Jump to content
Калькуляторы

SCRoll

Пользователи
  • Content Count

    29
  • Joined

  • Last visited

Everything posted by SCRoll


  1. Всем привет! Уважаемые, посоветуйте железку для BGP. Имеется 2 провайдера по гигабиту. На подходе оформление AS. Full view не принимаем. Зона тупиковая. BGP чисто под резервирование каналов связи. Итого 2 канала по гигу во внешку и один гиговый в сеть. Можно ли использовать для такой цели cisco 3750x или аналоги от huawei? Или нужен именно полноценный роутер. Сервисов никаких не планируется. Средняя загрузка канала сейчас около 500 Мбит/с. Интересуют именно железные решения cisco или huawei. Буду благодарен за любые советы.
  2. Спасибо! 10 и не нужна. А кто-нибудь использовал под данные цели микротики? Цена у них на несколько порядков ниже.
  3. Привет всем! Имеется задача заменить Microsoft ISA на железное решение. условия: -поддержка AD -шейпер (по пользователям/группам пользователей AD) -NAT -собственно файервол -Цена решения не очень критична. Имеется в наличии ASA5510, используемая ранее для VPN. Так как в данном классе оборудования я не спец, то настроить шейпер по policy не получилось (он работал, но не так гибко как требовалось). Завязать ASA и AD с горем пополам получилось через LDAP. Вопрос собственно в том, какие реализации вообще уместны при данных условиях? Может посоветуете железку которая все это умеет без "танцев с бубном"? Есть ли решения, включающие сторонний шейпер до ASA (или иного файера) которое будет работать при данных условиях? Может подскажете иные схемы реализации? Спасибо за внимание, жду вашей помощи.
  4. Всем привет! Собственно прошу помощи по подбору оборудования CISCO для организации ssl vpn для более 1000 пользователей. Нужна железка для коннекта с софтовых клиентов из удаленных офисов. Вопрос встал по причине грядущего переезда с MS ISA на что-то железное. Что посоветуете? Нужны ли лицензии? Может кто по ценам сориентирует. Благодарю за внимание.
  5. Читаю описание ASA5555: SSL VPN peers : 2 Маловато. Надо на каждого.
  6. Всем привет! Подскажите в чем может быть причина? Настраивал первый раз по мануалам инета. Поднят DMVPN: Cisco 3940 - центр и 2 Cisco 881 - филиалы. DMVPN работает. Конфига 3940 *** interface Tunnel0 ip address 10.10.10.1 255.255.255.0 no ip redirects ip mtu 1416 no ip next-hop-self eigrp 1 no ip split-horizon eigrp 1 ip nhrp authentication **** ip nhrp map multicast dynamic ip nhrp network-id 200 tunnel source GigabitEthernet0/1 tunnel mode gre multipoint tunnel key 200 tunnel path-mtu-discovery tunnel protection ipsec profile *********** ! interface GigabitEthernet0/0 description vlan 10 ip address 192.168.1.103 255.255.255.0 duplex auto speed auto ! interface GigabitEthernet0/1 description vlan 600 ip address 91.230.191.18 255.255.255.0 duplex auto speed auto no cdp enable ! interface GigabitEthernet0/2 no ip address shutdown duplex auto speed auto ! interface GigabitEthernet0/3 no ip address shutdown duplex auto speed auto ! ! router eigrp 1 network 10.10.10.0 0.0.0.255 network 192.168.1.0 network 192.168.2.0 network 192.168.3.0 passive-interface default no passive-interface Tunnel0 ------- ip route 0.0.0.0 0.0.0.0 91.230.191.1 ip route 192.168.2.0 255.255.255.0 192.168.1.200 __________________________________________________________ конфиг одной из 881: interface Tunnel0 ip address 10.10.10.3 255.255.255.0 no ip redirects ip mtu 1416 ip nhrp authentication ***** ip nhrp map multicast 91.230.191.18 ip nhrp map 10.10.10.1 91.230.191.18 ip nhrp network-id 200 ip nhrp nhs 10.10.10.1 ip nhrp registration no-unique tunnel source FastEthernet4 tunnel mode gre multipoint tunnel key 200 tunnel path-mtu-discovery tunnel protection ipsec profile ********* ! interface FastEthernet0 ! interface FastEthernet1 ! interface FastEthernet2 ! interface FastEthernet3 ! interface FastEthernet4 description wan ip address 91.230.191.21 255.255.255.0 duplex auto speed auto no cdp enable ! interface Vlan1 description local_net ip address 192.168.254.1 255.255.255.0 ! ! router eigrp 1 network 10.10.10.0 0.0.0.255 network 192.168.254.0 passive-interface default no passive-interface Tunnel0 _______________________________________________________ Собственно проблема: После добавления на корневой маршрутизатор новых сетей в eigrp 1, они не появляются на филиальных маршрутизаторах. root#show ip rou root#show ip route Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2 i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2 ia - IS-IS inter area, * - candidate default, U - per-user static route o - ODR, P - periodic downloaded static route, H - NHRP, l - LISP + - replicated route, % - next hop override Gateway of last resort is 91.230.191.1 to network 0.0.0.0 S* 0.0.0.0/0 [1/0] via 91.230.191.1 10.0.0.0/8 is variably subnetted, 2 subnets, 2 masks C 10.10.10.0/24 is directly connected, Tunnel0 L 10.10.10.1/32 is directly connected, Tunnel0 91.0.0.0/8 is variably subnetted, 2 subnets, 2 masks C 91.230.191.0/24 is directly connected, GigabitEthernet0/1 L 91.230.191.18/32 is directly connected, GigabitEthernet0/1 192.168.1.0/24 is variably subnetted, 2 subnets, 2 masks C 192.168.1.0/24 is directly connected, GigabitEthernet0/0 L 192.168.1.103/32 is directly connected, GigabitEthernet0/0 S 192.168.2.0/24 [1/0] via 192.168.1.200 D 192.168.253.0/24 [90/26882560] via 10.10.10.2, 00:45:41, Tunnel0 D 192.168.254.0/24 [90/26882560] via 10.10.10.3, 00:45:09, Tunnel0 askonavpn# а теперь на 881: spoke_2#sh ip route Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2 i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2 ia - IS-IS inter area, * - candidate default, U - per-user static route o - ODR, P - periodic downloaded static route, H - NHRP, l - LISP + - replicated route, % - next hop override Gateway of last resort is 91.230.191.1 to network 0.0.0.0 S* 0.0.0.0/0 [1/0] via 91.230.191.1 10.0.0.0/8 is variably subnetted, 2 subnets, 2 masks C 10.10.10.0/24 is directly connected, Tunnel0 L 10.10.10.3/32 is directly connected, Tunnel0 91.0.0.0/8 is variably subnetted, 2 subnets, 2 masks C 91.230.191.0/24 is directly connected, FastEthernet4 L 91.230.191.21/32 is directly connected, FastEthernet4 D 192.168.1.0/24 [90/26880256] via 10.10.10.1, 00:46:43, Tunnel0 D 192.168.253.0/24 [90/28162560] via 10.10.10.2, 00:46:43, Tunnel0 192.168.254.0/24 is variably subnetted, 2 subnets, 2 masks C 192.168.254.0/24 is directly connected, Vlan1 L 192.168.254.1/32 is directly connected, Vlan1 Как видим подсети 192.168.2.0/24 и 192.168.3.0/24 не "пробрасываются". Внутренняя подсеть филиалов 192.168.253.0, 192.168.254.0 а так же сеть mGRE 10.10.10.0/24 пробросились до применения IPSec. Как видно, на 3940 присутствует так же статический маршрут.
  7. Да, вы были правы, интерфейс портов второго уровня лежал...
  8. А можно конфиги глянуть? И sh ip eigrp 1 neighbors и там и там. HUB: router eigrp 1 default-metric 100000 1 255 1 1500 network 10.10.10.0 0.0.0.255 network 192.168.1.0 redistribute static route-map REDIST_RMAP passive-interface default no passive-interface Tunnel0 ip route 0.0.0.0 0.0.0.0 91.230.191.1 ip route 192.168.2.0 255.255.255.0 192.168.1.200 ip route 192.168.3.0 255.255.255.0 192.168.1.200 ! access-list 21 permit 192.168.2.0 0.0.0.255 access-list 21 permit 192.168.3.0 0.0.0.255 ! route-map REDIST_RMAP permit 10 match ip address 21 set tag 21 ________________________________________________ SPOKE: router eigrp 1 default-metric 100000 1 255 1 1500 network 10.10.10.0 0.0.0.255 network 192.168.253.0 redistribute static route-map REDIST_RMAP passive-interface default no passive-interface Tunnel0 __________________________________________ show ip route на HUB: S* 0.0.0.0/0 [1/0] via 91.230.191.1 10.0.0.0/8 is variably subnetted, 2 subnets, 2 masks C 10.10.10.0/24 is directly connected, Tunnel0 L 10.10.10.1/32 is directly connected, Tunnel0 91.0.0.0/8 is variably subnetted, 2 subnets, 2 masks C 91.230.191.0/24 is directly connected, GigabitEthernet0/1 L 91.230.191.18/32 is directly connected, GigabitEthernet0/1 192.168.1.0/24 is variably subnetted, 2 subnets, 2 masks C 192.168.1.0/24 is directly connected, GigabitEthernet0/0 L 192.168.1.103/32 is directly connected, GigabitEthernet0/0 S 192.168.2.0/24 [1/0] via 192.168.1.200 S 192.168.3.0/24 [1/0] via 192.168.1.200 show ip route на SPOKE: S* 0.0.0.0/0 [1/0] via 91.230.191.1 10.0.0.0/8 is variably subnetted, 2 subnets, 2 masks C 10.10.10.0/24 is directly connected, Tunnel0 L 10.10.10.2/32 is directly connected, Tunnel0 91.0.0.0/8 is variably subnetted, 2 subnets, 2 masks C 91.230.191.0/24 is directly connected, FastEthernet4 L 91.230.191.20/32 is directly connected, FastEthernet4 D 192.168.1.0/24 [90/26880256] via 10.10.10.1, 16:56:35, Tunnel0 D EX 192.168.2.0/24 [170/26880256] via 10.10.10.1, 16:56:35, Tunnel0 D EX 192.168.3.0/24 [170/26880256] via 10.10.10.1, 16:56:35, Tunnel0 eigrp 1 neighbors на HUB: EIGRP-IPv4 Neighbors for AS(1) H Address Interface Hold Uptime SRTT RTO Q Seq (sec) (ms) Cnt Num 0 10.10.10.2 Tu0 14 17:12:18 282 1692 0 3 на SPOKE: EIGRP-IPv4 Neighbors for AS(1) H Address Interface Hold Uptime SRTT RTO Q Seq (sec) (ms) Cnt Num 0 10.10.10.1 Tu0 12 17:14:11 32 1374 0 4 Почему-то сеть 192.168.253.0/24, находящаяся на SPOKE не пробрасывается на HUB. А вот c HUB все прекрасно пробрасывается.
  9. прописал, маршруты с HUB до споков прокидываются, а вот обратно со споков информация о внутренних сетях на HUB не приходит.. в чем может быть дело? на споках есть только default маршрут 0.0.0.0 0.0.0.0 х.х.х.х и внутренняя подсеть 192.168.х.0.
  10. если я правильно понял, чтобы не публиковать маршруты по умолчанию нужно прописать следующим образом: 1) conf t router eigrp 1 redistribute static default-metric 100000 1 255 1 1500 redistribute static route-map REDIST_RMAP ip prefix-list REDIST_PLIST seq 5 deny 0.0.0.0/0 ip prefix-list REDIST_PLIST seq 10 permit 192.168.2.0/24 le 32 ! route-map REDIST_RMAP permit 10 match ip address prefix-list REDIST_PLIST 2) conf t router eigrp 1 redistribute static metric 100000 1 255 1 1500 redistribute static route-map REDIST_RMAP ip prefix-list REDIST_PLIST seq 5 deny 0.0.0.0/0 ip prefix-list REDIST_PLIST seq 10 permit 192.168.254.0/24 le 32 ! route-map REDIST_RMAP permit 10 match ip address prefix-list REDIST_PLIST Я правильно понял? И еще почему то не прописывается команда no auto-summary - не видится в консоли...
  11. Можно по-подробнее? Или сошлите в инет. И все равно не понятно, могут ли существовать и работать одновременно динамический маршрут eigrp 1 network 192.168.2.0 со статическим ip route 192.168.2.0 255.255.255.0 192.168.1.200? и опять же не понятно почему eigrp не передает network 192.168.2.0.
  12. День добрый! Приобрели сей девайс, подключили, логины/пароли забили... вроде все рботает как надо. Однако после добавления в cisco network assistant, наряду с присвоенным адресом vlan-ы, у цыски появился адрес 192.168.1.1. Откуда он взялся не понятно. В конфиге нигде не встречается, в network assistant его тоже не видно. Supervisor WS-X45-SUP7-E, IOS 15.0. Никто не сталкивался с такой проблемой? Подскажите как его удрать и что это за интерфейс?
  13. Первый файл - из network assistant, второй - вебка кошки (extended ping). Снимок обзора топологии сети. Внутри конфигурации асистанта на данном девайсе нигде этого интерфейся не нашли.
  14. Всем доброго времени суток! Выбираю прибор(ы) для тестирования оптической линии, которую собираемся ложить в ближайшее время (одномодовое волокно, разъемы FC). Максимальная дальность линии - 300 метров. Купили свой сварочный аппарат (имхо сварок больше сотни), и теперь встали перед выбором, чем все это тестировать... Бюджет как всегда подсократили в самый "нужный" момент и денег на рефлектометр теперь хватает ((... Подскажите, кто какими тестерами пользуется (пользовался)? Может посоветуете какой.. Сам на skomplekt.com присматриваюсь к двум вариантам: набор для тестирования ВОЛС(SM) 5680XL и FTK2000 от fluke. Что посоветуете?
  15. 2 Delphin13 Огромное спасибо за ответ! А на счет вариантов тестеров в первом посте.. что по ним можете сказать? Пустая трата денег? Ведь для эксплуатации волоконной линии тестер всегда будет нужен. Обратные потери думаю измерять действительно особого смысла нет. Я просто ищу решение в пределах 100 т. руб. для тестировании при сварке и дальнейшего обслуживания.
  16. А кто-нибудь юзал рефлектометр Топаз? Отзывы в студию! А то цена доверия не внушает...
  17. Тоесть по вашему мнению все тестеры это полная лажа, а значений прямых и обратных потерь будет не достаточно для оценки качества линии? Рефлектометр обязателен? Мне казалось, что его его применение обосновано лишь для тестирования ответственных магистральных линий или поиске обрывов...
  18. Всем доброго дня, собираемся использовать Cisco GLC-LH-SM. Минимальная линка - около 80 метров. Собственно вопрос: не будет ло "плохо" модулям, если они расчитаны на работу при расстояниях до 10 км... И еще парочка вопросов 1) Будут ли эти модули работать в оборудовании AT? (может кто пробовал) 2) В описании модулей указано макс. расстояние с учетом одномодового стекла 9/125... а у нашего фуджикуровского кабеля 10/125.. критично ли это? Спасибо за внимание.
  19. Спасибо всем за ответы! Все стало намного понятнее. Может кто еще подскажет, реально ли будет поднять транк (на этих SFP) между каталистом 2960 и оборудованием AT ( например x900) ?
  20. Расстояние действительно 80 метров.. просто переводим все магистрали на оптику. А ближайший узел именно на таком расстоянии. Если я вас правлильно понял, то все-таки не рекомендуется на таких расстояниях? Быстро модуль сдохнет? Хотелось бы конечно использвать родные оборудованию Cisco. Спасибо за ответы.
  21. Добрый день! Для нового офиса нашей компании проектирую сеть и столкнулся вот с какой проблеммой выбора: FTP или UTP? Раньше покупали всегда FTP 5e (типа защита от наводок и т.п.) хотя разводилось все на не экранированные патч-панели. Если кабель проложен в одном коробе (как обычно у всех и есть) с электропроводкой (обычные розетки 220), стоит ли брать FTP? Сам вообще смотрю в сторону категории 6 (с запасом на будущее)... опять же встает вопрос - экранированный или нет выбирать. Интересно узнать каким кабелем у вас СКС построена? Если вообще смысл брать экранку и обязательно ли ее заземлять?