ilili

mtputty, можно хорошо организовать нужные списки оборудования   Корпоративную политику придумывают и винду к ней ))

Есть такая фишка в энтерпрайзе - обязательно на границе сетей ставить ASA.

Судя по Вашим ответам - подойдет HSRP. Резервировать вы что хотите, еще раз спрошу ? Пропадание аплинка или ip sla(т.е. качество канала) или отказ маршрутизатора (физическое выключение) ? Продумайте вариант резервирования, дальше уже понятней будет и вам и нам, как действовать.

Я почему спрашиваю, если вы используете предыдущий asr тупо как роутер, то можно поставить второй и попробовать схему HSRP/VRRP, это как раз технологии резервирования маршрутизатора. Но, в случае использования функций DHCP на самом asr - я бы перенес эту функцию на отдельный сервер (и его тоже зарезервировал), прописав на каждом роутере либо свой ip hepler, либо сразу два, но тогда надо мутить балансировку на самих серверах.

Кроме DHCP и шлюза для всех сетей, какие еще технологии используете при эксплуатации 1002 ?

MAESTROHANTER, Начинайте тренироваться сегодня. Потому как завтра будет поздно.

А еще мы каждый день выбираем случайного абонента и дропаем ему UDP. Выбираем с помощью волчка, как в передаче "Что?Где?Когда?" уууиииххахах - сегодня у нас абонент с л/с №ххххххх, дежурная смена выбирает действие: зашумить ему линию, дропать udp через одного, подать статику в линию или поменять местами уровни модели OSI. Действие выбрано. Ожидаемая реакция достигнута - жёппа абонента в огне, ожидание при звонке в саппорт достигает критических 5 минут. Выбран самый тупой техник второй линии с единственным ответом "а вы пробовали выключить и включить?". Абонент не унывает и скидывает нотариально заверенные скриншоты MTR на почту саппорта, которые никто никогда не читает. Мультиплеер рейд проигран, замок взят, потеряны тонны голды, а количество выстрелов мимо кассы скидывает абонента ниже плинтуса в таблице оленеметра. Следующим вечером злобные админы продолжат свой тухлый эксперимент. Игра только началась.

у меня на asr1002 долго не заводилось, перебирал IOS`ы и завелось на версии asr1000rp1-advipservices.03.13.02.S.154-3.S2-ext.bin

Что-то подозрительно )

Это да. Поэтому, надо расслабиться и попытаться получить удовольствие ))

По-поводу микротика и вообще любых других устройств: кто оставляет менеджмент открытым для внешки, даже запароленный, тот сам и дурак. Тут не в микротике дело. p.s. скрипт бы этот посмотреть )

Для начала, на интерфейсе, который смотрит в сторону провайдера надо прописать новый IP адрес, который вам выдали. А потом уже с помощью dst-nat разрулите проброс портов с указанием src addr/port и dst addr/port. Ну и src-nat тоже нужно будет еще один добавить. Еще, как вариант, вам могли прописать новую /30 (если так провайдер выдает) за старой

Была похожая проблема, когда свитч был недоступен для удаленного управления. И да, как выше сказали, проблема именно в STP. У нас тогда "перепутался" рут с выносом и на проблемном свитче, магистральные порты были Desg для влана управления.

А мы то с утра гадали, что за всплески были, логи все переворошили уже

А я разве просил что-то мне рассказывать ? :-D p.s. и что такое "админ локалхоста" ?

"Специалисты" уже кому-то предлагают ленточные хранилища под это дело )))

Сбор - nfcapd Просмотр - nfdump [edit] А, пардон, тут GUI просят ))

Понимаю, что времени прошло очень много, но как-то раз решение было найдено :) В сквиде нет необходимости использовать опцию tproxy, как это делал я, достаточно http_port $ip:3129 intercept $ip это адрес интерфейса, который слушает squid Ну и в iptables /sbin/iptables -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu /sbin/iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to 3129 /sbin/iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE --random Где eth1 является выходным интерфейсом. Не знаю, пригодится это кому или нет, пусть будет.

Мужчины, подскажите по ACL ДЛинка: DGS3200-10 - раньше скорость резал на порту клиента и на аплинке по влану следующим образом create access_profile profile_id 40 ip destination_ip_mask 0.0.0.0 config access_profile profile_id 40 add access_id 1 ip destination_ip 0.0.0.0 port 1 permit priority 1 replace_priority replace_dscp 10 rx_rate 8000 create access_profile profile_id 41 ip vlan destination_ip_mask 0.0.0.0 config access_profile profile_id 41 add access_id 1 ip vlan 2291 destination_ip 0.0.0.0 port 10 permit rx_rate 8000 Сейчас есть новый коммутатор DGS-1510-28X/ME, каким образом на нем можно реализовать подобное? Функционал с rx_rate там недоступен. Как я понял, этот функционал теперь в flow_meter ? Будут ли верны следующие правила ? create access_profile profile_id 40 ip destination_ip_mask 0.0.0.0 config access_profile profile_id 40 add access_id 1 ip destination_ip 0.0.0.0 port 1 permit priority 1 replace_priority replace_dscp 10 create access_profile profile_id 41 ip vlan destination_ip_mask 0.0.0.0 config access_profile profile_id 41 add access_id 1 ip vlan_id 2291 destination_ip 0.0.0.0 port 28 permit config flow_meter profile_id 40 access_id 1 sr_tcm cir 8000 cbs 12000 ebs 24000 color_blind conform permit exceed permit violate drop counter enable config flow_meter profile_id 41 access_id 1 sr_tcm cir 8000 cbs 12000 ebs 24000 color_blind conform permit exceed permit violate drop counter enable

asr1000rp2-adventerprisek9.03.12.02.s.154-2.s2-std.bin есть

По опыту эксплуатации Хуавея SoftX-3000, могу сказать, что при покупке нам обещали возможность расширения станции (внешние номера), а потом ЧПОНЬК и станция больше не поддерживается. Я такие сюрпризы, сунул-вынул, мягко говоря.

QoS ACL есть ?

ssh на какой-нибудь другой порт перенесите, пусть дальше вслепую щупают )

Почему плохая? Сеть изолированная, vty закрыт по ACL. Или по каким-то другим соображениям ?