SCRoll

Благодарю за помощь.

Спасибо! 10 и не нужна. А кто-нибудь использовал под данные цели микротики? Цена у них на несколько порядков ниже.

Всем привет! Уважаемые, посоветуйте железку для BGP. Имеется 2 провайдера по гигабиту. На подходе оформление AS. Full view не принимаем. Зона тупиковая. BGP чисто под резервирование каналов связи. Итого 2 канала по гигу во внешку и один гиговый в сеть. Можно ли использовать для такой цели cisco 3750x или аналоги от huawei? Или нужен именно полноценный роутер. Сервисов никаких не планируется. Средняя загрузка канала сейчас около 500 Мбит/с. Интересуют именно железные решения cisco или huawei. Буду благодарен за любые советы.

Привет всем! Имеется задача заменить Microsoft ISA на железное решение. условия: -поддержка AD -шейпер (по пользователям/группам пользователей AD) -NAT -собственно файервол -Цена решения не очень критична. Имеется в наличии ASA5510, используемая ранее для VPN. Так как в данном классе оборудования я не спец, то настроить шейпер по policy не получилось (он работал, но не так гибко как требовалось). Завязать ASA и AD с горем пополам получилось через LDAP. Вопрос собственно в том, какие реализации вообще уместны при данных условиях? Может посоветуете железку которая все это умеет без "танцев с бубном"? Есть ли решения, включающие сторонний шейпер до ASA (или иного файера) которое будет работать при данных условиях? Может подскажете иные схемы реализации? Спасибо за внимание, жду вашей помощи.

Читаю описание ASA5555: SSL VPN peers : 2 Маловато. Надо на каждого.

Всем привет! Собственно прошу помощи по подбору оборудования CISCO для организации ssl vpn для более 1000 пользователей. Нужна железка для коннекта с софтовых клиентов из удаленных офисов. Вопрос встал по причине грядущего переезда с MS ISA на что-то железное. Что посоветуете? Нужны ли лицензии? Может кто по ценам сориентирует. Благодарю за внимание.

Да, вы были правы, интерфейс портов второго уровня лежал...

Всем спасибо, заработало.

А можно конфиги глянуть? И sh ip eigrp 1 neighbors и там и там. HUB: router eigrp 1 default-metric 100000 1 255 1 1500 network 10.10.10.0 0.0.0.255 network 192.168.1.0 redistribute static route-map REDIST_RMAP passive-interface default no passive-interface Tunnel0 ip route 0.0.0.0 0.0.0.0 91.230.191.1 ip route 192.168.2.0 255.255.255.0 192.168.1.200 ip route 192.168.3.0 255.255.255.0 192.168.1.200 ! access-list 21 permit 192.168.2.0 0.0.0.255 access-list 21 permit 192.168.3.0 0.0.0.255 ! route-map REDIST_RMAP permit 10 match ip address 21 set tag 21 ________________________________________________ SPOKE: router eigrp 1 default-metric 100000 1 255 1 1500 network 10.10.10.0 0.0.0.255 network 192.168.253.0 redistribute static route-map REDIST_RMAP passive-interface default no passive-interface Tunnel0 __________________________________________ show ip route на HUB: S* 0.0.0.0/0 [1/0] via 91.230.191.1 10.0.0.0/8 is variably subnetted, 2 subnets, 2 masks C 10.10.10.0/24 is directly connected, Tunnel0 L 10.10.10.1/32 is directly connected, Tunnel0 91.0.0.0/8 is variably subnetted, 2 subnets, 2 masks C 91.230.191.0/24 is directly connected, GigabitEthernet0/1 L 91.230.191.18/32 is directly connected, GigabitEthernet0/1 192.168.1.0/24 is variably subnetted, 2 subnets, 2 masks C 192.168.1.0/24 is directly connected, GigabitEthernet0/0 L 192.168.1.103/32 is directly connected, GigabitEthernet0/0 S 192.168.2.0/24 [1/0] via 192.168.1.200 S 192.168.3.0/24 [1/0] via 192.168.1.200 show ip route на SPOKE: S* 0.0.0.0/0 [1/0] via 91.230.191.1 10.0.0.0/8 is variably subnetted, 2 subnets, 2 masks C 10.10.10.0/24 is directly connected, Tunnel0 L 10.10.10.2/32 is directly connected, Tunnel0 91.0.0.0/8 is variably subnetted, 2 subnets, 2 masks C 91.230.191.0/24 is directly connected, FastEthernet4 L 91.230.191.20/32 is directly connected, FastEthernet4 D 192.168.1.0/24 [90/26880256] via 10.10.10.1, 16:56:35, Tunnel0 D EX 192.168.2.0/24 [170/26880256] via 10.10.10.1, 16:56:35, Tunnel0 D EX 192.168.3.0/24 [170/26880256] via 10.10.10.1, 16:56:35, Tunnel0 eigrp 1 neighbors на HUB: EIGRP-IPv4 Neighbors for AS(1) H Address Interface Hold Uptime SRTT RTO Q Seq (sec) (ms) Cnt Num 0 10.10.10.2 Tu0 14 17:12:18 282 1692 0 3 на SPOKE: EIGRP-IPv4 Neighbors for AS(1) H Address Interface Hold Uptime SRTT RTO Q Seq (sec) (ms) Cnt Num 0 10.10.10.1 Tu0 12 17:14:11 32 1374 0 4 Почему-то сеть 192.168.253.0/24, находящаяся на SPOKE не пробрасывается на HUB. А вот c HUB все прекрасно пробрасывается.

прописал, маршруты с HUB до споков прокидываются, а вот обратно со споков информация о внутренних сетях на HUB не приходит.. в чем может быть дело? на споках есть только default маршрут 0.0.0.0 0.0.0.0 х.х.х.х и внутренняя подсеть 192.168.х.0.

если я правильно понял, чтобы не публиковать маршруты по умолчанию нужно прописать следующим образом: 1) conf t router eigrp 1 redistribute static default-metric 100000 1 255 1 1500 redistribute static route-map REDIST_RMAP ip prefix-list REDIST_PLIST seq 5 deny 0.0.0.0/0 ip prefix-list REDIST_PLIST seq 10 permit 192.168.2.0/24 le 32 ! route-map REDIST_RMAP permit 10 match ip address prefix-list REDIST_PLIST 2) conf t router eigrp 1 redistribute static metric 100000 1 255 1 1500 redistribute static route-map REDIST_RMAP ip prefix-list REDIST_PLIST seq 5 deny 0.0.0.0/0 ip prefix-list REDIST_PLIST seq 10 permit 192.168.254.0/24 le 32 ! route-map REDIST_RMAP permit 10 match ip address prefix-list REDIST_PLIST Я правильно понял? И еще почему то не прописывается команда no auto-summary - не видится в консоли...

Можно по-подробнее? Или сошлите в инет. И все равно не понятно, могут ли существовать и работать одновременно динамический маршрут eigrp 1 network 192.168.2.0 со статическим ip route 192.168.2.0 255.255.255.0 192.168.1.200? и опять же не понятно почему eigrp не передает network 192.168.2.0.

Всем привет! Подскажите в чем может быть причина? Настраивал первый раз по мануалам инета. Поднят DMVPN: Cisco 3940 - центр и 2 Cisco 881 - филиалы. DMVPN работает. Конфига 3940 *** interface Tunnel0 ip address 10.10.10.1 255.255.255.0 no ip redirects ip mtu 1416 no ip next-hop-self eigrp 1 no ip split-horizon eigrp 1 ip nhrp authentication **** ip nhrp map multicast dynamic ip nhrp network-id 200 tunnel source GigabitEthernet0/1 tunnel mode gre multipoint tunnel key 200 tunnel path-mtu-discovery tunnel protection ipsec profile *********** ! interface GigabitEthernet0/0 description vlan 10 ip address 192.168.1.103 255.255.255.0 duplex auto speed auto ! interface GigabitEthernet0/1 description vlan 600 ip address 91.230.191.18 255.255.255.0 duplex auto speed auto no cdp enable ! interface GigabitEthernet0/2 no ip address shutdown duplex auto speed auto ! interface GigabitEthernet0/3 no ip address shutdown duplex auto speed auto ! ! router eigrp 1 network 10.10.10.0 0.0.0.255 network 192.168.1.0 network 192.168.2.0 network 192.168.3.0 passive-interface default no passive-interface Tunnel0 ------- ip route 0.0.0.0 0.0.0.0 91.230.191.1 ip route 192.168.2.0 255.255.255.0 192.168.1.200 __________________________________________________________ конфиг одной из 881: interface Tunnel0 ip address 10.10.10.3 255.255.255.0 no ip redirects ip mtu 1416 ip nhrp authentication ***** ip nhrp map multicast 91.230.191.18 ip nhrp map 10.10.10.1 91.230.191.18 ip nhrp network-id 200 ip nhrp nhs 10.10.10.1 ip nhrp registration no-unique tunnel source FastEthernet4 tunnel mode gre multipoint tunnel key 200 tunnel path-mtu-discovery tunnel protection ipsec profile ********* ! interface FastEthernet0 ! interface FastEthernet1 ! interface FastEthernet2 ! interface FastEthernet3 ! interface FastEthernet4 description wan ip address 91.230.191.21 255.255.255.0 duplex auto speed auto no cdp enable ! interface Vlan1 description local_net ip address 192.168.254.1 255.255.255.0 ! ! router eigrp 1 network 10.10.10.0 0.0.0.255 network 192.168.254.0 passive-interface default no passive-interface Tunnel0 _______________________________________________________ Собственно проблема: После добавления на корневой маршрутизатор новых сетей в eigrp 1, они не появляются на филиальных маршрутизаторах. root#show ip rou root#show ip route Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2 i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2 ia - IS-IS inter area, * - candidate default, U - per-user static route o - ODR, P - periodic downloaded static route, H - NHRP, l - LISP + - replicated route, % - next hop override Gateway of last resort is 91.230.191.1 to network 0.0.0.0 S* 0.0.0.0/0 [1/0] via 91.230.191.1 10.0.0.0/8 is variably subnetted, 2 subnets, 2 masks C 10.10.10.0/24 is directly connected, Tunnel0 L 10.10.10.1/32 is directly connected, Tunnel0 91.0.0.0/8 is variably subnetted, 2 subnets, 2 masks C 91.230.191.0/24 is directly connected, GigabitEthernet0/1 L 91.230.191.18/32 is directly connected, GigabitEthernet0/1 192.168.1.0/24 is variably subnetted, 2 subnets, 2 masks C 192.168.1.0/24 is directly connected, GigabitEthernet0/0 L 192.168.1.103/32 is directly connected, GigabitEthernet0/0 S 192.168.2.0/24 [1/0] via 192.168.1.200 D 192.168.253.0/24 [90/26882560] via 10.10.10.2, 00:45:41, Tunnel0 D 192.168.254.0/24 [90/26882560] via 10.10.10.3, 00:45:09, Tunnel0 askonavpn# а теперь на 881: spoke_2#sh ip route Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2 i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2 ia - IS-IS inter area, * - candidate default, U - per-user static route o - ODR, P - periodic downloaded static route, H - NHRP, l - LISP + - replicated route, % - next hop override Gateway of last resort is 91.230.191.1 to network 0.0.0.0 S* 0.0.0.0/0 [1/0] via 91.230.191.1 10.0.0.0/8 is variably subnetted, 2 subnets, 2 masks C 10.10.10.0/24 is directly connected, Tunnel0 L 10.10.10.3/32 is directly connected, Tunnel0 91.0.0.0/8 is variably subnetted, 2 subnets, 2 masks C 91.230.191.0/24 is directly connected, FastEthernet4 L 91.230.191.21/32 is directly connected, FastEthernet4 D 192.168.1.0/24 [90/26880256] via 10.10.10.1, 00:46:43, Tunnel0 D 192.168.253.0/24 [90/28162560] via 10.10.10.2, 00:46:43, Tunnel0 192.168.254.0/24 is variably subnetted, 2 subnets, 2 masks C 192.168.254.0/24 is directly connected, Vlan1 L 192.168.254.1/32 is directly connected, Vlan1 Как видим подсети 192.168.2.0/24 и 192.168.3.0/24 не "пробрасываются". Внутренняя подсеть филиалов 192.168.253.0, 192.168.254.0 а так же сеть mGRE 10.10.10.0/24 пробросились до применения IPSec. Как видно, на 3940 присутствует так же статический маршрут.

Первый файл - из network assistant, второй - вебка кошки (extended ping). Снимок обзора топологии сети. Внутри конфигурации асистанта на данном девайсе нигде этого интерфейся не нашли.

День добрый! Приобрели сей девайс, подключили, логины/пароли забили... вроде все рботает как надо. Однако после добавления в cisco network assistant, наряду с присвоенным адресом vlan-ы, у цыски появился адрес 192.168.1.1. Откуда он взялся не понятно. В конфиге нигде не встречается, в network assistant его тоже не видно. Supervisor WS-X45-SUP7-E, IOS 15.0. Никто не сталкивался с такой проблемой? Подскажите как его удрать и что это за интерфейс?