Korvet_068

] Я сижу на консоли свитча в момент его отваливания. И вижу что процессор не нагружен. Вот этот момент можете подробнее расписать?

STP отключен так как 2950 поддерживает только 64 STP INSTANCE. Для вланов, которые заведомо никогда на этом свитче не появятся - спаннинг три отключен. С петлями на портах... опыт показал, что важнее настроить на портах фильтр броадкаста, сталкивался разок с тем что клиент положил всю сеть петлей на неуправляемом свитче, который не шлёт никаких BPDU. Версию со штормом я оценил как маловероятную, потому что загрузка проца при выпадении не подлетает и поток трафика на портах мизерный, несколько мегабит в секунду.

Добрый день. Имею на сети кучу свитчей, свитчи висят по одному на портах Cisco 6506. В этой куче есть два свитча Циско 2950, работают по GBIC. У них есть проблема - с периодичностью раз в 5 - 10 минут они отваливаются по управлению, при этом трафик через них вроде бы ходит нормально. Со свитчей в момент отвала не пингуется их шлюз. В логах порой видны сообщения о том что функция Loop guard погасила определённый VLAN на их транковом порту, но иногда таких сообщений нет, свитч просто пропадает на время по управлению. На обоих свитчах работает rapid-PVST. Пробовал гасить этот loopguard, не помогает, да и вроде бы в менеджмент влане петли нет, судя по логам. Софт на свитчах c2950-i6k2l2q4-mz.121-22.EA13.bin Конфиг порта шеститонника: ! interface GigabitEthernet1/21 description C2950_OF_395 switchport switchport trunk encapsulation dot1q switchport mode trunk switchport nonegotiate macro description cisco-switch spanning-tree link-type point-to-point spanning-tree guard root end Конфиг 2950: ! version 12.1 no service pad no service timestamps debug uptime service timestamps log datetime localtime no service password-encryption ! hostname C2950_M2_205 ! ! username hawk privilege 15 secret 5 $1$Q0ia$.DJvR9SF9oseKH5BTYoGo0 clock timezone MSK 3 errdisable recovery cause udld errdisable recovery cause link-flap errdisable recovery interval 60 mls qos map cos-dscp 0 8 16 24 32 46 46 56 ip subnet-zero ! no ip domain-lookup ip domain-name wtc.msk.ru ip ssh time-out 120 ip ssh authentication-retries 3 ip ssh version 2 vtp domain ATC_LAN vtp mode transparent udld aggressive ! ! spanning-tree mode rapid-pvst no spanning-tree optimize bpdu transmission spanning-tree extend system-id no spanning-tree vlan 1-2,21-22,44,81-84,94,96-99,102-110,116-119,122-124,128 no spanning-tree vlan 131-137,141-149,153-154,166-169,171-181,183-186,189,192 no spanning-tree vlan 193-212,214-219,221-239,250,270,282,300,320,330,350,400 no spanning-tree vlan 401-417,420,430,440,450-452,490,499-503,505,510,600,701 no spanning-tree vlan 702-704,710-717,720-722,730-749,788 ! ! macro global description cisco-global ! ! vlan 10 name MANAGEMENT_VLAN ! vlan 20 name FOR_INT_USE_ONLY ! vlan 21 name FOR_INT_USE_ONLY#2 ! vlan 22 --More-- name FOR_INT_USE_ONLY#3 ! vlan 35 name AS5345 ! vlan 40 name MANAGEMENT ! vlan 90 name BACKBONE ! vlan 91 name BACKBONE-1-2 ! vlan 93 name ASR ! vlan 94 name WTW.RU ! vlan 95 name BACKBONE-2 --More-- ! interface FastEthernet0/1 switchport access vlan 170 switchport mode access switchport port-security switchport port-security aging time 2 switchport port-security violation restrict switchport port-security aging type inactivity mls qos cos override macro description cisco-desktop spanning-tree portfast spanning-tree bpdufilter enable ! interface FastEthernet0/2 switchport access vlan 452 switchport mode access switchport port-security switchport port-security aging time 2 switchport port-security violation restrict switchport port-security aging type inactivity mls qos cos override macro description cisco-desktop spanning-tree portfast spanning-tree bpdufilter enable ! interface FastEthernet0/3 switchport access vlan 350 switchport mode access switchport port-security switchport port-security aging time 2 switchport port-security violation restrict switchport port-security aging type inactivity mls qos cos override macro description cisco-desktop spanning-tree portfast spanning-tree bpdufilter enable ! interface FastEthernet0/4 description m2-205 switchport access vlan 452 switchport mode access switchport port-security switchport port-security aging time 2 switchport port-security violation restrict switchport port-security aging type inactivity mls qos cos override macro description cisco-desktop spanning-tree portfast spanning-tree bpdufilter enable ! interface FastEthernet0/5 description 205 switchport access vlan 452 switchport mode access switchport port-security switchport port-security aging time 2 switchport port-security violation restrict switchport port-security aging type inactivity mls qos cos override macro description cisco-desktop spanning-tree portfast spanning-tree bpdufilter enable ! interface FastEthernet0/6 description 214-1 switchport access vlan 452 switchport mode access switchport port-security switchport port-security aging time 2 switchport port-security violation restrict switchport port-security aging type inactivity mls qos cos override macro description cisco-desktop spanning-tree portfast spanning-tree bpdufilter enable ! interface FastEthernet0/7 description 205 switchport access vlan 452 switchport mode access switchport port-security switchport port-security aging time 2 switchport port-security violation restrict switchport port-security aging type inactivity mls qos cos override macro description cisco-desktop spanning-tree portfast spanning-tree bpdufilter enable ! interface FastEthernet0/8 description 207- switchport access vlan 452 switchport mode access --More-- ! interface FastEthernet0/23 description HP_205 switchport access vlan 170 switchport mode access switchport port-security switchport port-security aging time 2 switchport port-security violation restrict switchport port-security aging type inactivity mls qos cos override macro description cisco-desktop spanning-tree portfast spanning-tree bpdufilter enable ! interface FastEthernet0/24 switchport access vlan 140 switchport mode access switchport port-security switchport port-security aging time 2 switchport port-security violation restrict switchport port-security aging type inactivity mls qos cos override macro description cisco-desktop spanning-tree portfast spanning-tree bpdufilter enable ! interface GigabitEthernet0/1 switchport mode trunk mls qos trust cos auto qos voip trust macro description cisco-switch spanning-tree link-type point-to-point ! interface GigabitEthernet0/2 description C6506E-lev3-30b_Gi1/31 switchport mode trunk switchport nonegotiate mls qos trust cos auto qos voip trust macro description cisco-switch spanning-tree link-type point-to-point ! interface Vlan1 no ip address no ip route-cache shutdown ! interface Vlan40 description -= Managment VLAN =- ip address 10.1.1.229 255.255.255.0 no ip route-cache ! ip default-gateway 10.1.1.1 ip http server ip http authentication local logging trap debugging logging facility local6 logging 6.18.14.11 snmp-server community public RO snmp-server trap-source Vlan40 snmp-server location Of1 307 snmp-server contact Dmitry S. snmp-server enable traps config snmp-server host 6.18.14.11 public alias exec sis show interfaces status ! line con 0 exec-timeout 0 0 login local line vty 0 4 exec-timeout 0 0 login local line vty 5 15 exec-timeout 0 0 login local ! ntp clock-period 17180185 ntp server 6.18.14.1 ! end C2950_M2_205# Остаётся физику проверять? Оптику светить. но сомневаюсь что два свитча одной модели резко сошли сума из-за плохого волокна.

Проблема была в перегрузке QFP-памяти. В логах иногда проскакивали сообщения со словом QFP. Убрал с портов nbar и уменьшил кэш нетфлоу с 65000 до 10000. С 99 проц загрузка QFP упала до 82. Надо ещё убрать NAT для красоты.

policy-map type control HTTPS_POLICY_RULE class type control IP_UNAUTH_COND event timed-policy-expiry 10 service disconnect ! class type control always event session-start 20 service-policy type service name SRV_L4REDIRECT 25 service-policy type service name SRV_HTTPS_REDIRECT 30 service-policy type service name OPENGARDEN_SERVICE 40 set-timer IP_UNAUTH_TIMER 60 ! class type control always event session-restart 20 service-policy type service name SRV_L4REDIRECT 25 service-policy type service name SRV_HTTPS_REDIRECT 30 service-policy type service name OPENGARDEN_SERVICE 40 set-timer IP_UNAUTH_TIMER 60 ! class type control always event account-logon 10 authenticate aaa list IP_AUTHEN_LIST 20 service-policy type service unapply name SRV_L4REDIRECT 25 service-policy type service unapply name SRV_HTTPS_REDIRECT ! class type control always event service-start 10 service-policy type service identifier service-name ! class type control always event service-stop 1 service-policy type service unapply identifier service-name 10 service-policy type service unapply identifier service-name ! class type control always event account-logoff 1 service disconnect delay 3 Вот такую политику сочинил. Работает она неоднозначно. Суть в том что service name SRV_L4REDIRECT направляет трафик http на портал на порт 3400. А service name SRV_HTTPS_REDIRECT направляет https трафик на портал авторизации на порт 3401. Можете на пальцах объяснить, пункты в policy-map обрабатываются до первого совпадения, как в аксесс-листе?

То есть надо запустить и https версию портала авторизации? Интересно, тогда надо политику редиректа переписывать, чтобы она в зависимости от трафика (http или https редиректила на разные порталы)?

Мне вот советуют перенести функционал редиректа на контроллер точек доступа, он это умеет делать. Не пробовал никто?

Добрый день. Имеем роутер Cisco 7206VXR с ISG-функционалом. Она направляет клиентов на портал авторизации при попытке выхода на сайты. Вот полиси и аксесс-лист, отвечающий за редирект: ip access-list extended ACL_L4REDIRECT deny ip any 60.147.0.112 0.0.0.15 deny ip any 10.1.1.0 0.0.0.255 permit tcp any any eq www ! policy-map type control TEST_POLICY_RULE class type control IP_UNAUTH_COND event timed-policy-expiry 10 service disconnect ! class type control always event session-start 20 service-policy type service name TEST_L4REDIRECT 30 service-policy type service name OPENGARDEN_SERVICE 40 set-timer IP_UNAUTH_TIMER 60 ! class type control always event session-restart 20 service-policy type service name TEST_L4REDIRECT 30 service-policy type service name OPENGARDEN_SERVICE 40 set-timer IP_UNAUTH_TIMER 60 ! class type control always event account-logon 10 authenticate aaa list IP_AUTHEN_LIST 20 service-policy type service unapply name TEST_L4REDIRECT ! class type control always event service-start 10 service-policy type service identifier service-name ! class type control always event service-stop 1 service-policy type service unapply identifier service-name 10 service-policy type service unapply identifier service-name ! class type control always event account-logoff 1 service disconnect delay 3 ! Попытки дописать в конец аксесс-листа строчки вида permit tcp any any eq 443 не помогают, тогда https-сайты (Яндекс, Лента, Хабр) не открываются вообще. Кто-то сталкивался с этим?

Как думаете - возможно ли как-то сделать так чтобы абоненты виделись на портале под серыми своими адресами? Как-то надо портбандл подправить. Можно ли задать для портбандла несколько source?

У меня выход клиентов в инет идёт с интерфейса BVI 93. Он помечен как ip nat outside ip bortbundle outside. Нат отключен уже и вынесен на другую железку, портбандл может транслировать адрес?

Я НАТ вообще вынес на другую железку, но почему-то при редиректе серые сетки 172.19.128.... всё равно видны на сервере портала 61.159.0.120 всё равно видны под натированным адресом 61.159.0.114. Кто натит - не пойму. В списках трансляций адресов 172.19.128. нет!

Привет всем. Имею циску с ISG-функционалом, которая перенаправляет клиентов на портал авторизации при попытке выйти куда-то в интернет. Клиенты получают по DHCP серые адреса, которые при попытке выйти в инет натятся и потому после редиректа на портал авторизации все клиенты видны под одним и тем же IP. Как можно заставить портал видеть клиентов под их серыми адресами? Хочу поделить клиентов на пять групп по признаку айпишника. Интерфейсы BVI у меня применены для резервирования линка, не смущайтесь. sh run Building configuration... Current configuration : 23393 bytes ! ! Last configuration change at 01:00:51 MSK Tue Jul 5 2016 by stark ! NVRAM config last updated at 11:37:06 MSK Fri Jul 1 2016 by stark ! version 12.2 no service pad no service timestamps debug uptime service timestamps log datetime localtime service password-encryption ! hostname R7206-itc-hp3 ! boot-start-marker boot system disk2:c7200p-advipservicesk9-mz.122-33.SRD8.bin boot-end-marker ! logging buffered 2048000 enable secret 5 $1$fndN$KaUpu3to8WHFgJgeGj90q/ ! aaa new-model ! ! aaa group server radius SME_AAA server 61.159.0.119 auth-port 1645 acct-port 1646 ! aaa authentication login VTY local aaa authentication login IP_AUTHEN_LIST group SME_AAA aaa authentication ppp VPDN_AUTH local aaa authorization console aaa authorization exec VTY local aaa authorization network default group SME_AAA aaa authorization network AUTHOR_LIST1 group SME_AAA aaa authorization network VPDN_AUTH local aaa authorization network VPDN_AUTHOR none aaa authorization subscriber-service default local group SME_AAA aaa accounting delay-start vrf default aaa accounting delay-start all aaa accounting update periodic 1 aaa accounting network default none aaa accounting network SME_ACCT_LIST start-stop group SME_AAA aaa accounting network NO_ACC none ! ! ! ! aaa server radius dynamic-author client 61.159.0.119 client 61.159.0.120 client 61.159.0.116 client 61.159.0.122 server-key 7 0231307834250000674B10 port 1712 auth-type any ! aaa session-id common clock timezone MSK 3 ip subnet-zero ip source-route ip vrf MGT rd 40:0 ! ! ! no ip dhcp use vrf connected no ip dhcp conflict logging ip dhcp excluded-address 172.19.0.1 172.19.0.20 ip dhcp excluded-address 10.40.2.251 10.40.2.255 ip dhcp excluded-address 10.45.3.250 10.45.3.254 ip dhcp excluded-address 10.40.3.250 10.40.3.254 ip dhcp excluded-address 10.45.3.1 ip dhcp excluded-address 10.40.2.1 ip dhcp excluded-address 172.16.130.1 ip dhcp excluded-address 10.45.3.251 ip dhcp excluded-address 172.16.0.1 172.16.0.10 ip dhcp excluded-address 172.16.1.1 172.16.1.10 ip dhcp excluded-address 172.16.2.1 172.16.2.10 ip dhcp excluded-address 172.16.3.1 172.16.3.10 ip dhcp excluded-address 172.16.4.1 172.16.4.10 ip dhcp excluded-address 172.16.5.1 172.16.5.10 ip dhcp excluded-address 172.16.6.1 172.16.6.10 ip dhcp excluded-address 172.19.128.1 172.19.128.10 ip dhcp excluded-address 172.19.144.1 172.19.144.10 ip dhcp excluded-address 172.19.160.1 172.19.160.10 ip dhcp excluded-address 172.19.176.1 172.19.176.10 ip dhcp excluded-address 172.19.192.1 172.19.192.10 ! ip dhcp pool VL730 network 172.16.130.0 255.255.255.0 default-router 172.16.130.1 dns-server 61.159.14.10 8.8.8.8 lease 0 12 ! ip dhcp pool VL710 network 172.16.0.0 255.255.255.0 default-router 172.16.0.1 dns-server 61.159.14.10 8.8.8.8 lease 0 12 ! ip dhcp pool VL711 network 172.16.1.0 255.255.255.0 default-router 172.16.1.1 dns-server 61.159.14.10 8.8.8.8 lease 0 12 ! ip dhcp pool VL712 network 172.16.2.0 255.255.255.0 default-router 172.16.2.1 dns-server 61.159.14.10 8.8.8.8 lease 0 12 ! ip dhcp pool VL714 network 172.16.4.0 255.255.255.0 default-router 172.16.4.1 dns-server 61.159.14.10 8.8.8.8 lease 0 12 ! ip dhcp pool VL715 network 172.16.5.0 255.255.255.0 default-router 172.16.5.1 dns-server 61.159.14.10 8.8.8.8 lease 0 12 ! ip dhcp pool VL716 network 172.16.6.0 255.255.255.0 default-router 172.16.6.1 dns-server 61.159.14.10 8.8.8.8 lease 0 12 ! ip dhcp pool VL713 network 172.16.3.0 255.255.255.0 default-router 172.16.3.1 dns-server 61.159.14.10 8.8.8.8 lease 0 12 ! ip dhcp pool VL703 network 10.40.2.0 255.255.254.0 default-router 10.40.2.1 option 43 hex f104.0a01.013d dns-server 61.159.14.10 lease 2 ! ip dhcp pool VL717 network 172.19.0.0 255.255.128.0 default-router 172.19.0.1 dns-server 61.159.14.10 8.8.8.8 lease 0 12 ! ip dhcp pool VL705 network 10.45.2.0 255.255.254.0 default-router 10.45.3.1 dns-server 61.159.14.10 option 43 hex f104.0a01.01fb lease 2 ! ip dhcp pool VL723 network 172.19.128.0 255.255.240.0 default-router 172.19.128.1 dns-server 61.159.14.10 8.8.8.8 lease 0 12 ! ip dhcp pool VL724 network 172.19.144.0 255.255.240.0 default-router 172.19.144.1 dns-server 61.159.14.10 8.8.8.8 lease 0 12 ! ip dhcp pool VL725 network 172.19.160.0 255.255.240.0 default-router 172.19.160.1 dns-server 61.159.14.10 8.8.8.8 lease 0 12 ! ip dhcp pool VL726 network 172.19.176.0 255.255.240.0 default-router 172.19.176.1 dns-server 61.159.14.10 8.8.8.8 lease 0 12 ! ip dhcp pool VL727 network 172.19.192.0 255.255.240.0 default-router 172.19.192.1 dns-server 61.159.14.10 8.8.8.8 lease 0 12 ! ! ip cef ip flow-cache entries 8192 no ip domain lookup ip domain name wtc.msk.ru ip name-server 61.159.14.10 ip name-server 61.159.14.20 login delay 1 login on-failure log ! subscriber feature prepaid default threshold time 120 seconds threshold volume 0 bytes interim-interval 1 minutes method-list author AUTHOR_LIST1 method-list accounting SME_ACCT_LIST password WTC_PolicyKey ! subscriber service password 7 13322331343C0B2622273118303B redirect server-group SME_PORTAL server ip 61.159.0.116 port 3200 ! redirect server-group TEST_PORTAL server ip 61.159.0.120 port 3400 ! multilink bundle-name authenticated vpdn enable vpdn source-ip 61.159.0.114 vpdn session accounting network NO_ACC vpdn session-limit 2 ! vpdn-group VPDN ! Default PPTP VPDN group accept-dialin protocol pptp virtual-template 1 source-ip 61.159.0.114 ! ! crypto pki trustpoint TP-self-signed-36323601 enrollment selfsigned subject-name cn=IOS-Self-Signed-Certificate-36323601 revocation-check none rsakeypair TP-self-signed-36323601 ! ! crypto pki certificate chain TP-self-signed-36323601 certificate self-signed 01 3082024C 308201B5 A0030201 02020101 300D0609 2A864886 F70D0101 04050030 2F312D30 2B060355 04031324 494F532D 53656C66 2D536967 6E65642D 43657274 69666963 6174652D 33363332 33363031 301E170D 31333038 31333039 32363330 5A170D32 30303130 31303030 3030305A 302F312D 302B0603 55040313 24494F53 2D53656C 662D5369 676E6564 2D436572 74696669 63617465 2D333633 32333630 3130819F 300D0609 2A864886 F70D0101 01050003 818D0030 81890281 8100A81A C1AA88F7 E8D6EADB 30189824 87D389A6 040C428B 5D07120B CFFA8D2F BEC182CB 8414507E 9901AF65 1AD07C92 5C0A8C0A 350BB291 2F1A9F35 BAC9EEB8 298757C1 2957CC7A FC129DB5 96C19182 24AD5C68 E9C52BAD 178F0F09 979ECEFC 51029BE0 03F4813F 990822E2 116907AE BB8802AB 09CCF3D9 0E2189B5 6A437A7A 00EF0203 010001A3 78307630 0F060355 1D130101 FF040530 030101FF 30230603 551D1104 1C301A82 18523732 30362D69 74632D68 70332E77 74632E6D 736B2E72 75301F06 03551D23 04183016 8014FBB9 715B701D 1E467224 8DFF696D E55408D4 501A301D 0603551D 0E041604 14FBB971 5B701D1E 4672248D FF696DE5 5408D450 1A300D06 092A8648 86F70D01 01040500 03818100 097FCA7F E9E85FF0 489CC9B9 5A5D6AD6 B57356EA 4BC02FC5 CA261B05 3620E6BB B0D6FFBF 4135ED53 A73D23E0 63E58E81 A213A7E0 60F0C20F C0CEDEE6 DA8462BD B2E6740A BF167626 35F14695 0D0705A8 C0A6E705 ADA32721 4780EC0A B2B7AAAE 59DD3820 AEDD758B 2A575A27 30DBD59E 7CB07D78 970393C9 C1FDB8BA 64825B7E quit archive log config hidekeys username crocdtk password 7 1414005B0F201E00 username vpdn1 privilege 0 password 7 02050D4808095E ! ! ip ssh version 2 class-map type traffic match-any TC_OPENGARDEN match access-group input name OPENGARDEN_ACL_IN match access-group output name OPENGARDEN_ACL_OUT ! class-map type traffic match-any TC_L4REDIRECT match access-group input name ACL_L4REDIRECT ! class-map type control match-all TAL_IP_BASED match source-ip-address 0.0.0.0 0.0.0.0 ! class-map type control match-all IP_UNAUTH_COND match timer IP_UNAUTH_TIMER match authen-status unauthenticated ! policy-map type service OPENGARDEN_SERVICE 20 class type traffic TC_OPENGARDEN ! ! policy-map type service SRV_L4REDIRECT 5 class type traffic TC_L4REDIRECT redirect to group SME_PORTAL ! ! policy-map type service TEST_L4REDIRECT 5 class type traffic TC_L4REDIRECT redirect to group TEST_PORTAL ! ! policy-map type control SME_POLICY_RULE class type control IP_UNAUTH_COND event timed-policy-expiry 10 service disconnect ! class type control always event session-start 10 service-policy type service name PBHK_SERVICE 20 service-policy type service name SRV_L4REDIRECT 30 service-policy type service name OPENGARDEN_SERVICE 40 set-timer IP_UNAUTH_TIMER 600 ! class type control always event session-restart 10 service-policy type service name PBHK_SERVICE 20 service-policy type service name SRV_L4REDIRECT 30 service-policy type service name OPENGARDEN_SERVICE 40 set-timer IP_UNAUTH_TIMER 600 ! class type control always event account-logon 10 authenticate aaa list IP_AUTHEN_LIST 20 service-policy type service unapply name SRV_L4REDIRECT ! class type control always event service-start 10 service-policy type service identifier service-name ! class type control always event service-stop 1 service-policy type service unapply identifier service-name 10 service-policy type service unapply identifier service-name ! ! policy-map type control TAL_IP_BASED class type control TAL_IP_BASED event session-start 5 service-policy type service name OPENGARDEN_SERVICE 7 set-timer IP_UNAUTH_TIMER 1 10 authorize aaa list AUTHOR_LIST1 password cisco identifier source-ip-address ! class type control IP_UNAUTH_COND event timed-policy-expiry 10 service disconnect ! ! policy-map type control SME_POLICY_RULE_VPDN class type control IP_UNAUTH_COND event timed-policy-expiry 10 service disconnect ! class type control always event session-start 10 service-policy type service name PBHK_SERVICE 20 service-policy type service name SRV_L4REDIRECT 30 service-policy type service name OPENGARDEN_SERVICE 40 set-timer IP_UNAUTH_TIMER 600 ! class type control always event session-restart 10 service-policy type service name PBHK_SERVICE 20 service-policy type service name SRV_L4REDIRECT 30 service-policy type service name OPENGARDEN_SERVICE 40 set-timer IP_UNAUTH_TIMER 600 ! class type control always event account-logon 10 authenticate aaa list IP_AUTHEN_LIST 20 service-policy type service unapply name SRV_L4REDIRECT ! class type control always event service-start 10 service-policy type service name PBHK_SERVICE 20 service-policy type service name L4REDIRECT_SERVICE 30 service-policy type service name OPENGARDEN_SERVICE ! class type control always event service-stop 1 service-policy type service unapply identifier service-name 10 service-policy type service unapply identifier service-name ! ! policy-map type control TEST_POLICY_RULE class type control IP_UNAUTH_COND event timed-policy-expiry 10 service disconnect ! class type control always event session-start 10 service-policy type service name PBHK_SERVICE 20 service-policy type service name TEST_L4REDIRECT 30 service-policy type service name OPENGARDEN_SERVICE 40 set-timer IP_UNAUTH_TIMER 600 ! class type control always event session-restart 10 service-policy type service name PBHK_SERVICE 20 service-policy type service name TEST_L4REDIRECT 30 service-policy type service name OPENGARDEN_SERVICE 40 set-timer IP_UNAUTH_TIMER 600 ! class type control always event account-logon 10 authenticate aaa list IP_AUTHEN_LIST 20 service-policy type service unapply name TEST_L4REDIRECT ! class type control always event service-start 10 service-policy type service identifier service-name ! class type control always event service-stop 1 service-policy type service unapply identifier service-name 10 service-policy type service unapply identifier service-name ! class type control always event account-logoff 1 service disconnect delay 3 ! ! ! ! bridge irb ! ! ! ! interface Loopback0 ip address 10.10.1.1 255.255.255.255 ! interface GigabitEthernet0/1 no ip address media-type rj45 speed auto duplex auto negotiation auto ! interface GigabitEthernet0/1.40 encapsulation dot1Q 40 bridge-group 40 ! interface GigabitEthernet0/1.93 encapsulation dot1Q 93 bridge-group 93 ! interface GigabitEthernet0/1.703 encapsulation dot1Q 703 bridge-group 203 ! interface GigabitEthernet0/1.705 encapsulation dot1Q 705 bridge-group 205 ! interface GigabitEthernet0/1.710 encapsulation dot1Q 710 bridge-group 210 ! interface GigabitEthernet0/1.711 encapsulation dot1Q 711 bridge-group 211 ! interface GigabitEthernet0/1.712 encapsulation dot1Q 712 bridge-group 212 ! interface GigabitEthernet0/1.713 encapsulation dot1Q 713 bridge-group 213 ! interface GigabitEthernet0/1.714 encapsulation dot1Q 714 bridge-group 214 ! interface GigabitEthernet0/1.715 encapsulation dot1Q 715 bridge-group 215 ! interface GigabitEthernet0/1.716 encapsulation dot1Q 716 bridge-group 216 ! interface GigabitEthernet0/1.717 encapsulation dot1Q 717 bridge-group 217 ! interface GigabitEthernet0/1.730 encapsulation dot1Q 730 bridge-group 130 ! interface GigabitEthernet0/1.740 encapsulation dot1Q 740 bridge-group 140 ! interface FastEthernet0/2 no ip address shutdown speed auto duplex auto ! interface GigabitEthernet0/2 no ip address media-type rj45 speed auto duplex auto negotiation auto ! interface GigabitEthernet0/2.40 encapsulation dot1Q 40 bridge-group 40 ! interface GigabitEthernet0/2.93 encapsulation dot1Q 93 bridge-group 93 ! interface GigabitEthernet0/2.703 encapsulation dot1Q 703 bridge-group 203 ! interface GigabitEthernet0/2.705 encapsulation dot1Q 705 bridge-group 205 ! interface GigabitEthernet0/2.710 encapsulation dot1Q 710 bridge-group 210 ! interface GigabitEthernet0/2.711 encapsulation dot1Q 711 bridge-group 211 ! interface GigabitEthernet0/2.712 encapsulation dot1Q 712 bridge-group 212 ! interface GigabitEthernet0/2.713 encapsulation dot1Q 713 bridge-group 213 ! interface GigabitEthernet0/2.714 encapsulation dot1Q 714 bridge-group 214 ! interface GigabitEthernet0/2.715 encapsulation dot1Q 715 bridge-group 215 ! interface GigabitEthernet0/2.716 encapsulation dot1Q 716 bridge-group 216 ! interface GigabitEthernet0/2.717 encapsulation dot1Q 717 bridge-group 217 ! interface GigabitEthernet0/2.730 encapsulation dot1Q 730 bridge-group 130 ! interface GigabitEthernet0/2.740 encapsulation dot1Q 740 bridge-group 140 ! interface GigabitEthernet0/3 no ip address shutdown media-type rj45 speed auto duplex auto negotiation auto ! interface Virtual-Template1 description #VPN_for_Inline-Croc ip address 4.4.4.1 255.255.255.0 ip nat inside peer ip address forced peer default ip address pool VPDN_POOL ppp authentication ms-chap-v2 chap ppp authorization VPDN_AUTHOR service-policy type control SME_POLICY_RULE ! interface BVI40 description #MGT vrf for management only ip address 10.1.1.40 255.255.255.0 ip nat outside ! interface BVI93 description #ASR_Servers ip address 61.159.0.114 255.255.255.240 ip access-group BVI93_IN in ip nat outside ip portbundle outside ! interface BVI130 description -=LAN Users Group 730=- ip address 172.16.130.1 255.255.255.0 ip nat inside service-policy type control TEST_POLICY_RULE ip subscriber routed initiator dhcp ! interface BVI140 description -=Real IP LAN Users Group 740=- ip address 61.159.0.65 255.255.255.248 service-policy type control TAL_IP_BASED ip subscriber routed initiator unclassified ip-address ! interface BVI203 description VLAN703 AP management ip address 10.40.2.1 255.255.254.0 ! interface BVI205 description VLAN705 temporary AP managment ip address 10.45.3.1 255.255.254.0 ! interface BVI210 description VLAN710 Users WiFi ip address 172.16.0.1 255.255.255.0 ip nat inside service-policy type control SME_POLICY_RULE ip subscriber routed initiator dhcp ! interface BVI211 description VLAN711 Users WiFi ip address 172.16.1.1 255.255.255.0 ip nat inside service-policy type control SME_POLICY_RULE ip subscriber routed initiator dhcp ! interface BVI212 description VLAN712 Users WiFi ip address 172.16.2.1 255.255.255.0 ip nat inside service-policy type control SME_POLICY_RULE ip subscriber routed initiator dhcp ! interface BVI213 description VLAN713 Users WiFi ip address 172.16.3.1 255.255.255.0 ip nat inside service-policy type control SME_POLICY_RULE ip subscriber routed initiator dhcp ! interface BVI214 description VLAN714 Users WiFi ip address 172.16.4.1 255.255.255.0 ip nat inside service-policy type control SME_POLICY_RULE ip subscriber routed initiator dhcp ! interface BVI215 description VLAN715 Users WiFi ip address 172.16.5.1 255.255.255.0 ip nat inside service-policy type control SME_POLICY_RULE ip subscriber routed initiator dhcp ! interface BVI216 description VLAN716 Users WiFi ip address 172.16.6.1 255.255.255.0 ip nat inside service-policy type control SME_POLICY_RULE ip subscriber routed initiator dhcp ! interface BVI217 description VLAN717 Users WiFi ip address 172.19.0.1 255.255.128.0 ip nat inside service-policy type control SME_POLICY_RULE ip subscriber routed initiator dhcp ! ip local pool VPDN_POOL 4.4.4.2 4.4.4.20 ip nat translation timeout 900 ip nat translation tcp-timeout 300 ip nat translation udp-timeout 60 ip nat inside source list NATBVI40 interface BVI40 overload ip nat inside source list NATBVI93 interface BVI93 overload ! ip portbundle match access-list 198 source BVI93 ! ip classless ip route 0.0.0.0 0.0.0.0 61.159.0.113 ip route vrf MGT 0.0.0.0 0.0.0.0 10.1.1.1 ! ip flow-export source BVI93 ip flow-export version 5 ip flow-export destination 61.159.0.121 9800 ! no ip http server no ip http secure-server ! ip access-list standard SNMP permit 61.159.0.56 permit 61.159.0.62 permit 61.159.14.48 permit 61.159.14.19 permit 61.159.14.25 permit 61.159.14.26 permit 10.1.1.254 ip access-list standard VTY permit 10.1.1.0 0.0.0.255 permit 61.159.14.0 0.0.0.255 permit 61.159.0.0 0.0.0.63 ! ip access-list extended ACL_L4REDIRECT deny ip any 61.159.0.112 0.0.0.15 deny ip any 10.1.1.0 0.0.0.255 permit tcp any any eq www ip access-list extended BVI93_IN permit ip any any ip access-list extended INTERNET_ACL_IN permit ip any any ip access-list extended INTERNET_ACL_OUT permit ip any any ip access-list extended NATBVI40 permit ip 4.4.4.0 0.0.0.255 10.1.1.0 0.0.0.255 ip access-list extended NATBVI93 deny ip 4.4.4.0 0.0.0.255 10.1.1.0 0.0.0.255 permit ip 172.16.0.0 0.0.255.255 any permit ip 4.4.4.0 0.0.0.255 any permit ip 172.19.0.0 0.0.255.255 any ip access-list extended OPENGARDEN_ACL_IN permit ip any host 61.159.0.2 permit ip any host 61.159.1.2 permit ip any host 90.156.153.98 permit ip any 61.159.0.112 0.0.0.15 permit ip any host 61.159.14.7 permit ip any host 10.1.1.60 permit ip any host 10.1.1.61 permit ip any host 10.1.1.62 permit ip any host 93.158.134.3 permit ip any host 61.159.14.10 permit ip any host 61.159.14.20 permit ip any host 10.1.1.251 ip access-list extended OPENGARDEN_ACL_OUT permit ip host 61.159.0.2 any permit ip host 61.159.1.2 any permit ip 61.159.0.112 0.0.0.15 any permit ip host 61.159.14.7 any permit ip host 10.1.1.60 any permit ip host 10.1.1.61 any permit ip host 10.1.1.62 any permit ip host 93.158.134.3 any permit ip host 61.159.14.10 any permit ip host 61.159.14.20 any permit ip host 10.1.1.251 any ip access-list extended TAL_IPBASED permit ip any any ! ip radius source-interface BVI93 vrf default ip sla 1 icmp-echo 61.159.0.113 source-ip 61.159.0.114 timeout 1000 frequency 3 ip sla schedule 1 life forever start-time now logging trap debugging logging facility local6 logging 61.159.0.119 access-list 100 permit ip any any access-list 101 permit ip any any access-list 198 permit ip any host 61.159.0.119 access-list 198 permit ip any host 61.159.0.120 access-list 198 permit ip any host 61.159.0.116 access-list 199 permit tcp any any eq www access-list 199 permit tcp any eq www any ! snmp-server community public RO snmp-server location Of1 307 snmp-server contact Dmitry S. Surov snmp-server chassis-id CISCO 7206 VXR Router snmp-server enable traps config-copy snmp-server enable traps config snmp-server host 61.159.14.101 public ! radius-server attribute 44 include-in-access-req radius-server attribute 6 on-for-login-auth radius-server attribute 8 include-in-access-req radius-server attribute 32 include-in-access-req radius-server attribute 32 include-in-accounting-req radius-server attribute 55 include-in-acct-req radius-server attribute 55 access-request include radius-server attribute 61 extended radius-server attribute 31 remote-id radius-server host 61.159.0.119 auth-port 1645 acct-port 1646 key 7 14202628330A2F3C1629373C37002C131A radius-server retransmit 1 radius-server timeout 3 radius-server deadtime 1 radius-server key 7 046C3F25302F49593B18011E0718270133 radius-server vsa send accounting radius-server vsa send authentication bridge 40 protocol ieee bridge 40 route ip bridge 40 priority 40000 bridge 93 protocol ieee bridge 93 route ip bridge 93 priority 40000 bridge 130 protocol ieee bridge 130 route ip bridge 130 priority 40000 bridge 140 protocol ieee bridge 140 route ip bridge 140 priority 40000 bridge 203 protocol ieee bridge 203 route ip bridge 203 priority 40000 bridge 205 protocol ieee bridge 205 route ip bridge 205 priority 40000 bridge 210 protocol ieee bridge 210 route ip bridge 210 priority 40000 bridge 211 protocol ieee bridge 211 route ip bridge 211 priority 40000 bridge 212 protocol ieee bridge 212 route ip bridge 212 priority 40000 bridge 213 protocol ieee bridge 213 route ip bridge 213 priority 40000 bridge 214 protocol ieee bridge 214 route ip bridge 214 priority 40000 bridge 215 protocol ieee bridge 215 route ip bridge 215 priority 40000 bridge 216 protocol ieee bridge 216 route ip bridge 216 priority 40000 bridge 217 protocol ieee bridge 217 route ip bridge 217 priority 40000 ! control-plane ! alias exec cssa cle subsc sess all alias exec ssa show subsc sess all alias exec ss show subsc sess alias exec ssb show subsc sess brief alias exec sis show interfaces status alias exec sins show ip nat statistics alias exec sidb sh ip dhcp binding alias exec sidp sh ip dhcp pool ! line con 0 exec-timeout 0 0 authorization exec VTY login authentication VTY length 0 stopbits 1 line aux 0 no exec stopbits 1 line vty 0 4 access-class VTY in exec-timeout 0 0 authorization exec VTY login authentication VTY transport input ssh ! ntp clock-period 17181006 ntp master ntp update-calendar ntp server 61.159.14.10 source BVI40 end R7206-itc-hp3#

Коллеги, получаю два фул-вью от двух провайдеров. В одном 590322 префиксов, в другом 592788. И количество это ещё иногда гуляет в пределах десятков - сотен. Это нормально?

Софт 15 года у меня. Скажите, сколько времени надо роутеру чтобы его таблица маршрутизации заполнилась информацией из двух фул-вью?

Доброго дня. Имею Cisco ASR 1001 с двумя линками до верхних провайдеров, от обоих получаю full-view. До одного провайдера два раза за неделю упала bgp-сессия. После её подъёма назад некоторые подсети приходят по bgp, маршрут через рвущего сессию провайдера заносится в таблицу как более оптимальный, но подсеть при этом недоступна. Если статикой прописать маршрут до этой подсети через другого провайдера, а потом его убрать - всё начинает работать. Словно роутеру нужен какой-то пинок для оживления. Что это за глюк и как его лечить?

Проблема решена, причина в том что цисковский контроллер вай-фая помещал некоторые сети клиентов в режим Contained, то есть заставлял клиентов отваливаться от них. После установки менее жёстких настроек безопасности на контроллере клиентские роутеры стали работать как ураган!

Проблема решена. Причина была в убранной на контроллере галочке в пункте DHCP Relay. Из-за этого точки не могли продлить себе аренду адреса, запросы не долетали до раздающего адреса маршрутизатора.

Привет. Имею межсетевой экран Stonegate FW-315 Нужно переключить его на другой белый айпишник, от другого провайдера. Придётся ли на менеджмент сервере полностью создавать новый фаервол и импортировать туда все старые политики? Либо же достаточно просто на созданном в менеджмент сервере фаерволе переписать внешний IP-адрес, а все полиики там останутся?

Пробовал. Помогает. Но мне хотелось бы понять, может что-то можно руками поправить при этом. Клиенты испытывают баттхёрты когда я им предлагаю раскошелиться на новый аппарат :)

Добрый день. В последнее время на домашних ви-фи роутерах от Zyxel и Netgear наблюдаю проблему с частым разрывом wi-fi соединения (на 2.4 Ггц). Проявляется несколькими способами: 1) Соединение не проходит вообще, оно циклично крутится между получением адреса, проверкой подлинности и т.д. 2) Соединение есть, но минут через 15 рвётся, не восстанавливаясь обратно. Помогает смена канала, но опять минут на 15. Менял ширину канала, сам канал, стандарты Wi-Fi - бестолку. Что может быть не так? Перепрошивка роутеров не помогает. На винде, макинтошах, андроиде одинаково нет коннекта по вай-фаю.

Исправил суть вопроса.

Приветствую. Планирую обновить софт на цискином маршрутизаторе ASR-1001, а новый софт поддерживает только Flexible Netflow. На маршрутизаторе применяются интерфейсы Virtual-Template, это такие шаблоны, по которым создаются временные субинтерфейсы при подключении клиентов по PPPoE. Напрямую на виртуальный интерфейс нетфлоу не вешается. В конфиге интерфейса virtual-template есть вот такая строка: ip unnumbered tengigabitethernet 0/1/0.50 То есть адрес берётся у другого субинтерфейса, на который нетфлоу вполне вешается. Будет ли работать flexible netflow при такой настройке не напрямую на virtual-template?

Мак флапает при петле, когда фреймы по кругу бегают. Разок у меня цепочку свитчей доступа воткнули концами в разные аггрегирующие коммутаторы и весь кластер домов заколбасило. Порт-сесурити это примитивная фича, она не умеет видеть флапинг, только ограничивает число маков на порту и конкретизирует эти самые разрешнные маки.

Можно ли настроить порт абонента так, чтобы при возникновении флаппинга маков порт абонента гасился? Свитч Циско.

Ребут по питанию делался. Первый глючный роутер. ASR1001-lev0-1405#show platform Chassis type: ASR1001 Slot Type State Insert time (ago) --------- ------------------- --------------------- ----------------- 0 ASR1001 ok 00:21:36 0/0 ASR1001 ok 00:20:08 0/1 SPA-1X10GE-L-V2 ok 00:20:08 R0 ASR1001 ok, active 00:21:36 F0 ASR1001 ok, active 00:21:36 P0 ASR1001-PWR-AC ok 00:20:36 P1 ASR1001-PWR-AC ok 00:20:35 P2 ASR1001-FANTRAY ok 00:20:38 Slot CPLD Version Firmware Version --------- ------------------- --------------------------------------- 0 10042219 15.2(1r)S R0 10042219 15.2(1r)S F0 10042219 15.2(1r)S ASR1001-lev0-1405# Второй нормальный роутер: ASR1001-lev0-1405-2#show platform Chassis type: ASR1001 Slot Type State Insert time (ago) --------- ------------------- --------------------- ----------------- 0 ASR1001 ok 00:22:43 0/0 ASR1001 ok 00:21:15 0/1 SPA-1X10GE-L-V2 ok 00:21:15 R0 ASR1001 ok, active 00:22:43 F0 ASR1001 ok, active 00:22:43 P0 ASR1001-PWR-AC ok 00:21:43 P1 ASR1001-PWR-AC ok 00:21:43 P2 ASR1001-FANTRAY ok 00:21:45 Slot CPLD Version Firmware Version --------- ------------------- --------------------------------------- 0 10042219 15.0(1r)S R0 10042219 15.0(1r)S F0 10042219 15.0(1r)S ASR1001-lev0-1405-2# Сегодня зависаний было два за сутки.