ifndx

Вам уже указали на ошибки, а вы спорите. Коммутатор не будет ничего перехватывать и ничего никуда вставлять, если на нем активирован dhcp snooping, по крайней мере в его классических реализация на Cisco. Если дополнительно включить dhcp snooping information option, тогда будет передаваться опция. У меня гора коммутаторов, на которых включен dhcp snooping, но никакая опция не добавляется, так авторизация происходит по паре s-tag/c-tag на NAS. Получается только обернуть опцией82 это local relay. есть какое-то rfc на эту тему? много кто это поддерживает?

Спасибо! Всегда думал что snooping это для изоляции левых DHCP-серверов :)

В терминах длинка да, только вот опция82 - это реально опция. То есть релей можно настроить и без опции 82. В целом да. Но, емнип, в случае использования релея меняется порт отправителя. Наш фрирадиус вздумал отвечать коммутатору не на тот порт, пришлось его патчить. В последних прошивках длинка опция 82 может очень тонко настраиваться. Но использовать на практике не приходилось. И относится ли это к серии 36xx - не знаю. Вообще с DHCP очень много тонкостей, потому надо смотреть под конкретную ситуацию. Разные устройства по разному интерпретируют протокол, этого уже наелись в свое время предостаточно. Надо стремиться к тому, чтобы схема настолько простой, насколько это возможно. p.s. Если что, то в третьем случае можно будет косвенно определять vlan по шлюзу. Это если напрямую вставить в пакет не получится. Благодарю за ответ! 1) эта фича распространена среди вендров? не получится ли vendorlock... 3) у нас брас L2-connected.

Навеяло после прочтения темы вот такие вопросы для самообразования 1) DHCP-Relay и DHCP Local relay. правильно я понимаю что в случае Local-relay коммутатор только обрачивает приходящий с порта абонента Discover опцией82 и передает дальше броадкастом? А релей это опция82+юникаст в сторону сервера? 2) DHCP-серверу пофиг каким образом прилетает к нему DHCP-discover ? я к тому что может прилететь юникастом с опцией82 или броадкастом, но с опцией82 от dhcp local relay. или все зависит от настройки DHCP-сервера? 3) есть тупой коммутатор который поддерживает только вланы, перед ним стоит DGS-3627/3612. получится ли включить на D-link опцию так, чтобы в circuit-id он вставлял vlan-id в зависимости от в каком влане пришел запрос и передавал дальше броадкастом?

это сделано осознанно для MPLS/OSPF/RSVP. а чем плох ACL который уже работает как нужно?:)

DES-1210-28/ME 6.07.B046 B2 # ISM vlan enable igmp_snooping multicast_vlan create igmp_snooping multicast_vlan "VLAN_ISM" 111 config igmp_snooping multicast_vlan "VLAN_ISM" add member_port 1-24 config igmp_snooping multicast_vlan "VLAN_ISM" add source_port 25-28 config igmp_snooping multicast_vlan "VLAN_ISM" state enable config igmp_snooping multicast_vlan "VLAN_ISM" replace_source_ip none config mld_snooping multicast_vlan "VLAN_ISM" replace_source_ipv6 none config igmp_snooping multicast_vlan "VLAN_ISM" remap_priority none config igmp_snooping multicast_vlan_group "VLAN_ISM" add ipv4_range 224.0.42.1 224.0.42.254 # IGMP snooping enable igmp_snooping config igmp_snooping all router_timeout 125 config igmp_snooping all host_timeout 260 config igmp_snooping data_driven_learning max_learned_entry 256 disable igmp_snooping forward_mcrouter_only config igmp_snooping vlanid 1,2900-2923 state disable fast_leave disable report_suppression enable config igmp_snooping vlanid 111 state enable fast_leave enable report_suppression enable config igmp_snooping data_driven_learning vlanid 1,111,2900-2923 state disable config igmp_snooping data_driven_learning vlanid 1,111,2900-2923 aged_out disable config igmp_snooping querier vlanid 1,111,2900-2923 state disable querier_version 2 last_member_query_interval 1 max_response_time 10 query_interval 125 robustness_variable 2 config router_ports vlan_name "VLAN_ISM" add 25-28 config igmp access_authentication ports 1-28 state disable BRAS> show igmp interface xe-0/0/2.111 Interface: xe-0/0/2.111 Querier: 172.16.16.3 State: Up Timeout: None Version: 2 Groups: 25 Immediate leave: Off Promiscuous mode: On Passive: Off BRAS> show configuration interfaces xe-0/0/2.111 vlan-id 111; family inet { unnumbered-address lo0.0; } BRAS> show configuration interfaces lo0 unit 0 { family inet { address 10.153.255.254/16; address 10.154.255.254/16; address 10.155.255.254/16; address 172.16.16.3/32 { primary; preferred; } } } BRAS> show configuration protocols igmp | match xe-0/0/2.111 interface xe-0/0/2.111 promiscuous-mode; BRAS> тот самый абонент из сети 10.155/16

Как ни странно, но при использовании ISM-vlana пользователь может стать Querier. Не помогает также выключение порта из "Member ports" В данный момент применил указанные выше ACL - всё пока хорошо :)

Разве Join не имеет DIP адрес запрашиваемой группы? Выбрать старший адрес из подсети? или есть другие способы? ближайший роутер где раздается мультикаст это Juniper.

Хочу заблочить "левых" querier на клиентских портах. Навалял свой первый ACL на D-Link :) прокатит такое? # ACL create access_profile ip destination_ip_mask 255.255.255.255 profile_id 1 config access_profile profile_id 1 add access_id 1 ip destination_ip 224.0.0.1 port 1-24 deny

http://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst2960/software/release/12-2_55_se/configuration/guide/scg_2960/swigmp.html http://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst2960/software/release/12-2_55_se/configuration/guide/scg_2960/swdhcp82.html#wp1069615 как ты искал-то? каюсь, ориентировался на эту статью http://habrahabr.ru/post/192136/ а конкретно на

ОК, с вланами понятно что кроме как конечного доступа в транзит его не ставить. А что скажете про MVR и Option82? на моей что-то контекста даже не нашел...

Мечты инженеришки разбились о политику CISCO SYSTEMS :(

Коллеги, подскажите плс софтец для WS-C2960-24TT-L сейчас стоит 12.2(35)SE5 C2960-LANBASE-M. нужна поддержка MVR, Option82 и как бы хотелось 4к вланов, а то: TEST#sh sdm prefer The current template is "default" template. The selected template optimizes the resources in the switch to support this level of features for 0 routed interfaces and 255 VLANs. number of unicast mac addresses: 8K number of IPv4 IGMP groups: 0.25K number of IPv4/MAC qos aces: 0 number of IPv4/MAC security aces: 0.25K TEST# Заранее выражаю благодарность.

Спасибо! Буду знать.

я ни на что не претендую, но знающие могут рассказать как отделить ему трафик мск-иск от интернета? как его зашейпить по as? community?

Ну тк маршруты в туннель прописать нужные, а не всё подряд.

а брас Juniper MX80 умеет динамически менять политики скорости/доступа у абонентов со статичными белыми адресами?

Народ, читаю тему и думаю над а не прокатило бы ? 1) set routing-options generate route 10.10.10./24 discard 2) set routing-options static route 10.10.10./24 no-install Сам не спец в JunOS, просто любопытство.

а вот iBGP это вариант. Сделать ASR и SRX - RouteReflector, бранчи - клиенты. Только придется делать сессии на лупбеках и они всё равно попадут все в OSPF...

Добрый день! Помогите настроить очереди на Dlink 3028/1228me. Нужно поймать на Uplinke DSCP EF и поместить в приоритетную очередь. Судя по дефолтной настройке "из коробки" работать не будет.. # QOS config scheduling_mechanism strict config scheduling 0 strict config scheduling 0 weight 1 config scheduling 1 weight 2 config scheduling 2 weight 4 config scheduling 3 weight 8 config 802.1p user_priority 0 1 config 802.1p user_priority 1 0 config 802.1p user_priority 2 0 config 802.1p user_priority 3 1 config 802.1p user_priority 4 2 config 802.1p user_priority 5 2 config 802.1p user_priority 6 3 config 802.1p user_priority 7 3 config cos tos value 0 class 0 config cos tos value 1 class 0 config cos tos value 2 class 0 config cos tos value 3 class 0 config cos tos value 4 class 0 config cos tos value 5 class 0 config cos tos value 6 class 0 config cos tos value 7 class 0 config dscp_mapping dscp_value 0 class 0 config dscp_mapping dscp_value 1 class 0 config dscp_mapping dscp_value 2 class 0 config dscp_mapping dscp_value 3 class 0 config dscp_mapping dscp_value 4 class 0 config dscp_mapping dscp_value 5 class 0 config dscp_mapping dscp_value 6 class 0 config dscp_mapping dscp_value 7 class 0 config dscp_mapping dscp_value 8 class 0 config dscp_mapping dscp_value 9 class 0 config dscp_mapping dscp_value 10 class 0 config dscp_mapping dscp_value 11 class 0 config dscp_mapping dscp_value 12 class 0 config dscp_mapping dscp_value 13 class 0 config dscp_mapping dscp_value 14 class 0 config dscp_mapping dscp_value 15 class 0 config dscp_mapping dscp_value 16 class 0 config dscp_mapping dscp_value 17 class 0 config dscp_mapping dscp_value 18 class 0 config dscp_mapping dscp_value 19 class 0 config dscp_mapping dscp_value 20 class 0 config dscp_mapping dscp_value 21 class 0 config dscp_mapping dscp_value 22 class 0 config dscp_mapping dscp_value 23 class 0 config dscp_mapping dscp_value 24 class 0 config dscp_mapping dscp_value 25 class 0 config dscp_mapping dscp_value 26 class 0 config dscp_mapping dscp_value 27 class 0 config dscp_mapping dscp_value 28 class 0 config dscp_mapping dscp_value 29 class 0 config dscp_mapping dscp_value 30 class 0 config dscp_mapping dscp_value 31 class 0 config dscp_mapping dscp_value 32 class 0 config dscp_mapping dscp_value 33 class 0 config dscp_mapping dscp_value 34 class 0 config dscp_mapping dscp_value 35 class 0 config dscp_mapping dscp_value 36 class 0 config dscp_mapping dscp_value 37 class 0 config dscp_mapping dscp_value 38 class 0 config dscp_mapping dscp_value 39 class 0 config dscp_mapping dscp_value 40 class 0 config dscp_mapping dscp_value 41 class 0 config dscp_mapping dscp_value 42 class 0 config dscp_mapping dscp_value 43 class 0 config dscp_mapping dscp_value 44 class 0 config dscp_mapping dscp_value 45 class 0 config dscp_mapping dscp_value 46 class 0 config dscp_mapping dscp_value 47 class 0 config dscp_mapping dscp_value 48 class 0 config dscp_mapping dscp_value 49 class 0 config dscp_mapping dscp_value 50 class 0 config dscp_mapping dscp_value 51 class 0 config dscp_mapping dscp_value 52 class 0 config dscp_mapping dscp_value 53 class 0 config dscp_mapping dscp_value 54 class 0 config dscp_mapping dscp_value 55 class 0 config dscp_mapping dscp_value 56 class 0 config dscp_mapping dscp_value 57 class 0 config dscp_mapping dscp_value 58 class 0 config dscp_mapping dscp_value 59 class 0 config dscp_mapping dscp_value 60 class 0 config dscp_mapping dscp_value 61 class 0 config dscp_mapping dscp_value 62 class 0 config dscp_mapping dscp_value 63 class 0 config 802.1p default_priority 1-28 0 config cos mapping port 1-28 ethernet 802.1p

1) хотим именно totally stub чтоб присутствовал только дефолт+маршруты своей зоны. 2) получается мы для каждой такой area должны поднимать перемычку между хабами? тогда тоже не хорошо, тк хотели ограничивать кол-во роутеров в арии до 50. в итоге будет 4-5 арий и столько же перемычек. Придется каждый бранч в свою зону...есть ли какие-то рекомендации что не стоит поднимать больше 100 area? :)

Добрался до консольки вот результаты SRX_162> show ospf neighbor Address Interface State ID Pri Dead 10.0.3.65 st0.1 Full 10.0.1.50 1 38 10.0.4.145 st0.2 Full 10.11.220.249 128 33 SRX_215> show ospf neighbor Address Interface State ID Pri Dead 10.0.4.153 st0.1 Full 10.0.1.50 1 32 10.0.4.149 st0.2 Full 10.11.220.249 128 35 SRX_162> show configuration protocols ospf area 0.0.0.1 { stub; interface vlan.101; interface st0.1; interface lo0.0; interface st0.2; } SRX_215> show configuration protocols ospf area 0.0.0.1 { stub; interface vlan.101 interface st0.1; interface lo0.0; interface st0.2; } ASR1002#sh run int tun41 Building configuration... Current configuration : 275 bytes ! interface Tunnel41 description To_SRX_162 ip address 10.0.3.65 255.255.255.252 ip mtu 1350 ip flow ingress ip flow egress tunnel source XXXXX tunnel mode ipsec ipv4 tunnel destination XXXXX tunnel protection ipsec profile Juniper end ASR1002#sh run int tun105 Building configuration... Current configuration : 284 bytes ! interface Tunnel105 description TO_SRX_215 ip address 10.0.4.153 255.255.255.252 ip mtu 1350 ip flow ingress ip flow egress tunnel source XXXXXXXXXX tunnel mode ipsec ipv4 tunnel destination XXXXXXXXXXX tunnel protection ipsec profile Juniper end ASR1002#sh ip route 10.162.101.254 Routing entry for 10.162.101.0/24 Known via "ospf 1", distance 110, metric 1001, type intra area Last update from 10.0.3.66 on Tunnel41, 2d16h ago Routing Descriptor Blocks: * 10.0.3.66, from 10.0.1.65, 2d16h ago, via Tunnel41 Route metric is 1001, traffic share count is 1 ASR1002#sh ip route 10.215.101.254 Routing entry for 10.215.101.0/24 Known via "ospf 1", distance 110, metric 1000, type intra area Last update from 10.0.4.154 on Tunnel105, 2d20h ago Routing Descriptor Blocks: * 10.0.4.154, from 10.0.1.131, 2d20h ago, via Tunnel105 Route metric is 1000, traffic share count is 1 ASR1002# SRX_HUB> show route 10.162.101.254 inet.0: 510 destinations, 530 routes (510 active, 0 holddown, 0 hidden) + = Active Route, - = Last Active, * = Both 10.162.101.0/24 *[OSPF/10] 00:28:14, metric 2 > via st0.19 SRX_HUB> show route 10.215.101.254 inet.0: 510 destinations, 530 routes (510 active, 0 holddown, 0 hidden) + = Active Route, - = Last Active, * = Both 10.215.101.0/24 *[OSPF/10] 00:28:17, metric 1 > via st0.20 SRX_HUB> На этом этапе от двух бранчей поставлено по 2 туннеля до 2х хабов. SRX_165> traceroute 10.215.101.254 source 10.165.101.254 traceroute to 10.215.101.254 (10.215.101.254) from 10.165.101.254, 30 hops max, 40 byte packets 1 10.0.3.85 (10.0.3.85) 9.302 ms 10.318 ms 8.775 ms 2 10.215.101.254 (10.215.101.254) 18.006 ms 20.016 ms 16.712 ms SRX_165> ping 10.215.101.254 source 10.165.101.254 PING 10.215.101.254 (10.215.101.254): 56 data bytes 64 bytes from 10.215.101.254: icmp_seq=0 ttl=63 time=16.284 ms 64 bytes from 10.215.101.254: icmp_seq=1 ttl=63 time=28.916 ms ^C --- 10.215.101.254 ping statistics --- 2 packets transmitted, 2 packets received, 0% packet loss round-trip min/avg/max/stddev = 16.284/22.600/28.916/6.316 ms Кладем туннель от SRX-215 до ASR ( выделено на рисунке стрелочкой) interface Tunnel105 description TO_SRX_215 ip address 10.0.4.153 255.255.255.252 ip mtu 1350 ip flow ingress ip flow egress shutdown tunnel source XXXXXXXXXX tunnel mode ipsec ipv4 tunnel destination XXXXXXXXXXX tunnel protection ipsec profile Juniper end Пинги рвутся и затыкается всё на ASR, куда приходит туннель от SRX_165 ( area0) SRX_165> ping 10.215.101.254 source 10.165.101.254 PING 10.215.101.254 (10.215.101.254): 56 data bytes 64 bytes from 10.215.101.254: icmp_seq=0 ttl=62 time=46.934 ms 64 bytes from 10.215.101.254: icmp_seq=1 ttl=62 time=15.033 ms 64 bytes from 10.215.101.254: icmp_seq=2 ttl=62 time=14.748 ms 64 bytes from 10.215.101.254: icmp_seq=3 ttl=62 time=25.383 ms ^C --- 10.215.101.254 ping statistics --- 8 packets transmitted, 4 packets received, 50% packet loss round-trip min/avg/max/stddev = 14.748/25.524/46.934/13.082 ms SRX_165> traceroute 10.215.101.254 source 10.165.101.254 traceroute to 10.215.101.254 (10.215.101.254) from 10.165.101.254, 30 hops max, 40 byte packets 1 10.0.3.85 (10.0.3.85) 19.646 ms 10.346 ms 11.801 ms ^C SRX_165> на ASR выбирается маршрут на SRX_162 тк это intra-area маршрут из AREA1. Хотя нужно идти транзитом через SRX-HUB (AREA0>AREA1) ASR1002#sh ip route 10.215.101.254 Routing entry for 10.215.101.254/24 Known via "ospf 1", distance 110, metric 1002, type intra area Last update from 10.0.3.66 on Tunnel41, 00:00:28 ago Routing Descriptor Blocks: * 10.0.3.66, from 10.0.1.131, 00:00:28 ago, via Tunnel41 Route metric is 1002, traffic share count is 1 ASR1002# interface Tunnel41 description To_SRX_162 ip address 10.0.3.65 255.255.255.252 ip mtu 1350 ip flow ingress ip flow egress tunnel source XXXXX tunnel mode ipsec ipv4 tunnel destination XXXXX tunnel protection ipsec profile Juniper end Можно ли как-то сделать так чтобы все бранчи были в одной area1? решение засовывать каждый бранч в свою area не очень как мне кажется...

в 0. Позже скину выводы для лучшего понимания.

Приветствую знатоки! Помогите разобраться с казалось бы тривиальной задачей. Есть распределенная сеть с филиалами. В каждом филиале стоит шлюз который поднимает GREoIPSEC + OSPF с двумя центральными хабами. Хочется разделить это всё на area. Можно ли каждый филиал (транзитные линки от хабов+сети филиалов) засунуть допустим в area1 ( totally stub), а хабы и оставить в area0? При попытке поднять это получилось так что филиалы в area1 перестали видеть сети удаленных офисов из area0 ( пока еще не переведенных). Было нечно похожее что Router6 видел сети Router10 через Router9, судя по выводам show route и естественно трафик не ходил. Если не ошибаюсь в RFC есть что-то подобное на тему анонсов обратно в зону 0 из non-backnone area. Если нужно могу показать необходимые выводы из консоли.

онлайн-курсы проходили, знаем :) очные курсе есть хорошие, но они как правило проходят в будни когда компания просто так не отпустит, не говоря об их оплате. ну ничего, потихоньку-помаленьку разбираюсь. ничто не ускоряет решение задач как волшебный пендель от начальника :))