nOPTHOu

возможно внутри кольца и незаметно этого шторма, но ядро сети теряет этот сегмент. Вот и думаю, что да как настраивать.

Доброе время суток! Настраиваю сеть на этаже, собрано в кольцо 8 коммутаторов HP v1910-24g. Из одного из коммутаторов уходит аплинк на ядро сети на базе кластера c3750. Включил rstp, назначил один коммутатор корневым, нашел заблокированный порт, кольцо работает. Разрываю кольцо, вижу, что резерв сработал. Теперь создаю заново кольцо, и у меня в этом кольце возникает broadcast storm на какое-то короткое время, линк до ядра блокируется на 40 секунд, потом поднимается. На 3750 прописано: storm-control broadcast level pps 1.5k 1k storm-control multicast level pps 1.5k 1k storm-control action trap Почему возникает шторм? Ведь казалось-бы - кольцо должен блокировать протокол STP, или он срабатывает слишком медленно?

пока хочу все решить только с использованием сетевого оборудования, а так нужно обеспечить еще и работоспособность сервера со скриптом

Доброе время суток! Необходимо на циске настроить SLA таким образом что-бы трек поднимался/падал по какому-то определенному ответу web-сервера. Нашел доку, но не могу понять на что реагирует IP SLA, и как прописать условие для него. track 1 ip sla 1 ! track 2 ip sla 1 reachability ip sla 1 http get http://192.168.1.100:8080 ip sla schedule 1 life forever start-time now вот логи апача 192.168.1.201 - - [22/Aug/2014:14:06:55 +0400] "GET / HTTP/1.0" 200 931 "-" "-" 192.168.1.201 - - [22/Aug/2014:14:07:55 +0400] "GET / HTTP/1.0" 200 931 "-" "-" 192.168.1.201 - - [22/Aug/2014:14:08:55 +0400] "GET / HTTP/1.0" 200 931 "-" "-" т.е. роутер подключается, что-то получает в ответ с кодом 200, но трек не поднимается Track 1 IP SLA 1 state State is Down 1 change, last change 00:44:21 Latest operation return code: Unknown Track 2 IP SLA 1 reachability Reachability is Down 1 change, last change 00:43:14 Latest operation return code: Unknown cisco-lab1#sh ip sla statistics 1 det IPSLAs Latest Operation Statistics IPSLA operation id: 1 Latest RTT: 9 milliseconds Latest operation start time: *11:06:25.075 UTC Fri Aug 22 2014 Latest operation return code: OK Over thresholds occurred: FALSE Latest DNS RTT: 0 ms Latest TCP Connection RTT: 3 ms Latest HTTP time to first byte: 7 ms Latest HTTP Transaction RTT: 6 ms Latest HTTP Status: 200 Latest HTTP Message Size: 931 Latest HTTP Entity-Body size: 742 Number of successes: 2 Number of failures: 0 Operation time to live: Forever Operational state of entry: Active Last time this entry was reset: Never

Нашел в сети документ от Циски, по сравнению ISR G1 и G2. Вопрос по сравнению закрыт. Теперь рассматриваю c7301/c7206+NPE-G1 и Huawei AR2220. Подскажите, какие скорости в pps/bps можно получить у данного оборудования при использовании для NAT+ACL+QoS

почему?

Коллеги - всех с наступающим НГ! Вопрос следующий: стоит задача выбора железки в качестве шлюза для выхода в интернет со следующими условиями: 1. 3 провайдера, каналы 100 мбит сейчас, плюс возможный рост в будущем 2. QoS для ограничения особо талантливых сотрудников(per ip) 3. NAT в основном web трафик+ютуб 4. Кластеризация(смотрю в сторону GLBP) 5. BGP(FV или нет, еще не решено) 6. самые извращенные route-map, какие-только можно придумать 7. ACL 8. Возможно в будущем построение туннелей (IPSEC), до наших офисов(10-20 шт.) стоит-ли рассматривать MT CCR1016-12G, в качестве решения проблемы? в 2921 останавливают траблы с лицензированием разных фич.

какой каталист умеет set ip default next-hop? UPD: Cisco Feature Navigator рулит, 6-ти тонники, 72, 73, 76 серии

локальный трафик бегает внутри каталиста и между каталистами, внешний уходит на роутеры

что-то я поспешил, что указать в качестве действия, и будет наименее заметно для пользователей?

это я понимаю, но как матчить весь трафик кроме локального?

нет, на многих. подумаю что указать. UPD: помогло, спасибо!

а что не так? объясните на пальцах. ACL создан для того что-бы не отправлять локальный трафик на роутер. или обязательно надо указать какое-либо действие?

я эту доку уже читал, и переделал ACL так,что-бы небыло deny если вы про это ip access-list extended Gate2ISP2 deny ip any 192.168.0.0 0.0.255.255 то до этой cтроки трафик не доходит, весь локальный трафик остается в ACL ToLAN строка осталась от старой конфигурации

Доброе время суток! Имею две 3750G-24TS которые работают в разных офисах, связаны через OSPF. Также имеем два провайдера на разных маршрутизаторах, которые подключены к первому каталисту. На первом каталисте прописан ip route 0.0.0.0/0.0.0.0 на первого провайдера, но некоторые машины, и на некоторые сайты необходимо выходить всегда через второго провайдера. Для этого создан роутмап и повешен на SVI для нужных подсетей/интерфейсов. При прокачке с файлового сервера скорость без роутмапа порядка 100мбит, потолок клиента, а с роутмапами 20-30 мбит. При этом нагрузка на проц возрастает до 50%. Я так понимаю что 3750 слабоваты для PBR? Сейчас есть идея или объединить двух провайдеров на одном роутере, или поставить что-то между каталистами и роутерами, и на этом железе распределять трафик в интернет как нравится. Switch Ports Model SW Version SW Image ------ ----- ----- ---------- ---------- * 1 28 WS-C3750G-24TS 12.2(46)SE C3750-ADVIPSERVICESK9-M c3750-sw1#sh sdm prefer The current template is "desktop routing" template. The selected template optimizes the resources in the switch to support this level of features for 8 routed interfaces and 1024 VLANs. number of unicast mac addresses: 3K number of IPv4 IGMP groups + multicast routes: 1K number of IPv4 unicast routes: 11K number of directly-connected IPv4 hosts: 3K number of indirect IPv4 routes: 8K number of IPv4 policy based routing aces: 0.5K number of IPv4/MAC qos aces: 0.5K number of IPv4/MAC security aces: 1K route-map ExitPBR permit 5 match ip address ToLAN ! route-map ExitPBR permit 10 match ip address Gate2ISP1 set ip next-hop 192.168.3.2 ! route-map ExitPBR permit 20 match ip address Gate2ISP2 set ip next-hop 192.168.3.3 ip access-list extended ToLAN permit ip 192.168.0.0 0.0.255.255 192.168.0.0 0.0.255.255 permit ip any 192.168.0.0 0.0.255.255 permit ip any 172.16.0.0 0.15.255.255 permit ip any 10.0.0.0 0.255.255.255 ip access-list extended Gate2ISP1 permit ip 192.168.3.0 0.0.0.255 host xxx.xxx.xxx.xxx permit ip 192.168.2.0 0.0.0.255 host xxx.xxx.xxx.xxx permit ip 192.168.3.0 0.0.0.255 host xxx.xxx.xxx.xxx permit ip 192.168.2.0 0.0.0.255 host xxx.xxx.xxx.xxx permit ip 192.168.2.0 0.0.0.255 host xxx.xxx.xxx.xxx permit ip 192.168.3.0 0.0.0.255 host xxx.xxx.xxx.xxx permit ip 192.168.2.0 0.0.0.255 host xxx.xxx.xxx.xxx permit ip 192.168.3.0 0.0.0.255 host xxx.xxx.xxx.xxx permit ip 192.168.2.0 0.0.0.255 host xxx.xxx.xxx.xxx permit ip 192.168.3.0 0.0.0.255 host xxx.xxx.xxx.xxx permit ip 192.168.2.0 0.0.0.255 host xxx.xxx.xxx.xxx permit ip 192.168.3.0 0.0.0.255 host xxx.xxx.xxx.xxx permit ip 192.168.2.0 0.0.0.255 host xxx.xxx.xxx.xxx permit ip 192.168.3.0 0.0.0.255 host xxx.xxx.xxx.xxx permit ip host 192.168.2.100 any permit ip host 192.168.2.101 any permit ip host 192.168.2.102 any permit ip host 192.168.1.103 any ip access-list extended Gate2ISP2 deny ip any 192.168.0.0 0.0.255.255 permit ip 192.168.1.0 0.0.0.255 xxx.xxx.0.0 0.0.3.255 permit ip 192.168.2.0 0.0.0.255 xxx.xxx.0.0 0.0.3.255 permit ip host 192.168.2.11 any interface Vlan2 ip address 192.168.2.1 255.255.255.0 ip helper-address 192.168.1.11 ip helper-address 192.168.1.12 no ip proxy-arp ip pim dense-mode ip policy route-map ExitPBR

понял, спасибо.

это сжатие настраивается на регистраторе?

За ссылку спасибо - как узнаю что стоит за регистратор поищу софт. Сейчас регистратор подключен к сети, и как и писал в первом сообщении - при просмотре через клиента из дома через интернет камеры в программе сами отключаются/подключаются. Такое ощущение, что нехватает канала. На объекте на 100 мбитах все нормально.

Существующий регистратор представляет собой компьютер, какое ПО на нем стоит сказать пока не могу, на клиенте увидел "DVR Net". Сейчас больше интересует необходимая ширина канала до удаленного поста мониторинга. Если подключаюсь напрямую к регистратору через клиента. Вот под программой подразумевается мониторинг удаленного рабочего стола(RAdmin, VNC, TeamViewer)? или клиент от регистратора?

Добрый день! Такая ситуация: на объекте установлен сервер + 9 камер, на месте у оператора все работает. Но народ захотел смотреть что происходит на объекте еще и из дома через интернет, до дома канал 1 мбит, подключаются программой к серверу видеонаблюдения, камеры частенько отваливаются. Подскажите какой канал нужен для нормального мониторинга 9 камер(в будущем камер будет больше), или как вариант какое-то другое решение(что-то типа RAdmin на объекте, и из дома смотреть экран оператора). P.S. В видеонаблюдении новичек. Картинка цветная, 540*676. Большее сказать не могу, так как не видел настройки на сервере.

Доброе время суток, коллеги! Кто работал с сабжем, можно на нем настроить маршрутизацию между VLAN + фильтрация по IP:port в обоих направлениях. Сейчас есть 3com 2928, но у него плоховато-то с ACL, все настраивается очень криво, и через одно место, а некоторых возможностей нет вообще. А используемая в данный момент Cisco 2821 не справляется, если народ качает большие файлы из одной подсети в другую. Как вариант - выслушаю ваши предложения по другим моделям.

Добрый день,уважаемые коллеги! Есть 2811, которая стоит шлюзом для локалки, внутрь проброшен 53 порт DNS сервер, обслуживаюший внешние зоны. Также, на ней настроен EasyVPN. При подключении к VPN, клиенту назначается адрес, из локалки. Если ip nat inside source list NAT pool external overload то VPN работает корректно, но не работает DNS резолвинг снаружи Если ip nat inside source list 1 pool external overload то VPN работает не корректно, но работает DNS резолвинг снаружи, таким образом, блокируя нат на внешнем интерфейсе, для пакетов которые идут из локалки в локалку, у меня все работает, а вот DNS перестает работать. При этом проброс smtp порта работает нормально. А хочется что-бы работал и ВПН, и DNS резолвинг. Какие идеи? P.S. вынос VPN-клиентов в отдельную подсеть не помог interface FastEthernet0/0.11 description connected to HQ LAN encapsulation dot1Q 11 ip address 192.168.0.1 255.255.255.0 ip access-group LAN_Firewall in ip flow ingress ip flow egress ip nat inside no ip virtual-reassembly no ip mroute-cache no cdp enable interface FastEthernet0/1 description connected to INTERNET ip address yyy.yyy.yyy.yyy 255.255.255.128 secondary ip address xxx.xxx.xxx.xxx 255.255.255.128 ip access-group Inet_Firewall.in in ip access-group Inet_Firewall.OUT out ip flow ingress ip flow egress ip nat outside ip virtual-reassembly duplex auto speed auto no cdp enable crypto map clientmap ip nat pool external xxx.xxx.xxx.xxx xxx.xxx.xxx.xxx prefix-length 29 ip nat inside source static tcp 192.168.0.99 53 xxx.xxx.xxx.xxx 53 extendable ip nat inside source static udp 192.168.0.99 53 xxx.xxx.xxx.xxx 53 extendable access-list 1 permit 192.168.0.99 access-list 1 permit 192.168.0.100 access-list 1 permit 192.168.0.117 access-list 1 permit 192.168.0.72 access-list 1 permit 192.168.0.75 access-list 1 permit 192.168.0.78 access-list 1 permit 192.168.0.234 access-list 1 permit 192.168.0.254 access-list 1 permit 192.168.0.200 access-list 1 permit 192.168.0.170 access-list 1 permit 192.168.0.159 ip access-list extended NAT deny ip any 192.168.0.0 0.0.255.255 log-input permit ip host 192.168.0.99 any permit ip host 192.168.0.100 any permit ip host 192.168.0.117 any permit ip host 192.168.0.72 any permit ip host 192.168.0.75 any permit ip host 192.168.0.78 any permit ip host 192.168.0.80 any permit ip host 192.168.0.234 any permit ip host 192.168.0.254 any permit ip host 192.168.0.200 any permit ip host 192.168.0.170 any permit ip host 192.168.0.159 any deny ip any any log-input

большое спасибо! уже договорился взять PVDM модуль, попробую с ним.

т.е. я покупаю вот такой модуль: PVDM2-16, и будет счастье? Тогда другой вопрос, на что влияет кол-во каналов? P.S. и еще один вопрос, куда ставить этот модуль, на плату расширения? У меня сейчас VIC2-2FXS воткнут в маршрутизатор, без платы NM-HDV2

если про PVDM модуль, то меня убедили что на FXS он не нужен