DemonS

Рекомендую Altova XML Spy в инете есть рабочий 2008 enterprise. Удобный.

Вот интересную статью нашел.

Думаете, циска ищет в основной таблице вместо vrf? (172.16.100.5 читать, как 192.168.0.5, спалил все таки ip-шки...) Сделал так же. Заработало. Всем спасибо!

Добавлю. включил debug ip packet. Jul 11 08:03:13.057: RADIUS: Retransmit to (192.168.0.5:1814,1815) for id 1645/10 Jul 11 08:03:13.057: IP: s=0.0.0.0 (local), d=192.168.0.5, len 119, local feature, Local Clustering(8), rtype 0, forus FALSE, sendself FALSE, mtu 0, fwdchk FALSE Jul 11 08:03:13.057: IP: s=0.0.0.0 (local), d=192.168.0.5, len 119, unroutable Написано unroutable. Почему? c4948#sho ip route Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2 i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2 ia - IS-IS inter area, * - candidate default, U - per-user static route o - ODR, P - periodic downloaded static route Gateway of last resort is not set c4948#sho ip route vr c4948#sho ip route vrf MGMT Routing Table: MGMT Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2 i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2 ia - IS-IS inter area, * - candidate default, U - per-user static route o - ODR, P - periodic downloaded static route Gateway of last resort is not set 192.168.0/23 is subnetted, 1 subnets C 192.168.0.0 is directly connected, Vlan100 c4948#

К сожалению, указание vrf ничего не меняет. Тоже самое.   А на тех портах у меня другой инстанс радиуса висит. Кстати, по умолчанию циска ипользует порты 1645, 1646.

Конфиг сети. Влан100, в нем сидит радиус-сервер (192.168.0.5) и линк на циску (192.168.0.12). ip циски находится в vrf MGMT. c4948#show version c4948#ping vrf MGMT 192.168.0.5 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 192.168.0.5, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/1 ms c4948#sho running-config brief При сохранении конфига - на тфтп он сохраняется, доступ через ssh есть. При попытке авторизации ("debug radius"): Никаких пакетов при этом на 192.168.0.5 не прилетает. Подскажите, уважаемые гуру, в чем может быть дело?

Кому логи nfqfilter занимают много места и не архивируются, и Вы не знаете что делать, приведите раздел logging конфига nfqfilter.ini в такой вид [logging] loggers.root.level = information ;loggers.root.level = debug loggers.root.channel = fileChannel channels.fileChannel.class = FileChannel channels.fileChannel.path = /var/log/nfqfilter.log channels.fileChannel.rotation = 1 M channels.fileChannel.archive = number channels.fileChannel.compress = true channels.fileChannel.purgeAge = 7 days channels.fileChannel.formatter.class = PatternFormatter channels.fileChannel.formatter.pattern = %Y-%m-%d %H:%M:%S.%i [%P] %p %s - %t channels.fileChannel.formatter.times = local инфа 146%, найдено тут

можно брасы подружить по оспф и кидать рст одному из них. А с нат сервером действительно херня какая-то, не должен он менять порты в пакете, вероятно Вы попадаете в какую-то трансляцию. Попробуйте исключить из natа пакеты, которые шлете с фильтра.Nat prerouting & postrouting вот это все.

Может Вам сделать влан, где будет по ип каждого шлюза, и один сендер. Тогда Вы сможете слать рст кратчайшим путем.

Установил dev-версию, заработало, спасибо. Время обработки упало с 39 минут до 2,5 минут.

Коллеги, у меня тоже самое. Стянута свежая версия скрипта с гита. В чем может быть проблема? Повторные запуски дают тоже самое. Впечатление, что не вся xml c ответом отдается. А вот почему не вся? Update: Сам себе и отвечу. Включил уровень логирования DEBUG и внезапно пришел ответ. Далее по ошибкам доустановил еще XML::SAX и XML::Parser. кажется, заработало))

Как именно? Нашел распиновку этого разъема (9-пин), там +,-,питание,земля. Взял обычную флешку на 16 гиг силикон-повер, соответственно соединил. перегрузился - флешка увиделась. Попробовал поставить систему. Фокус в том, что 12-я версия не поставилась, сказала, что она не может сделать разбивку флешки на разделы. Поставил 11-ю, она смогла сделать разбивку, а потом проапгрейдился на нужную. Затем купили в "sales@academ-complect.ru" модули "SSD EUSB 4GB AF4GSSGH-AABXP" которые и поставили в джунипер. Заодно прикупили оперативки пару планок на замену, если вдруг память откажет. Где-то у поредставителя apacer в москве, т.к. больше такой памяти нигде не нашлось. Пишите, если нужны подробности.   Может, лицензии доустановить надо? Я с таким не сталкивался. Может дело в версии джунос. Слаба б-гу, мы с таким не сталкивались, как-то беспроблемно настроилось. Установили систему, добавили лицензий, залили конфиг и в продакшн.

Я когда-то еще 1.7 версию скачивал себе, посмотреть-поковырять. Так и не поставил. Посмотрел исходный код, там php+postresql, мне понравился. Бизнес логика реализована в процедурах и триггерах БД. Это круто. Но больше не занимался им.

А NAT там, похоже, есть. Только как это конфигурить все - надо читать исходники.

Понял, спасибо.

Доброго времени суток, коллеги! Собственно, "Возможен ли апгрейд WS-C4948E-S до WS-C4948E-E" ? Нужен vrf-lite, а он есть только в enterprise image. Хочется взять ip base, да поднять до ip enterprise. Попутно: - как понять какой образ нужен? - как понять, что системные требования выполняются и образ зальется и будет функционален? - какова версия SUP? Благодарен всем откликнувшимся.

Вариант 1. Берете карбон редуктор. на него зеркалите днс трафик. в карбоне используете модуль dnsmatch. Подсовываете список доменов, которые надо подменять, а в настройках указываете адрес, на который надо подменять. Запускаете и радуетесь. )) Вариант 2. Попробуйте заюзать RPZ bind.

Если будет именно так, то это однозначно большой плюс. Обновление с версии 7 на версию 8 интересно будет платное или нет? Восьмерку уже сейчас спокойно можно скачать и установить себе на сервер. Бесплатно. Стоит уже более года на quard core q9300 + 2 GB Оперативки + i82576сетевая. Трафика исходящего завернутого на нее в среднем 42Мб/с, максимум - 112 Мб/с. Лоад аверейдж в среднем 0.1, в пиках 1.12. Пропускает, судя по ревизору 0-20 ссылок. Машинка вообще не потеет даже.

А почему никто не поинтересовался, что за сервис нам ТС готовит? А? ТС, что Вы нам готовите?

Остановился на vrf + тоннели + статические роуты. Конечно, кажется несколько избыточным использование тоннелей, но без них не работает. Сдается мне, что "роут-репликейт" тоже не заработает. Спасибо всем откликнувшимся, тему можно закрывать.

Да именно балансировка. В качеству брасов - писюки. Два браса шейпят белые ип, третий - серый ип + нат. Про нее не знал. Попробую покурить мануалы. Пока с тонелями бьюсь.

У Вас два vrf, а в случае 4 vrf Вы будете делать 4*3 петлей ? Вам нужно будет тогда использовать 24 порта! Так что туннели самое то и работают без проблем. ЗЫ OSPF не пробовал, сразу удовлетворился статикой. Не вижу в нем смысла, т.к набор сетей известен и постоянен. В случае изменений сетей - маршруты легко правятся (набор туннелей не меняться). Да, я согласен, придется статикой. Хотелось красоты динамической))Петля хороша на 2 vrf, у меня их 3. Уже некрасиво)) Портов, конечно, 48 - должно хватить, но скорость петли - 1Г всего. Тоннели скоростью, наверное, не ограничены. Спасибо на помощь!

Сделал петлю. прописал статикой маршруты - все доступно, все хорошо.Попробовал оспф поднять (redistribute connected subnets), а передается маршрут только лупбека. Что-то не так. Получается, что при unnumbered интерфейсах только статика работает. Собственно, Nik0n об этом и написал уже.

Схема является скриншотом окошка браузера, подключенного к виртуальной машине с unetlab. Очень клевая штука.

Спасибо! Буду пробовать, потом отпишусь. Я несколько удивлен, что нужно городить еще тунелей вагончик)) Локалка нужна, ибо провайдерские сервисы "ДНС", "ИПТВ" и т.п. должны быть доступны абонентам.