Gray swordsman

Первое падение линка до проблемного хоста это следствие или причина ? если причина, то скорее всего запускается какое-то перестроение stp, если следствие то как мне кажется это какая-то l2 петля. В логе flow-control как мне кажется к данной проблеме не относится от слова совсем.

ТСПУ стоит ?

Проще объяснить почему не работает статика. Вы работаете с идентификатором source-ip-address(L3), а инициатором служит dhcp или неклассифицированный мак(L2). В случае статического адреса должен быть инициатор unclassified ip-address. Тогда на радиус придет запрос о авторизации этого source-ip. Либо надо переделывать политику на authorize aaa list IPoE-aaa password isg-password identifier mac-address. Как-то так.

я бы попробовал прописать статикой маки vrrp в эти 2 порта что-то типа create fdb mac port .. на каталисте это выглядит так mac address-table static 0000.5e00.0164 vlan 200 interface GigabitEthernet0/4 GigabitEthernet0/17 тут правда мак от carp'а, но принцип тот же.

Для варианта с циской я бы попробовал так. Создаем 3 сабинтерфеса например Fa0/1.100, 0/1.200,0/1.300. Их делаем unnumbered к Loopback1. На него вешаем для примера 192.168.0.1/24. На каждый из сабифов ip helper-address <ip_dhcp_server> и включаем ip proxy-arp. Соответственно на хосты раздаем 192.168.0.2-254. А доступ к серверам разрулить уже акцесс-листами на сабифах. Если есть хосты со статическими адресам, то дополнительно нужны статические маршруты к ним. Например есть супер-пупер девайc не умеющий dhcp в 100 влане c адресом 50. ip route 192.168.0.50 255.255.255.255 Fa0/1.100 Как вариант получаем хосты 11-20 - влан 100 хосты 21-30 - влан 200 хосты 31-40 - влан 300 ну сами сервера можно либо в один из этих сегментов, либо в свой собственный. Идентификатором выдачи адресов может быть как мак устройства , так и например идентификатор порта свича к которому подключен девайс. И да пересечения ip адресов быть не должно.

Как вариант- vrrp/carp между ASA<->EdgeRouter, дополнительный тунель от EdgeRouter'а в сторону облачного роутера - и поверх этих туннелей динамическая маршрутизация (rip/ospf/eigrp/bgp) что больше нравится.

По мне, вы навсегда отфильтруете 123.123.123.0/24 . А как же легитимный трафик ? я бы сказал что условие должно быть составным что-то типа ip prefix-list DENY-Hijacking-PREFIXES seq 10 permit 123.123.123.0/24 ip as-path access-list Hijacking_AS permit 123123$ route-map TT-in deny 111 match as-path Hijacking_AS match ip address prefix-list DENY-Hijacking-PREFIXES router bgp 206xxx neighbor 89.237.xxx.xxx description TTK neighbor 89.237.xxx.xxx route-map TT-in in

возможно проблема в джипоне и построения им FDB, например у нас по дефолту стоит filterBroadcast от оператора к клиенту. Попробуйте сделать сделать clear arp 10.13.0.1 на клиенте, чтобы запрос who-has 10.13.0.1 сделал он в момент когда incomplete.

Вопрос закрыт, спасибо.

Добрый день, ищу asr9k-px-5.3.4.k9-sp10.tar, поделитесь у кого есть возможность..