Добрый день.
Такая задача. Нужно проверить прохождение IPv4 пакетов от узла А до узла Б. При этом не просто попинговать, а проверить прохождение TCP и UDP по всем портам. (Есть подозрение, что на пути что-то режется).
Вроде всё проще простого, на тестовом узле А открываем все 65535 TCP и UDP портов, с узла Б NMAP-ом все их перебираем.

Вопрос: Какой программой можно открыть сразу все порты, что бы они откликались на NMAP?

Добрый день.
Есть CISCO C3750E-UNIVERSALK9NPE-M 15.0(1)SE3
у которого совсем нет VRF. Так бывает? Посоветуйте пожалуйста, как настроить маршрутизацию для управнения оным коммутатором из другой подсети? В своей сети он работает как просто L2.

Добрый день.
Есть поток UDP пакетов, который приходит на MikroTik. Этот поток с помощью bridge попадает на bounding (балансировка - round robin), состоящий из двух портов (то есть поток раздваивается). Далее поток с этих двух портов проходит через несколько устройств и попадает на другой MikroTik, который настроен аналогичным образом. Таким образом, раздвоенный поток собирается в один. Так вот, тест на потерю пакетов (из методики RFC 2544) показывает, что ничего не теряется. Но тест BERT (Bit Error Rate Test) выдает коэффициент, отличный от 0, то есть я делаю вывод, что пакеты приходят не в правильном порядке из-за появления некоторой задержки при проходе через устройства между маршрутизаторами.
Вопрос такой: можно ли настроить агрегацию (например, какая-нибудь волшебная балансировка) так, чтобы UDP пакеты приходили в правильном порядке, если связь между маршрутизаторами может быть ТОЛЬКО СИМПЛЕКСНОЙ? Или же, при такой постановке задачи, за порядком пакетов можно следить только используя свой контроль на генерирующем поток и приемном устройствах (например, использовать часть байт в пакете для нумерации пакетов и тому подобное)?

Подскажите, есть ли возможность привести к читаемому виду config.bin сабжа?

Добрый день.

Попалась мне тут циска 881-ая, которая ничего не знает про OSPF.
Как такое может быть? И как ее познакомить с этим протоколом?

AAAA#sh ip route ?
  Hostname or A.B.C.D  Network to display information about or hostname
  connected            Connected
  dhcp                 Show routes added by DHCP Server or Relay
  eigrp                Enhanced Interior Gateway Routing Protocol (EIGRP)
  list                 IP Access list
  loops                RIB routes forming loops
  multicast            Multicast global information
  odr                  On Demand stub Routes
  profile              IP routing table profile
  rip                  Routing Information Protocol (RIP)
  static               Static routes
  summary              Summary of all routes
  supernets-only       Show supernet entries only
  topology             Display routes from a topology instance
  track-table          Tracked static table
  |                    Output modifiers
  <cr>

AAAA(config)#router ?
  odr  On Demand stub Routes
  rip  Routing Information Protocol (RIP)

Лицуха
License Information for 'c880-data'
    License Level: advsecurity_npe   Type: Permanent
    Next reboot license Level: advsecurity_npe

015461: Sep 28 07:20:23.016: %C4K_L2MAN-6-INVALIDSOURCEADDRESSPACKET: (Suppressed 3 times)Packet received with invalid source MAC address (00:00:00:00:00:00) on port Po1 in vlan 1
015462: Sep 30 08:31:57.536: %C4K_L2MAN-6-INVALIDSOURCEADDRESSPACKET: (Suppressed 46 times)Packet received with invalid source MAC address (00:00:00:00:00:00) on port Po1 in vlan 1
015463: Oct  1 06:06:34.023: %C4K_L2MAN-6-INVALIDSOURCEADDRESSPACKET: (Suppressed 2 times)Packet received with invalid source MAC address (00:00:00:00:00:00) on port Po1 in vlan 1
015464: Oct  1 13:44:34.481: %C4K_L2MAN-6-INVALIDSOURCEADDRESSPACKET: (Suppressed 1 times)Packet received with invalid source MAC address (00:00:00:00:00:00) on port Po1 in vlan 1
015465: Oct  5 05:59:00.140: %C4K_L2MAN-6-INVALIDSOURCEADDRESSPACKET: (Suppressed 7 times)Packet received with invalid source MAC address (00:00:00:00:00:00) on port Po1 in vlan 1
015466: Oct  8 16:04:17.460: %C4K_L2MAN-6-INVALIDSOURCEADDRESSPACKET: Packet received with invalid source MAC address (00:00:00:00:00:00) on port Po1 in vlan 1
015467: Oct  9 09:08:05.407: %C4K_L2MAN-6-INVALIDSOURCEADDRESSPACKET: Packet received with invalid source MAC address (00:00:00:00:00:00) on port Po1 in vlan 1
015468: Oct 10 12:18:21.720: %C4K_L2MAN-6-INVALIDSOURCEADDRESSPACKET: Packet received with invalid source MAC address (00:00:00:00:00:00) on port Po1 in vlan 1
015469: Oct 12 20:06:42.365: %C4K_L2MAN-6-INVALIDSOURCEADDRESSPACKET: Packet received with invalid source MAC address (00:00:00:00:00:00) on port Po1 in vlan 1
015470: Oct 14 08:24:29.046: %C4K_L2MAN-6-INVALIDSOURCEADDRESSPACKET: (Suppressed 1 times)Packet received with invalid source MAC address (00:00:00:00:00:00) on port Po1 in vlan 1

это железка cisco 4506-e

помогите, как вычислить от куда лезет этот мак

я прошерстил логи на всех железках в сети, ничего

Добрый день.

Казалось бы, чего тут сложного, но оказалось...
В общем создаю vlan 999

#vlan database
(vlan)#vlan 999
exit

int vlan 999
ip addr 192.168.1.1 255.255.255.0

int range fa4/0 - 10
descr Hosts
switchport access vlan 999
switchport mode access
exit

И хосты не пингуются! С хостов шлюз (192.168.1.1) тоже не пингуется!
Хосты между собой пингуются.
В arp адреса хостов вижу!

Я так понимаю L3 не работает.
Куда копать?

Достался от предшественника Dlink DGS-1210-28P/ME, в рабочей сети. Никак не могу найти ни по MAC ни по IP, пропал как в бермудском треугольнике. Настройки не известны. Подскажите есть ли какие-нибудь гуманные способы залогиниться на него. Сброс к заводским настройкам не возможен.

Друзья, кто нибудь настраивал коммутаторы huawei на выдачу опции по дхцп. интересует именно dhcp snooping.
пробую настроить коммутатор следующим образом
vlan batch 88 100 4001
#
dhcp enable
dhcp snooping enable
dhcp option82 remote-id format extend
observe-port 1 interface Ethernet0/0/24
vlan 4001
description abon vlan
dhcp snooping enable
dhcp snooping trusted interface GigabitEthernet0/0/2
dhcp option82 rebuild enable interface GigabitEthernet0/0/2

interface Ethernet0/0/2
port link-type access
port default vlan 4001

interface GigabitEthernet0/0/2
description uplink
port link-type trunk
port trunk allow-pass vlan 2 to 4094
dhcp option82 insert enable
port-mirroring to observe-port 1 inbound
port-mirroring to observe-port 1 outbound

подключаю в 24 порт куда настроено зеркалирование машину с wireshark , во 2 порт роутер. в шарке вижу запросы discover но в нем нет опции
No.     Time           Source                Destination           Protocol Length Info
      3 12.322597      0.0.0.0               255.255.255.255       DHCP     594    DHCP Discover - Transaction ID 0x14646df5

Frame 3: 594 bytes on wire (4752 bits), 594 bytes captured (4752 bits)
Ethernet II, Src: NetcoreT_8b:00:4e (e4:be:ed:8b:00:4e), Dst: Broadcast (ff:ff:ff:ff:ff:ff)
Internet Protocol Version 4, Src: 0.0.0.0, Dst: 255.255.255.255
User Datagram Protocol, Src Port: 68, Dst Port: 67
Dynamic Host Configuration Protocol (Discover)
    Message type: Boot Request (1)
    Hardware type: Ethernet (0x01)
    Hardware address length: 6
    Hops: 0
    Transaction ID: 0x14646df5
    Seconds elapsed: 0
    Bootp flags: 0x0000 (Unicast)
    Client IP address: 0.0.0.0
    Your (client) IP address: 0.0.0.0
    Next server IP address: 0.0.0.0
    Relay agent IP address: 0.0.0.0
    Client MAC address: NetcoreT_8b:00:4e (e4:be:ed:8b:00:4e)
    Client hardware address padding: 00000000000000000000
    Server host name not given
    Boot file name not given
    Magic cookie: DHCP
    Option: (53) DHCP Message Type (Discover)
    Option: (61) Client identifier
    Option: (60) Vendor class identifier
    Option: (55) Parameter Request List
    Option: (255) End
    Padding: 000000000000000000000000000000000000000000000000…

где я что пропустил?

Доброго дня.
Не могу настроить прозрачный bridge между двумя Mikrotik SXT Lite2. Вернее настроил по статьям из инета, но что то не пойму как работает это чудо. Пинги через бридж ходят, tracert тоже работает, компьютер адрес по dhcp получил. Но больше ничего не работает. Т.е. пытаешься подцепить шару, запрос пароля появляется, вводишь и все через некоторое время ресурс не доступен. Судя по пингам связь не обрывается, т.е. потерь вроде нет, задержки тоже не большие. Самое обидное, что в инете куча инструкций и во всех практически одно и тоже. Посоветуйте куда копать, смотреть, читать.
Вот конфиг базовой станции
# sep/17/2020 17:16:35 by RouterOS 6.46.7
# model = SXT 2nD r3

/interface bridge
add name=bridge1
/interface wireless
set [ find default-name=wlan1 ] adaptive-noise-immunity=ap-and-client-mode \
    antenna-gain=16 band=2ghz-onlyn basic-rates-b="" disabled=no frequency=\
    2447 guard-interval=long hw-protection-mode=rts-cts installation=outdoor \
    mode=bridge nv2-cell-radius=10 nv2-downlink-ratio=80 nv2-preshared-key=\
    ** nv2-qos=frame-priority nv2-security=enabled rate-set=\
    configured ssid=PTP-ST supported-rates-b="" tx-power-mode=all-rates-fixed \
    wds-default-bridge=bridge1 wds-mode=dynamic wmm-support=enabled wps-mode=\
    disabled
/interface wireless nstreme
set wlan1 disable-csma=yes enable-nstreme=yes
/interface list
add name=WAN
add name=LAN
/interface wireless security-profiles
set [ find default=yes ] authentication-types=wpa2-psk disable-pmkid=yes \
    eap-methods="" management-protection=allowed mode=dynamic-keys \
    supplicant-identity=MikroTik wpa-pre-shared-key=* \
    wpa2-pre-shared-key=*
/ip hotspot profile
set [ find default=yes ] html-directory=flash/hotspot
/queue type
set 1 pfifo-limit=500
set 2 bfifo-limit=500 kind=bfifo
/interface bridge port
add bridge=bridge1 interface=ether1
add bridge=bridge1 interface=wlan1
/ip neighbor discovery-settings
set discover-interface-list=!dynamic
/interface list member
add interface=ether1 list=WAN
add interface=wlan1 list=LAN
/ip address
add address=192.168.x.1/22 interface=wlan1 network=192.168.100.0
/ip dns
set servers=192.168.x.5,192.168.x.6
/ip route
add distance=1 gateway=192.168.x.5
/system clock
set time-zone-name=Asia/Yekaterinburg
/system identity
set name=MT-AR-Security
/system package update
set channel=long-term

а вот клиент
# sep/17/2020 16:40:06 by RouterOS 6.46.7
# model = SXT 2nD r3

/interface bridge
add name=bridge1
/interface wireless
set [ find default-name=wlan1 ] adaptive-noise-immunity=client-mode \
    antenna-gain=16 band=2ghz-onlyn basic-rates-b="" disabled=no frequency=\
    2447 installation=outdoor mode=station-bridge nv2-preshared-key=\
    ** nv2-security=enabled rate-set=configured ssid=PTP-ST \
    supported-rates-b="" wds-default-bridge=bridge1 wds-mode=dynamic \
    wmm-support=enabled
/interface wireless nstreme
set wlan1 enable-nstreme=yes
/interface list
add name=WAN
add name=LAN
/interface wireless security-profiles
set [ find default=yes ] authentication-types=wpa-psk,wpa2-psk eap-methods="" \
    group-ciphers=tkip,aes-ccm management-protection=allowed mode=\
    dynamic-keys supplicant-identity=MikroTik unicast-ciphers=tkip,aes-ccm \
    wpa-pre-shared-key=* wpa2-pre-shared-key=\*
/ip hotspot profile
set [ find default=yes ] html-directory=flash/hotspot
/interface bridge port
add bridge=bridge1 interface=ether1
add bridge=bridge1 interface=wlan1
/interface list member
add interface=wlan1 list=WAN
add interface=ether1 list=LAN
/ip address
add address=192.168.x.2/22 interface=ether1 network=192.168.100.0
/ip dhcp-client
add interface=bridge1
/ip dns
set servers=192.168.x.5,192.168.x.6
/ip route
add distance=1 gateway=192.168.x.5
/system clock
set time-zone-name=Asia/Yekaterinburg
/system identity
set name=MT-CPE-Security
/system package update
set channel=long-term

преподаватель попросил сформулировать преимущества  SNMP для управления сетевым оборудованием по сравнению SSH. Всегда считал, что преимущественней ssh даже перед snmp version 3. можете подсказать в чем плюсы snmp в управлении?

Приветствую!
Ребят, в сети установлены Cisco 8xx серии, хотим их лицензировать, купить лицензии.
В сети используется функционал GRE, IPSEC, IKEv1, OSPF. Какие лицензии необходимо приобрести для функционирования вышеперечисленных фич? Поставщик сомневается и не может дать точный ответ.

Покупать advipservces + advsecurity либо достаточно одного advipservces ?

Доброе время суток!

Есть небольшой офис, есть mikrotik hap lite 941-2nD в качестве шлюза и сердца сети. Есть штатные сотрудники, которым нужен доступ к местным ресурсам, а есть посторонние, которым нужен только интернет. Но посторонним можно не всем, а тем, кто получил одобрение начальника офиса. Подключаться могут как по ВиФи, так и по шнурку - смотря у кого какая техника и запросы на время работы в офисе. Да и пароль от ВиФи утечёт, думаю, на раз-два из-за доброты молодёжного коллектива, а ещё есть бывшие сотрудники, ставшие партнёрами.

Я настраиваю железяку - адреса, провайдер, ВиФи и прочее, на локальном интерфейсе ставлю две сети - 192.168.X.0/24 (для офисных), 192.168.Y.0/24 (для допущенных гостей), пишу в dhcp-сервере сеть на локальном инерфейсе 192.168.Z.0/24. Пытаюсь прибить офисных статиком - адрес им отдаётся, но с маской /4, соотвественно, разделене сетей летит к чёрту, интернет работает в зависимости от уровня воды в океане. :( На фрюниксах с isc-dhcpd в статиках я могу прописать всё, что мне нужно для работы именно этого клиента, а в микротике - только IP и mac. Попытка прописать адрес 192.168.X.5/24 даёт ошибку.

Задача, вроде, несложная, но не выходит у меня каменный цветок. В гугле советы разделения сетей через vlan-ы, но здесь, вроде, vlan-ы можно, но можно, мне кажется, и без них... Опыта с микротиками у меня мало, подскажите, плз, что я делаю не так? Спасибо!

ЗЫ: про административные меры безопаснсти и ответственность не говорите - шеф ещё эту мысль не переварил и не созрел. Давайте пока попробуем с dhcp разобраться.

Всем здравия. Подскажите куда смотреть. есть коммутатор 4948 на нем поднят ip unnamberd vlan per user , встала задача добавлять opt82 для привязки к порту коммутатора. собрал стенд.
cisco на нем создал влан 4001
int vlan 4001
no shut
ip helper-address 172.x.x.x
в циску подключил коммутатор dlink-des 3200-28
на коммутаторе создаю влан управления и пользовательский влан 4001 аплинк порт транк mng vlan+abon vlan
порт пользователя 4001 untag , подключаю роутер в абон порт и на сервере с дхцп почему то даже запросов от роутера не вижу.
на коммутаторе с абонентом делаю вот такие настройки
DES-3200-28:admin#show dhcp_local_relay
Command: show dhcp_local_relay

DHCP/BOOTP Local Relay Status         : Enabled
DHCP/BOOTP Local Relay VID List       : 4001

Здравствуйте,от начальства пришло очень необычное требование,постараюсь описать все крайне подробно. Короче  есть коммутатор 4500 и ASA 5500,есть подсеть 172.25.89.0 и 192.168.100.0. 172.25.89.1 прописан на ASA, 172.25.89.2 на 4500, нужно чтоб, когда пакет идет из 172.25.89.0 в 192.168.100.0 то шлюзом служил 172.25.89.1 т.е. ASA, а когда из 172.25.89.0 в любые другие подсети, то шлюзом служил 172.25.89.2 т.е. 4500.
Возможно ли такое настроить.

Добрый день!

Есть задача по настройке маршрутизации исходящего трафика на Сisco ASR, схема такая:

Есть подсеть допустим: 195.206.216.0/22, и есть два аплинка - оператора, 1 Гбит/с (А) и 500 Мбит/с (Б), присоединённые по BGP-FullView...
Нужно чтобы подсеть 195.206.218.0/24 могла ходить во внешний мир только через оператора А (1Гбит/с), а все остальные (195.206.216.0/24, 195.206.217.0/24, 195.206.219.0/24) ходили во внешний мир только через оператора Б (500 Мбит/с), в случае отвала А или Б, отрабатывал бы соответствующий резерв...
Входящий трафик я настроил при помощи префикс листов, анонсировав нужные подсети нужной длины разным А и Б провайдерам, но как настроить исходящий трафик так и не разобрался, подскажите, как лучше это реализовать?

hi all

На ASA 5515 поднят EZVPN server всё работает замечательно, клиенты подключаются.

Конфигурация клиента
####################################
crypto ipsec client ezvpn VPN01
connect auto
group OFF key 1234567890
mode network-extension
peer 1.2.3.4
username user password 1234567890
xauth userid mode local

interface FastEthernet0/0
ip address 100.120.99.3 255.255.255.224
duplex auto
speed auto
crypto ipsec client ezvpn VPN01

interface FastEthernet0/1
ip address 192.168.0.1 255.255.255.0
crypto ipsec client ezvpn VPN01 inside
######################

Если запустить интерфейсы в VRF то VPN перестает работать (((

#####
ip vrf ISP1

interface FastEthernet0/0
ip vrf forwarding ISP1
ip address 100.120.99.3 255.255.255.224
duplex auto
speed auto
crypto ipsec client ezvpn VPN01

interface FastEthernet0/1
ip vrf forwarding ISP1
ip address 192.168.0.1 255.255.255.0
crypto ipsec client ezvpn VPN01 inside
#####

в лог постоянно
*Aug  2 11:52:30.515: %CRYPTO-6-EZVPN_CONNECTION_DOWN: (Client)  User=  Group=OFF  Client_public_addr=100.120.99.3  Server_public_addr=1.2.3.4

Как заставить ezvpn client работать внутри VRF. Буду признателен за любую помощь, спасибо.

Добрый день, коллеги.

Столкнулся со следующенй проблемой:
У нас есть CUCM и CUBE, который подключен к PSTN.
Мне необходимо настроить транк между моим CUCM и облачной АТС через интернет и настроить звонки между внутренними номерами на CUCM (номера 1000-1999) и внутренними номерами на облачной АТС (номера 2000-2099).

Между CUCM и CUBE уже настроен транк в котором Caller ID DN прописан наш городской номер, чтобы при звонке с внутренних телефонов (1000-1999) в город отображался наш городской номер.

Я настроил dial peer на CUBE, Route Pattern через транк с CUBE ,Translation Pattern и звонки с облачной АТС проходят до внутренних номеров CUCM в виде 2000-2099.
Но при звонке по короткому номеру с телефонов 1000-1999, на телефонах облсной АТС отображается мой городской, который прописан в Caller ID DN.

Вопрос такой, каким образом разделить звонки, которые отправляются на CUBE, чтобы на город подставлялся наш городской номер, а на облачную АТС наши короткие номера 1000-1999?

Буду очень благодарен за помощь, необходимые настройки приложу, если понадобятся.

Приветствую вас дамы и господа.

Надеюсь среди вас есть человек который сможет мне помочь.
История такая. На предприятие привезли оборудование cisco и стримеры (Tangram). Поставили мы тарелки настроили свитчи по дефолту (IP+SSH). Но как оказалось не всё так просто. Оказывается надо настроить свитчи под IPTV. Прошу поделиться опытом если кто сталкивался с такой задачей.

Свитчи настроены примерно так.  

1. Конфига
9300 (Главный свитч в порт gig 1/1/4 подключен стример)

conf t

int vlan 1

ip address 10.3.3.253 255.255.255.0

ip igmp snooping
ip igmp snooping querier

И какбы все настройки. На аксесе 9200 свитчи, настроено только IP adress + SSH.
Хотелось бы взглянуть если у кого есть подобный опыт. Конфиги приветствуются.
Опыта в этом деле пока нема, но как успел прочитать чтобы всё работало норм надо immediately-leave, mrouter. Так-ли это дайте знать если кто в курсе.
--------------------------------------------------------------------------------------
2. Есть ещё мысль настроить както так:
9300

conf t

int vlan 1

ip address 10.3.3.253 255.255.255.0

ip pim sparse-mod

9200

conf t

ip igmp snooping vlan 1 mrouter interface GigabitEthernet 1/1/4 (приходящий 9300)

Но опыта чуточку не хватает (будет работать или нет, будет затыкаться или вообще не будет показывать)    

Добрый день. Подскажите. На Asa 5508-k9 возможно закрыть доступ ко всем ресурсам в интернет, кроме определенных сайтов? Доступ по IP не подходит. Необходим доступ по доменному имени сайта (https://***) Если возможно, то нужно ли докупать какие либо лицензии?

Доброе!
Допустимо ли совмещать
set interface ethernet0/2 vip A.B.C.D + xxx "blabla" 192.168.0.!253!
и
set interface "ethernet0/2" mip A.B.C.D host 192.168.0.!254! netmask 255.255.255.255 vr "trust-vr"

Почему возник вопрос, приведенный конфиг работал без проблем, хотя и вызывает ощущение некой неоднозначности, возникла необходимость переткнуть  в другой интерфейс(гигабит), был слит конфиг, слово "ethernet0/2" было тупо везде заменено на "ethernet0/9"  и залито обратно. Работает все (там много всего наворочено) кроме этого mip-a, vip не проверял, дебуг не смотрел, времени не было, на боевом роутере делал и быстро перезалил взад. Разница между 0/2 и 0/9 только в 100Mb и Gb. Просто других причин даже придумать не могу.
Да, если что
set interface ethernet0/2 ip A.B.C.x/28

Всем привет. Я пишу программу на c++ и у меня есть несколько вопросов.

Сейчас моя программа умеет:

Принимать пакет, расшифровывать, изменять заголовок IP и отправлять нужному приложению.
Приложение в свою очередь отвечает не моей программе, а тому, кого я указал в заголовке IP пакета. (это важно)

Дак вот вопрос, как можно модифицировать или перехватить трафик от приложение, которое отвечает?

Мое приложение и обычное приложение работают на одной машине.

Читал про неразборчивый режим, но как я понял - он мне не очень подходит. Прошу знающий людей помочь с данным вопросом.

Спасибо.

дравствуйте коллеги. Суть в чём. Есть работающий ISP с парком BNG на базе JuniperMX. Есть опыт работы с BNG И IGS на базе CISCO IOS, приобрели ASR9910 для аггрегации абонентской базы частично на 1 BNG но опыта работы с IOS-XR очень мало и времени разбираться не дают. По мануалам набросал небольшой конфиг для нашей работающей схемы авторизации но что-то не хочет цеплять адрес по DHCP клиент. Буду очень благодарен за любую помощь и советы. Часть конфига и выводы дебаг RADIUS и DHCP прилагаются.(радиус акссепт успешно получаю но до аккаунтинга дело не доходит так как не могу получить IP по DHCP, в примере я не форматировал радиус аттрибуты просто подогнал в самом радиусе что бы добиться аксес аксепта, с этим потом разберусь)
Заранее всем огромное спасибо кто откликнется.

пример конфига:

radius-server host 10.10.39.2 auth-port 1892 acct-port 1893
key 7 131112011F050A2D7A767B
timeout 120
retransmit 3

aaa accounting network IPoE-LIST start-stop group IPoE-LIST
aaa group server radius IPoE-LIST
server 10.10.39.2 auth-port 1892 acct-port 1893
source-interface Loopback0

pool vrf default ipv4 IPoE-POOL
network 10.10.117.0/24 default-router 10.10.117.1
!
dhcp ipv4
profile BNG-DHCP server
  lease 0 0 5
  pool IPoE-POOL
  dns-server 8.8.8.8 8.8.4.4
  subnet-mask 255.255.255.0
  default-router 10.10.117.1
!
interface Bundle-Ether7.666 server profile BNG-DHCP
!
dynamic-template
type ipsubscriber IPoE-TPL
  accounting aaa list IPoE-LIST type session periodic-interval 10
!
interface Bundle-Ether7.666
description test
ipv4 point-to-point
ipv4 unnumbered Loopback666
arp learning disable
service-policy type control subscriber IPoE-Policy
ipsubscriber ipv4 l2-connected
  initiator dhcp
!
encapsulation ambiguous dot1q 666 second-dot1q 100-200
!
interface Loopback0
ipv4 address 10.10.70.239 255.255.255.255
!
interface Loopback666
ipv4 address 149.10.117.1 255.255.255.0
!
aaa attribute format USERNAME-FORMAT-IPoE
remote-id plus circuit-id separator -
!
aaa radius attribute nas-port-id format NAS-PORT-ID type 44
aaa accounting subscriber IPoE-LIST group IPoE-LIST
aaa authorization subscriber IPoE-LIST group IPoE-LIST
aaa authorization subscriber IPoE-AUTHOR-LIST group IPoE-LIST
aaa authentication subscriber IPoE-LIST group IPoE-LIST
aaa authentication subscriber IPoE-AUTHEN-LIST group IPoE-LIST
!
class-map type control subscriber match-any IPoE-NAT
match protocol dhcpv4
end-class-map
!
!
policy-map type control subscriber IPoE-Policy
event session-start match-first
  class type control subscriber IPoE-NAT do-until-failure
   10 activate dynamic-template IPoE-TPL
   20 authorize aaa list IPoE-AUTHOR-LIST format USERNAME-FORMAT-IPoE password testing123
  !
!
event authorization-failure match-first
  class type control subscriber IPoE-NAT do-until-failure
   10 activate dynamic-template IPSUB_UNAUTH_TEMPLATE
  !
!
end-policy-map
!
end

вывод дебаг радиуса с аксептом

RP/0/RSP0/CPU0:ASR9910#RP/0/RSP0/CPU0:May  3 00:35:47.589 UTC: radiusd[1142]: In directed server path
RP/0/RSP0/CPU0:May  3 00:35:47.589 UTC: radiusd[1142]: Picking the rad id 24:0 sockfd 0x1305D158
RP/0/RSP0/CPU0:May  3 00:35:47.589 UTC: radiusd[1142]: rctx 0x1323b668 added successfully
RP/0/RSP0/CPU0:May  3 00:35:47.589 UTC: radiusd[1142]:  RADIUS: Send Access-Request to 10.10.39.2:1892 id 24, len 274
RP/0/RSP0/CPU0:May  3 00:35:47.589 UTC: radiusd[1142]:  RADIUS:  authenticator 88 CE 97 0F 72 6E 79 57 - 32 3B 25 BB 0A BC B2 81
RP/0/RSP0/CPU0:May  3 00:35:47.589 UTC: radiusd[1142]:  RADIUS:  Vendor,Cisco        [26]    41      
RP/0/RSP0/CPU0:May  3 00:35:47.589 UTC: radiusd[1142]:  RADIUS:   Cisco AVpair        [1]    35      client-mac-address=b048.7a81.9ea1
RP/0/RSP0/CPU0:May  3 00:35:47.589 UTC: radiusd[1142]:  RADIUS:  Vendor,Cisco        [26]    16      
RP/0/RSP0/CPU0:May  3 00:35:47.589 UTC: radiusd[1142]:  RADIUS:   cisco-dhcp-vendor-class[48]   10      MSFT 5.0
RP/0/RSP0/CPU0:May  3 00:35:47.589 UTC: radiusd[1142]:  RADIUS:  Vendor,Cisco        [26]    34      
RP/0/RSP0/CPU0:May  3 00:35:47.589 UTC: radiusd[1142]:  RADIUS:   Cisco AVpair        [1]    28      dhcp-vendor-class=MSFT 5.0
RP/0/RSP0/CPU0:May  3 00:35:47.589 UTC: radiusd[1142]:  RADIUS:  Acct-Session-Id     [44]    10      00000096
RP/0/RSP0/CPU0:May  3 00:35:47.589 UTC: radiusd[1142]:  RADIUS:  NAS-Port-Id         [87]    15      0/0/7/101.666
RP/0/RSP0/CPU0:May  3 00:35:47.589 UTC: radiusd[1142]:  RADIUS:  Vendor,Cisco        [26]    21      
RP/0/RSP0/CPU0:May  3 00:35:47.589 UTC: radiusd[1142]:  RADIUS:   cisco-nas-port      [2]    15      0/0/7/101.666
RP/0/RSP0/CPU0:May  3 00:35:47.589 UTC: radiusd[1142]:  RADIUS:  User-Name           [1]     3       -      
RP/0/RSP0/CPU0:May  3 00:35:47.589 UTC: radiusd[1142]:  RADIUS:  Service-Type        [6]     6       Outbound[5]
RP/0/RSP0/CPU0:May  3 00:35:47.589 UTC: radiusd[1142]:  RADIUS:  User-Password       [2]     18      *      
RP/0/RSP0/CPU0:May  3 00:35:47.589 UTC: radiusd[1142]:  RADIUS:  NAS-Port-Type       [61]    6       VIRTUAL_IPOEOQINQ[44]
RP/0/RSP0/CPU0:May  3 00:35:47.589 UTC: radiusd[1142]:  RADIUS:  Event-Timestamp     [55]    6       1588465906
RP/0/RSP0/CPU0:May  3 00:35:47.589 UTC: radiusd[1142]:  RADIUS:  Vendor,Cisco        [26]    15      
RP/0/RSP0/CPU0:May  3 00:35:47.589 UTC: radiusd[1142]:  RADIUS:   cisco-dhcp-client-id[49]   9       ^A0Hz^A^^!
RP/0/RSP0/CPU0:May  3 00:35:47.589 UTC: radiusd[1142]:  RADIUS:  Vendor,Cisco        [26]    30      
RP/0/RSP0/CPU0:May  3 00:35:47.589 UTC: radiusd[1142]:  RADIUS:   Cisco AVpair        [1]    24      dhcp-client-id=^A0Hz^A^^!
RP/0/RSP0/CPU0:May  3 00:35:47.589 UTC: radiusd[1142]:  RADIUS:  Nas-Identifier      [32]    9       ASR9910
RP/0/RSP0/CPU0:May  3 00:35:47.589 UTC: radiusd[1142]:  RADIUS:  NAS-IP-Address      [4]     6       10.10.70.239
RP/0/RSP0/CPU0:May  3 00:35:47.589 UTC: radiusd[1142]:  RADIUS:  NAS-IPv6-Address    [95]    18      ::      
RP/0/RSP0/CPU0:May  3 00:35:47.589 UTC: radiusd[1142]: Got global deadtime 0
RP/0/RSP0/CPU0:May  3 00:35:47.589 UTC: radiusd[1142]: Using global deadtime = 0 sec
RP/0/RSP0/CPU0:May  3 00:35:47.589 UTC: radiusd[1142]: Updated timer thread rad_ident 24 remote_port 1892 remote_addr 10.10.39.2, socket 319148376 rctx 0x1323b668
RP/0/RSP0/CPU0:May  3 00:35:47.589 UTC: radiusd[1142]: Successfully sent packet and started timeout handler for rctx 0x1323b668
RP/0/RSP0/CPU0:May  3 00:35:48.519 UTC: radiusd[1142]: Radius packet decryption complete with rc = A247A800
RP/0/RSP0/CPU0:May  3 00:35:48.519 UTC: radiusd[1142]:  RADIUS: Received from id 24 10.10.39.2:1892, Access-Accept, len 20
RP/0/RSP0/CPU0:May  3 00:35:48.519 UTC: radiusd[1142]:  RADIUS:  authenticator 74 B4 7A 74 67 50 4F 16 - 8D 56 A2 9A AC C1 37 82

Всем привет!
Настраиваю Juniper MX. Ранее с Junos не работал - только Quagga и Cisco.
Необходимо перенести конфигурацию с программного роутера (Quagga) на Juniper.

Со многим разобрался, но тормозит меня перенос route-map, а именно:

На сервере quagga используется такая запись:

network X.X.X.X/20 route-map SETCOM
network Z.Z.Z.Z/22 route-map SETCOM

route-map SETCOM permit 10
set community YYYYY:0 YYYYY:10 YYYYY:100 YYYYY:150

Не могу понять и найти как произвести в Juniper эквивалентную настройку.

Если кто знает, буду благодарен за помощь.

interface Vlan1
ip address 192.168.0.4 255.255.255.0 secondary
ip address 192.168.1.1 255.255.255.0 secondary
ip address 192.168.22.1 255.255.255.0 secondary
ip address 87.247.25.25 255.255.255.240 secondary
ip address 192.168.188.1 255.255.255.0 secondary
ip address 192.168.0.5 255.255.255.0
no ip redirects

нашел в конфиге такие строчки. я так понимаю это несколько ip адресов на одном интерфейсе? мне кажется это не есть правильно. вопрос в том какие последствию могут возникать при такой настройке интерфейса

Добрый вечер. 881 pci-9
ВПН сервер - Dynamic VTI
Подскажите. Необходимо закрыть все локальные ресурсы клиентам VPN, за исключением порта 3389. Т.е. чтоб клиенты ВПН могли подключатся только к своим рабочим столам своих компьютеров.

Как то можно расшарить локальную сеть на стороне клиента ??
На виндовском клиенте?
На линуховом клиенте (NetworkManager) ?

Добрый день.
Есть линуксовая машина с поднятыми dhcp и tftp серверами. К ней подключен srx300 с дефолтным конфигом портом ge-0/0/0.
set system autoinstallation interfaces ge-0/0/0 bootp
После включения джунипер ловит ip на ge-0/0/0 и пытается стянуть конфигурационный файл router.conf по tftp.

18:29:30.834591 IP 192.168.1.2.52724 > 255.255.255.255.tftp: 23 RRQ "router.conf" netascii
18:29:30.836165 IP 192.168.1.3.49420 > 192.168.1.2.52724: UDP, length 516
18:29:31.837339 IP 192.168.1.3.49420 > 192.168.1.2.52724: UDP, length 516
18:29:32.838539 IP 192.168.1.3.49420 > 192.168.1.2.52724: UDP, length 516
18:29:33.839746 IP 192.168.1.3.49420 > 192.168.1.2.52724: UDP, length 516
18:29:34.840930 IP 192.168.1.3.49420 > 192.168.1.2.52724: UDP, length 516

Сервер отдает его, но не получает ACK от джунипера. Пытается передать один и тот же блок несколько раз, после чего отбивается таймаутом.

Логи на сервере:
Mar 16 18:29:46 192.168.1.3 in.tftpd[11890]: Client 192.168.1.2 finished router.conf
Mar 16 18:29:46 192.168.1.3 in.tftpd[11890]: Client 192.168.1.2 timed out

Логи на джунипере:
Mar 16 15:38:23 received SIGCHLD signal: reaping child
Mar 16 15:38:23 reaped child 4152
Mar 16 15:38:23 autod_tftp_handle_child: tftp on pid 4152 could not retrieve configuration on ge-0/0/0, exited with 1
Mar 16 15:38:24 could not get configuration on ge-0/0/0, trying again
Mar 16 15:38:24 autod_cs_getconfigfilename: using router.conf as candidate configuration file name
Mar 16 15:38:24 directory to retrieve configuration file into is /var/run/autod/ge-000/
Mar 16 15:38:24 location to retrieve configuration file from is 255.255.255.255:router.conf
Mar 16 15:38:24 spawned /usr/bin/tftp -JR 192.168.1.1 -JG 255.255.255.255:router.conf -JI ge-0/0/0 for ge-0/0/0 at pid 4154

Как итог, файл на джунипер не залился:
root@% ls -ltr
total 0
-rw-r--r-- 1 root wheel 0 Mar 16 15:39 network.conf
-rw-r--r-- 1 root wheel 0 Mar 16 15:40 router.conf

В чем может быть проблема?

Добрый вечер. cisco 881 pci k-9
на маршрутизаторе развернут IPsec VPN
Можно ли развернуть и SSL VPN, чтоб работал одновременно с ipsec? Нужны ли какие либо дополнительные лицензии?

Добрый день, форумчане!

Требуется ваша помощь в таком вопросе:
Ассиметрия TCP трафика на вход и исход.

Дано:
1. Сервер в России (Сервер А)
На сервер дается канал 1Гбит/с без каких-либо ограничений.
Установлен Debian 9.

2. Удаленный сервер в Германии на площадке у крупного провайдера (Сервер B).
На сервер дается канал 1Гбит/с без каких-либо ограничений.
ОС Linux, дистрибутив и версия ядра неизвестна.

Трасса между серверами в обе стороны одинакова.

Требуется:
Получить между серверами А и B максимально возможный канал связи по ширине.

(А -> B) с помощью iperf3 получаем в один поток 700-900 Мбит/с.
(B -> A) с помощью iperf3 получаем в один поток 35-50 Мбит/с.

Если использовать несколько потоков (около 20), то канал (B -> A) можно загрузить до 500 Мбит/с,
в один же поток в пиках до 70 Мбит/с.
Кроме того, первые несколько порций данных передавались со скоростью выше 100Мбит/с, затем скорость падала.

С обеих сторон менялись сервера (помогали провайдеры), использовались и сервера с подключением 10 Гбит/с, и обычные ПК. Во всех случаях результат был одинаковым, как описан выше.

Внутри сети провайдера в Германии и России с помощью iperf получали между серверами симметричные 900Мбит/с.

На мой взгляд проблема выглядит либо как работа шейпера, либо проблема с очередями или размером TCP окна со стороны сервера в России.
Но, непонятно, как в этом случае получали почти полный  1Гбит/с между нашим сервером и сервером провайдера.

Пробовали настраивать размер очереди на сетевом интерфейсе, увеличивали размер TCP окна - совершенно безрезультатно. Единственный "результат" получили, когда запретили динамически увеличивать окно  - получили на канале 15 Мбит/с вместо уже привычных 50.

Буду благодарен за советы.