Доброе время суток!

Есть Cisco Catalyst 4948E на которой созданы vlan 1, vlan 130, vlan 230 и ряд
других vlan. И есть cisco WS-C3750G-48TS на которой создан vlan 224. Между собой
они соединены транком. Обе cisco видят vlan-ы друг-друга в своих таблицах vlan-ов.

На cisco WS-C3750G-48TS делаю access-овский порт с vlan 130 и подключаю ПК с ip-
адресом 130 влана. Этот ПК не пингует ничего.
Если же поменять vlan на этом порту на vlan 1 или vlan 224, то ПК с ip-адресом
этих вланов пингует все как надо.

Вопрос: Как сделать, чтобы ПК подключенный к порту cisco WS-C3750G-48TS с vlan 130
(и соответственно с ip-адресом 130 влана) пинговал ip-адрес сомого vlan 130
созданного на Cisco Catalyst 4948E?

Конфиги Cisco Catalyst 4948E и cisco WS-C3750G-48TS прикрепляю ниже...

Конфиг Cisco Catalyst 4948E (10.55.222.30)

version 15.2
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
service compress-config
service sequence-numbers
!
hostname CiscoWS4948E
!
boot-start-marker
boot-end-marker
!
!
vrf definition mgmtVrf
!
address-family ipv4
exit-address-family
address-family ipv6
exit-address-family
!
enable secret 5 $1$UI.Q$s8FXJ2d56

username adm privilege 15 secret 5 $1$fHki$j2RqYy

no aaa new-model
!
!
ip domain-name domen.local
ip dhcp snooping vlan 1-4094
ip dhcp excluded-address 10.55.230.20
ip dhcp excluded-address 10.55.230.2
!
ip dhcp pool WIFI
network 10.55.230.0 255.255.255.0
default-router 10.55.230.1
option 43 hex 0104.c0a8.fa21
dns-server 10.55.250.6
!
ip dhcp pool VL130
network 10.55.130.0 255.255.255.0
default-router 10.55.130.1
!
!
!
!
!
power redundancy-mode redundant
!
mac access-list extended BLOCK-MAC-WIFI
permit any host e006.e611.7f57
archive
log config
  hidekeys
path tftp://10.55.250.2/4948_core/$H-$T.conf
write-memory
time-period 1440
!
spanning-tree mode pvst
spanning-tree extend system-id
no spanning-tree vlan 1,98
!
vlan internal allocation policy ascending
!
vlan 3327
name MATERIK

interface FastEthernet1
vrf forwarding mgmtVrf
no ip address
speed auto
duplex auto
!
interface GigabitEthernet1/1
description Aej@O qdek`m !!!
switchport access vlan 250
switchport mode access
!
interface GigabitEthernet1/2
switchport access vlan 240
!

!
interface GigabitEthernet1/39
description TRUNK-Cisco3750
switchport mode trunk
!
interface GigabitEthernet1/40
spanning-tree portfast
!
interface GigabitEthernet1/41
switchport access vlan 250
duplex full
spanning-tree portfast
!
interface GigabitEthernet1/42
switchport access vlan 250
duplex full
spanning-tree portfast
!
interface GigabitEthernet1/43

interface Vlan1
ip address 10.55.222.30 255.255.254.0
!
interface Vlan130
ip address 10.55.130.1 255.255.255.0
ip helper-address 10.55.130.1
!
interface Vlan230
ip address 10.55.230.1 255.255.255.0
ip helper-address 10.55.230.1
!
interface Vlan240
description MAN
ip address 10.55.240.1 255.255.255.0
!
interface Vlan250
description S
ip address 10.55.250.1 255.255.255.0
ip directed-broadcast
!
ip http server
ip http authentication local
no ip http secure-server
ip forward-protocol nd
!
ip route 0.0.0.0 0.0.0.0 10.55.200.2
ip route 10.55.0.0 255.255.255.0 10.55.222.10
ip route 10.55.224.0 255.255.255.0 10.55.222.153

ip ssh version 2
!
ip access-list extended vlan1_in
ip access-list extended vlan_in
!
!
route-map MAP_TO_ASA permit 10
match ip address TO_ASA
set ip default next-hop 10.55.200.2
!
snmp-server community pub RO
!
!
!
end

----------------------------------------------------

Конфиг Cisco3750 (10.55.222.153)

version 12.2
no service pad
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname Cisco3750_48
!
boot-start-marker
boot-end-marker
!
enable secret 5 $1$eFn2$6RFljpRicOI
!
username adm privilege 15 secret 5 $1$eAU9$nvuknZEjnc9
no aaa new-model
clock timezone UTC 4
switch 3 provision ws-c3750g-48ts
system mtu routing 1500
ip subnet-zero
ip routing
ip domain-name domen.local
no ip dhcp use vrf connected
ip dhcp excluded-address 10.55.224.1 10.55.224.50
!
ip dhcp pool 4_LOCAL
   network 10.55.224.0 255.255.255.0
   default-router 10.55.224.1
   domain-name domen.local
   dns-server 10.55.222.17 10.55.250.6
!
!
!
password encryption aes
!
crypto pki trustpoint TP-self-signed-3251
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-3251
revocation-check none
rsakeypair TP-self-signed-3251
!
crypto pki certificate chain TP-self-signed-3251
certificate self-signed 01
  30820257 308201C0 A0030201 02020101 300D0609 2A864886 F70D0101 04050030
  8B6B87C9 162072AE C4C8B5A6 BB86730F 72DD6209 31181CEA 6D8335
  quit
!
spanning-tree mode pvst
no spanning-tree optimize bpdu transmission
spanning-tree extend system-id
no spanning-tree vlan 1
!
vlan internal allocation policy ascending
lldp run
!
ip ssh version 2
!
!
!
interface GigabitEthernet3/0/1
description TRUNK-ciscoWS4948E
switchport trunk encapsulation dot1q
switchport mode trunk
!
interface GigabitEthernet3/0/2
switchport access vlan 224
!
interface GigabitEthernet3/0/31
description VLAN130
switchport access vlan 130
switchport mode access
!
interface GigabitEthernet3/0/38
switchport access vlan 230
switchport mode access
!
!
interface Vlan1
ip address 10.55.222.153 255.255.255.0
!
interface Vlan224
description ***Sklad4_Internal***
ip address 10.55.224.1 255.255.255.0
!
ip classless
ip forward-protocol udp bootpc
ip forward-protocol udp bootps
ip route 0.0.0.0 0.0.0.0 10.55.222.30
ip route 10.55.70.0 255.255.255.0 10.55.222.30
ip route 10.55.231.0 255.255.255.0 10.55.224.3
ip route 10.55.238.0 255.255.255.224 10.55.224.42
ip route 10.55.250.0 255.255.255.0 10.55.222.30
ip http server
ip http authentication local
ip http secure-server
!
!
snmp-server community pub RO
!
control-plane
banner motd ^CC

!
end

Где-то чего-то в конфигах не хватает, а где и чего понять не могу.

Cisco сброшен на заводские настройки, имеет конфигурацию:
!
ip dhcp pool WEBUIPool
network 192.168.1.0 255.255.255.0
default-router 192.168.1.1

username admin privilege 15 password 0 default
!
interface gig 0/0/1
ip address 192.168.1.1 255.255.255.0
!
Router(config)# ip http server
Router(config)# ip http authentication local
при попитке зайти на http://192.168.1.1/webui, видает ошибку

"При соединении с 192.168.1.1 произошла ошибка.
Установка защищённого соединения с этим узлом не удалась: отсутствуют общие алгоритм(ы) шифрования.
(Код ошибки: ssl_error_no_cypher_overlap)"

Добрый день, имеется оптический сетевой терминал (ONT настроена бриджом) к неи подключена циска 1941, наблюдается низкая скорость интернета, имено входящяя. Через ОНТ скорость 80 МБ/с с циски 10-40 МБ/с. Прошу помощи наити проблему.  версия прошивки  Version 15.4(3)M4.

Конфиг:

Current configuration : 3979 bytes
!
! Last configuration change at 10:31:56 ORA Thu Dec 22 2022 by admin
! NVRAM config last updated at 09:44:59 ORA Thu Dec 22 2022 by admin
!
version 15.4
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname KazCM
!
boot-start-marker
boot-end-marker
!
logging buffered 512000 errors
no logging console
enable secret 5 $1$THIP$TsY9CSaRig8VydOzvTS69.
!
aaa new-model
!
aaa session-id common
clock timezone ORA 5 0
clock calendar-valid
!
ip domain name Kaz
ip name-server 8.8.8.8
ip name-server 192.168.0.10
ip multicast-routing
ip cef
login block-for 3600 attempts 5 within 60
login delay 10
no ipv6 cef
!
multilink bundle-name authenticated
!
cts logging verbose
!
license udi pid CISCO1941/K9 sn FCZ184294U8
license accept end user agreement
license boot module c1900 technology-package securityk9
license boot module c1900 technology-package datak9
!
username admin privilege 15 secret 5 $1$rqwr$htMIzuPCVor
!
redundancy
!
interface Embedded-Service-Engine0/0
no ip address
shutdown
!
interface GigabitEthernet0/0
ip address xxx.204.231.82 255.255.255.252
no ip redirects
no ip unreachables
no ip proxy-arp
ip flow ingress
ip nat outside
ip nat enable
ip virtual-reassembly in
ip route-cache policy
duplex full
speed auto
no cdp enable
!
interface GigabitEthernet0/1
no ip address
ip nat inside
ip nat enable
ip virtual-reassembly in
duplex auto
speed auto
!
interface GigabitEthernet0/1.100
description localaya set'
encapsulation dot1Q 100
ip address 192.168.0.2 255.255.255.0
ip helper-address 192.168.0.10
ip pim sparse-mode
ip nat inside
ip nat enable
ip virtual-reassembly in
!
interface GigabitEthernet0/1.102
description WiFi'
encapsulation dot1Q 102
ip address 192.168.2.1 255.255.255.0
ip helper-address 192.168.0.10
ip pim sparse-mode
ip nat inside
ip nat enable
ip virtual-reassembly in
shutdown
!
interface GigabitEthernet0/1.105
description VideoCam'
encapsulation dot1Q 105
ip address 192.168.5.1 255.255.255.0
ip pim sparse-mode
ip nat inside
ip nat enable
ip virtual-reassembly in
shutdown
!
ip forward-protocol nd
!
no ip http server
no ip http secure-server
!
ip nat source list NAT interface GigabitEthernet0/0 overload
ip route 0.0.0.0 0.0.0.0 xxx.204.231.81
ip ssh port 2345 rotary 1
!
ip access-list extended NAT
permit ip 192.168.0.0 0.0.0.255 any
deny   ip any any
ip access-list extended SSHACL
permit tcp any any eq 2345
!
control-plane
!
line con 0
exec-timeout 0 0
password 7 107C071D06251707030
line aux 0
line 2
no activation-character
no exec
transport preferred none
transport output pad telnet rlogin lapb-ta mop udptn v120 ssh
stopbits 1
line vty 0 4
access-class SSHACL in
exec-timeout 60 0
password 7 13371916083E01262425
rotary 1
transport input ssh
line vty 5 15
access-class SSHACL in
rotary 1
transport input ssh
!
scheduler allocate 20000 1000
ntp master 2
ntp update-calendar
ntp server 1.pool.ntp.org minpoll 10 source GigabitEthernet0/0
ntp server ntp1.stratum1.ru source GigabitEthernet0/0
ntp server ntp1.stratum2.ru source GigabitEthernet0/0
!
end

Процессор загружен от 7 до 40 процентов прыгает.
sh proc cpu | exclude 0.00
CPU utilization for five seconds: 35%/17%; one minute: 23%; five minutes: 26%
PID Runtime(ms)     Invoked      uSecs   5Sec   1Min   5Min TTY Process
   3       10508        8011       1311  1.19%  0.35%  0.29% 132 SSH Process
  32      141032     1058754        133  0.07%  0.08%  0.07%   0 ARP Input
  91        6768      160674         42  0.07%  0.04%  0.02%   0 Per-Second Jobs
121       15156     2495138          6  0.07%  0.04%  0.06%   0 VRRS Main thread
163       16556     4934346          3  0.07%  0.06%  0.07%   0 IPAM Manager
167    22909416    26833347        853 16.07%  9.95% 11.63%   0 IP Input
189       84776    19588340          4  0.31%  0.27%  0.29%   0 Ethernet Msec Ti
306       15260     2495138          6  0.07%  0.06%  0.07%   0 MMA DB TIMER
322       14860     2495137          5  0.07%  0.05%  0.07%   0 PERFMON ASYNC TI
418       23404     1723422         13  0.07%  0.03%  0.02%   0 IGMP Input
427       30804     7819196          3  0.07%  0.11%  0.11%   0 MFIB_mrib_write

Параметры интерфейса в сторну провайдера
GigabitEthernet0/0 is up, line protocol is up
  Hardware is CN Gigabit Ethernet, address is 58f3.9cfe.6d40 (bia 58f3.9cfe.6d40)
  Internet address is 88.204.231.82/30
  MTU 1500 bytes, BW 1000000 Kbit/sec, DLY 10 usec,
     reliability 255/255, txload 1/255, rxload 2/255
  Encapsulation ARPA, loopback not set
  Keepalive set (10 sec)
  Full Duplex, 1Gbps, media type is RJ45
  output flow-control is unsupported, input flow-control is unsupported
  ARP type: ARPA, ARP Timeout 04:00:00
  Last input 00:00:00, output 00:00:00, output hang never
  Last clearing of "show interface" counters 19:20:51
  Input queue: 0/75/0/1243686 (size/max/drops/flushes); Total output drops: 0
  Queueing strategy: fifo
  Output queue: 0/40 (size/max)
  5 minute input rate 8035000 bits/sec, 1090 packets/sec
  5 minute output rate 6060000 bits/sec, 812 packets/sec
     26933691 packets input, 2038203606 bytes, 22 no buffer
     Received 217 broadcasts (0 IP multicasts)
     0 runts, 0 giants, 2 throttles
     13 input errors, 0 CRC, 0 frame, 13 overrun, 0 ignored
     0 watchdog, 0 multicast, 0 pause input
     19286718 packets output, 658651083 bytes, 0 underruns
     0 output errors, 0 collisions, 0 interface resets
     159 unknown protocol drops
     0 babbles, 0 late collision, 0 deferred
     0 lost carrier, 0 no carrier, 0 pause output
     0 output buffer failures, 0 output buffers swapped out

При настройке черед браузер (подключив к роутеру) не сохраняет внесенные параметры, только включение Radio0-802.11G, но он как бы включен и в то же время не включается.
Подключил через консоль, не могу войти, просит пароль который не возможно внести.

Доброго дня Уважаемые!

Есть два микрота в интернете: 1.1.1.1 и 2.2.2.2
Между ними подняли L2TP + IPSec туннель. После этого пропал доступ с 1.1.1.1 к внешним сервисам 2.2.2.2 (25, 143, 465 и т.п. порты). Как будто всё что идёт на 2.2.2.2 пытается завернуться в туннель. Подскажите как это решить?

Здравствуйте, есть  2950 при входе запрашивала полько пароль (без имени). Захотелось это исправить с помощью команд:
li vty 0 4
login local
li co 0
login local

Вот после этого я не могу зайти..... имя то я не знаю(((( в листинге нет записи "username", пароль знаю.
Просматривали стары листинг , там сточка есть пароль вводили но увы и ах...(((
Скажите, это все? Только сброс конфигурации через консольный кабель? Куда делась сточка "username"??

Уважаемые, добрый день!

Подскажите пожалуйста, как действовать и как диагностировать нерегулярную и не очень понятную проблему, которая заключается в следующем:

Есть к примеру обычный офис, с пограничным микротом. Все в инет выходят обычным натом. Канал 100Мбит, пользователей порядка 100, белый ИП.

И сталкивался несколько раз (раз 5 за полгода) с ситуацией, когда пользователи не могли войти в СБИС. Диагностирую, узел online.sbis.ru - недоступен (и ping, и tracert, и telnet на 443 порт).
Для верности проверяю с другого провайдера (с домашнего интернета) - ресурс доступен. Звоню провайдеру, который в офисе - описываю проблему, они там чего-то мычат, что типа интернет работает и всё такое, а он действительно работает кроме доступа на online.sbis.ru. И в итоге - я просто делаю отдельный маршрут до этого адреса через резервный канал интернета - и так сидим.
Маршрутизатор я в процессе решения - пробовал перегружать, никаких изменений не было.

Что характерно, с этим sbis'ом потом он снова (через продолжительное время) выдал такие же проблемы (будучи пущенным маршрутом через резерв), я убрал маршрут, и он через основного провайдера пошёл нормально работать снова. Потом ситуация повторялась с периодичностью больше месяца.

Так вот на другом объекте возникла похожая проблема с каким-то тоже посторонним ресурсом, но там проявлялась таким образом, что потери до этого ресурса были порядка 50%. На следующий день все симптомы пропали. Сам ресурс у других его пользователей работал исправно, имеется в виду с других сетей и других провайдеров. Также другие ресурсы интернет работали без проблем с этого провайдера.

Так вот у меня вопрос: С чем такие неясные проблемы могут быть связаны, как диагностировать на чьей стороне эта проблема и что делать чтобы их решить?

Добрый день.

Друзья помогите разобраться как сделать:

1. Со стороны офиса есть 2 микротика (R1 и R2) между ними настроен vrrp.

У R1 внешний статический IP адрес
У R2 внешний динамический IP адрес (LTE)

2. Со стороны облачного решения настроен WireGuard сервер (Debian), так же имеет внешний статический IP адрес.

3. На микротиках настроен WireGuard в сторону сервера, по отдельности все работает (т.е. отдельно R1 с сервером и отдельно R2 с сервером) при условии что на сервере используется конфигурация только с одним Peer или R1 или R2.

Вот проблема, по сути за микротиками R1 и R2 локальные подсети 192.168.168.0/24 - vlan168 и 192.168.170.0/24 - vlan170 здесь vrrp отрабатывает как надо в случае падения R1 переключается на R2 и обратно, когда R1 восстанавливается, но как быть с подключением R1 и R2 к WireGuard серверу одновременно с одними и теми же подсетями?

На сервере можно указать несколько peers в конфигурационном файле, но вроде как логично что указывать в разных peers одинаковые AllowedIPs (в моем случае это: 192.168.168.0/24 и 192.168.170.0/24) не получится, я пробовал запускать, но WireGuard перезаписывал конфигурацию убирая у одного из peer-а одинаковые AllowedIPs.

В общем мне надо как-то сделать, чтобы при срабатывании vrrp также переподнимался тунель с облаком....

Спасибо!

Добрый день

давно использую manageengine netflow analyzer. Собирал данные с нескольких Cisco 2911
конфигурация везде одинакова:
ip flow-cache timeout active 1
ip flow-export source bla_bla_interface
ip flow-export version 5
ip flow-export destination адрес порт

теперь появилось несколько Huawei AR6280 с конфигурацией
ip netstream timeout active 1
ip netstream timeout inactive 15
ip netstream export source loopback_ip_address
ip netstream export host адрес порт

бросилось в глаза, что трафик с Huawei не правдоподобно маленький
снимаю данные о трафике с нескольких ключевых маршрутизаторов и есть место где между Cisco и Huawei есть точка-точка прямой канал по оптике 100Мбит, т.е. по сути IN одного маршрутизатора это OUT другого и наоборот, картинки с обоих за конкретное время прямо одинаковы, НО данные с Huawei в 100 раз меньше чем с Cisco

поставил на коллекторе Wireshark и посмотрел пакеты с обоих  - все стандартно, протокол CFLOW, версия 5, поля идентичные, размер данных передаются количеством октетов, с той лишь разницей, что с Cisco приходят пакеты с одинаковым количеством PDU - 30 шт, а с Huawei в пакете может быть 18,12 в общем разное количество PDU

никаких режимов agregation на Huawei не включено, шлет ту же инфу что и Cisco в октетах

Как такое может быть? Ни кто не сталкивался? Куда копать?

Здравствуйте!
Помогите с маркировкой трафика на свитче Cisco.
На свитче несколько портов объединены в VLAN 800 и к ним подключены ПК.
Задача - весь исходящий трафик от этих клиентов маркировать некоторым определенным маркером для дальнейшей приоритезации на роутере в случае, если трафик уходит наружу.

Свитч - WS-C3750V2-24PS с залитым C3750-IPSERVICESK9-M Version 15.0(2)SE6

Пробую решить задачу пока для одного конкретного порта/клиента так:

mls qos
!
access-list 101 permit ip host 10.165.100.2 any
!
class-map match-all SWM_TEST_OUT_CLASS
  match access-group 101
!
policy-map SWM_TEST_OUT_POLICY
class SWM_TEST_OUT_CLASS
   set dscp cs2
class class-default
   set dscp default
!
interface FastEthernet1/0/1
  switchport access vlan 800
  switchport mode access
  spanning-tree portfast
  service-policy input SWM_TEST_OUT_POLICY

не работает...
sh int fa1/0/1 - счетчик трафика входящего прирастает
sh policy-map int fa1/0/1 - политика не отрабатывает. Счетчик трафика в обоих классах и SWM_TEST_OUT_CLASS и class-default - по нулям.

Пробовал повесить политику на int vl 800, предварительно указав на порту fa1/0/1 mls qos vlan-based - результат тот же...

В какую сторону смотреть?

День добрый.

Хотел уточнить такой вопрос. У меня есть точка доступа WatchGuard AP420 (Model C-130).
Знаю, что у Mojo и Aruba тоже есть модель С-130 и внешне один в один похожы.
Можно ли как-то менять прошивку с одной фирмы на другую?

Спасибо.

Доброе время суток всем!

Дома стоит у меня микрот, фаервол настраивал давно. Всё работало. Wifi в бридже вместе с внутренними езернетами.
Недавно, наслушавшись историй о прелестях (в частности - openvpn via udp), обновил routeros до текущей 7.5. Начал подтормаживать немного тырнет. Некритично, но я заметил. Полез смотреть - клиентам отдаётся по dhcp сервера DNS микрот (192.168.45.1) и 8.8.8.8. В фаерволе для ДНС прописаны правила:

[MikroTik] > /ip firewall filter print 
Flags: X - disabled, I - invalid; D - dynamic 
 0    ;;; jump to kid-control rules
      chain=forward action=jump jump-target=kid-control 
 1 X  chain=forward action=accept src-address=192.168.45.25
 2    chain=forward action=accept src-address=192.168.45.10
 3    chain=forward action=accept protocol=gre src-address=192.168.45.10
 4    chain=input action=add-src-to-address-list connection-state=new 
      protocol=tcp src-address-list=!managers address-list=CRACKERS 
      address-list-timeout=none-static in-interface=WAN dst-port=21,22,23,8291
 5    chain=input action=reject reject-with=icmp-host-unreachable 
      src-address-list=CRACKERS
 6    ;;; established&related
      chain=input action=accept connection-state=established,related
 8    ;;; invalid connections
      chain=input action=drop connection-state=invalid
 9    chain=forward action=drop connection-state=invalid
10    ;;; For local configuration in accidents
      chain=input action=accept in-interface=ether2
11    ;;; pings
      chain=input action=accept protocol=icmp in-interface=!WAN
12    ;;; DNS requests from LAN to me
      chain=input action=accept connection-state=new protocol=udp 
      in-interface=br0 dst-port=53
13    chain=input action=accept connection-state=new protocol=tcp 
      in-interface=br0 dst-port=53
14    ;;; DNS requests from LAN to WAN
      chain=forward action=accept connection-state=new protocol=udp 
      in-interface=br0 out-interface=WAN dst-port=53
15    chain=forward action=accept connection-state=new protocol=tcp 
      in-interface=br0 out-interface=WAN dst-port=53
[skip...]

Но при попытке обрашения к DNS микрота из локалки, получаем отлуп

0:23:31.432579 IP 192.168.45.5.45515 > 192.168.45.1.53: 11274+ A? play.google.com. (33)
00:23:31.433671 IP 192.168.45.1 > 192.168.45.5: ICMP 192.168.45.1 udp port 53 unreachable, length 69

Следующий пакет летит уже на 8.8.8.8 и, в конце концов, тырнет работает.

снифер пакетов на микроте показал, что пакет DNS-запроса от клиента считается входящим через wifi, а не через br0. При попытке изменить 12 правило на "in-interface=wifi", получаем логичную ошибку, что на slave-интерфейсе это действие не допустимо - используйте родительский br0. Wiki от микротика и гугл пока ясности не дали (может, неправильно формулировал?). :(

Если кто натыкался на эти грабли, ткните в правильную ссылку, плз, или объясните как выйти из ситуации? br0 разбирать не хотелось бы.

Спасибо!

Не знаю, сталкивался ли кто с подобным, а я даже не слышал, что так может быть. Поэтому сейчас нахожусь в изумлении и недоумении.
Сначала объясню на конкретном примере, а потом обрисую общую картину творящейся магии.

Конкретный пример:
Сеть 192.168.1.0/24 во ВЛАНе 1 (ВЛАН по умолчанию). Хост1, Хост2 и мой компьютер с Wireshark подключены к трем РАЗНЫМ свичам уровня Access. Они в свою очередь подключены к центральному свичу Huawei уровня Distribution.
Хост1 с периодом 3 пинга в 10 секунд пингует Хост2. Я на своем отдельном компьютере в Wireshark отлавливаю эти пинги. Причем не все, а только эхо-запросы, и то лишь некоторые из них.

Общая картина:
И подобное творится во всей сети. Я отлавливаю какие-то обрывки unicast-трафика между различными хостами всей сети, трафик разных протоколов и разных сетевых устройств. Вообще без какой-либо видимой закономерности, абсолютно рандомно.
Как вообще подобное возможно?
В моменты всплеска такого unicast-broadcast трафика (например идет бэкап) центральный Huawei показывает много output discarded packets на интерфейсах.

Проверил возможные причины:
- посмотрел, не переполнены ли MAC-таблицы. Нет, все в порядке, меньше 600 записей
- проверил какое либо зеркалирование интерфейсов. Отключено
- сетевые устройства перезагружались меньше года назад

Что делать, куда гуглить? Может ли это быть связано с тем, что центральный Huawei постоянно говорит про дерево STP?
MSTP received BPDU with TC, MSTP process 0 instance 0, port name is XGigabitEthernet0/0/X
MSTP received BPDU with TC, MSTP process 0 instance 0, port name is XGigabitEthernet0/0/Y
...хотя он и раньше такое говорил, а проблем не возникало.

Прошу помощи в понимании. Зачем столько PoE-in интерфейсов на некоторых коммутаторах?
Допустим у микротика netPower Lite 7R аж целых 7 входных PoE и только один выходной.
А есть коммутаторы на 24 порта, из которых 23 для входящего питания и 1 - исходящее.
Я теряюсь в догадках, когда такое может пригодится. Я подозреваю, что я чего-то не понимаю и здесь идет речь о каком-то особом PoE интерфейсе.
Объясните страждущему знаний, пожалуйста.

Коллеги, прошу помощи. Уже всю голову сломал.
Дано:
- сервера openvpn где-то в интернетах: 1й заворачивает весь трафик через себя, 2й - только некоторые подсети
- лэптоп с Windows 10, подключенный к публичному wifi с авторизацией через captive portal (судя по всему ростелекомовский)
- на лэптопе установлена последняя версия openvpn-клиента (2.5.7 x64)
- смартфон Android с OpenVPN Connect, подключенный к этому же самому wifi

При подключении к 1му openvpn-серверу с лэптопа, ничего не работает, трафик не ходит. Не пингуется вообще ни один удаленный хост (ни шлюз openvpn, ни шлюз wifi). Ко 2му - все работает, как и должно.
Смартфон отлично работает с обоими серверами.

Теперь самое интересное (по сути - единственная причина проблемы с 1м сервером, которая приходит мне в голову): dhcp-сервер wifi-провайдера выдает ip и шлюз в разных подсетях:
   Description . . . . . . . . . . . : Intel(R) Dual Band Wireless-AC 7265
   DHCP Enabled. . . . . . . . . . . : Yes
   Autoconfiguration Enabled . . . . : Yes
   IPv4 Address. . . . . . . . . . . : 10.10.51.174(Preferred)
   Subnet Mask . . . . . . . . . . . : 255.255.255.0
   Default Gateway . . . . . . . . . : 10.10.50.1
   DHCP Server . . . . . . . . . . . : 10.10.50.1

Честно говоря, я вообще не понимаю, как такое может работать, но оно действительно работает и никаких проблем, кроме озвученной, я больше не наблюдаю.

Настройки до подключения к openvpn-серверу: https://pastebin.com/m6ZzDF1v
Настройки после подключения к 1му openvpn-серверу: https://pastebin.com/61AUA3s3
Лог подключения к 1му серверу: https://pastebin.com/9cMqJhQZ
Конфиг openvpn-клиента: https://pastebin.com/qPrGE4MX

Я пробовал после установки подключения к 1му серверу вручную добавить маршрут до 10.10.50.1 - не помогло.
Стоит сказать, что через некоторое время openvpn-подключение к 1му серверу отваливается по таймауту (что логично, т.к. трафик до самого сервера уже дойти не может).

В общем, буду очень признателен за любую помощь. И вдвойне признателен за ссылку на описание кейса, когда адрес хоста и default gw лежат в разных подсетях.

Всем привет!
Подскажите, пожалуйста, по настройке Policy-based Routing
Можно ли сделать маршрут для одного ip адреса, а не для сети или VLAN?

На 3850 сделал следующее:

distrib#sh route-map 10.45.5.33
route-map 10.45.5.33, permit, sequence 10
Match clauses:
Set clauses:
ip next-hop 10.3.0.130
Policy routing matches: 522 packets, 51134 bytes

И прописал строку на VLAN интерфейсе

ip policy route-map 10.45.5.33

Для сервера 10.45.5.33 все норм заработало, но при этом отвалилось у остальных серверов из сети 10.45.5.0/24

PS: для настройки карты, я выполнял команду: match ip address 10.45.5.33

PS1: Сделал через ACL. Пинги до гугла есть, а в браузере ничего не открывается

distrib#sh route-map 10.45.5.33
route-map 10.45.5.33, permit, sequence 10
Match clauses:
ip address (access-lists): hvs-mail
Set clauses:
ip next-hop 10.3.0.130
Policy routing matches: 3 packets, 318 bytes
route-map 10.45.5.33, deny, sequence 20
Match clauses:
ip address (access-lists): VM-Network
Set clauses:
Policy routing matches: 0 packets, 0 bytes

distrib#sh access-lists hvs-mail (этим ACL разрешил ip адрес только одного сервера)
Extended IP access list hvs-mail
10 permit ip host 10.45.5.33 any (69 matches)
20 permit tcp host 10.45.5.33 any

distrib#sh access-lists VM-Network (этим заблокировал все остальные ip адреса в сети для route-map)
Extended IP access list VM-Network
10 permit ip 0.0.0.0 255.255.255.0 any

Интернет заработал после того как в ДНС указал 8.8.8.8. При указании моих ДНС в браузере странички не открывались, но пинги до гугла шли
Что то мне подсказывает, что я криво сделал. Можно ли как то заставить корректно работать первый вариант?

Всем привет.
У нас широко используется anyconnect
Для смены пароля доменных машин, а также присоединения сетевых дисков, понадобилось входить в anyconnect перед входом в саму Windows.
Установили на клиенты SBL module + отметили в профиле "Start VPN before logon to computer".
Но почему-то Start Before Logon работает не у всех клиентов: не все клиенты видят иконку anyconnect на экране ctrl-alt-del после ребута.
Экспериментальным путем выяснил, что у таких глючных клиентов это лечится переустановкой Start Before Login Module, и то, этого хватает только на один ребут.
Версия anyconnect последняя 4.10.05095, у клиентов Windows 10
Кто-нибудь сталкивался?

Спасибо за внимание

Люди добрые, расскажите как настроить шлюз vip-450.
Нужно чтобы звонки поступали из линии АТС по ethernet к ip телефон.

Скажите пожалуйста, как выставить время и актуальную дату в логах Cisco 1310

Всем добрый день! С 3COM железом никогда не работал. А тут потребовалось временно заменить циску. Настройки все сброшены в заводские. Начал конфигурить с нуля. И вот Vlan-interface не подымается. Может подскажите, что делать?

[DB-1F-1P]vlan 1930
[DB-1F-1P-vlan999]name sw_mgmnt
[DB-1F-1P-vlan999]quit

[DB-1F-1P]management-vlan 1930
[DB-1F-1P]interface Vlan-interface 1930
[DB-1F-1P-interface999]ip address 10.0.193.31 255.255.255.0
[DB-1F-1P-interface999]quit
[DB-1F-1P]ip route-static 0.0.0.0 0.0.0.0 10.0.193.1

Пинга ниокуда нет. Попробовал на свитче локально пропинговать адрес 10.0.193.31. Пинга нет. Далее:

[DB-1F-1P]display interface Vlan-interface 1930

Vlan-interface1930 current state: DOWN
Line protocol current state: DOWN
Description: Vlan-interface1930 Interface
The Maximum Transmit Unit is 1500
Internet Address is 10.0.193.31/24 Primary
IP Packet Frame Type: PKTFMT_ETHNT_2,  Hardware Address: 20fd-f190-9001
IPv6 Packet Frame Type: PKTFMT_ETHNT_2,  Hardware Address: 20fd-f190-9001
Last clearing of counters:  Never
    Last 300 seconds input rate: 0 bytes/sec, 0 bits/sec, 0 packets/sec
    Last 300 seconds output rate: 0 bytes/sec, 0 bits/sec, 0 packets/sec
    0 packets input, 0 bytes, 0 drops
    0 packets output, 0 bytes, 0 drops

Вот такая проблема.
Заранее спасибо.

Привет!
На Juniper MX204 строю 3 eBGP соседства с вышестоящими операторами,
Куда и анонсирую свои сети.

Для балансировки входящего трафика используются communities, как приведено ниже:

My network:
# show routing-options

static {
    route yyy.yyy.0.0/16 {
        discard;
        community [ XXXXX:100 XXXXX:111 XXXXX:120 ];
    }

community UPSTREAM-1-EXP members XXXXX:100
community UPSTREAM-1-EXP-1 members XXXXX:101
community UPSTREAM-1-EXP-2 members XXXXX:102
community UPSTREAM-1-EXP-3 members XXXXX:103
community UPSTREAM-1-EXP-4 members XXXXX:104
community UPSTREAM-1-EXP-8 members XXXXX:108
community UPSTREAM-1-EXP-DENY members XXXXX:109

community UPSTREAM-2-EXP members XXXXX:110
community UPSTREAM-2-EXP-1 members XXXXX:111
community UPSTREAM-2-EXP-2 members XXXXX:112
community UPSTREAM-2-EXP-3 members XXXXX:113
community UPSTREAM-2-EXP-4 members XXXXX:114
community UPSTREAM-2-EXP-8 members XXXXX:118
community UPSTREAM-2-EXP-DENY members XXXXX:119

community UPSTREAM-3-EXP members XXXXX:120
community UPSTREAM-3-EXP-1 members XXXXX:121
community UPSTREAM-3-EXP-2 members XXXXX:122
community UPSTREAM-3-EXP-3 members XXXXX:123
community UPSTREAM-3-EXP-4 members XXXXX:124
community UPSTREAM-3-EXP-8 members XXXXX:128
community UPSTREAM-3-EXP-DENY members XXXXX:129

community CUSTOMER members XXXXX:700
community CUSTOMER-1 members XXXXX:701
community CUSTOMER-2 members XXXXX:702

В исходящей политике добавляются препенды в зависимости от community (на примере одного из апстримов. У других политики аналогичны):

# show policy-options policy-statement UPSTREAM-1-OUT-v4    

...
term 20 {
    from community [ UPSTREAM-1-EXP-DENY ];
    then reject;
}

term 30 {
    from community [ UPSTREAM-1-EXP CUSTOMER];
    then accept;
}
term 40 {
    from community [ UPSTREAM-1-EXP-1 CUSTOMER-1];
    then {
        as-path-prepend XXXXX;
        accept;
    }
}
term 50 {
    from community [ UPSTREAM-1-EXP-2 CUSTOMER-2];
    then {
        as-path-prepend "XXXXX XXXXX";    
        accept;
    }
}
term 60 {
    from community [ UPSTREAM-1-EXP-3 ];
    then {
        as-path-prepend "XXXXX XXXXX XXXXX";
        accept;
    }
}
term 70 {
    from community [ UPSTREAM-1-EXP-4 ];
    then {
        as-path-prepend "XXXXX XXXXX XXXXX XXXXX";
        accept;
    }
}
term 80 {
    from community [ UPSTREAM-1-EXP-8 ];
    then {
        as-path-prepend "XXXXX XXXXX XXXXX XXXXX XXXXX XXXXX XXXXX XXXXX";
        accept;
    }
}
term 100 {
    then reject;
}

Для изменения количества препендов в сторону соседа необходимо изменить community в routing-options.
Данная схема работает нормально, как от неё и ожидается, но есть одна проблема, которую
мне пока не удалось решить.
Заключается она в том, что я также строю BGP соседство со своими клиентами.
Эти клиенты могут мне анонсировать как свои собственные сети, так и подсети из моего блока сетей.
И я бы хотел предоставить им возможность балансировать трафик с помощью communities.

Из конфига видно, что для клиентов BGP используется отдельный community (CUSTOMER, CUSTOMER-1...)
и таким образом их сети анонсируются. Назначается этот community вручную мною при построении BGP соседства.

Задача дать клиенту возможность самому использовать community.

Например, клиент хочет добавить препенды в сторону UPSTREAM-1.
Он может в мою сторону проанонсить мне XXXXX:103, но эффекта не будет, т.к.
этот community просто добавится к тем, которые я уже указал в routing-option:

run show route zz.zz.zz.0/22 detail

......
                Communities: XXXXX:100 XXXXX:111 XXXXX:120 XXXXX:103
                
А мне нужно:

run show route zz.zz.zz.0/22 detail

......
                Communities: XXXXX:103 XXXXX:111 XXXXX:120

Я не большой специалист по juniper, и возможно изначальный дизайн был построен не очень верно.
Буду рад советам и замечаниям.
Спасибо.

Добрый день. Подскажите пожалуйста где посмотреть инфу как сконфигурить свитч aruba 8325? Свитч сейчас в дефолтных настройках. Нужно сделать начальную конфигурацию ip адрес и т.д  Первый раз столкнулся с этой железкой. Инфы что-то совсем мало.

Здравствуйте
Я купил три устройства от компании telena (Telena Telecommunications, Telena S.p.A., telena.eu, Italy)
Ничего не могу с ними сделать, так как я к ним вообще не могу найти какую-либо документацию
Может у кого-то есть какая-либо информация к ним? Может кто-нибудь знаком с кем-то, кто работал с этими устройствами?
Спасибо

Описание устройств:

Устройства:
1. telena falco f-330b (F-330B-4AS-8E/LJ0-3)
2. telena aster a-330d (A-330D-8AS-1AS/LL-3)
3. telena iris i-330e (I-330E-64-8/JJ3-3)

У каждого устройства на передней панели есть 8p8c разъём с подписью: CP
У каждого устройства на задней панели есть 3 порта 8p8c: CP, MNGT, L1
У aster есть 4 порта: S1, S2, S3, S4

Я пробовал подключиться консольным кабелем Cisco к порту CP. На порту загорается индикация, но в терминале нет ничего. Я пробовал 9600 и 115200 бод

Предполагаю, что MNGT является портом для управления устройством по сети
Удалось определить ip и mac адрес falco и aster. ip находятся в 10.0.0.0/8 сети
На устройствах открыт 23 и 80 порт
Через telnet к 23 порту подключиться не удаётся, так как устройства обрывают соединение:

Trying 10.34.109.13...
Connected to 10.34.109.13.
Escape character is '^]'.
Connection closed by foreign host.

На 80 порту находится веб сервер
Веб сервер в поле Server: NqEmWebServer/1.00
В html коде, в поле html class есть значение, которое частично меняется при обновлении страницы. Значение состоит из 8 символов, которые постоянно меняются и значения idc0_339
При подключении к / веб сервер выдаёт:

The requested page could not be found.

Попробовал перейти по разным путям (index.html, Context.aspx) и ответ почти для любых путей такой:

PAGE SERVER ERROR - INTERNAL DIAGNOSTIC ERROR LOG:
Flash File System Error encountered

На /index.htm

The requested page could not be found.

Собирал дамп с сетевого устройства через tcpdump
Устройства не инициируют подключение
Только одно из устройств очень редко пытается получить данные с какого-то NTP сервера из интернета

В интернете, из документации к продуктам telena нашёл только четыре брошюры
Сайт не работает, телефон компании не отвечает, какие-либо контакты я не нашёл

Любые идеи приветствуются
Ещё раз спасибо

Добрый день. Столкнулись с проблемой некорректной обработкой event на разных партиях оборудования. Обновляем до одного и того же образа, но логирование или обработка какого-то одинакового события может выдавать разные строки подтверждения. ( Предполагаем, что это может быть связано с разным hardware софтом). Поэтому начали смотреть в сторону tcl скрипта. Поэтому возникли соответствующие вопросы:
1) Целесообразно ли разбираться в tcl скриптах в такой ситуации?  Корректность выполнения сценарий не будет зависеть от прошивок?
2) Есть возможность автостарта tcl сценария  при загрузке оборудования не используя event? Спасибо.

Привет всем. Подняли isakmp + ipsec между двумя маршрутизаторами cisco.
на двух роутерах:
crypto isakmp policy 1
encr 3des
hash md5
authentication pre-share
group 2

crypto isakmp key XXX address destination_WAN

crypto ipsec transform-set TS esp-3des esp-md5-hmac
mode tunnel

на роутере 1 и на втором зеркально.

ip access-list extended VPN_TRAFFIC
permit ip 10.10.10.0 0.0.0.255 20.20.20.0 0.0.0.25

crypto map MAP 10 ipsec-isakmp
set peer destination_WAN
set transform-set TS
match address VPN_TRAFFIC

interface GigabitEthernet1
ip address 10.10.10.1 255.255.255.0
ip nat inside

Extended IP access list 100
    10 deny ip 10.10.10.0 0.0.0.255 20.20.20.0 0.0.0.255
    20 permit ip 10.10.10.0 0.0.0.255 any

ip nat inside source list 100 interface GigabitEthernet4 overload

И на WAN интерфейсе закрепляем MAP
crypto map MAP
ip nat outside

Когда я в такой конфигурации поднимаю соединение, то все хорошо работает (вижу по wireshark, что сообщаются внешние ип. и ходят пакеты isakmp + ipsec)

Но я не понимаю, почему не работает вся таже схема, когда я просто crypto map перевешиваю на локальный интерфейс gig 1?

Здравствуйте, кто может поделиться фаилом  ucsinstall_uccx_10_5_1_ucos_10.5.1.11001-49.sgn.iso перерыл весь инет и не могу найти. Помогите кто может.

Здравствуйте. Оборудование Cisco 1760 c модулем wic4esw.
1. Сеть оператора -
FA 0 -172.23.23.162/27
2. Vlan10 ( FA 1-3)- 10.10.10.225/27
3.Vlan20 (FA 4)- 10.10.11.13/30
4. Настроенная маршрутизация через NAT - ip nat inside source list ACL_NAT interface fa0

Внешняя сеть с внутренней сети доступна - всё отлично всё работает. Но возникает проблема с vlan20 - на данной сети находится сервер который должен быть доступен через внутренний адрес сети.
1. Как сделать так, что бы с внешней сети была доступна   сеть- 10.10.11.13/30 данный Пул адресов является белым).
2. Или возможно ли серверу подключенному к FA 4 - присвоить адрес из 172.23.23.162/27?как пример сервер имел бы адрес - 172.23.23.163/27.

Уважаемые админы.
Кто работал с такими девайсми?
Из коробки работает только HTTP.
SSH после принудительного включения не пускает. Все меню излазил, ман перечитал, не могу найти причину.
Сканил nmap, открытый только 80 порт. ACL и TrustedHost выключены.