Jump to content
Калькуляторы

UncleDen

Пользователи
  • Content Count

    78
  • Joined

  • Last visited

About UncleDen

  • Rank
    Абитуриент

Информация

  • Пол
    Не определился
  1. Странность заметил - с переходником USB-COM до консоли вообще никак не достучаться. Нормальным "железным" портом - всё ок... Не-SNR адекватно реагируют на переходник.
  2. IP-телефоны SNR

    Телефон SNR-VP-7020. Прошивка 2.0.2.36. Девайс не пропускает multicast, из-за чего чуть не сломали голову, почему у всех кроме двух человек в конторе не работает IP-TV (у этих двоих IP-фоны SNR-VP-6020). Непонятно почему перестаёт работать громкая связь. При этом звонок работает (или у него излучатели разные на громкую и звонок?). ЗЫ: громкая связь наладилась ударом трубки о корпус аппарата :)
  3. Мыслей нет... А жаль. Пришлось призывать на помощь тяжёлую артиллерию в виде Cisco Sup720bxl. В общем, на se670 выделены порты (sharing) настроен мирроринг с нужных виланов в этот шаринг, с другой стороны зеркало принимает Кошка с её непревзойдёнными возможностями в обработке траффика. И уже Кошка занимается фильтрацией и распределением отфильтрованного зеркала по нужным направлениям... Мдааа...
  4. Чёрт побери, я тоже с этими же граблями столкнулся! Задача - отмониторить траффик на ех670 (12.6.1.3) с нескольких виланов на несколько портов. Но при этом в часть портов отдать один траффик, в часть - другой. То, что нельзя сделать несколько раздельных мониторингов, как в кошке - это уже трындец. Ну ладно, извращаться надо. Сделал два полиси-файла (ууууу... на Экстриме это просто разрыв мозга какой-то!) P-FLOW1.pol entry FLOW-TCP-SYN-1 { if { source-address 0.0.0.0/0; protocol tcp; source-port <= 16384; TCP-flags SYN; } then { permit; } } entry FLOW-TCP-SYN-2 { if { source-address 0.0.0.0/0; protocol tcp; destination-port <= 16384; TCP-flags SYN; } then { permit; } } entry FLOW-ALL-1 { if { source-address 0.0.0.0/0; } then { deny; } } P-FLOW2.pol entry FLOW-UDP-PORTS-1 { if { source-address 0.0.0.0/0; protocol udp; destination-port 9995 - 9997; } then { deny; } } entry FLOW-UDP-PORTS-2 { if { source-address 0.0.0.0/0; protocol udp; source-port 9995 - 9997; } then { deny; } } entry FLOW-ALL-2 { if { source-address 0.0.0.0/0; } then { permit; } } В конфиге enable mirroring to port-list 2, 6 loopback-port 11 configure mirroring add vlan VLAN11 configure mirroring add vlan VLAN12 В порт 2 нужно траффик отфильтрованный P-FLOW1, в порт 6 - отфильтрованный P-FLOW2. Делаю configure access-list P-FLOW1 port 2 egress, получаю хугль, как у ivb1232... Говорю configure access-list P-FLOW1 port 2 ingress, всё Ок. Не нравятся именно операции со множеством портов по исходящему траффику! А в документации об ограничениях на range и <= ни слова. У кого какие мысли?
  5. nickD, ага. На уровне L3 только 8к хостов, если терминировать виланы. У меня эти грабли нависают. Поэтому 670 будет как аггрегатор линков 10Гэ :) а терминация или на Эрике600 или распределённо на 460.
  6. Пытаюсь заменить ядро сети на c6513-Sup720bxl (bgp fullview, ospf, multicast, acl L2-L4, vlan L2-L3, vlanfilter+СОРМ, dhcp-relay) на ex670+ex460+ex460+... Но что-то мне кажется, что не справится связка с поставленными задачами. Придётся часть функций корячить на Ericsson 600. Вывел пока только на L2. Есть сомнение в терминации виланов по L3, ибо только 8000 маков на L3 дадено, а надо дофига, ибо IPTV... Эзерчаннел между C и E поднял, распределение нагрузки, вроде, есть. Продолжаю наблюдение.
  7. Воз и ныне там. Снупинг включал-выключал. Один фиг. Нет пакетов на интерфейс ДХЦП.
  8. Результат отрицательный. Маки в вилане есть, сервер виден, но tcpdump фиксирует ДХП запросы только от 250 сети.Что за фигня...
  9. Братья, туплю по страшной силе... Хомячок не получает адрес с ДХЦП-сервера. На интерфейсе сервера не вижу ни одного запроса со стороны хомячка (даже при подключении тестового бука), на сетевухе получать всё автоматом. Прописываю вручную - хомячок работает, ДХЦП-сервер он же шлюз в инет для хомячка. Девайс c4503, СУП-2+ Схема сети, в части которой трабла. DHCP (192.168.250.254)--vlan250--f3/20(c4503)f3/47--vlan101--хомячок Конфо без парольев и лишних фейсов: version 12.2 no service pad service timestamps debug uptime service timestamps log uptime ! hostname c4503 ! boot system flash bootflash:cat4000-i9s-mz.122-20.EW4.bin vtp mode transparent ip subnet-zero no ip source-route no ip igmp snooping no ip domain-lookup ! no ip bootp server ip vrf mgmtVrf no file verify auto ! spanning-tree mode pvst spanning-tree extend system-id no spanning-tree vlan 1-999 power redundancy-mode redundant vlan internal allocation policy ascending ! vlan 2 name FAKE ! vlan 101 name LOC-FON-101 ! vlan 250 name LOC-FON-250 ! interface FastEthernet3/20 description GW-LOC-FON switchport access vlan 250 switchport mode access ! interface FastEthernet3/47 switchport access vlan 101 switchport mode access ! interface Vlan101 description LOC-FON-101 vlan terminator ip address 192.168.1.1 255.255.255.240 ip helper-address 192.168.250.254 no ip redirects no ip unreachables no ip proxy-arp ip dhcp relay information trusted no ip mroute-cache ip policy route-map RM-LOC-FON ! interface Vlan250 description LOC-FON-250 vlan terminator ip address 192.168.250.250 255.255.255.0 no ip redirects no ip unreachables no ip proxy-arp no ip mroute-cache ! interface Vlan4000 description UPLINK default route vlan terminator ip address 10.255.7.1 255.255.255.252 no ip redirects no ip unreachables no ip proxy-arp no ip mroute-cache ! no ip forward-protocol nd no ip forward-protocol udp tftp no ip forward-protocol udp domain no ip forward-protocol udp netbios-ns no ip forward-protocol udp netbios-dgm no ip forward-protocol udp tacacs ip forward-protocol udp bootpc ip forward-protocol udp bootps ! ip route 0.0.0.0 0.0.0.0 10.255.7.2 ip route 10.0.0.0 255.0.0.0 Null0 ip route 172.16.0.0 255.240.0.0 Null0 ip route 192.168.0.0 255.255.0.0 Null0 ! access-list 10 remark AL-LOC-FON access-list 10 permit 192.168.1.0 0.0.0.255 ! route-map RM-LOC-FON permit 10 match ip address 10 set ip next-hop 192.168.250.254 ! ... c4503#sh ip int vlan101 Vlan101 is up, line protocol is up Internet address is 192.168.1.1/28 Broadcast address is 255.255.255.255 Address determined by setup command MTU is 1500 bytes Helper address is 192.168.212.254 Directed broadcast forwarding is disabled Outgoing access list is not set Inbound access list is not set Proxy ARP is disabled Local Proxy ARP is disabled Security level is default Split horizon is enabled ICMP redirects are never sent ICMP unreachables are never sent ICMP mask replies are never sent IP fast switching is enabled IP fast switching on the same interface is disabled IP Flow switching is disabled IP CEF switching is enabled IP CEF Feature Fast switching turbo vector IP multicast fast switching is disabled IP multicast distributed fast switching is disabled IP route-cache flags are Fast, CEF Router Discovery is disabled IP output packet accounting is disabled IP access violation accounting is disabled TCP/IP header compression is disabled RTP/IP header compression is disabled Probe proxy name replies are disabled Policy routing is enabled, using route map RM-LOC-FON Network address translation is disabled WCCP Redirect outbound is disabled WCCP Redirect inbound is disabled WCCP Redirect exclude is disabled BGP Policy Mapping is disabled c4503#sh mac address-table vlan 101 Unicast Entries vlan mac address type protocols port -------+---------------+--------+---------------------+-------------------- 101 000e.3842.33ff static ip,ipx,assigned,other Switch 101 001d.6026.da9b dynamic ip FastEthernet3/47 101 0024.2130.893b dynamic ip FastEthernet3/47 101 0024.2130.8dd6 dynamic ip FastEthernet3/47 Где у меня, кроме головы, проблема? Вроде всё просто должно быть, и иос поддерживает нужные функции. 65 на практически аналогичном конфиге фунциклирует.
  10. Сбер и инфраструктура

    Фото - подделка, различимая невооруженным глазом. От себя - этим банком и его картами пользуюсь давно и не только в роиссе. Без проблем. Да, отношение к прихожанам порой там конское. Но это сильно зависит от отделения, я так думаю... А вообще, вы часто во внутренности банкоматов заглядываете и знаете тонкости их подключения? Согласен, что на подавляющем большинстве из них (не только сбер) - винда в том или ином её проявлении. Ни один банк не застрахован от того, что в один прекрасный момент ляжет всё и везде. Нуачо... Вдруг Гейтс проиграется где-нибудь? Бэкдоры в системах никто не отменял :)
  11. Из сертифицированных ССС юзаем Crusader от 3Logic Вопросов не возникало у проверялок.
  12. А как же периодические тесты большого брата? Они своё не упустят, пальцем погрозят и попросят идти в ногу со временем. А там уж как вы договоритесь с мфи-софт или иным производителем съёмников. Мы пришли к выводу, что на каждый филиал нужен свой съёмник. А это дорого шоппц, зато нет головных болей и сухарей сушёных в суме. Храню сжатый в девятку месячный флов на сервере (терабайта _пока_ хватает) - там же флоувьювер для сиюминутных разборок с хомячками и скриптик для выборки за произвольный период (считаю мало хранения сессий для разбора полётов, нужен именно src-dst расклад по ибоненту). Ещё ни один "орган" от меня не ушёл неудовлетворённым. В начале следующего месяца выкидываю на внешний винт. Стопка терабайтников в сейфе с 2008 года. Сейчас уже в ротацию пошли. Кстати, на просьбы хомячков дать им раскладку по траффику (есть такие деятели - со своей учётной системой неохота заморачиваться, а сотрудников нагнуть за сидение в инете очень хочется или такие, которым везде чудится найопка, и свои потраченные 30 рублей в месяц на безлимите они готовы до милликопейки проверять) - введите в прейскурант "распечатка статистики - 1000 руб/лист" или тому подобное. Нуачо? Ваша обязанность услугу доступа предоставлять, а всё остальное - извините. Но любой каприз за ваши деньги. Почему так дорого? Потому что это титанический труд - искать вашу иголку в стогу сена. В общем, придумайте сами.
  13. Абсолютно все на белых. И никаких проблем с СОРМом.
  14. Нет способов проще. ФСБ не интересуют ваши проблемы. Мы живём в том, где партия велела - комсомол ответил "Есть!". Невыполнение влечёт приостановку с последующим лишением лицензии. Включайте в расходы ежемесячную покупку десятка терабайтников. Писюк на Линуксе с флоутулзом с этим справится. Нескромный вопрос - каким образом у вас план СОРМ реализован на таких нагрузках? Съёмник у вас или с магистралами смогли договориться?
  15. ingress, спасибо. Прочитал, исправил - чот-то появилось на коллекторе, но... В общем, залили c10k2-p11-mz.122-31.SB18.bin Всё поднялось, и порт-чаннел, и флоу. Красота. Пришлось исправлять радиус-навешивание полисей с интерфейса на айпишники. Но, как мне кажется, резалка интерфейса всё же более правильно по отношению к прожорливым хомячкам...