Здравствуйте, требуется помощь с IOS. Есть маршрутизатор  cisco 1760 c  установленным модулем WIC4ESW. Нужна IOS с поддержкой модуля WIC4ESW и протоколом BGP. Поменял несколько IOS возникает проблема либо не поддерживается BGP, либо модуль. Память - 64Мб

Привет,
Собираюсь купить кабель для подключения своего устройства и не разбираюсь в типах.
Я не знаком с этим, подумайте о выборе CAT5e или CAT6.
Я поискал в гугле и увидел блог, правда это или нет?
https://www.baudcom.com.cn/blog/whats-the-difference-between...
Может ли кто-нибудь посоветовать мне и сказать мне, почему?
Заранее спасибо.

Товарищи, помогите пожалуйста разобраться с совершенно непонятной проблемой:

Короче был роутер Keenetiс с каким-то провайдером №1.
Его внутренний адрес: 192.168.1.1, и есть маршрут до подсетки 10.10.10.0/24 gw 192.168.1.100
1.100 - это комп роутер за которым находится сервак с астериском 10.10.10.4
Всё работало, никаких хитрых настроек не было на роутере, т.е. чисто прописан маршрут чтобы мог астериск работать и НАТ на внешнем интерфейсе.

Тут сменили провайдера, и заодно и роутер поменяли на микрот.
На нём точно также добавил маршрут до 10.10.10.0/24 gw 192.168.1.100, адрес астериска с него доступен, на астериске интернет есть тоже через него, но вот конкретно почему-то до sip сервера астериск перестал достукиваться.

С VoIP провом всё проверили, привязку к ip они убрали, они со своей стороны даже не видят попыток регистрации от меня. Я на микроте вижу что исходящее соединение идёт, а обратных пакетов 0.
Причём если я на компе в этой сетке 192.168.1.0/24 ставлю какой-нибудь софтфон и на нём эту линию завожу - она спокойно работает.

Т.е. с 10.10.10.4 - пакеты идут во вне но тогда обратно на микрот не возвращаются и более того даже до адресата не доходят в итоге, а с любого компа 192.168.1.0/24 - всё работает.

Никаких фильтраций на микроте или 1.100 нет, и для всей локалки всё что изменилось - это роутер, который точно также натом просто раздаёт инет.

Помогите куда-нибудь начать копать, я всё что мог уже диагностировал, докопался и до провайдера инета и до провайдера воип, всё указывает на то, что проблема на моей стороне.

Добрый день. Может кто-то подкинет идей почему возникает такая проблема с OSPF соседом.
Уже 2 раз за 4 месяца увидела в логах что пропадает OSPF сосед.
Feb  4 02:32:56.319 Etc/GMT: %OSPF-SW1-5-ADJCHG: Process 1, Nbr x.x.x.x on Port-channel113 from FULL to DOWN, Neighbor Down: BFD node down
Feb  4 02:32:59.411 Etc/GMT: %OSPF-SW1-5-ADJCHG: Process 1, Nbr x.x.x.x on Port-channel113 from DOWN to INIT, Received Hello
Feb  4 02:32:59.411 Etc/GMT: %OSPF-SW1-5-ADJCHG: Process 1, Nbr x.x.x.x on Port-channel113 from INIT to 2WAY, 2-Way Received
Feb  4 02:32:59.411 Etc/GMT: %OSPF-SW1-5-ADJCHG: Process 1, Nbr x.x.x.x on Port-channel113 from 2WAY to EXSTART, AdjOK?
Feb  4 02:32:59.411 Etc/GMT: %OSPF-SW1-5-ADJCHG: Process 1, Nbr x.x.x.x on Port-channel113 from EXSTART to EXCHANGE, Negotiation Done
Feb  4 02:32:59.415 Etc/GMT: %OSPF-SW1-5-ADJCHG: Process 1, Nbr x.x.x.x on Port-channel113 from EXCHANGE to LOADING, Exchange Done
Feb  4 02:32:59.415 Etc/GMT: %OSPF-SW1-5-ADJCHG: Process 1, Nbr x.x.x.x on Port-channel113 from LOADING to FULL, Loading Done

Линки не дергались, ошибок нет, мультикаст не фильтруется. Проблема только у этого соседа, остальные работают норм. На обратной стороне в логах тоже самое. OSPF настроен Point-to-point mode.

Есть два роутера cisco 2951, каждая смотрит в своего провайдера, на каждой есть NAT.

Есть ядро сети из двух cisco 9300 в stack, с настроенными SVI (interface vlan), где осуществляется межвланный роутинг.

Между ядром сети и роутерами настроен eigrp.

Разные подсети из ядра натятся в разных провайдеров при помощи route-map.

Вроде бы всё стандартно.

Возникла задача сделать доступ на один внутренний IP (виртуальную машину) доступ снаружи с двух провайдеров.

Т.е. На обеих 2951 пробрасываем порт на внутренный IP.

СХЕМА - https://ibb.co/Wk36rhG

Вроде бы простая задача но вызывает много вопросов.

В случае с микротиком-линуксом там понятно, можно помечать соединения в conntrack в фаирволе. Думаю если бы вместо 9300 был какой микрот я бы решил задачу.

Но как пометить соединения у циски?

Есть решение с одним роутером и двумя провайдерами, например можно сделать дополнительный нат через лупбек чтобы менять SRC IP у пакетов пришедших через 2 интерфейс - например https://habr.com/ru/post/117573/

Но как то это костыльно и мне не очень нравиться делать дополнительный NAT на одном из двух роутеров.

Есть еще решения через ip nat outside source, либо же повесить второй айпишник на виртуалку - https://habr.com/ru/post/80555/.

Тоже так себе.

Одно найденное решение для одного роутера мне понравилось - https://habr.com/ru/post/323108/ - суть в том что на каждого провайдера есть свой VRF и еще один локальный, плюс между ними BGP.

Тут уже интереснее, есть два маршрута по дефолту. Я начал гуглить дальше и узнал что у циски есть балансировка в CEF с учетом портов SRC и DST.

Начал думать как прикрутить такое решение на схему. Есть пара мыслей.

Хотел сделать VRF на 9300 чтобы в него загнать виртуалку и для нее же прописать два маршрута по дефолту, чтобы там cef балансировал по своей схеме cef polarization. Но оказалось, что текущая лицензия на 9300 не поддерживает VRF (Network Essential)

Собрал аналогичный стенд из трех цисок 887 и одного коммутатора, сделал подобную схему но без VRF, на той циске которая на стенде вместо ядра сети, включил ip cef load-sharing algorithm include-ports source destination, создал влан туда подключил виртуалку с веб сервисом, который показывает c какого айпи идет обращение. На двух других цисках сделал нат, пробросил порты. Вобщем все аналогично. Сделал 2 влана типа 2 провайдера, и с них обращался на два айпишника.

Вроде бы это даже начало работать как надо, но в такой схеме 2 маршрута по дефолту будут в глобальной таблице а не в VRF, а этого бы не хотелось делать на ядре сети в боевой схеме. Хотелось бы чисто роут мапами рулить.

Вопросы:

1. Как же все таки в такой схеме с CISCO сделать так чтобы ответ уходил туда откуда он пришел?

2. Реализуемо ли это впринципе через route-map ? я что то не понимаю как надо задать критерий. Ведь сурс адрес извне может быть любым и придти он может с любого интерфейса. А отвечает виртуалка тоже с одного адреса.

3. Можно ли без VRF сделать балансировку для одного влана?

4. И меня всё таки смущает почему почти нигде не пишут про такой кейс и использование балансировки через ip cef. Это не бест-практикс? Как тогда сделать?

Здравствуйте!
Как настроить звонок на группу номеров только с одного номера
Есть транзитный VoIP шлюз Cisco
АТС > Сisco > БС Тетра
!
dial-peer voice 1 voip
description-pattern to BS-Tetra
destination-pattern 36...
session target ipv4:192.168.1.100
session protocol sipv2

dial-peer voice 2 voip
description-pattern to ATS
destination-pattern 63...
session target ipv4:192.168.1.135
session protocol sipv2

С АТС можно позвонить на любые номера базовой станции к примеру набрав 36100 мы попадаем на БС, но нам необходимо ограничить звонки на номера 36[8-9].. приходящие с АТС
Настроить звонки на номера 36[8-9].. только с номера АТС 63001
Но при этом что бы с номера 63001 звонки уходили на другие номера пуля 36...

Как это можно реализовать?

Добрый день!
У меня возникла проблема с ограничением полосы пропускания на коммутаторе Catalyst 4500 L3 Switch, а точнее на WS-C4900M.
Мне нужно ограничить скорость доступа в интернет на порту этого коммутатора для определенного хоста.

IP хоста: 192.168.1.105

access-list 111 permit ip host 192.168.1.105 any

class-map match-all test_customer
  match access-group 111

policy-map customer_policy
class test_customer
    shape average 60000000

interface GigabitEthernet2/10
service-policy output customer_policy

В этом случае я, действительно, ограничиваю download для клиента.
Но не могу ограничить upload.
Прикрепляя подобный policy на input интерфейса я получаю ошибку:
% A service-policy with queuing actions cannot be attached in input direction.

Я не самый большой знаток cisco и с cisco policy вообще не имел дела ранее.
Я немного в тупике.
Гугление не помогло - за выходные перечитал кучу информации по QoS на cisco.com, но просветление так и не наступило.

В моем случае, меня бы устроило даже ограничение в целом скорости на порту,
без разделения на хосты и т.д, т.е. подошел бы аналог команды srr-queue, но её здесь нет.

Спасибо

    

Привет всем!

Имеется два объединённых 48-портовых Catalyst 3850, подключенная транком Cisco 2921 и прокси на Linux с внутренним и внешним интерфейсами. Внутренние сети разруливает router on stick Cisco 2911
2921 занимается BGP, а также передаёт белый ip x.x.x.x на прокси через 3850 посредством VLAN 1500.
На 3850 имеются интерфейсы vlan100 (внутренняя сеть, скажем, 10.10.1.7/23), vlan200 (сеть управления 10.10.2.1/24) и несколько транзитных VLAN без интерфейсов, в том числе 1500.

В один прекрасный день 2921 была перезагружена, и после этого пропала связь с белого ip прокси до интернета. В процессе копания были обнаружены странности в ARP-таблице свитча. А именно, белый ip прокси x.x.x.x (и некоторые другие из той же подсети), причём на интерфейсе vlan100 и с внутренним MAC прокси! Можно было бы заподозрить какое-нибудь случайное физическое соединение VLAN 100 и 1500, но ничего подобного нет. В итоге, на vlan100 был сделан no ip addr и всё заработало. ARP тоже пришёл в норму.

Но самое главное, я не понимаю, как может быть в ARP-таблице адрес из сети, айпишников которой нет на свитче? Знающие люди, просветите, пожалуйста. Не хотелось бы наступить на грабли ещё раз.

всем хай. хочу купить домой роутер Cisco RV340W (другие фирмы не предлагать) для 2-х провайдеров, но возникли некоторые вопросы

роутер Cisco RV340W сможет полностью раздельно работать на отдельных интернет провайдерах? по умолчания настроено на балансировку, то есть совместную работу

там wan1+vlan1 и wan2+vlan2 можно же настроить? в их эмуляторе не понятно это

сколько ещё по времени будут обновляться базы антивируса и ips? ведь роутер снят с продажи ещё в сентябре

если включить IPS в настройках, то насколько медленнее станет работать роутер? IPS много системных ресурсов забирает?

в настройках нужно обязательно входить в свой аккаунт smart accaunt cisco? без этой учётки я смогу управлять же роутером через веб в дальнейшем без проблем? не заблокируется управление роутером? smart accaunt у них только для компаний предоставляется

Доброго времени суток.
Есть Cisco 3750E, к 6-и портам  подключены IP стримеры, которые между собой передают мультикаст.
Вот конфиг

Building configuration...

Current configuration : 5104 bytes
!
version 12.2
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname stream
!
boot-start-marker
boot-end-marker
!
enable password 7 023C010B585B5838441E
!
username stream privilege 15 secret 5 $1$Vyvo$t/vWoFpgvll6W1bHnYv/N1
!
!
aaa new-model
!
!
aaa authentication login default local
!
!
!
aaa session-id common
switch 3 provision ws-c3750e-24td
system mtu routing 1500
!
!
no ip domain-lookup
ip domain-name e3750.local
ip multicast-routing distributed
ip igmp snooping querier
ip igmp snooping vlan 2 querier address 10.2.2.2
ip igmp snooping vlan 255 querier address 10.255.255.255
ip igmp profile 1
permit
range 239.2.0.0 239.255.255.255
ip igmp profile 200
permit
range 239.255.0.1 239.255.0.250
ip igmp profile 255
permit
range 239.255.0.0 239.255.255.255
!
!
crypto pki trustpoint TP-self-signed-1731329792
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-1731329792
revocation-check none
rsakeypair TP-self-signed-1731329792
!
!
crypto pki certificate chain TP-self-signed-1731329792
certificate self-signed 01
3082024A 308201B3 A0030201 02020101 300D0609 2A864886 F70D0101 04050030
31312F30 2D060355 04031326 494F532D 53656C66 2D536967 6E65642D 43657274
69666963 6174652D 31373331 33323937 3932301E 170D3933 30333031 30303031
31365A17 0D323030 31303130 30303030 305A3031 312F302D 06035504 03132649
4F532D53 656C662D 5369676E 65642D43 65727469 66696361 74652D31 37333133
32393739 3230819F 300D0609 2A864886 F70D0101 01050003 818D0030 81890281
8100941E 22BFF34B 7EB76B04 13D570F8 5DB28037 9E3B23CA FF50E60F FA9C8C9B
015037EB 7D083595 AAF06F90 872FAAA3 037E2BD0 6C655B33 79F3C486 8FF9EE61
3AA1B71C 0B3FC852 01D39D3C FF3C26AE C22B985D FEB329B6 F59EEE0B E410E1DA
C79B0FA3 17A290E5 588B4E60 4E0E1EA0 99E7B1AE 81381E42 C3A62D40 5E933A47
C3AF0203 010001A3 72307030 0F060355 1D130101 FF040530 030101FF 301D0603
551D1104 16301482 12737472 65616D2E 65333735 302E6C6F 63616C30 1F060355
1D230418 30168014 329B1524 F474AB7F 4D211895 5AC5432F 72EBFDFD 301D0603
551D0E04 16041432 9B1524F4 74AB7F4D 2118955A C5432F72 EBFDFD30 0D06092A
864886F7 0D010104 05000381 81003F6E 5DDB52BF 73C51BB5 071B7B84 4717E21E
A73FB055 43579190 A952C9BE 213C005B CE996AFE E821D3D7 E02B0A17 2A477A1D
3BB00AAA DA73D666 17FAEB83 0D86C6C7 E2B98CD2 709EAEED 7D38B37A D936F47C
D0DBC067 22363283 D3185DDA F502DCD2 7F79C1BF C108E504 3468B640 7C3F204B
650650B9 7A6BEE4A A137A2DF 7C4E
quit
spanning-tree mode pvst
spanning-tree extend system-id
!
!
!
no errdisable detect cause gbic-invalid
no errdisable detect cause sfp-config-mismatch
errdisable recovery cause gbic-invalid
!
vlan internal allocation policy ascending
!
ip ssh version 2
!
!
interface FastEthernet0
ip address 192.168.88.50 255.255.255.0
!
interface GigabitEthernet3/0/1
switchport access vlan 2
ip igmp filter 1
!
interface GigabitEthernet3/0/2
switchport access vlan 2
ip igmp filter 1
!
interface GigabitEthernet3/0/3
switchport access vlan 2
ip igmp filter 1
!
interface GigabitEthernet3/0/4
switchport access vlan 2
ip igmp filter 2
!
interface GigabitEthernet3/0/5
switchport access vlan 2
ip igmp filter 2
!
interface GigabitEthernet3/0/6
switchport access vlan 2
ip igmp filter 2
.
Теперь есть задача, принять мультикаст от оператора.
Оператор для настройки порта дал следующие параметры
ip - 10.1.52.218-10.1.52.222

mask 255.255.255.248
gw 10.1.52.217
multicast IP 239.255.0.151:5500
Сказали, что гетвей обязателен, я сейчас принимаю стрим на сервере под ubuntu, и отправляю на Cisco, во влан 2.
Вот конфиг интерфейса на Ubuntu 

address 10.1.52.218
netmask 255.255.255.248
gateway 10.1.52.217
Все работает, но я хочу стрим принять прямо на Cisco, подскажите пожалуйста, возможно ли принять на Cisco 3750, если требуется гетвей, и если да, как это реализовать.
Заранее спасибо

Добрый день, Уважаемые!

Возникла ситуация с выносом сервера компании в сторонний датацентр. Там будет свой маршрутизатор и свой интернет канал.

В связи с этим возник вопрос: Возможно ли соединить маршрутизатор в офисе с маршрутизатором в ДЦ так, чтобы у сервера в ДЦ не менялась подсеть. Т.е. соединить на L2 уровне?

Условно, чтобы при переносе сервера в ДЦ ни у кого в офисе не возникло необходимости менять адрес сервера, как будто он так и остался в офисе.

Как это реализовать и есть ли минусы у этого подхода?
Сразу на замечания о широковещательном домене отмечу, что сервера в своём VLAN'е сидят, а пользователи в своём. Просто сервера не все переезжают в ДЦ, поэтому проще будет не менять их сетевые адреса.

Здравствуйте коллеги

Фазы поднимается но нету трафика помогите

День добрый. Настроил 802.1x на коммутаторе cisco 2960. Radius настроен на NPS(2016). При первичном подключении клиентского компьютера, проверка подлинности проходить,появляется форма ввода логина и пароля, пользователь вводить свой логин и пароль (Active Directory) и получает доступ к сети. После выключение  или после перезагрузки компьютера, не появляется форма ввода логина и пароля и проверка подлинности не проходить. Но если после выключение или перезагрузки вручную отключить сетевое подключение и обратно включить, заново появляется форма ввода логина и пароля и проверка подлинности проходить. Хотелось бы, чтобы форма ввода логина и пароля проверки подлинности работала автоматически после выключение или перезагрузки компа. Подскажите пожалуйста где нужно настраивать и как настраивать, чтобы процесс проверки подлинности пользователя работал как надо?

Всем привет!

Контроллер WLC 5508

Проконсультируйте пжл, как грамотнее мониторить конкретную точку доступа на предмет отваливающихся клиентов и установить при этом причину отвала. Время от времени отваливаются клиенты от определенной точки, есть предположение, что плохой сигнал.

Какие есть варианты? Возможно ли снять дамп точки? или возможно посредством snmp?!

В syslog не увидел записей на этот счет.

Всем привет. Помогите решить проблему с прохождением RTP трафика
Есть fpr1010 с прошивкой ASA 9.15.1, в локальной сети есть сервер freepbx. на freepbx открыты sip 5060 и pjsip 5160
На ASA открыты порты 5060 и 5160 на outside1 интерфейсе и сделан статический проброс портов в настройках nat
Инспекция SIP выключена
телефоны подключаются из внешней сети интернет.
для SIP порт 5060 все работает, регистрация выполняется, звук есть. звонки проходят во все стороны во всех возможных комбинациях.
для PJSIP порт 5160 проходит только регистрация, звука нет в обе стороны, то есть ASA не открывает динамически RTP порты.
вижу это в логах: UDP request discarded from 83.149.23.170/20994 to outside1:xx.xx.xx.xx/10632

сегодня 100% точно локализовал что это проблема в ASA, написал 10 правил статического проброса RTP с 10000- 10010 udp порт, на Asterisk изменил диапазон RTP 10000-10010, и звук пошел!

как победить?

Добрый день Уважаемые!

Подскажите пожалуйста, мне надо на mikrotik'е выполнять ежеминутно скрипт и его результат отдавать POST'ом в веб-приложение.

В целом то и проблем нет, сделать нужный вывод в файл и отправить этот файл POST'ом. Но вот как я понимаю файл-то будет сформирован на флешке микротика, и она в таком случае быстренько погибнет от постоянной перезаписи.

Итого у меня 3 вопроса:

1. Можно ли на микроте сделать что-то типа tmpfs в оперативной памяти? Чтобы писать туда. Файлики маленькие, а памяти там 1 гиг, со свободными постоянно более 600мег. Мне бы 10МБ хватило.

2. Можно ли и как отправить POST'ом вывод команды без промежуточного файла? Дайте пожалуйста пример, например получить список адресов на интерфейсах.

3. Ещё какие-то может есть варианты?

Добрый день!
Настраиваю марштуризатор на базе
Quagga 1.1.1
Debian 9.13

На данной системе давно и успешно работает BGP на IPv4.
Пришло время вводить в сети IPv6.
Настроил IPv6 BGP соседство с тем же хостом с которым настроено по IPv4.

Конфигурация Quagga:

interface eth0.1
ipv6 address aaaa:111:1::55/64

router bgp XXXXX
bgp router-id
no bgp default ipv4-unicast
neighbor aaaa:111:1::99 remote-as XXXXX
neighbor aaaa:111:1::99 description Go-To-WORLD

address-family ipv6
network aaaa:111:10::/48
neighbor aaaa:111:1::99 activate
neighbor aaaa:111:1::99 soft-reconfiguration inbound
neighbor aaaa:111:1::99 route-map IPv6-IN in
neighbor aaaa:111:1::99 route-map IPv6-OUT out
exit-address-family
exit

route-map IPv6-IN permit 10
route-map IPv6-OUT permit 10

Удаленный хост aaaa:111:1::99 подключен в внешним каналам связи.
Он получает IPv6 маршруты от апстримов и отдает мне на сервер aaaa:111:1::55/64.

Мой же сервер их также получает:

#show ipv6 bgp neighbors aaaa:111:1::99 received-routes

*> 2001:200:c000::/35
                    aaaa:111:1::99                100       0 YYYY 6939 7500 23634 i
*> 2001:200:e000::/35
                    aaaa:111:1::99                100       0 YYYY 6939 2516 7660 7660 7660 i
*> 2001:218::/32    aaaa:111:1::99                100       0 YYYY 1299 2914 i
*> 2001:218:2200::/40
                    aaaa:111:1::99                100       0 YYYY 1299 2914 18259 i
*> 2001:218:3004::/48
                    aaaa:111:1::99                100       0 YYYY 1299 2914 20940 20940 i
*> 2001:218:8000::/38
                    aaaa:111:1::99                100       0 YYYY 1299 2914 i
...

Мир по IPv6 доступен с маршрутизатора:

# traceroute 2001:218:8000::5
traceroute to 2001:218:8000::5 (2001:218:8000::5), 30 hops max, 80 byte packets
1  aaaa:111:1::99 (aaaa:111:1::99)  0.334 ms  0.301 ms  0.272 ms
2  * * *
3  2a02:280:0:200:213:130:30:18 (2a02:280:0:200:213:130:30:18)  10.593 ms  10.611 ms  10.632 ms
4  * * *
5  ffm-bb2-v6.ip.twelve99.net (2001:2034:1:6c::1)  47.302 ms ffm-bb1-v6.ip.twelve99.net (2001:2034:1:6b::1)  45.126 ms  45.102 ms
6  ntt-ic323130-ffm-b5.ip.twelve99-cust.net (2001:2000:3080:12bb::2)  42.716 ms  44.215 ms  42.590 ms
7  ae-2.r20.frnkge13.de.bb.gin.ntt.net (2001:728:0:2000::111)  46.743 ms  45.923 ms  42.240 ms
8  ae-14.r21.londen12.uk.bb.gin.ntt.net (2001:728:0:2000::15d)  56.189 ms  52.158 ms  56.108 ms
9  ae-13.r25.asbnva02.us.bb.gin.ntt.net (2001:418:0:2000::5e)  139.412 ms  137.820 ms  143.542 ms
10  ae-2.r25.lsanca07.us.bb.gin.ntt.net (2001:418:0:2000::1be)  178.196 ms  179.824 ms *
11  ae-12.r31.tokyjp05.jp.bb.gin.ntt.net (2001:218:0:2000::61)  273.880 ms  281.476 ms  294.651 ms
12  ae-2.r22.taiptw01.tw.bb.gin.ntt.net (2001:218:0:2000::d2)  313.556 ms  322.096 ms  308.015 ms
13  ae-6.r02.taiptw01.tw.bb.gin.ntt.net (2001:218:0:2000::4e)  310.145 ms  321.012 ms  313.519 ms

Но для меня непонятным является состояние таблицы маршрутизации:

# show ipv6 route

B>* 2001:200::/32 [200/0] via fe80::65c:6c00:2a8:804b, eth0.2, 00:30:40
B>* 2001:200:900::/40 [200/0] via fe80::65c:6c00:2a8:804b, eth0.2, 00:30:40
B>* 2001:200:c000::/35 [200/0] via fe80::65c:6c00:2a8:804b, eth0.2, 00:30:40
B>* 2001:200:e000::/35 [200/0] via fe80::65c:6c00:2a8:804b, eth0.2, 00:30:40
B>* 2001:218::/32 [200/0] via fe80::65c:6c00:2a8:804b, eth0.2, 00:30:40

# ip -6 route
2001:200:e000::/35 via fe80::65c:6c00:2a8:804b dev eth0.1 proto zebra metric 20  pref medium
2001:200::/32 via fe80::65c:6c00:2a8:804b dev eth0.1 proto zebra metric 20  pref medium
2001:218:2200::/40 via fe80::65c:6c00:2a8:804b dev eth0.1 proto zebra metric 20  pref medium
2001:218:3004::/48 via fe80::65c:6c00:2a8:804b dev eth0.1 proto zebra metric 20  pref medium

# netstat -6 -rn
2001:218::/32                  fe80::65c:6c00:2a8:804b    UG   20  1     1 eth0.1
2001:240::/32                  fe80::65c:6c00:2a8:804b    UG   20  0     0 eth0.1
2001:250::/32                  fe80::65c:6c00:2a8:804b    UG   20  0     0 eth0.1
2001:251::/32                  fe80::65c:6c00:2a8:804b    UG   20  0     0 eth0.1

Как видите, в качестве next-hop выступает локальный адрес интерфейса fe80::65c:6c00:2a8:804b,
а не адрес BGP соседа (aaaa:111:1::99) от которого получен маршрут.

Маршрутизатор aaaa:111:1::99 отдает маршруты с опцией next-hop self

Пробовал на входящие маршруты маршруты вешать:
route-map IPv6-IN permit 10
set ipv6 next-hop peer-address

Ситуация никак не изменилась.

Как мне побороть эту проблему?
В какую сторону копать?

Спасибо

Добрый день!

Друзья, подскажите пожалуйста. Есть центральный микрот (А), и есть несколько филиалов тоже с микротами (B,C,...).

Они между собой соединены через PPTP. Где (A) - PPTP сервер, а остальные - клиенты.

Сосбтвенно вопрос: Можно ли на (A) задавать маршруты которые будут получать при подключении удалённые микроты?

Здравствуйте. Помогите неучу познать сети. Сразу к примеру. По ссылке простейшая схема маршрутизации посредством двух роутеров

https://wiki.mikrotik.com/wiki/Simple_Static_Routes_Example

Но что делать если роутер у меня один, а сети 2? Как обойтись одним роутером? Условно, распилить рисунок по ссылке пополам так, что останутся сети 192.168.2.0 и 192.168.21.0 и настроить общение между ними?

Смиренно прошу объяснить мне что я хочу и как называется то, что я хочу

Добрый день друзья!

Пришёл в организацию, где сеть построена плоская, без VLAN'ов. ПК порядка 200, и ещё всякие сетевые устройства.
Сеть построена на управляемых L2 коммутаторах, но используются они просто как свичи. Центр сети - маршрутизатор микротик.
В сети несколько подсетей - организованых просто статическими адресами, с маршрутизатором сежду ними - вышеуказанным микротом.

Собственно решил я реорганизовать это хозяйство и нарезать на VLAN'ы. И собственно весь вопрос в том, как бы это безболезненней сделать. Подскажите пожалуйста рабочую схему.

Пока придумал так: Начать с микрота, на нём поднять все VLAN'ы, но единственный порт в который входит вся остальная сеть - access'ом для одного из поднятых VLAN'ов. И на этом влане повесить текущий DHCP. Таким образом для сетки вроде как ничего не изменится.

Далее на коммутаторе с которого идёт этот один путь на микрот - этот порт и соответствующий порт микрота переделать в транк, а все остальные порты коммутатора в ACCESS для того же самого VLAN'а.

А уж потом порты в зависимости от оборудования за ними переводить в соответствующие VLAN'ы ACCESS'ы и транки. Рабочая ли схема? И как вы бы подошли?

https://wdfiles.ru/a833bb  ---- ССЫЛКА НА СХЕМУ.

Здравствуйте, уважаемые админы!

У нашей группы с одним преподом вышел спор(дружеский) на тему, что мы-де не салаги а уже настоящие программисты.
И препод по приколу предложил пройти нам тест "для настоящих админов",который он заготовил сам.

Результат: никто из группы (25 чел) больше 3-х вопросов не осилил, а доцент над нами только посмеивался и сказал-спросите у настоящих айтишников!
хитрость его была в том что вопросы очень сложные и затрагивают тематику сетей.
конечно в данном случае доцент прав, но все таки хотелось бы понять,

Подскажите пжл кто-нибудь кто сталкивался с такими вопроосами? Если есть возможность, не только напишите ответ, но и объясните,
почему ответ именно такой?

вот некоторые вопросы.

1. Перечислите 4 первых уровня модели OSI. Распределите к какому уровню будут относиться следующие адреса и протоколы:
UDP, MAC, TCP, IP, ARP,HTTP,VRRP,VLAN

2. Какой из сетей 192.168.1.64/26, 192.168.1.0/27, 192.168.1.48/28 будет принадлежать адрес 192.168.1.55? Ответ запишите в
формате номер сети, маска в формате 255…., шлюз - последний адрес сети.

3. Маршрутизатору требуется передать пакет по адресу 10.1.1.15. В таблице маршрутизации есть маршруты к сетям

10.0.0.0/8,

10.1.1.0/24,

0.0.0.0/0.

По какому маршруту будет передан пакет?

4. Есть сеть: 192.168.1.0/24, разделите на 8 равных подсетей, в ответе запишите 4 из них в следующем порядке: 1, 3, 6, 8 в
формате 192.168…., 255.255…..

5. Есть сеть: 192.168.0.0/16, выделите из данного диапазона 4 наименьших подсети, так, чтобы они не пересекались между
собой:

1-я сеть: на 256 устройств
2-я сеть: на 1315 устройств
3-я сеть: на 80 устройств
4-я сеть: на 8 устройств

6. Какие из перечисленных сетей выделены правильно:
1. 192.168.25.48   255.255.255.224
2. 10.172.0.192   255.255.255.240
3. 172.16.1.160   255.255.255.192
4. 10.172.16.0   255.255.252.0

в ответе запишите правильные сети в формате 192.168.100.0/28

7. Вопрос по схеме: при передаче пакета от PC на Server какие ip и mac-адреса отправителя и получателя будут
в точках: B, D, G. Считаем, что маршрут между PC и Server идет через GRE-туннель.

8. Вопрос по схеме: запишите результат выполнения команды на ПК: tracert 192.168.1.135. Считаем, что маршрут между PC и
Server идет через GRE-туннель.

9. Вопрос по схеме: как изменится результат выполнения команды tracert из предыдущего вопроса в случае отсутствия
GRE-туннеля и маршрутизации пакетов через Ethernet интерфейсы между маршрутизаторами?
    
    
10. Необходимо включить процесс №1 OSPF'а на интерфейсе на оборудовании Cisco с area 10. Какой командой это делается?

    
11. Добавьте недостающие части конфигурации на оборудовании Huawei для добавления в BGP статических маршрутов

bgp 64942
  peer 10.222.211.56 as-number 64942
  peer 10.222.211.56 connect-interface LoopBack0
  import-route direct
  network 10.222.211.56 255.255.255.255

12. Имеется 2 маршрутизатора Cisco  и Huawei соединенные прямыми L3 интерфейсам

Cisco:
Interface GigabitEthernet0/0/1
  ip address 192.168.0.1 255.255.255.252
router ospf 1
  router-id 1.1.1.1
  network 192.168.0.0 0.0.0.255 area 0

Huawei:
interface GigabitEthernet0/0/0
  ip address 192.168.0.2 255.255.255.252
ospf 12 router-id 1.1.1.2
  area 0.0.0.0
    network 192.168.0.0 0.0.0.3

Поднимется ли соседство между маршрутизаторами? Если нет, исправьте конфигурацию до корректной.

-------------------------------------------------------------------------------------------------------------

13. Имеется конфигурация со стороны филиала, оборудование Cisco

router bgp 64962
  network 10.192.83.22 mask 255.255.255.255
  redistribute connected
  neighbor 10.192.135.209 remote-as 65162
  neighbor 10.192.135.209 password sbrfBGP
  neighbor 10.192.135.209 route-map bgp_export out

Имеется проблема, префикс 10.192.83.22/32 прилетаем на центральный узел без bgp community хотя должен согласно настроенному route-map, исправьте конфигурацию для решения проблемы

Здравствуйте.
   Появилась услуга у Билайна, аренда маленького комбайна Huawei AR617 c двумя симками и работы в режиме lte маршрутизатора.
схема какая две симки с серыми адресами, одна Билайн, вторая  Мегафон. Они ломятся на шлюз по l2tp с логином и паролем, на virtualtemplate выдается белый айпи и все работает.
   Мне предложили в одном из городов оптику от билайна, PPPoE, я радостный согласился, но мне выдали те же логин, пароль и айпи. Как заставить в таких условиях железку работать через оптику, а в случае отказа уходить на LTE?

Мне интересно, какой будет лучший и недорогой маршрутизатор и коммутатор Cisco для дома. Я хочу, чтобы у них была полная версия интерфейса командной строки Cisco IOS, чтобы я мог практиковаться и получать знания для своего CCENT и не только. Я также хочу использовать их в своей домашней сети, поэтому я хотел бы иметь гигабитные порты, а не быстрый Ethernet. Мне не нужна функция Wi-Fi, потому что я могу переключить свой текущий маршрутизатор в режим AP и использовать его.

Есть ли у кого-нибудь предложения по этому поводу?

Всем привет!

Железка Cisco WS-C3560X-24P
При загрузке канала через Tunnel0, процессор сильно грузится и канал разгоняется только до 9-10 Mbps  в одну сторону. Почему так грузится CPU? Как снизить нагрузку?

interface Vlan2
description ISP_1
ip address 192.168.1.154 255.255.255.248
end

interface GigabitEthernet0/23
description ISP_1
switchport access vlan 2
speed 100
duplex full

interface Tunnel0
description over_ISP1
ip address 192.168.2.165 255.255.255.254
ip mtu 1400
ip ospf cost 10
tunnel source Vlan2
tunnel destination 10.10.10.1
end

#sh proc cpu sorted
CPU utilization for five seconds: 99%/14%; one minute: 99%; five minutes: 96%
PID Runtime(ms)   Invoked      uSecs   5Sec   1Min   5Min TTY Process
183   5177327601030181438        502 58.70% 58.22% 55.00%   0 IP Input
143    49121522 279862942        175  6.02%  6.46%  6.63%   0 Hulc LED Process
  87    10312899 347368295         29  3.96%  4.29%  3.38%   0 HLFM address lea
  66   375186000  74336806       5047  3.17%  2.90%  2.93%   0 RedEarth Tx Mana
  65   258643303 110911016       2331  3.01%  2.89%  2.87%   0 RedEarth I2C dri
   8    27680965    198037     139780  3.01%  0.37%  0.25%   0 Licensing Auto U
106    17246805  11806080       1460  0.63%  0.61%  0.63%   0 hpm counter proc

Доброго времени суток!
Ни как не могу запустить L2TP сервер, конфигурация и логи ниже.
Подключаюсь с Win7 с адреса 2.2.2.2 на 5.5.5.5 через другого провайдера. Доходит до надписи "проверка пользователя и пароля" и через 3-4 секунды ошибка 691... Этот же роутер используется как NAT в инет.
Из ошибок в логе вижу что в начале семерка предлагает варианты и в конце они с циской сходятся на
*Apr  9 07:24:48.665: ISAKMP: (0):Checking ISAKMP transform 5 against priority 10 policy
*Apr  9 07:24:48.665: ISAKMP: (0):      encryption 3DES-CBC
*Apr  9 07:24:48.665: ISAKMP: (0):      hash SHA
*Apr  9 07:24:48.665: ISAKMP: (0):      default group 2
*Apr  9 07:24:48.665: ISAKMP: (0):      auth pre-share
*Apr  9 07:24:48.665: ISAKMP: (0):      life type in seconds
Дальше по логам вроде всё не плохо до места
*Apr  9 07:24:48.737: ISAKMP-ERROR: (0):Failed to find peer index node to update peer_info_list
Тут как я понимаю роутер не может найти у себя в каком то списке какой то индекс. Насколько это фатально я не в курсе... Вроде и иос не npe, и модуль загружен соответствующий...
Лог выводил при
deb cry isakmp
deb cry ipsec
Может не достаточно? Всегда плавал в алгоритмах шифрования :(
Или сейчас провайдеры режут такой трафик? Или пытаются вклиниться?
Помогите разобраться.

Конфигурация

aaa new-model
!
aaa authentication ppp default local
aaa authorization network default local
!
aaa attribute list vpnuser
attribute type addr 192.168.2.200 service vpdn protocol ip
!
aaa session-id common
!
no ip domain lookup
ip domain name tdts
ip cef
no ipv6 cef
!
multilink bundle-name authenticated
!
vpdn enable
!
vpdn-group 1
! Default L2TP VPDN group
accept-dialin
  protocol l2tp
  virtual-template 1
no l2tp tunnel authentication
!
license boot module c900 technology-package securityk9
!
username vpnuser password 123
redundancy
!
crypto keyring keyring_l2tp
  pre-shared-key address 0.0.0.0 0.0.0.0 key cisco
no crypto isakmp default policy
!
crypto isakmp policy 10
encr 3des
authentication pre-share
group 2
crypto isakmp key cisco address 0.0.0.0         no-xauth
crypto isakmp aggressive-mode disable
crypto isakmp profile L2TP
   keyring keyring_l2tp
   match identity address 0.0.0.0
!
crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac
mode transport
crypto ipsec transform-set ESP-AES-SHA esp-aes esp-sha-hmac
mode transport
!
crypto dynamic-map CRYPTO_MAP_REMOTE_USERS 10
set nat demux
set transform-set ESP-3DES-SHA ESP-AES-SHA
set isakmp-profile L2TP
reverse-route
!
crypto map CRYPTO_MAP 100 ipsec-isakmp dynamic CRYPTO_MAP_REMOTE_USERS
!
interface GigabitEthernet0
no ip address
!
interface GigabitEthernet1
no ip address
!
interface GigabitEthernet2
no ip address
!
interface GigabitEthernet3
no ip address
!
interface GigabitEthernet4
ip address 192.168.1.244 255.255.255.0
ip nat inside
ip virtual-reassembly in
duplex auto
speed auto
!
interface GigabitEthernet5
ip address 5.5.5.5 255.255.255.0
ip nat outside
ip virtual-reassembly in
duplex auto
speed auto
no cdp enable
crypto map CRYPTO_MAP
!
interface Virtual-Template1
ip unnumbered GigabitEthernet4
peer default ip address pool l2tppool_for_clients
keepalive 5
ppp encrypt mppe auto
ppp authentication ms-chap ms-chap-v2
!
interface Vlan1
no ip address
!
ip local pool l2tppool_for_clients 192.168.2.200 192.168.2.210
ip default-gateway 5.5.5.6
ip forward-protocol nd
no ip http server
no ip http secure-server
!
!
ip nat pool natpool 5.5.5.5 5.5.5.5 prefix-length 24
ip nat inside source list 33 interface GigabitEthernet5 overload
ip route 0.0.0.0 0.0.0.0 5.5.5.6
ip ssh version 2

Логи

*Apr  9 07:24:48.663: ISAKMP-PAK: (0):received packet from 2.2.2.2 dport 500 sport 500 Global (N) NEW SA
*Apr  9 07:24:48.663: ISAKMP: (0):Created a peer struct for 2.2.2.2, peer port 500
*Apr  9 07:24:48.663: ISAKMP: (0):New peer created peer = 0x141FF2D8 peer_handle = 0x80000066
*Apr  9 07:24:48.663: ISAKMP: (0):Locking peer struct 0x141FF2D8, refcount 1 for crypto_isakmp_process_block
*Apr  9 07:24:48.663: ISAKMP: (0):local port 500, remote port 500
*Apr  9 07:24:48.663: ISAKMP: (0):insert sa successfully sa = FF838BC
*Apr  9 07:24:48.663: ISAKMP: (0):Input = IKE_MESG_FROM_PEER, IKE_MM_EXCH
*Apr  9 07:24:48.663: ISAKMP: (0):Old State = IKE_READY  New State = IKE_R_MM1

*Apr  9 07:24:48.663: ISAKMP: (0):processing SA payload. message ID = 0
*Apr  9 07:24:48.663: ISAKMP: (0):processing vendor id payload
*Apr  9 07:24:48.663: ISAKMP: (0):processing IKE frag vendor id payload
*Apr  9 07:24:48.663: ISAKMP: (0):Support for IKE Fragmentation not enabled
*Apr  9 07:24:48.663: ISAKMP: (0):processing vendor id payload
*Apr  9 07:24:48.663: ISAKMP: (0):vendor ID seems Unity/DPD but major 69 mismatch
*Apr  9 07:24:48.663: ISAKMP: (0):vendor ID is NAT-T RFC 3947
*Apr  9 07:24:48.663: ISAKMP: (0):processing vendor id payload
*Apr  9 07:24:48.663: ISAKMP: (0):vendor ID seems Unity/DPD but major 123 mismatch
*Apr  9 07:24:48.663: ISAKMP: (0):vendor ID is NAT-T v2
*Apr  9 07:24:48.663: ISAKMP: (0):processing vendor id payload
*Apr  9 07:24:48.663: ISAKMP: (0):vendor ID seems Unity/DPD but major 194 mismatch
*Apr  9 07:24:48.663: ISAKMP: (0):processing vendor id payload
*Apr  9 07:24:48.663: ISAKMP: (0):vendor ID seems Unity/DPD but major 241 mismatch
*Apr  9 07:24:48.663: ISAKMP: (0):processing vendor id payload
*Apr  9 07:24:48.663: ISAKMP: (0):vendor ID seems Unity/DPD but major 184 mismatch
*Apr  9 07:24:48.663: ISAKMP: (0):processing vendor id payload
*Apr  9 07:24:48.663: ISAKMP: (0):vendor ID seems Unity/DPD but major 134 mismatch
*Apr  9 07:24:48.665: ISAKMP: (0):found peer pre-shared key matching 2.2.2.2
*Apr  9 07:24:48.665: ISAKMP: (0):local preshared key found
*Apr  9 07:24:48.665: ISAKMP: (0):Scanning profiles for xauth ... L2TP
*Apr  9 07:24:48.665: ISAKMP: (0):Checking ISAKMP transform 1 against priority 10 policy
*Apr  9 07:24:48.665: ISAKMP: (0):      encryption AES-CBC
*Apr  9 07:24:48.665: ISAKMP: (0):      keylength of 256
*Apr  9 07:24:48.665: ISAKMP: (0):      hash SHA
*Apr  9 07:24:48.665: ISAKMP: (0):      default group 20
*Apr  9 07:24:48.665: ISAKMP: (0):      auth pre-share
*Apr  9 07:24:48.665: ISAKMP: (0):      life type in seconds
*Apr  9 07:24:48.665: ISAKMP:      life duration (VPI) of  0x0 0x0 0x70 0x80
*Apr  9 07:24:48.665: ISAKMP-ERROR: (0):Encryption algorithm offered does not match policy!
*Apr  9 07:24:48.665: ISAKMP-ERROR: (0):atts are not acceptable. Next payload is 3
*Apr  9 07:24:48.665: ISAKMP: (0):Checking ISAKMP transform 2 against priority 10 policy
*Apr  9 07:24:48.665: ISAKMP: (0):      encryption AES-CBC
*Apr  9 07:24:48.665: ISAKMP: (0):      keylength of 128
*Apr  9 07:24:48.665: ISAKMP: (0):      hash SHA
*Apr  9 07:24:48.665: ISAKMP: (0):      default group 19
*Apr  9 07:24:48.665: ISAKMP: (0):      auth pre-share
*Apr  9 07:24:48.665: ISAKMP: (0):      life type in seconds
*Apr  9 07:24:48.665: ISAKMP:      life duration (VPI) of  0x0 0x0 0x70 0x80
*Apr  9 07:24:48.665: ISAKMP-ERROR: (0):Encryption algorithm offered does not match policy!
*Apr  9 07:24:48.665: ISAKMP-ERROR: (0):atts are not acceptable. Next payload is 3
*Apr  9 07:24:48.665: ISAKMP: (0):Checking ISAKMP transform 3 against priority 10 policy
*Apr  9 07:24:48.665: ISAKMP: (0):      encryption AES-CBC
*Apr  9 07:24:48.665: ISAKMP: (0):      keylength of 256
*Apr  9 07:24:48.665: ISAKMP: (0):      hash SHA
*Apr  9 07:24:48.665: ISAKMP: (0):      default group 14
*Apr  9 07:24:48.665: ISAKMP: (0):      auth pre-share
*Apr  9 07:24:48.665: ISAKMP: (0):      life type in seconds
*Apr  9 07:24:48.665: ISAKMP:      life duration (VPI) of  0x0 0x0 0x70 0x80
*Apr  9 07:24:48.665: ISAKMP-ERROR: (0):Encryption algorithm offered does not match policy!
*Apr  9 07:24:48.665: ISAKMP-ERROR: (0):atts are not acceptable. Next payload is 3
*Apr  9 07:24:48.665: ISAKMP: (0):Checking ISAKMP transform 4 against priority 10 policy
*Apr  9 07:24:48.665: ISAKMP: (0):      encryption 3DES-CBC
*Apr  9 07:24:48.665: ISAKMP: (0):      hash SHA
*Apr  9 07:24:48.665: ISAKMP: (0):      default group 14
*Apr  9 07:24:48.665: ISAKMP: (0):      auth pre-share
*Apr  9 07:24:48.665: ISAKMP: (0):      life type in seconds
*Apr  9 07:24:48.665: ISAKMP:      life duration (VPI) of  0x0 0x0 0x70 0x80
*Apr  9 07:24:48.665: ISAKMP-ERROR: (0):Diffie-Hellman group offered does not match policy!
*Apr  9 07:24:48.665: ISAKMP-ERROR: (0):atts are not acceptable. Next payload is 3
*Apr  9 07:24:48.665: ISAKMP: (0):Checking ISAKMP transform 5 against priority 10 policy
*Apr  9 07:24:48.665: ISAKMP: (0):      encryption 3DES-CBC
*Apr  9 07:24:48.665: ISAKMP: (0):      hash SHA
*Apr  9 07:24:48.665: ISAKMP: (0):      default group 2
*Apr  9 07:24:48.665: ISAKMP: (0):      auth pre-share
*Apr  9 07:24:48.665: ISAKMP: (0):      life type in seconds
*Apr  9 07:24:48.665: ISAKMP:      life duration (VPI) of  0x0 0x0 0x70 0x80
*Apr  9 07:24:48.665: ISAKMP: (0):atts are acceptable. Next payload is 0
*Apr  9 07:24:48.665: ISAKMP: (0):Acceptable atts:actual life: 86400
*Apr  9 07:24:48.665: ISAKMP: (0):Acceptable atts:life: 0
*Apr  9 07:24:48.665: ISAKMP: (0):Fill atts in sa vpi_length:4
*Apr  9 07:24:48.665: ISAKMP: (0):Fill atts in sa life_in_seconds:28800
*Apr  9 07:24:48.665: ISAKMP: (0):Returning Actual lifetime: 28800
*Apr  9 07:24:48.665: ISAKMP: (0):Started lifetime timer: 28800.

*Apr  9 07:24:48.667: ISAKMP: (0):processing vendor id payload
*Apr  9 07:24:48.667: ISAKMP: (0):processing IKE frag vendor id payload
*Apr  9 07:24:48.667: ISAKMP: (0):Support for IKE Fragmentation not enabled
*Apr  9 07:24:48.667: ISAKMP: (0):processing vendor id payload
*Apr  9 07:24:48.667: ISAKMP: (0):vendor ID seems Unity/DPD but major 69 mismatch
*Apr  9 07:24:48.667: ISAKMP: (0):vendor ID is NAT-T RFC 3947
*Apr  9 07:24:48.667: ISAKMP: (0):processing vendor id payload
*Apr  9 07:24:48.667: ISAKMP: (0):vendor ID seems Unity/DPD but major 123 mismatch
*Apr  9 07:24:48.667: ISAKMP: (0):vendor ID is NAT-T v2
*Apr  9 07:24:48.667: ISAKMP: (0):processing vendor id payload
*Apr  9 07:24:48.667: ISAKMP: (0):vendor ID seems Unity/DPD but major 194 mismatch
*Apr  9 07:24:48.667: ISAKMP: (0):processing vendor id payload
*Apr  9 07:24:48.667: ISAKMP: (0):vendor ID seems Unity/DPD but major 241 mismatch
*Apr  9 07:24:48.667: ISAKMP: (0):processing vendor id payload
*Apr  9 07:24:48.667: ISAKMP: (0):vendor ID seems Unity/DPD but major 184 mismatch
*Apr  9 07:24:48.667: ISAKMP: (0):processing vendor id payload
*Apr  9 07:24:48.667: ISAKMP: (0):vendor ID seems Unity/DPD but major 134 mismatch
*Apr  9 07:24:48.667: ISAKMP: (0):Input = IKE_MESG_INTERNAL, IKE_PROCESS_MAIN_MODE
*Apr  9 07:24:48.667: ISAKMP: (0):Old State = IKE_R_MM1  New State = IKE_R_MM1

*Apr  9 07:24:48.667: ISAKMP: (0):constructed NAT-T vendor-rfc3947 ID
*Apr  9 07:24:48.667: ISAKMP-PAK: (0):sending packet to 2.2.2.2 my_port 500 peer_port 500 (R) MM_SA_SETUP
*Apr  9 07:24:48.667: ISAKMP: (0):Sending an IKE IPv4 Packet.
*Apr  9 07:24:48.667: ISAKMP: (0):Input = IKE_MESG_INTERNAL, IKE_PROCESS_COMPLETE
*Apr  9 07:24:48.667: ISAKMP: (0):Old State = IKE_R_MM1  New State = IKE_R_MM2

*Apr  9 07:24:48.691: ISAKMP-PAK: (0):received packet from 2.2.2.2 dport 500 sport 500 Global (R) MM_SA_SETUP
*Apr  9 07:24:48.691: ISAKMP: (0):Input = IKE_MESG_FROM_PEER, IKE_MM_EXCH
*Apr  9 07:24:48.691: ISAKMP: (0):Old State = IKE_R_MM2  New State = IKE_R_MM3

*Apr  9 07:24:48.691: ISAKMP: (0):processing KE payload. message ID = 0
*Apr  9 07:24:48.693: ISAKMP: (0):processing NONCE payload. message ID = 0
*Apr  9 07:24:48.693: ISAKMP: (0):found peer pre-shared key matching 2.2.2.2
*Apr  9 07:24:48.693: ISAKMP: (1090):received payload type 20
*Apr  9 07:24:48.693: ISAKMP: (1090):His hash no match - this node outside NAT
*Apr  9 07:24:48.693: ISAKMP: (1090):received payload type 20
*Apr  9 07:24:48.693: ISAKMP: (1090):His hash no match - this node outside NAT
*Apr  9 07:24:48.693: ISAKMP: (1090):Input = IKE_MESG_INTERNAL, IKE_PROCESS_MAIN_MODE
*Apr  9 07:24:48.693: ISAKMP: (1090):Old State = IKE_R_MM3  New State = IKE_R_MM3

*Apr  9 07:24:48.693: ISAKMP-PAK: (1090):sending packet to 2.2.2.2 my_port 500 peer_port 500 (R) MM_KEY_EXCH
*Apr  9 07:24:48.693: ISAKMP: (1090):Sending an IKE IPv4 Packet.
*Apr  9 07:24:48.693: ISAKMP: (1090):Input = IKE_MESG_INTERNAL, IKE_PROCESS_COMPLETE
*Apr  9 07:24:48.693: ISAKMP: (1090):Old State = IKE_R_MM3  New State = IKE_R_MM4

*Apr  9 07:24:48.715: ISAKMP-PAK: (1090):received packet from 2.2.2.2 dport 4500 sport 4500 Global (R) MM_KEY_EXCH
*Apr  9 07:24:48.715: ISAKMP: (1090):Input = IKE_MESG_FROM_PEER, IKE_MM_EXCH
*Apr  9 07:24:48.715: ISAKMP: (1090):Old State = IKE_R_MM4  New State = IKE_R_MM5

*Apr  9 07:24:48.715: ISAKMP: (1090):processing ID payload. message ID = 0
*Apr  9 07:24:48.715: ISAKMP: (1090):ID payload
        next-payload : 8
        type         : 1
*Apr  9 07:24:48.715: ISAKMP: (1090):   address      : 192.168.1.132
*Apr  9 07:24:48.715: ISAKMP: (1090):   protocol     : 0
        port         : 0
        length       : 12
*Apr  9 07:24:48.715: ISAKMP: (0):peer matches L2TP profile
*Apr  9 07:24:48.715: ISAKMP: (1090):Found ADDRESS key in keyring keyring_l2tp
*Apr  9 07:24:48.715: ISAKMP: (1090):processing HASH payload. message ID = 0
*Apr  9 07:24:48.715: ISAKMP: (1090):SA authentication status:
        authenticated
*Apr  9 07:24:48.715: ISAKMP: (1090):SA has been authenticated with 2.2.2.2
*Apr  9 07:24:48.715: ISAKMP: (1090):Detected port floating to port = 4500
*Apr  9 07:24:48.715: ISAKMP: (0):Trying to insert a peer 5.5.5.5/2.2.2.2/4500/,
*Apr  9 07:24:48.715: ISAKMP: (0): and inserted successfully 141FF2D8.
*Apr  9 07:24:48.715: ISAKMP: (1090):Input = IKE_MESG_INTERNAL, IKE_PROCESS_MAIN_MODE
*Apr  9 07:24:48.715: ISAKMP: (1090):Old State = IKE_R_MM5  New State = IKE_R_MM5

*Apr  9 07:24:48.715: ISAKMP: (1090):SA is doing
*Apr  9 07:24:48.715: ISAKMP: (1090):pre-shared key authentication using id type ID_IPV4_ADDR
*Apr  9 07:24:48.715: ISAKMP: (1090):ID payload
        next-payload : 8
        type         : 1
*Apr  9 07:24:48.715: ISAKMP: (1090):   address      : 5.5.5.5
*Apr  9 07:24:48.715: ISAKMP: (1090):   protocol     : 17
        port         : 0
        length       : 12
*Apr  9 07:24:48.715: ISAKMP: (1090):Total payload length: 12
*Apr  9 07:24:48.715: ISAKMP-PAK: (1090):sending packet to 2.2.2.2 my_port 4500 peer_port 4500 (R) MM_KEY_EXCH
*Apr  9 07:24:48.715: ISAKMP: (1090):Sending an IKE IPv4 Packet.
*Apr  9 07:24:48.715: ISAKMP: (1090):Input = IKE_MESG_INTERNAL, IKE_PROCESS_COMPLETE
*Apr  9 07:24:48.715: ISAKMP: (1090):Old State = IKE_R_MM5  New State = IKE_P1_COMPLETE

*Apr  9 07:24:48.715: ISAKMP: (1090):Input = IKE_MESG_INTERNAL, IKE_PHASE1_COMPLETE
*Apr  9 07:24:48.715: ISAKMP: (1090):Old State = IKE_P1_COMPLETE  New State = IKE_P1_COMPLETE

*Apr  9 07:24:48.737: ISAKMP-PAK: (1090):received packet from 2.2.2.2 dport 4500 sport 4500 Global (R) QM_IDLE
*Apr  9 07:24:48.737: ISAKMP: (1090):set new node 1 to QM_IDLE
*Apr  9 07:24:48.737: ISAKMP: (1090):processing HASH payload. message ID = 1
*Apr  9 07:24:48.737: ISAKMP: (1090):processing SA payload. message ID = 1
*Apr  9 07:24:48.737: ISAKMP: (1090):processing NAT-OAi payload. addr = 192.168.1.132, message ID = 1
*Apr  9 07:24:48.737: ISAKMP: (1090):processing NAT-OAr payload. addr = 5.5.5.5, message ID = 1
*Apr  9 07:24:48.737: ISAKMP: (1090):Checking IPSec proposal 1
*Apr  9 07:24:48.737: ISAKMP: (1090):transform 1, ESP_AES
*Apr  9 07:24:48.737: ISAKMP: (1090):   attributes in transform:
*Apr  9 07:24:48.737: ISAKMP: (1090):      encaps is 4 (Transport-UDP)
*Apr  9 07:24:48.737: ISAKMP: (1090):      key length is 128
*Apr  9 07:24:48.737: ISAKMP: (1090):      authenticator is HMAC-SHA
*Apr  9 07:24:48.737: ISAKMP: (1090):      SA life type in seconds
*Apr  9 07:24:48.737: ISAKMP:      SA life duration (VPI) of  0x0 0x0 0xE 0x10
*Apr  9 07:24:48.737: ISAKMP: (1090):      SA life type in kilobytes
*Apr  9 07:24:48.737: ISAKMP:      SA life duration (VPI) of  0x0 0x3 0xD0 0x90
*Apr  9 07:24:48.737: ISAKMP: (1090):atts are acceptable.
*Apr  9 07:24:48.737: IPSEC(validate_proposal_request): proposal part #1
*Apr  9 07:24:48.737: IPSEC(validate_proposal_request): proposal part #1,
  (key eng. msg.) INBOUND local= 5.5.5.5:0, remote= 2.2.2.2:0,
    local_proxy= 5.5.5.5/255.255.255.255/17/1701,
    remote_proxy= 2.2.2.2/255.255.255.255/17/1701,
    protocol= ESP, transform= esp-aes esp-sha-hmac  (Transport-UDP),
    lifedur= 0s and 0kb,
    spi= 0x0(0), conn_id= 0, keysize= 128, flags= 0x0
*Apr  9 07:24:48.737: (ipsec_process_proposal)Map Accepted: CRYPTO_MAP_REMOTE_USERS, 10
*Apr  9 07:24:48.737: ISAKMP: (1090):processing NONCE payload. message ID = 1
*Apr  9 07:24:48.737: ISAKMP: (1090):processing ID payload. message ID = 1
*Apr  9 07:24:48.737: ISAKMP: (1090):processing ID payload. message ID = 1
*Apr  9 07:24:48.737: ISAKMP: (1090):received payload type 21
*Apr  9 07:24:48.737: ISAKMP: (1090):received payload type 21
*Apr  9 07:24:48.737: ISAKMP: (1090):QM Responder gets spi
*Apr  9 07:24:48.737: ISAKMP: (1090):Node 1, Input = IKE_MESG_FROM_PEER, IKE_QM_EXCH
*Apr  9 07:24:48.737: ISAKMP: (1090):Old State = IKE_QM_READY  New State = IKE_QM_SPI_STARVE
*Apr  9 07:24:48.737: ISAKMP: (1090):Node 1, Input = IKE_MESG_INTERNAL, IKE_GOT_SPI
*Apr  9 07:24:48.737: ISAKMP: (1090):Old State = IKE_QM_SPI_STARVE  New State = IKE_QM_IPSEC_INSTALL_AWAIT
*Apr  9 07:24:48.737: IPSEC(key_engine): got a queue event with 1 KMI message(s)
*Apr  9 07:24:48.737: IPSEC(crypto_ipsec_create_ipsec_sas): Map found CRYPTO_MAP_REMOTE_USERS, 10
*Apr  9 07:24:48.737: IPSEC(get_old_outbound_sa_for_peer): No outbound SA found for peer 11B177E0
*Apr  9 07:24:48.737: IPSEC(create_sa): sa created,
  (sa) sa_dest= 5.5.5.5, sa_proto= 50,
    sa_spi= 0x23DB241A(601564186),
    sa_trans= esp-aes esp-sha-hmac , sa_conn_id= 2167
    sa_lifetime(k/sec)= (250000/3600),
  (identity) local= 5.5.5.5:0, remote= 2.2.2.2:0,
    local_proxy= 5.5.5.5/255.255.255.255/17/1701,
    remote_proxy= 2.2.2.2/255.255.255.255/17/4500
*Apr  9 07:24:48.737: IPSEC(create_sa): sa created,
  (sa) sa_dest= 2.2.2.2, sa_proto= 50,
    sa_spi= 0x5BC75391(1539789713),
    sa_trans= esp-aes esp-sha-hmac , sa_conn_id= 2168
    sa_lifetime(k/sec)= (250000/3600),
  (identity) local= 5.5.5.5:0, remote= 2.2.2.2:0,
    local_proxy= 5.5.5.5/255.255.255.255/17/1701,
    remote_proxy= 2.2.2.2/255.255.255.255/17/4500
*Apr  9 07:24:48.737: ISAKMP-ERROR: (0):Failed to find peer index node to update peer_info_list
*Apr  9 07:24:48.737: IPSEC(rte_mgr): VPN Route Event Install new outbound sa: Static keyword or dynamic SA create for 2.2.2.2
*Apr  9 07:24:48.737: ISAKMP: (1090):Received IPSec Install callback... proceeding with the negotiation
*Apr  9 07:24:48.737: ISAKMP: (1090):Successfully installed IPSEC SA (SPI:0x23DB241A) on GigabitEthernet5
*Apr  9 07:24:48.737: ISAKMP-PAK: (1090):sending packet to 2.2.2.2 my_port 4500 peer_port 4500 (R) QM_IDLE    
*Apr  9 07:24:48.737: ISAKMP: (1090):Sending an IKE IPv4 Packet.
*Apr  9 07:24:48.737: ISAKMP: (1090):Node 1, Input = IKE_MESG_FROM_IPSEC, IPSEC_INSTALL_DONE
*Apr  9 07:24:48.737: ISAKMP: (1090):Old State = IKE_QM_IPSEC_INSTALL_AWAIT  New State = IKE_QM_R_QM2
*Apr  9 07:24:48.757: ISAKMP-PAK: (1090):received packet from 2.2.2.2 dport 4500 sport 4500 Global (R) QM_IDLE
*Apr  9 07:24:48.757: ISAKMP: (1090):deleting node 1 error FALSE reason "QM done (await)"
*Apr  9 07:24:48.757: ISAKMP: (1090):Node 1, Input = IKE_MESG_FROM_PEER, IKE_QM_EXCH
*Apr  9 07:24:48.757: ISAKMP: (1090):Old State = IKE_QM_R_QM2  New State = IKE_QM_PHASE2_COMPLETE
*Apr  9 07:24:48.757: IPSEC(key_engine): got a queue event with 1 KMI message(s)
*Apr  9 07:24:48.757: IPSEC(key_engine_enable_outbound): rec'd enable notify from ISAKMP
*Apr  9 07:24:48.759: IPSEC: Expand action denied, notify RP
*Apr  9 07:24:53.925: ISAKMP-PAK: (1090):received packet from 2.2.2.2 dport 4500 sport 4500 Global (R) QM_IDLE
*Apr  9 07:24:53.925: ISAKMP: (1090):set new node 1444909779 to QM_IDLE
*Apr  9 07:24:53.925: ISAKMP: (1090):processing HASH payload. message ID = 1444909779
*Apr  9 07:24:53.925: ISAKMP: (1090):processing DELETE payload. message ID = 1444909779
*Apr  9 07:24:53.925: ISAKMP: (1090):peer does not do paranoid keepalives.
*Apr  9 07:24:53.925: ISAKMP: (1090):Enqueued KEY_MGR_DELETE_SAS for IPSEC SA (SPI:0x5BC75391)
*Apr  9 07:24:53.925: ISAKMP: (1090):deleting node 1444909779 error FALSE reason "Informational (in) state 1"
*Apr  9 07:24:53.925: IPSEC(key_engine): got a queue event with 1 KMI message(s)
*Apr  9 07:24:53.925: IDB is NULL : in crypto_ipsec_key_engine_delete_sas (), 5502
*Apr  9 07:24:53.925: IPSEC(key_engine_delete_sas): rec'd delete notify from ISAKMP
*Apr  9 07:24:53.925: IPSEC: still in use sa: 0x135D01F8
*Apr  9 07:24:53.925: IPSEC(key_engine_delete_sas): delete SA with spi 0x5BC75391 proto 50 for 2.2.2.2
*Apr  9 07:24:53.925: IPSEC(delete_sa): deleting SA,
  (sa) sa_dest= 5.5.5.5, sa_proto= 50,
    sa_spi= 0x23DB241A(601564186),
    sa_trans= esp-aes esp-sha-hmac , sa_conn_id= 2167
    sa_lifetime(k/sec)= (250000/3600),
  (identity) local= 5.5.5.5:0, remote= 2.2.2.2:0,
    local_proxy= 5.5.5.5/255.255.255.255/17/1701,
    remote_proxy= 2.2.2.2/255.255.255.255/17/4500
*Apr  9 07:24:53.925: IPSEC(delete_sa): deleting SA,
  (sa) sa_dest= 2.2.2.2, sa_proto= 50,
    sa_spi= 0x5BC75391(1539789713),
    sa_trans= esp-aes esp-sha-hmac , sa_conn_id= 2168
    sa_lifetime(k/sec)= (250000/3600),
  (identity) local= 5.5.5.5:0, remote= 2.2.2.2:0,
    local_proxy= 5.5.5.5/255.255.255.255/17/1701,
    remote_proxy= 2.2.2.2/255.255.255.255/17/4500
*Apr  9 07:24:53.925: IPSEC(send_delete_notify_kmi): not sending KEY_ENGINE_DELETE_SAS
*Apr  9 07:24:53.925: ISAKMP-ERROR: (0):Failed to find peer index node to update peer_info_list
*Apr  9 07:24:53.925: ISAKMP-PAK: (1090):received packet from 2.2.2.2 dport 4500 sport 4500 Global (R) QM_IDLE
*Apr  9 07:24:53.925: ISAKMP: (1090):set new node -159405345 to QM_IDLE
*Apr  9 07:24:53.925: ISAKMP: (1090):processing HASH payload. message ID = 4135561951
*Apr  9 07:24:53.925: ISAKMP: (1090):processing DELETE payload. message ID = 4135561951
*Apr  9 07:24:53.925: ISAKMP: (1090):peer does not do paranoid keepalives.
*Apr  9 07:24:53.925: ISAKMP: (1090):deleting SA reason "No reason" state (R) QM_IDLE       (peer 2.2.2.2)
*Apr  9 07:24:53.925: ISAKMP: (1090):deleting node -159405345 error FALSE reason "Informational (in) state 1"
*Apr  9 07:24:53.925: ISAKMP: (1090):set new node 829896282 to QM_IDLE
*Apr  9 07:24:53.925: ISAKMP-PAK: (1090):sending packet to 2.2.2.2 my_port 4500 peer_port 4500 (R) QM_IDLE    
*Apr  9 07:24:53.925: ISAKMP: (1090):Sending an IKE IPv4 Packet.
*Apr  9 07:24:53.925: ISAKMP: (1090):purging node 829896282
*Apr  9 07:24:53.925: ISAKMP: (1090):Input = IKE_MESG_INTERNAL, IKE_PHASE1_DEL
*Apr  9 07:24:53.925: ISAKMP: (1090):Old State = IKE_P1_COMPLETE  New State = IKE_DEST_SA

*Apr  9 07:24:53.925: ISAKMP: (1090):deleting SA reason "No reason" state (R) QM_IDLE       (peer 2.2.2.2)
*Apr  9 07:24:53.925: ISAKMP: (0):Unlocking peer struct 0x141FF2D8 for isadb_mark_sa_deleted(), count 0
*Apr  9 07:24:53.925: ISAKMP: (1090):Input = IKE_MESG_FROM_PEER, IKE_MM_EXCH
*Apr  9 07:24:53.925: ISAKMP: (1090):Old State = IKE_DEST_SA  New State = IKE_DEST_SA

*Apr  9 07:24:53.925: IPSEC(ident_delete_notify_kmi): Failed to send KEY_ENG_DELETE_SAS
*Apr  9 07:24:53.925: IPSEC(ident_update_final_flow_stats): Collect Final Stats and update MIB
IPSEC get IKMP peer index from peer 0x11B177E0 ikmp handle 0x80000066
IPSEC IKMP peer index 0
[ident_update_final_flow_stats] : Flow delete complete event received for flow id 0x340000A7,peer index 0

*Apr  9 07:24:53.925: ISAKMP: (0):Deleting peer node by peer_reap for 2.2.2.2: 141FF2D8
*Apr  9 07:24:53.925: IPSEC(key_engine): got a queue event with 1 KMI message(s)

Добрый день.
Помогите, пожалуйста, разобраться или идейки подкиньте.
Есть в компании сеть OSPF, в которой есть тупиковая зона (stub area). На маршрутизаторах внутри тупиковой зоны в таблице маршрутизации отображаются только сети, относящиеся к этой тупиковой зоне (что, в принципе, естественно). На границах тупиковой зоны есть два маршрутизатора (А и Б), которые работают, по сути, как ABR'ы, насколько я понимаю терминологию OSPF. Другими словами, они поддерживают соседство OSPF, как с маршрутизаторами внутри тупиковой зоны, так и остальной сетью. При этом, они еще и поддерживают соседство между собой сеткой /30, но не через тупиковую зону. Трафик из тупиковой зоны идет через маршрутизатор А. Проблема заключается в том, что при выходе из строя или перезагрузке маршрутизатора А, трафик из тупиковой зоны не начинает идти через маршрутизатор Б, т.е. маршрутизаторы внутри тупиковой зоны перестают быть доступными не из тупиковой зоны.
В чем может заключаться проблема?

Добра всем. Возникло пожелание у пользователей ЛС, значит, передавать трафик с мандатными метками (дополнительными опциями в заголовке ip пакета), и внезапно (гм!) оказалось, что циски по умолчанию дропают его на выходе с vlan:
#show ip traffic | inc sec
689 security failures, 689 bad options, 4631913 with options (первые два пункта растут синхронно).

С помощью rfc, гугла и такой-то матери выяснилось, что команда "ip security ignore-authority" на интерфейсе заставляет-таки его пропустить (причём требуется прописать ее на каждом ip интерфейсе по маршруту: в случае корпус-ядро-корпус получается в 6 местах, и это еще не считая резервный транспорт), однако при этом безбожно растёт нагрузка на девайс: в условно нерабочее время на  корпусной 4500 она вырастает с нуля до 40-100%, а в рабочий понедельник утром, поговаривают, даже 6500 в ядре легла; причём при вчерашних экспериментах грузилась сильно циска только в одном, "наиболее населенном" корпусе; вероятно проблема не с целевым "меченым" трафиком (его было всего ничего, пинги + подключение к БД), а с обычным рабочим фоном (вероятно даже не широковещалкой, хотя тут хз).
Вариант засунуть пользователей в один vlan не рассматривается - шибко много их, в разных местах; решение очевидное, но трудоемкое и некрасивое.

Привет
Железка нужна для дома, соответственно интересует не аппаратина за килобакс+, а что-то что можно купить по дешевке на барахолке.
Чего хочу:
1) IOS
2) Минимум два (а лучше 3) wan порта с возможностью автоматического переключения на резервный канал и обратно.
3) желательно бы 16+ портов коммутатора,  чтобы избавиться от моего dlink'a

Естественно все порты 1Gbps и никакой вафли ;)

Зы
Пункты 2 и 3 из-за надобности и чтобы избавиться от зоопарка железок, которые еще и не работают как хочется.
Ну а циська и IOS чисто из-за желания поиграться именно с ними, хотя знаю что подобное и на некоторых микротиках (и не только) провернуть возможно.

как в cisco ограничить длину принимаемого через BGP префикса? нужно отбросить все /24