname%
no aaa user default-role

     

  18. Опубликовано · Жалоба на ответ

    Но если Мы правильно понимаем работу route-map - то пакеты которые попали в acl в 10ом правиле route-map уже не попадут в 20ое правило, даже при условии что next-hop там не доступен. И все пакеты будут обработаны стандартной таблицой маршрутизации.

     

    Есть ли у кого идеи как реализовать схему:

    один ACL, если первый next-hop доступен - весь трафик отправляем на него, если первый next-hop не доступен - отправляем весь трафик на второй next-hop, и вот только если оба next-hop не доступны - то только тогда отправляем трафик по стандартной таблице маршрутизации.

     

    почему бы не 

    route-map POLICY permit 10
match ip address odd
set ip next-hop verify-availability 192.168.1.5 1 track 1
set ip next-hop verify-availability 192.168.2.6 2 track 2

  19. Опубликовано · Жалоба на ответ

    Проблема в том, что если к примеру выполнить

    ping vrf MGMT 10.0.1.5 то в ответ тишина.

    хотя данная подсеть (ip address 10.0.1.1 255.255.255.0 secondary) указана как секондари.

    а с чего вы взяли, что железка должна пинговать 10.0.1.5 с source 10.0.1.1? 100% она с src 10.0.0.1 отправляет

  24. Опубликовано · Изменено пользователем ikiliikkuja · Жалоба на ответ

    пингуется 10.235.63.253, но не пингуется с клиента (192.168.0.45) 10.235.63.252 (живой хост в сети), но при этом с кошки этот хост спокойно пингуется.

    пингуется 10.255.255.120, пингуется с клиента (192.168.0.45) 10.255.255.4 (живой хост в сети)

     

    И так понятно, что дело в кошке:

     

    Просмотр сообщенияmixerinc (Сегодня, 10:08) писал:

    А на хосте 10.235.63.252 шлюз какой?

     

    10.235.63.254

     

    во ферзь, конечно циска виновата

    а на 10.235.63.254 есть маршрут в сторону 192.168.0.0 через 10.235.63.253?

  25. Опубликовано · Изменено пользователем ikiliikkuja · Жалоба на ответ

    cisco ASR1002-X (2RU-X) processor with 4767571K/6147K bytes of memory.

     

    16777216K bytes of physical memory.

    4+Гиг из 16 - это у вас sso включен? А сколько пиров/маршрутов принимает?

    я прицениваюсь - потянет ли на 1001Х с 3,7/8Г две FW + iBGP нейбора?