stepashka

Я вот такую штуку Cisco NSO щупал в тесте (на 60 дней бесплатно, кажется) Внутри это ansible, но с уже написанными playbook'ами. Очень понравилось, но ценник у ней не гуманный.

А зачем такие сложности? Если у вас 1000 L3 соседей и все они ваши, то гораздо правильнее поступить как-нибудь так: router bgp 65432 bgp router-id 100.127.255.255 bgp log-neighbor-changes bgp listen range 100.127.254.0/23 peer-group OGR-17 neighbor OGR-17 peer-group neighbor OGR-17 remote-as 65432 neighbor OGR-17 transport connection-mode passive neighbor OGR-17 update-source Loopback0 neighbor OGR-17 timers 10 30 ! address-family ipv4 bgp redistribute-internal neighbor OGR-17 activate neighbor OGR-17 route-reflector-client neighbor OGR-17 next-hop-self all пример конфига одного из двух RR, т.о. настраивать соседство нужно только на соседе и вообще это бэд дизайн, только Saab95 знает истинный путь...

1. Вы канал от аплинка получаете эзернетом, поместите в тот же влан эти компьютеры 2. irb 3. Поднимите l2tp-сервер на вашем маршрутизаторе и выдавайте ip-адеса поверх

Если бы вы ещё пояснили что означает "прокинуть"... Самый красивый вариант: "публичный" ip-адрес поднимается на лупбеке конечного хоста, а на маршрутизаторе /32 маршрут в ip-адрес его сетевухи. А если там нормальная ОС, то объявляете его динамически (bird например) и красота получается нереальная... отказоусточивость, миграция и пр. А так вам уже подсказали, берите костыль (nat) и вперед

Блин, вот я лошара сразу на IKEv2 сел и всех своих на него подсадил, а все что ниже 8.1 и android ниже 4.4 отправил на свалку истории... а тут оказывается вон оно как. Надо свой совочек найти и тоже покопаться пока Сааб не пришёл

А если попробовать по l2tp подключить Router проблема сохраняется? ! l2tp-class l2-class-1 hostname unknown ! pseudowire-class pw-class-1 encapsulation l2tpv2 protocol l2tpv2 l2-class-1 ip local interface GigabitEthernet0/1 ! interface Virtual-PPP1 ip address negotiated no ip redirects no ip unreachables no ip proxy-arp ip mtu 1460 ip virtual-reassembly no peer neighbor-route keepalive 10 3 no cdp enable ppp authentication chap callin ppp chap hostname test ppp chap password 0 test pseudowire 192.168.35.73 1 encapsulation l2tpv2 pw-class pw-class-1 ! ip route 192.168.35.73 255.255.255.255 <gw> И обязательно добавить /32 маршрут до l2tp сервера через Gi0/1, так как после подъёма туннеля, у вас появляется новый дефолт в туннель с лучшим приоритетом, кмк

213.33.162.14 - это ip-адрес из пула или интерфейс самого маршрутизатора?

Посмотрите на cisco nexus N3K-C3048TP Умеют vPC, относительно привычное управление.

С ними всё так, однако до того момента пока что-то пойдет не так. А вот потом начинается поход в неизвестность с непредсказуемым поведением control plane. Это моё личное мнение и только касательно stackwise. Например, со stackwise480 (cat 3850), пока не выявилось никаких странностей и оно работает.

Если у вас правильнонастроенный stackwise (т.е. приоритеты и пр.), то примерно 8-10 секунд. И, как правило, соседство IGP падает и переустанавливается. Но по негативному опыту использования cisco-стеков, для ядра лучше 2 standalone коммутатора

Пользователь создаётся точно так же, как и для любого другого доступа. Нюанс кроется в деталях: (config)#authentication line ? console Console line vty Vty line web Web line т.е. в вашем случае необходимо что-то типа: (config)#authentication line web login local

Раз тут пошла такая тема за странности, то спрошу: появился странный входящий трафик к web-серверам, летит только SYN ip-адреса разные 178.175.140.41:10003 185.25.116.56:10003 185.25.116.96:10003 213.155.22.171:10003 213.155.22.172:10003 213.155.22.174:10003 37.187.241.40:10003 5.196.13.22:10003 5.196.17.28:10003 78.47.114.218:10003 78.47.143.166:10003 78.47.148.220:10003 78.47.196.106:10003 78.47.247.204:10003 88.198.106.154:10003 88.198.181.168:10003 88.198.247.140:10003 92.222.30.35:10003 92.222.30.36:10003 92.222.30.37:10003 92.222.30.39:10003 но вот исходящий порт всегда неизменный 10003. Что это такое?

Вы это, определитесь или default или ip routing

brocade очень гордился своим проприетарным механизмом для per-packet load balancing, но на практике не сталкивался.

А если сделать clear arp <ip address>?

Но лупбэков там все равно нет. Брал, кажется, тута: asa921-smp-k8.bin Но видел ещё и вот тут:

myst, а какая такая у вас ASA? Я вот посмотрел: ASA(config)# route ? configure mode commands/options: Current available interface(s): <skip> Null0 Null interface <skip> ASA# sh ver Cisco Adaptive Security Appliance Software Version 9.2(1) Оно даже роутить умеет (по крайней мере обещает): ASA(config)# router ? configure mode commands/options: bgp Border Gateway Protocol (BGP) eigrp Enhanced Interior Gateway Routing Protocol (EIGRP) ospf Open Shortest Path First (OSPF) rip Routing Information Protocol (RIP) ASA(config)# router bgp ? configure mode commands/options: <1-4294967295> Autonomous system number <1.0-XX.YY> Autonomous system number

konst37, с клиента попингуйте что-нибудь отвечающее с запретом фрагментации и на основании результатов скорректируете mtu/mss

sunrise333. в каком именно месте вашего конфига есть: ?

Который никто и никогда не купит, ибо хлам. Если убрать нолик из ценника, я бы взял... хоть и хлам.

Приветствую. Если коммутатор (show ver с него покажите) только L2, то ip-интерфейсы терминируйте на роутере (router-on-the-stick). На коммутаторе: interface GigabitEthernet0/1 description connection to router switchport trunk allow vlan 2-10 switchport trunk native vlan 1 switchport mode trunk На маршрутизаторе: interface GigabitEthernet1/0 no ip address no shutdown interface GigabitEthernet1/0.1 encapsulation dot1Q 1 native ip address x.x.x.x interface GigabitEthernet1/0.2 encapsulation dot1Q 2 ip address a.a.a.a interface GigabitEthernet1/0.3 encapsulation dot1Q 3 ip address b.b.b.b interface GigabitEthernet1/0.4 encapsulation dot1Q 4 ip address c.c.c.c и так далее. Если коммутатор L3, то ip-адреса терминируйте на нем, а на линке между ним и роутером поднимаете L3 и IGP по-выбору.

Предложивший этот вариант человек имеет вполне заслуженную репутацию на этом форуме.

Уважаемый, использование чужих адресов как минимум не красиво с инженерной точки зрения, а уж с практической да ещё и для корпоратов, может иметь печальные последствия. А ну как клиент "A" возжелает почту отправить своим коллегам/друзьям/клиентам в Америке? И как я Ренди Бушу буду объяснять, как такая фигня получилась? И отмазки типа: "Saab95 посоветовал"? Или: "Это же микротик!" Боюсь не поймут.

Это, кхм, именно они, "внутренние". Цель пиринга - обеспечение связности, уменьшение задержек, снижение совокупной "стоимости" трафика. Это мое вольное определение. (: Способы могут быть разные. В данном случае цель - продать L3-услугу, с минимальными затратами, лучше вообще без них. По условиям, есть клиент "A" с сетью 192.168.0.0/16 и есть клиент "B" с точно такой же сетью 192.168.0.0/16. Они хотят ходить друг к другу. Согласовать в ними какую-нибудь сеть для ната из rfc1918 нельзя. Тратить свои "белые" адреса для ната не разумно, использовать что-то типа 1.0.0.0/15 ... ну не красиво как-то (да и Австралию с Китаем обижать не хочется, хоть и приватно-виртуально). Есть rfc6598, описывающий использование 100.64.0.0/10 сервис провайдерами для CGN. Вот я и решил поинтересоваться, решал ли кто-нибудь похожую задачу похожим способом.

И? Не могли бы вы более развернуто пояснить вашу мысль?