Оборудование для BGP

[Оборудование для BGP]

Благодарю за помощь.

[Оборудование для BGP]

Спасибо! 10 и не нужна. А кто-нибудь использовал под данные цели микротики? Цена у них на несколько порядков ниже.

[Оборудование для BGP]

Всем привет! Уважаемые, посоветуйте железку для BGP.

Имеется 2 провайдера по гигабиту. На подходе оформление AS. Full view не принимаем. Зона тупиковая. BGP чисто под резервирование каналов связи.

Итого 2 канала по гигу во внешку и один гиговый в сеть.

Можно ли использовать для такой цели cisco 3750x или аналоги от huawei? Или нужен именно полноценный роутер. Сервисов никаких не планируется. Средняя загрузка канала сейчас около 500 Мбит/с. Интересуют именно железные решения cisco или huawei.

Буду благодарен за любые советы.

[Посоветуйте оборудование/схему]

Привет всем!

Имеется задача заменить Microsoft ISA на железное решение.

условия:

-поддержка AD

-шейпер (по пользователям/группам пользователей AD)

-NAT

-собственно файервол

-Цена решения не очень критична.

 

Имеется в наличии ASA5510, используемая ранее для VPN. Так как в данном классе оборудования я не спец, то настроить шейпер по policy не получилось (он работал, но не так гибко как требовалось). Завязать ASA и AD с горем пополам получилось через LDAP.

Вопрос собственно в том, какие реализации вообще уместны при данных условиях?

Может посоветуете железку которая все это умеет без "танцев с бубном"?

Есть ли решения, включающие сторонний шейпер до ASA (или иного файера) которое будет работать при данных условиях?

Может подскажете иные схемы реализации?

 

Спасибо за внимание, жду вашей помощи.

[Оборудование CISCO для SSL VPN]

Читаю описание ASA5555:

SSL VPN peers : 2

Маловато. Надо на каждого.

[Оборудование CISCO для SSL VPN]

Всем привет!

Собственно прошу помощи по подбору оборудования CISCO для организации ssl vpn для более 1000 пользователей.

Нужна железка для коннекта с софтовых клиентов из удаленных офисов.

Вопрос встал по причине грядущего переезда с MS ISA на что-то железное.

Что посоветуете? Нужны ли лицензии? Может кто по ценам сориентирует.

Благодарю за внимание.

[не работает eigrp]

Да, вы были правы, интерфейс портов второго уровня лежал...

[не работает eigrp]

Всем спасибо, заработало.

[не работает eigrp]

 

прописал, маршруты с HUB до споков прокидываются, а вот обратно со споков информация о внутренних сетях на HUB не приходит.. в чем может быть дело?

на споках есть только default маршрут 0.0.0.0 0.0.0.0 х.х.х.х и внутренняя подсеть 192.168.х.0.

А можно конфиги глянуть?

И sh ip eigrp 1 neighbors и там и там.

 

HUB:

router eigrp 1

default-metric 100000 1 255 1 1500

network 10.10.10.0 0.0.0.255

network 192.168.1.0

redistribute static route-map REDIST_RMAP

passive-interface default

no passive-interface Tunnel0

 

ip route 0.0.0.0 0.0.0.0 91.230.191.1

ip route 192.168.2.0 255.255.255.0 192.168.1.200

ip route 192.168.3.0 255.255.255.0 192.168.1.200

!

access-list 21 permit 192.168.2.0 0.0.0.255

access-list 21 permit 192.168.3.0 0.0.0.255

!

route-map REDIST_RMAP permit 10

match ip address 21

set tag 21

 

________________________________________________

SPOKE:

router eigrp 1

default-metric 100000 1 255 1 1500

network 10.10.10.0 0.0.0.255

network 192.168.253.0

redistribute static route-map REDIST_RMAP

passive-interface default

no passive-interface Tunnel0

 

__________________________________________

show ip route на HUB:

S* 0.0.0.0/0 [1/0] via 91.230.191.1

10.0.0.0/8 is variably subnetted, 2 subnets, 2 masks

C 10.10.10.0/24 is directly connected, Tunnel0

L 10.10.10.1/32 is directly connected, Tunnel0

91.0.0.0/8 is variably subnetted, 2 subnets, 2 masks

C 91.230.191.0/24 is directly connected, GigabitEthernet0/1

L 91.230.191.18/32 is directly connected, GigabitEthernet0/1

192.168.1.0/24 is variably subnetted, 2 subnets, 2 masks

C 192.168.1.0/24 is directly connected, GigabitEthernet0/0

L 192.168.1.103/32 is directly connected, GigabitEthernet0/0

S 192.168.2.0/24 [1/0] via 192.168.1.200

S 192.168.3.0/24 [1/0] via 192.168.1.200

 

show ip route на SPOKE:

S* 0.0.0.0/0 [1/0] via 91.230.191.1

10.0.0.0/8 is variably subnetted, 2 subnets, 2 masks

C 10.10.10.0/24 is directly connected, Tunnel0

L 10.10.10.2/32 is directly connected, Tunnel0

91.0.0.0/8 is variably subnetted, 2 subnets, 2 masks

C 91.230.191.0/24 is directly connected, FastEthernet4

L 91.230.191.20/32 is directly connected, FastEthernet4

D 192.168.1.0/24 [90/26880256] via 10.10.10.1, 16:56:35, Tunnel0

D EX 192.168.2.0/24 [170/26880256] via 10.10.10.1, 16:56:35, Tunnel0

D EX 192.168.3.0/24 [170/26880256] via 10.10.10.1, 16:56:35, Tunnel0

 

eigrp 1 neighbors на HUB:

EIGRP-IPv4 Neighbors for AS(1)

H Address Interface Hold Uptime SRTT RTO Q

Seq

(sec) (ms) Cnt

Num

0 10.10.10.2 Tu0 14 17:12:18 282 1692 0

3

 

на SPOKE:

EIGRP-IPv4 Neighbors for AS(1)

H Address Interface Hold Uptime SRTT RTO Q Seq

(sec) (ms) Cnt Num

0 10.10.10.1 Tu0 12 17:14:11 32 1374 0 4

 

 

Почему-то сеть 192.168.253.0/24, находящаяся на SPOKE не пробрасывается на HUB. А вот c HUB все прекрасно пробрасывается.

[не работает eigrp]

conf t

router eigrp 1

default-metric 100000 1 255 1 1500

network 10.10.10.0 0.0.0.255

network 192.168.1.0 0.0.0.255

redistribute static route-map Static1

no auto-summary

passive-interface default

no passive-interface Tunnel0

exit

access-list 21 permit 192.168.2.0 0.0.0.255

access-list 21 permit 192.168.3.0 0.0.0.255

 

route-map Static1 permit 10

match ip address 21

set tag 21

 

PS: static и default для EIGRP не одно и то же.

Редистрибьютиться будут только сетки попадающие в access-list.

 

прописал, маршруты с HUB до споков прокидываются, а вот обратно со споков информация о внутренних сетях на HUB не приходит.. в чем может быть дело?

на споках есть только default маршрут 0.0.0.0 0.0.0.0 х.х.х.х и внутренняя подсеть 192.168.х.0.

[не работает eigrp]

если я правильно понял, чтобы не публиковать маршруты по умолчанию нужно прописать следующим образом:

1)

 

conf t

router eigrp 1

redistribute static

default-metric 100000 1 255 1 1500

redistribute static route-map REDIST_RMAP

 

ip prefix-list REDIST_PLIST seq 5 deny 0.0.0.0/0

ip prefix-list REDIST_PLIST seq 10 permit 192.168.2.0/24 le 32

!

route-map REDIST_RMAP permit 10

match ip address prefix-list REDIST_PLIST

 

 

2)

conf t

router eigrp 1

redistribute static metric 100000 1 255 1 1500

 

redistribute static route-map REDIST_RMAP

 

ip prefix-list REDIST_PLIST seq 5 deny 0.0.0.0/0

ip prefix-list REDIST_PLIST seq 10 permit 192.168.254.0/24 le 32

!

route-map REDIST_RMAP permit 10

match ip address prefix-list REDIST_PLIST

 

Я правильно понял?

И еще почему то не прописывается команда no auto-summary - не видится в консоли...

[не работает eigrp]

Можно по-подробнее? Или сошлите в инет.

И все равно не понятно, могут ли существовать и работать одновременно динамический маршрут eigrp 1 network 192.168.2.0 со статическим ip route 192.168.2.0 255.255.255.0 192.168.1.200?

и опять же не понятно почему eigrp не передает network 192.168.2.0.

[не работает eigrp]

Всем привет! Подскажите в чем может быть причина? Настраивал первый раз по мануалам инета.

Поднят DMVPN: Cisco 3940 - центр и 2 Cisco 881 - филиалы.

DMVPN работает.

 

Конфига 3940

***

interface Tunnel0

ip address 10.10.10.1 255.255.255.0

no ip redirects

ip mtu 1416

no ip next-hop-self eigrp 1

no ip split-horizon eigrp 1

ip nhrp authentication ****

ip nhrp map multicast dynamic

ip nhrp network-id 200

tunnel source GigabitEthernet0/1

tunnel mode gre multipoint

tunnel key 200

tunnel path-mtu-discovery

tunnel protection ipsec profile ***********

!

interface GigabitEthernet0/0

description vlan 10

ip address 192.168.1.103 255.255.255.0

duplex auto

speed auto

!

interface GigabitEthernet0/1

description vlan 600

ip address 91.230.191.18 255.255.255.0

duplex auto

speed auto

no cdp enable

!

interface GigabitEthernet0/2

no ip address

shutdown

duplex auto

speed auto

!

interface GigabitEthernet0/3

no ip address

shutdown

duplex auto

speed auto

!

!

router eigrp 1

network 10.10.10.0 0.0.0.255

network 192.168.1.0

network 192.168.2.0

network 192.168.3.0

passive-interface default

no passive-interface Tunnel0

-------

ip route 0.0.0.0 0.0.0.0 91.230.191.1

ip route 192.168.2.0 255.255.255.0 192.168.1.200

__________________________________________________________

 

конфиг одной из 881:

interface Tunnel0

ip address 10.10.10.3 255.255.255.0

no ip redirects

ip mtu 1416

ip nhrp authentication *****

ip nhrp map multicast 91.230.191.18

ip nhrp map 10.10.10.1 91.230.191.18

ip nhrp network-id 200

ip nhrp nhs 10.10.10.1

ip nhrp registration no-unique

tunnel source FastEthernet4

tunnel mode gre multipoint

tunnel key 200

tunnel path-mtu-discovery

tunnel protection ipsec profile *********

!

interface FastEthernet0

!

interface FastEthernet1

!

interface FastEthernet2

!

interface FastEthernet3

!

interface FastEthernet4

description wan

ip address 91.230.191.21 255.255.255.0

duplex auto

speed auto

no cdp enable

!

interface Vlan1

description local_net

ip address 192.168.254.1 255.255.255.0

!

!

router eigrp 1

network 10.10.10.0 0.0.0.255

network 192.168.254.0

passive-interface default

no passive-interface Tunnel0

_______________________________________________________

 

Собственно проблема:

После добавления на корневой маршрутизатор новых сетей в eigrp 1, они не появляются на филиальных маршрутизаторах.

root#show ip rou

root#show ip route

Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP

D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area

N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2

E1 - OSPF external type 1, E2 - OSPF external type 2

i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2

ia - IS-IS inter area, * - candidate default, U - per-user static route

o - ODR, P - periodic downloaded static route, H - NHRP, l - LISP

+ - replicated route, % - next hop override

 

Gateway of last resort is 91.230.191.1 to network 0.0.0.0

 

S* 0.0.0.0/0 [1/0] via 91.230.191.1

10.0.0.0/8 is variably subnetted, 2 subnets, 2 masks

C 10.10.10.0/24 is directly connected, Tunnel0

L 10.10.10.1/32 is directly connected, Tunnel0

91.0.0.0/8 is variably subnetted, 2 subnets, 2 masks

C 91.230.191.0/24 is directly connected, GigabitEthernet0/1

L 91.230.191.18/32 is directly connected, GigabitEthernet0/1

192.168.1.0/24 is variably subnetted, 2 subnets, 2 masks

C 192.168.1.0/24 is directly connected, GigabitEthernet0/0

L 192.168.1.103/32 is directly connected, GigabitEthernet0/0

S 192.168.2.0/24 [1/0] via 192.168.1.200

D 192.168.253.0/24 [90/26882560] via 10.10.10.2, 00:45:41, Tunnel0

D 192.168.254.0/24 [90/26882560] via 10.10.10.3, 00:45:09, Tunnel0

askonavpn#

 

а теперь на 881:

spoke_2#sh ip route

Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP

D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area

N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2

E1 - OSPF external type 1, E2 - OSPF external type 2

i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2

ia - IS-IS inter area, * - candidate default, U - per-user static route

o - ODR, P - periodic downloaded static route, H - NHRP, l - LISP

+ - replicated route, % - next hop override

 

Gateway of last resort is 91.230.191.1 to network 0.0.0.0

 

S* 0.0.0.0/0 [1/0] via 91.230.191.1

10.0.0.0/8 is variably subnetted, 2 subnets, 2 masks

C 10.10.10.0/24 is directly connected, Tunnel0

L 10.10.10.3/32 is directly connected, Tunnel0

91.0.0.0/8 is variably subnetted, 2 subnets, 2 masks

C 91.230.191.0/24 is directly connected, FastEthernet4

L 91.230.191.21/32 is directly connected, FastEthernet4

D 192.168.1.0/24 [90/26880256] via 10.10.10.1, 00:46:43, Tunnel0

D 192.168.253.0/24 [90/28162560] via 10.10.10.2, 00:46:43, Tunnel0

192.168.254.0/24 is variably subnetted, 2 subnets, 2 masks

C 192.168.254.0/24 is directly connected, Vlan1

L 192.168.254.1/32 is directly connected, Vlan1

 

Как видим подсети 192.168.2.0/24 и 192.168.3.0/24 не "пробрасываются".

Внутренняя подсеть филиалов 192.168.253.0, 192.168.254.0 а так же сеть mGRE 10.10.10.0/24 пробросились до применения IPSec.

Как видно, на 3940 присутствует так же статический маршрут.

[catalyst 4506-E]

Первый файл - из network assistant, второй - вебка кошки (extended ping).

Снимок обзора топологии сети. Внутри конфигурации асистанта на данном девайсе нигде этого интерфейся не нашли.

[catalyst 4506-E]

День добрый! Приобрели сей девайс, подключили, логины/пароли забили... вроде все рботает как надо. Однако после добавления в cisco network assistant, наряду с присвоенным адресом vlan-ы, у цыски появился адрес 192.168.1.1. Откуда он взялся не понятно. В конфиге нигде не встречается, в network assistant его тоже не видно.

Supervisor WS-X45-SUP7-E, IOS 15.0. Никто не сталкивался с такой проблемой? Подскажите как его удрать и что это за интерфейс?

[Выбор тестера для оптоволоконной линии.]

Благодарю за ответ!

[Выбор тестера для оптоволоконной линии.]

2 Delphin13

Огромное спасибо за ответ! А на счет вариантов тестеров в первом посте.. что по ним можете сказать? Пустая трата денег? Ведь для эксплуатации волоконной линии тестер всегда будет нужен. Обратные потери думаю измерять действительно особого смысла нет. Я просто ищу решение в пределах 100 т. руб. для тестировании при сварке и дальнейшего обслуживания.

[Выбор тестера для оптоволоконной линии.]

А кто-нибудь юзал рефлектометр Топаз? Отзывы в студию! А то цена доверия не внушает...

[Выбор тестера для оптоволоконной линии.]

Тоесть по вашему мнению все тестеры это полная лажа, а значений прямых и обратных потерь будет не достаточно для оценки качества линии? Рефлектометр обязателен? Мне казалось, что его его применение обосновано лишь для тестирования ответственных магистральных линий или поиске обрывов...

[Выбор тестера для оптоволоконной линии.]

Всем доброго времени суток! Выбираю прибор(ы) для тестирования оптической линии, которую собираемся ложить в ближайшее время (одномодовое волокно, разъемы FC). Максимальная дальность линии - 300 метров. Купили свой сварочный аппарат (имхо сварок больше сотни), и теперь встали перед выбором, чем все это тестировать... Бюджет как всегда подсократили в самый "нужный" момент и денег на рефлектометр теперь хватает ((... Подскажите, кто какими тестерами пользуется (пользовался)? Может посоветуете какой.. Сам на skomplekt.com присматриваюсь к двум вариантам: набор для тестирования ВОЛС(SM) 5680XL и FTK2000 от fluke. Что посоветуете?

[SFP на "коротких" расстояниях]

Спасибо всем за ответы! Все стало намного понятнее. Может кто еще подскажет, реально ли будет поднять транк (на этих SFP) между каталистом 2960 и оборудованием AT ( например x900) ?

[SFP на "коротких" расстояниях]

Расстояние действительно 80 метров.. просто переводим все магистрали на оптику. А ближайший узел именно на таком расстоянии. Если я вас правлильно понял, то все-таки не рекомендуется на таких расстояниях? Быстро модуль сдохнет? Хотелось бы конечно использвать родные оборудованию Cisco. Спасибо за ответы.

[SFP на "коротких" расстояниях]

Всем доброго дня, собираемся использовать Cisco GLC-LH-SM. Минимальная линка - около 80 метров. Собственно вопрос: не будет ло "плохо" модулям, если они расчитаны на работу при расстояниях до 10 км...

И еще парочка вопросов

1) Будут ли эти модули работать в оборудовании AT? (может кто пробовал)

2) В описании модулей указано макс. расстояние с учетом одномодового стекла 9/125... а у нашего фуджикуровского кабеля 10/125.. критично ли это?

Спасибо за внимание.

[Экранировать или нет?]

примерно 250 портов.

[Экранировать или нет?]

Тоесть если я правильно понял, защиты от наводок в неразделанном экране никакой? И разницы соответственно в этом случае между UTP и FTP нет?