> Есть команда выключаем Proxy ARP глобально
> ip arp proxy disable
> Какая команда обратная этой? Т.е. включаем Proxy ARP глобально.

no ip arp proxy disable ?

> Есть команда выключаем Proxy ARP глобально
> ip arp proxy disable
> Какая команда обратная этой? Т.е. включаем Proxy ARP глобально.

ip arp proxy enable ?

>[оверквотинг удален]
> Машруты отдаю через DHCP на циске:
> ip dhcp pool L2TP_USERS
>  network 192.168.92.0 255.255.255.0
>  option 249 ip 24.10.10.10 192.168.92.1 24.10.11.11 192.168.92.1
> маршруты прописываются, трафик ходит.
> Завожу в радиусе атрибут Cisco-AV-Pair:
> ip:inacl#10=permit ip 192.168.92.0 0.0.0.255 host 192.168.92.1
> ip:inacl#20=permit ip 192.168.92.0 0.0.0.255 host 10.10.10.1
> Подключаюсь, acl применяется, а вот маршруты больше не прилетают.
> Пните в нужную сторону.

dhcp-запрос не проходит через acl. а он точно не бродкастовый? :-)

> Доброго времени суток ! Столкнулся с такой проблемой:
> Есть линки между 5-я маршрутизаторами. Настроен RRPP при активном режиме кольца все
> сервисы работают стабильно,никаких проблем нету.При обрыве линка конченые хосты которые
> работают на третьема уровне со шлюза пингуются, но сервисы не проходят.
> Попробовал сделать арп-статик и удалить арп. Сервисы снова заработали. Грубо говоря
> обновил таблицу маршрутизации.ПОдскажите пожалуйста можно ли как то оптимизировать этот
> процесс, так как хостов много и не всегда есть возможность сделать
> все это вручную?

Бррр, RRPP это канальный протокол, аналог Cisco REP от Huawei, альтернатива STP для кольцевых топологий, его основная целевая аудитория коммутаторы. Судя по документации, как только Master Node получает сообщение об изменении топологии кольца, он немедленно рассылает уведомление Common-Flush-FDB. Получив которое все Transit Nodes обязаны очистить свои MAC Address Table и ARP/ND cache.

К сожалению не понял, что вы имели ввиду когда сказали, что обновление ARP cache обновила таблицу маршрутизации и какая автоматизация требуется дополнительная, принимая во внимание, что RRPP Transit Node и так обязан очищать ARP cache.

> Доброго времени суток ! Столкнулся с такой проблемой:
> Есть линки между 5-я маршрутизаторами. Настроен RRPP при активном режиме кольца все
> сервисы работают стабильно,никаких проблем нету.При обрыве линка конченые хосты которые
> работают на третьема уровне со шлюза пингуются, но сервисы не проходят.
> Попробовал сделать арп-статик и удалить арп. Сервисы снова заработали. Грубо говоря
> обновил таблицу маршрутизации.ПОдскажите пожалуйста можно ли как то оптимизировать этот
> процесс, так как хостов много и не всегда есть возможность сделать
> все это вручную?

Таймаут на ARP поменьше сделать.

> Доброго времени суток, cisco 4507, ужасно тормозит сеть, при пинге коммутатора отклик
> 600-800 мс, и совсем нет временами, процессор загружен на 99%,подскажите куда
> копать?

https://community.cisco.com/t5/networking-documents/troubles...

Ну и сразу - no deb all, yf dczrbq ckexfq/

> Доброго времени суток, cisco 4507, ужасно тормозит сеть, при пинге коммутатора отклик
> 600-800 мс, и совсем нет временами, процессор загружен на 99%,подскажите куда
> копать?

выложите куда-нибудь результат sh tech

вам правильно подсказали, что, возможно, вы забыли выключить какой-то debug

еще вариант, поскольку свитч достаточно старый, попробуйте явно ip cef - вдруг у вас он выключен.

> interface Vlan1
>  ip address 192.168.62.201 255.255.255.0
>  no ip route-cache

и вот это - зачем?

Но в любом случае, 40% по ip input не должно быть вызвано ни одной из этих проблем (кроме отключенного cef или совсем уж маловменяемого debug, но это маловероятно)

так что, возможно, вас банально кто-то флудит - проверяйте счетчики на интерфейсах.

>[оверквотинг удален]
> line vty 0
>  exec-timeout 60 0
>  password 7 0459470C1635774B18
>  login
> line vty 1 4
>  exec-timeout 60 0
>  password 7 13075B1812183F2F3A
>  login
> !
> end

Вторая ссылка в поиске...

"Hi all,

issue has been resolved...

it is becase of MAC address learning, disabled proxy-arp (no proxy-arp) in all VLAN interfaces. Suddenly cpu utilization went down from 70% to 16%

Thanks to all, who are supported me...

regards,

AC"

https://community.cisco.com/t5/switching/high-cpu-utilizatio...

> В какую сторону смотреть?

https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucme/ad...

> Добрый день. Вопрос простой.

Нифига не простой.

> Есть несколько каталистов, которые поддерживают режимы pvst, rapid-pvst и mst.
> Но, как обычно, в цисковскую сеть затесалось несколько нецисковских свичей, которые поддерживают
> stp, tstp и mstp. Нужно поднять spanning-tree.
> Так как собрать стенд нет возможности и нужно все делать наживую, то

Сочуствую вашим пользователям и вашим нервам. Сразу готовьте ответ на вопрос "Что будем делать когда всё развалиться и мы потеряем управление над свитчами?"

> возникает резонный вопрос, а какие режимы то тут будут совместимы? Только
> mst, наверное? Или цисковские pvst как-то будут совместимы с классическими stp
> и rstp?

pvst в теории совместим с rstp, есть нюансы, советую плотно погуглить и погонять на стэнде , а ну , да ...
у mstp тоже есть свои нюансы, и учитывая зоопарк вендоров никто ничего гарантировать не сможет не пробуя

короче как я уже сказал вопрос нифига не простой, а данных вы не предоставили от слова "совсем", большего сказать не могу
готовьтесь к большой волосатой ж-пе
искренне желаю удачи

> Добрый день. Вопрос простой.
> Есть несколько каталистов, которые поддерживают режимы pvst, rapid-pvst и mst.
> Но, как обычно, в цисковскую сеть затесалось несколько нецисковских свичей, которые поддерживают
> stp, tstp и mstp. Нужно поднять spanning-tree.
> Так как собрать стенд нет возможности и нужно все делать наживую, то
> возникает резонный вопрос, а какие режимы то тут будут совместимы? Только
> mst, наверное? Или цисковские pvst как-то будут совместимы с классическими stp
> и rstp?

PVST реализует per Vlan 802.1D STP и у вас наверняка PVST+, а не PVST. Последний использует ISL trunk и не совместим напрямую с STPD.

Rapid-PVST реализует per VLAN 802.1w RSTP и опять же в вас наверняка Rapid-PVST+, а не Rapid-PVST.

PVST+/Rapid-PVST+ для совместимости с IEEE STP реализуют Common Spanning Tree instance в рамках native VLAN (VLAN 1).

Но, если хочется чего-то единого, то 802.1s MSTP ваш выбор, он у всех одинаковый, только теория его работы несколько сложнее чем у младших братьев.

> Прошу помочь в поиске прошивки
> c800-universalk9-mz.SPA.158-3.M2.bin
> https://software.cisco.com/download/home/283775714/type/2808...

нашел
https://mega.nz/#F!b35m1aLC!US1_QddqokAlVAdO5zl4GQ

> Форумчане, подскажите. Требуется сделать так, чтобы соседство в OSPF устанавливалось ТОЛЬКО
> в определённой сети, но никак не могу это реализовать. Подскажите пожалуйста.

router ospf ...
  ...
  passive-interface default
  no passive-interface где надо
  ...

За 15 лет сдохла память.

> Добрый день!
> Циска перестала загружаться в боевом режиме, постоянно ребутится.

Прозвоните цепи питания и поищите вздувшиеся или высохшие за 15 лет кондеры.

> В принципе, можно отдавать с радиуса какой-нибудь 3й уровень, например, и сделать
> privilege exec level 3 show configuration

имело ввиду, сделать только на оборудовании с 16й версией прошивки.

Если вы про настройки в IOS XE, то дополнительно надо указать права еще и на сам файл конфигурации:

# privilege exec all level 2 show running-config
# file privilege 2

> Дорогие коллеги.
> Встала задача организовать HotSpot на оборудовании Mikrotik.
> Попробовал в тесте запустить Hotspot на Mikrotik, с отправкой смс на телефон
> регистрации. Это делается в соблюдении законности и своей же безопасности.

Вам сюда -
https://www.mikbill.ru/produkt/opisanie.html

Настраивал такое, лучше использовать радиус сервер, например Freeradius, даст возможности более гибко настраивать пользователей, делить по группам, ограничивать скорость и выставлять разные параметры.
Я пользовался этой статьей для настройке радиус + микротик :https://systemzone.net/mikrotik-radius-configuration-with-fr.../
Далее понадобятся apache и php.
Примеры файлов для апача и микротика в этом архиве: https://yadi.sk/d/jUu8zMVQQYiZ8g
Немножечко подправить придется для себя. Все работает, читаю и пишу тут редко.

http://www.anticisco.ru/blogs/?p=1990

> Добрый день.
> У ASA (в моем случае с какой-то из версий прошивок 9+) есть
> функция capture, позволяющая захватывать пакеты, проходящие через интерфейс с помощью
> соответствующего списка доступа. Можно ли с помощью этой функции не просто
> захватить пакеты по ip-адресу источника или назначения, но еще и как-то
> отфильтровать по содержимому информации в пакете? Другими словами, есть определенный компьютер,
> который в определенный момент времени посылает на конкретный dns-сервер (ip-адрес известен)
> запрос с целью отрезолвить один конкретный доменный адрес. Можно ли как-то
> с помощью capture захватить именно этот запрос, а не вообще все
> запросы резолвинга, направленный к этому dns-серверу?

Нет. Capture работает по L3/L4 (на основе extended ACL).
Вы хотите L7.

Если есть возможность, то можно сделать зеркалирование траффика на свиче и далее отфильтровать с помощью wireshark/tshark
https://www.wireshark.org/docs/dfref/d/dns.html

Ну а если есть доступ к хосту, то wireshark запустить прямо на нем.

>[оверквотинг удален]
> Интернет получаем через VDSL модуль:
> Firmware Source File Name
> -------- ------ ----------
> VDSL embedded VDSL_LINUX_DEV_01212008
> Modem FW Version: 130205_1433-4.02L.03.B2pvC035j.d23j
> Modem PHY Version: B2pvC035j.d23j
> Стали возникать частые обрывы связи, вижу маленький noise margin (меньше 7dB), провайдер
> говорит, что линия отличная,  грешит на роутер. Судя по всему
> прошивка vdsl-модема за 2008 год, помогите разобраться, есть ли для этой
> ревизии B2pvC035j.d23j поновее. И если есть поделитесь ссылкой?

Ищу  VA_B_38V_d24m.bin, поделитесь пожалста...

> Имеем  развернутый  AIR-CTVM-K9 version 8.3.143.0    на ESX.
> При регистрации AP локально, Flexconnect отрабатывает wlan vlan map и всё
> ОК
> Проблема: WLAN не могу пробросить на удаленные зарегистрированные точки из сторонних VPN-
> разнесенных узлов.

Читайте про ограничение виртуального контроллера на сайте производителя.

> Доброе время суток.
> На портах доступа каталистов можно указать параметр
> ip dhcp snooping limit rate <значение>
> Я предполагаю, что значения 10 должно хватить, если на порту сидит только
> один клиент, а как быть, если туда подключен какой-нибудь неуправляемый свич
> и к нему подключено, например, 5-10 пользователей? Какое значение limit rate
> стоит задавать в таком случае на таком порту?
> Есть ли какая-то, хотя бы условная, формула, по которой можно рассчитать это
> значение для подобного порта?

Cisco recommends not configuring the untrusted interface rate limit to more than 100 packets per second. The recommended rate limit for each untrusted client is 15 packets per second. Normally, the rate limit applies to untrusted interfaces. If you want to set up rate limiting for trusted interfaces, keep in mind that trusted interfaces aggregate all DHCP traffic in the switch, and you will need to adjust the rate limit to a higher value. You should fine tune this threshold depending on the network configuration. The CPU should not receive DHCP packets at a sustained rate of more than 1,000 packets per second.

> добрый день!
> прошу помочь с настройкой asa5506, задача разрешить доступ из вне к хосту
> только c определенных ip.
> скриншоты двух оконо из asdm:
> https://i.gyazo.com/ff263fa632955f8b12263aba748a47af.png
> сейчас несмотря на правило в "access rules", хост доступен с любого ip
> спасибо!
> и да, я понимаю всю небезопасность, и что надо поднимать в таких
> случаях впн.

Может, стоило бы это правило переместить в начало списка?

> скриншоты двух оконо из asdm:
> https://i.gyazo.com/ff263fa632955f8b12263aba748a47af.png
> сейчас несмотря на правило в "access rules", хост доступен с любого ip

у тебя 2 правило в "access rules" разрешает все пакеты, а нат точно также все пакеты пробрасывает.
одним словом запретов никаких нет в твоем конфиге.

> Добрый день.
> Не пользовался ранее таким видом коммутаторов, поэтому возник вопрос. Имеется один центральный
> коммутатор с 16-ю портами с PoE на портах. Надо подключить еще
> один, то же с такой функцией, т.к. он будет соединять камеры.
> Можно-ли соединить 2 устройства, у которых на портах будет еще и
> питание, друг с другом? Мне главное, что бы ничего не сгорело
> :)
> Спасибо.

В зависимости от моделей, их можно обедненить в стек

> Добрый день.
> Не пользовался ранее таким видом коммутаторов, поэтому возник вопрос. Имеется один центральный
> коммутатор с 16-ю портами с PoE на портах. Надо подключить еще
> один, то же с такой функцией, т.к. он будет соединять камеры.
> Можно-ли соединить 2 устройства, у которых на портах будет еще и
> питание, друг с другом? Мне главное, что бы ничего не сгорело
> :)
> Спасибо.

Всегда можно принудительно выключить питание на любом порту, если боитесь.

> Добрый день.
> Не пользовался ранее таким видом коммутаторов, поэтому возник вопрос. Имеется один центральный
> коммутатор с 16-ю портами с PoE на портах. Надо подключить еще
> один, то же с такой функцией, т.к. он будет соединять камеры.
> Можно-ли соединить 2 устройства, у которых на портах будет еще и
> питание, друг с другом? Мне главное, что бы ничего не сгорело
> :)
> Спасибо.

Разрешаю соединить. Ничего не сгорит, но вот запитать один коммутатор от другого вряд ли получится.

> Можно-ли соединить 2 устройства, у которых на портах будет еще и
> питание, друг с другом? Мне главное, что бы ничего не сгорело

В теории можно. На практике, автоматизированно настраивая несколько сот коммутаторов от Eltex с подключением их к D-Link (не PoE), мы поимели 1.5 десятка "бух" и выгорание портов (там и там), т. к. чип, реализующий PoE, неправильно определял тип коммутатора (по сопротивлению линий и напряжениям на них). Все обменяли по гарантии.
Так что если они управляемые, я бы сперва принудительно отключил PoE на портах, или соединял бы их только транковыми портами.

Но с вероятностью 99% — всё будет хорошо. :)

https://www.opennet.dev/opennews/art.shtml?num=50241 новость уже тут, по возможности уходить от netup

гуг в помощь:

https://networkengineering.stackexchange.com/questions/6237/...
http://ciscosetup.blogspot.com/2011/12/cisco-router-l2tp-cli...

> Не выручите? Нет возможности скачать:
> software.cisco.com/download/home/282540334/type/280805680/release/15.7.3M3?i=!pp
> c890-universalk9_npe-mz.157-3.M3.bin
> Заранее благодарю!!!

http_sfree_ws?

> Вопрос что надо пробросить протоколы/порты на микротике у хостера (WANIP 234.234.234.234)
> и что пробросить на линуксе в PROXMOX.

CCNA для начинающих.
Я бы пробросил Openvpn между проксом и внешней VPS.
Далее поднял туннель с 192.168.150.1? какой удасться завести, на эту внешнюю VPS.
Далее, эти два туннели соединил бы в мост. Там же выравнивал mtu, чтоб все пакетики пролетали бы.
Ну, средствами прокса пробросил бы или влан или туннель в 12.0.0.101.

P.S. используя чужое адресное пространство внутри сети вы нарываетесь на кучу недиагностируемых проблем. Используете  специальные диапозоны, предназначенные для внутренних целей.

>[оверквотинг удален]
> Задача поднять VPN типа IPIP между микротиком(123.123.123.123)(на микротике просто создаи
> интерфейс IPIP) и астериском(12.0.0.101)
> приэтом IP адресса в тунеле будут микротик 10.60.60.2 астериск 10.60.60.1
> Proxmox натит все что надо в Астериск.
> Вопрос что надо пробросить протоколы/порты на микротике у хостера (WANIP 234.234.234.234)
> и что пробросить на линуксе в PROXMOX.
> Ко сожалению Тип ВПН-на именно этот.
> и организованно именно так! ВПН между микротиками нельзя.
> Нарисовано все тут (ibb.co/ezB3Oe)
> https://ibb.co/ezB3Oe

Для начала нужно получить доступ к астериску. Для этого пробросить порт для випиэна в микротике 234.234.234.234 и если нужно в прохмоксе. А потом уже настроить випиэн. Либо на микротике 192.168.150.1 настороить vpn сеть и к ней подрубаться с астерикса.

> какая то возможность замены данного таймкода на обычное время коммутатора? Или
> только с калькулятором сидеть?

RTFM, страница 10-8. logging timestamps datetime

> В чём может быть проблема?

В питании, в помехах, в прошивке, в электронике, в людях, во всем вышеперечисленном сразу и в различных комбинациях.

> Здравствуйте! Офис находится на территории завода, в определённый момент(совпало с появлением
> соседей) Начались проблемы с Wifi сетью.
> Соединение с Wifi сохраняется но трафик не идёт, причём эффект аналогичен как
> на зукселе(роутер который использовался как Wifi) так и на убикьюти(профильная точка
> доступа).
> И так до тех пор пока не выдернешь и не воткнёшь в
> розетку обратно.
> Такая ситуация может не проявиться за день или проявиться от одного до
> пяти раз.
> В чём может быть проблема?

syslog сообщения собираете? Логи с точек читаете?

Правильно понимаю, что перезагрузка через web/ssh/telnet не помогает, только хардкор, только передергивание по питанию?

> Добрый вечер, уважаемые коллеги! Помогите советом!Нужно настроить кольцо как резервный
> канал связи, для этого есть одна циско 3850, 4шт. циско 2960td-l
> - они соеденены оптикой, канал 10Gb. Соответсвенно есть еще 24шт. циски
> 2960 они соеденены оптикой с 3850 тоже 10GB. Сейчас все работает
> на заводских настройках, периодически отваливаются каналы 10Gb. Подскажите пожалуйста
> как оптимизировать.

3850 это однозначно L3
2960 c 10GbE это видимо что-то в стиле 2960Х, то есть - тоже L3.

Внимание вопрос - ну нафига тебе городить адов гиморой с различными вариантами STP (L2), когда можно сделать все на OSPF или eigrp (L3)?

С L3 ты получаешь:
1. Надежность и предсказуемость.
2. Трафик ходит по оптимальному пути, а не через все кольцо.
3. Возможность наращивать кольца с балансировкой нагрузки по ним.

С L2 ты получаешь:
1. Менее стабильную и предсказуемую работу
2. Не оптимальный путь пакетов = меньшая производительность
3. Не возможность повышения производительности/отказоустойчивости путем наращивания числа колец.
4. Общий широковещательный домен.

И учти - STP во всех его вариантах протокол простой и его знает любой CCNA. Но его реализации и их взаимодействие друг с другом - имеют такую кучу нюансов, что не каждый CCIE разберется.

P.S. У тебя примерно такое?

>[оверквотинг удален]
> sw-01(config)#router ?
>   bgp       Border Gateway Protocol (BGP)
>   eigrp     Enhanced Interior Gateway Routing Protocol (EIGRP)
>   isis      ISO IS-IS
>   iso-igrp  IGRP for OSI networks
>   mobile    Mobile routes
>   odr       On Demand stub Routes
>   ospf      Open Shortest Path First (OSPF)
>   ospfv3    OSPFv3
>   rip       Routing Information Protocol (RIP)

> Добрый вечер, уважаемые коллеги! Помогите советом!Нужно настроить кольцо как резервный
> канал связи, для этого есть одна циско 3850, 4шт. циско 2960td-l
> - они соеденены оптикой, канал 10Gb. Соответсвенно есть еще 24шт. циски
> 2960 они соеденены оптикой с 3850 тоже 10GB. Сейчас все работает
> на заводских настройках, периодически отваливаются каналы 10Gb. Подскажите пожалуйста
> как оптимизировать.

*STP в принципе не предназначен для резервирования каналов связи. Основной задачей STP является устранение петель в топологии произвольной сети Ethernet. Резервирование это так сказать нестандартное использование протокола + маркетинг.
Достаточно задать вопрос любому продавану - Как рассчитать время за которое дерево сойдется? Продаван радостно ответит - 10 с.
1. т.е. 10 с. сеть может лежать - так себе резервирование.
2. т.е. 10 с. как для 2х коммутаторов так и для 100500?
3. т.е. STP не зависит от загруженности канала?

на п.2 и 3. продаваны ломаются и оказывается, что никто не знает, как рассчитать время сходимости сети для n-коммутаторов при 90-100% загрузки каналов.

Так что *STP надо вешать на порты доступа (клиентские) чтобы защититься именно от петель (ну мало ли кто патч-корд в 2 розетки воткнет). А магистральные линии лучше организовывать на чем-нибудь другом (от промышленных MRP, *-Ring, PRP до всяких RIP, BGP и OSPF).

> В чём может быть дело ?

На порте принудительно выставлено 100 мбит?