forum.opennet.ru

Как удалить конфигурацию стека в коммутаторе Edge-Core ECS4620,

Григорий, (Оборудование Lucent, Nortell и др.) 08-Мрт-25, 16:08 [⋘ | ☳ | ⋙ | ⚟ ] [линейный вид] [смотреть все] [раскрыть новое]

И вот таким сисадминам сейчас платят деньги , Аноним (1), 16:17 , 08-Мрт-25 (1)
И вот таким сисадминам сейчас платят деньги...
сообщить модератору +/– ответить

Я новичок в таком оборудовании Вы знаете как это сделать , Гргорий (ok), 17:21 , 08-Мрт-25 (2)
> И вот таким сисадминам сейчас платят деньги...
Я новичок в таком оборудовании. Вы знаете как это сделать?

сообщить модератору +/– ответить

По документации с сайта производителя всего три команды на управление стеком и т, Andrey (??), 11:08 , 10-Мрт-25 (3)
>> И вот таким сисадминам сейчас платят деньги...
> Я новичок в таком оборудовании. Вы знаете как это сделать?
По документации с сайта производителя всего три команды на управление стеком и три команды на просмотр состояния стека. Сколько из этих команд вы использовали? Какие результаты получили?
сообщить модератору +/– ответить

Про какие команды вы имеете введу , Григорий (??), 12:53 , 10-Мрт-25 (4)
>>> И вот таким сисадминам сейчас платят деньги...
>> Я новичок в таком оборудовании. Вы знаете как это сделать?
> По документации с сайта производителя всего три команды на управление стеком и
> три команды на просмотр состояния стека. Сколько из этих команд вы
> использовали? Какие результаты получили?
Про какие команды вы имеете введу?

сообщить модератору +/– ответить

https www edge-core com _upload images ECS4620-Series_CLI-R06_0220 pdfраздел 4, Andrey (??), 15:13 , 10-Мрт-25 (5)
>>>> И вот таким сисадминам сейчас платят деньги...
>>> Я новичок в таком оборудовании. Вы знаете как это сделать?
>> По документации с сайта производителя всего три команды на управление стеком и
>> три команды на просмотр состояния стека. Сколько из этих команд вы
>> использовали? Какие результаты получили?
> Про какие команды вы имеете введу?
https://www.edge-core.com/_upload/images/ECS4620-Series_CLI-...
раздел 4, страница 198. Это про вашу железку?
сообщить модератору +/– ответить

Да, оно Это самое простое, что я сразу делал через терминал Ничего не помогло, Григорий (??), 10:28 , 11-Мрт-25 (6)
>>>>> И вот таким сисадминам сейчас платят деньги...
>>>> Я новичок в таком оборудовании. Вы знаете как это сделать?
>>> По документации с сайта производителя всего три команды на управление стеком и
>>> три команды на просмотр состояния стека. Сколько из этих команд вы
>>> использовали? Какие результаты получили?
>> Про какие команды вы имеете введу?
> https://www.edge-core.com/_upload/images/ECS4620-Series_CLI-...
> раздел 4, страница 198. Это про вашу железку?
Да, оно. Это самое простое, что я сразу делал через терминал. Ничего не помогло. Перезагружаешь коммутатор и инфа стека добавляется всё равно в running-config. Конечно, это делал. Там в принципе больше ничего нет. Ну как ещё сбрасывал на заводские ещё. Тоже самое можно сделать и через веб интерфейс. Не помогло. Откуда эта инфа подгружается то, мне может кто то объяснить? Стековой информации получается в startup.cfg нет, а она всё равно грузится и туда вливается.

сообщить модератору +/– ответить

gt оверквотинг удален Дополнительно скажу, что стекин баттон отключна, мастер , Григорий (??), 10:44 , 11-Мрт-25 (7)
>[оверквотинг удален]
>>> Про какие команды вы имеете введу?
>> https://www.edge-core.com/_upload/images/ECS4620-Series_CLI-...
>> раздел 4, страница 198. Это про вашу железку?
> Да, оно. Это самое простое, что я сразу делал через терминал.
> Ничего не помогло. Перезагружаешь коммутатор и инфа стека добавляется всё равно
> в running-config. Конечно, это делал. Там в принципе больше ничего нет.
> Ну как ещё сбрасывал на заводские ещё. Тоже самое можно сделать
> и через веб интерфейс. Не помогло. Откуда эта инфа подгружается то,
> мне может кто то объяснить? Стековой информации получается в startup.cfg нет,
> а она всё равно грузится и туда вливается.
Дополнительно скажу, что стекин баттон отключна, мастер батон отключна, перезапускал роутер, стековая инфа все равно есть в running-config. Коммутатор уже работает отдельно от всех. Там стоит 1 как бы стек есть, долдно быть NO написано. Если в стеке можно сделать ренамбер, отключить стек или сделать мастером. Мне он стек не нужен, я зочу его сделать stsndelone , всё отключено, перезапускал, а инфа всё равно есть в running-config.
Может что то не так я делаю? Инструкцию я читал понял .

сообщить модератору +/– ответить

GPON от ростелеком и стоил ли подключать?,

ООО Вектор, (Каналообразующее оборудование, Модемы) 30-Дек-19, 00:43 [⋘ | ☳ | ⋙ | ⚟ ] [линейный вид] [смотреть все] [раскрыть новое]

Зависит от того, как много абонентов они на один передатчик запихивают В прос, Виктор (??), 05:47 , 30-Дек-19 (1)

Это я понимаю, физически у МТС стоят 24 портовые коммутаторы 100 мбитные с гигаб, ООО Вектор (?), 10:45 , 30-Дек-19 (2)

Можно 32, 64, 128 что наиболее вероятно повесить на один порт Аплинк нужно еще, StreSS.t (ok), 16:18 , 30-Дек-19 (4)

Вот не знаешь - не пиши GPON это общая шина, до 64х абонентов, делящих 1Gbps на, Pofigis (?), 05:21 , 06-Янв-20 (5)

Да ты что, а мужики-то и не знаютhttps eltex-co ru catalog olt-gpon olt_ltp_4x, StreSS.t. (?), 12:05 , 06-Янв-20 (7)
Да ты что, а мужики-то и не знают
https://eltex-co.ru/catalog/olt-gpon/olt_ltp_4x/
https://shop.nag.ru/catalog/03903.GPON--GEPON/33750.Stantsio...
С GEPON не путай
https://shop.nag.ru/article/gpon-vs-gepon
сообщить модератору +/– ответить

Ох господи Странное мягко говоря железо Хотя с другой стороны и дисламы , Pofigis (?), 20:11 , 06-Янв-20 (8)
Ох господи... Странное мягко говоря железо...
Хотя... с другой стороны и дисламы через eth подключали, не смотря на то что это чистой воды ATM...
сообщить модератору +/– ответить

И да, GPON-порт вывозит 2,5 Гбит с на приём и 1,25 Гбит с на отдачу До 128 абон, t74646546 (ok), 23:49 , 13-Янв-25 (17)
> Ох господи... Странное мягко говоря железо...
> Хотя... с другой стороны и дисламы через eth подключали, не смотря на
> то что это чистой воды ATM...
И да, GPON-порт вывозит 2,5 Гбит/с на приём и 1,25 Гбит/с на отдачу. До 128 абонентов.
сообщить модератору +/– ответить

Вот не знаешь - не пиши PON-ов их есть несколько стандартов, причем НЕ совместим, fantom (??), 13:30 , 09-Янв-20 (9)
>> Можно 32, 64, 128 (что наиболее вероятно) повесить на один порт.
>> Аплинк нужно еще смотреть там может быть 1 или 10 Гб/с
>> Качество у РТ среднее.
>> У нормальных провов уже авторизация на стороне onu (абонентского устройства) сделана (без
>> всяких ppXX).
> Вот не знаешь - не пиши. GPON это общая шина, до 64х
> абонентов, делящих 1Gbps на всех.
Вот не знаешь - не пиши!
PON-ов их есть несколько стандартов, причем НЕ совместимых,
Со скоростями от 155Мбит до 10Гбит.
С количеством 64 или 128 на одну ветку.
И управление скоростью там тоже присутствует.
В отличие от "Изернета" ПОН сразу разрабатывалась как технология операторского уровня.
сообщить модератору +/– ответить

Угу операторского да - только вот явные следы Cable TV торчат из всех щелей , pofigist (?), 16:37 , 09-Янв-20 (11) +1

> В отличие от "Изернета" ПОН сразу разрабатывалась как технология операторского уровня.
Угу... операторского да - только вот явные следы Cable TV торчат из всех щелей... и тяжелого наследия в виде ATM - что вообще смешно, технология давно сдохла, классику - давно списали и выкинули, а следы - торчат. :)
сообщить модератору +1 +/– ответить

Возьми с полки пирожок Основными эксплуатантами планировались именно каблеТВ о, fantom (??), 13:16 , 10-Янв-20 (13)
>> В отличие от "Изернета" ПОН сразу разрабатывалась как технология операторского уровня.
> Угу... операторского да - только вот явные следы Cable TV торчат из
> всех щелей... и тяжелого наследия в виде ATM - что вообще
> смешно, технология давно сдохла, классику - давно списали и выкинули, а
> следы - торчат. :)
Возьми с полки пирожок :)
Основными эксплуатантами планировались именно каблеТВ операторы, собственно именно оные много где и эхсплуатируют, и на ONU-шках многих даже ТВ-коннектор Эсть..
А "тяжелое наследие" чего-нибудь из всех современных технологий торчит, ибо среди них подавляющее большинство именно наследников и "обратная совместимость МАСТ ХЭВ!"
"Самозарождение" -- чудо весьма редкостное, и как правило далеко от идеала :)
сообщить модератору +/– ответить

До 64-х И учти что это общая щина, а не коммутируемая сеть И поставить свою же, Pofigis (?), 05:23 , 06-Янв-20 (6)

Операторская переводится в режим почти тупого конвертора интерфейсов, дальше ста, fantom (??), 13:32 , 09-Янв-20 (10)
>> А по сколько клиентов вешают на одну ветвь gpon?
> До 64-х. И учти что это общая щина, а не коммутируемая сеть.
> И поставить свою железку будет практически невозможно. А операторская - тормозная
> и дырявая.
Операторская переводится в режим почти тупого конвертора интерфейсов, дальше ставится своя и вперед .
Собственно у себя так и сделал.
сообщить модератору +/– ответить

1 Это не защитит от дырявости прошивки на операторской железке 2 Это не поможе, pofigist (?), 16:39 , 09-Янв-20 (12)
>> И поставить свою железку будет практически невозможно. А операторская - тормозная
>> и дырявая.
> Операторская переводится в режим почти тупого конвертора интерфейсов, дальше ставится
> своя и вперед .
> Собственно у себя так и сделал.
1. Это не защитит от дырявости прошивки на операторской железке.
2. Это не поможет от ее регулярных зависонов.
3. Далеко не любая железка переводится в режим моста...
4. Со скоростью - поможет. Но не сильно.
сообщить модератору +/– ответить

До 128 С чего ты взял, что до 64 До 64 - это EPON и старое оборудование И да,, t74646546 (ok), 23:33 , 13-Янв-25 (16)
>> А по сколько клиентов вешают на одну ветвь gpon?
> До 64-х. И учти что это общая щина, а не коммутируемая сеть.
> И поставить свою железку будет практически невозможно. А операторская - тормозная
> и дырявая.
До 128. С чего ты взял, что до 64? До 64 - это EPON и старое оборудование. И да, у меня гигабит с 2018 года, всё чётко, даже когда на порте много абонов (не такие активные, как я). Тебе уже выше ссылки скидывали, по самой первой ОЛТшка, которая держит до 128 абонов.

сообщить модератору +/– ответить

gt оверквотинг удален Был от них тариф со скоростью 200 мбит сек Выжимал до 1, aaa (??), 15:16 , 30-Дек-19 (3)
gt оверквотинг удален НЕ вздумайте у GPON китайские модемы с процессором 500 м, Руслан543 (?), 19:26 , 01-Фев-21 (15)
>[оверквотинг удален]
> Почитал про устройство GPON . дословно понял, что на все дерево в
> ветке максималная скорость не превышает 2.5 гбит\сек. Т.е если в многоквартирном
> доме (300 квартир) 20-30 квартир подключены + пара соседних домов (т.к.
> я не уверено, что одно волокно идет от GPON головного устройства
> в каждый дом), то скорость эта профанация?
> Или количество абонентов на гигабит в среднем такое же как и у
> других провайдров? просто интересно, если я возьму 800, и еще 3
> соседа возьмут по 800, да запустят торенты, это будет предел?
> И как у ростелекома качество услуг? Гугл конечно на этот вопрос отвечает,
> но уровень мнения там примерно "небыло не единого разрыва"
НЕ вздумайте у GPON китайские модемы с процессором 500 мегагерц и плохой прошивкой и поменять вы этот оптический роутер на что то другое не сможете многие от этого страдают
сообщить модератору +/– ответить

Проблема со входом в конфигурацию vlan ,

Vlados 839264, (VPN, VLAN, туннель) 23-Окт-24, 16:40 [⋘ | ☳ | ⋙ | ⚟ ] [линейный вид] [смотреть все] [раскрыть новое]

2901 - это роутер У него порты L3 Чтобы настраивать порты L2 вам нужно постави, Andrey (??), 09:23 , 24-Окт-24 (1)
> Друзья помогите пожалуйста. Сижу второй вечер. Проблема максимальная глупая и смешная.
> Есть Cisco2901 я хочу создать vlan
> Пишу: Cisco2901(config)# vlan 1
> Появляется: Invalid input detected at ‘^’ marker
> Я понимаю что это означает( что обнаружен не допустимый ввод). Но до
> этого на других маршрутизаторах точно так же прописывал и я заходил
> в конфигурацию vlana. Помогите друзья, что я упускаю ?
2901 - это роутер. У него порты L3.
Чтобы настраивать порты L2 вам нужно поставить модуль свитчевый.
Конфигурацию своего устройства вы не привели, поэтому для настройки VLAN на L3 интерфейсах используется приблизительно такая конструкция:
!
interfaca Gi0/0
no ip address
no shut
!
interface Gi0/0.1
encapulation dot1q 1
ip address 10.0.0.1 255.255.255.0
!
interface Gi 0/0.2
encapsulation dot1q 2
ip address 10.2.0.1 255.255.255.0
!
номера интерфейсов, VLAN и подсети поставьте свои.
Для VLAN 1 можно настройки внести на физический интерфейс, а не на sub-интерфейс.
сообщить модератору +/– ответить
свитч модуль вставлен show inventory, ShyLion (??), 10:44 , 21-Ноя-24 (2)
> Друзья помогите пожалуйста. Сижу второй вечер. Проблема максимальная глупая и смешная.
> Есть Cisco2901 я хочу создать vlan
> Пишу: Cisco2901(config)# vlan 1
> Появляется: Invalid input detected at ‘^’ marker
> Я понимаю что это означает( что обнаружен не допустимый ввод). Но до
> этого на других маршрутизаторах точно так же прописывал и я заходил
> в конфигурацию vlana. Помогите друзья, что я упускаю ?
свитч модуль вставлен?
show inventory
сообщить модератору +/– ответить
vlan 1 по умолчанию присутствует на любых коммутаторах, gf3598gg (?), 07:49 , 26-Дек-24 (3)
> Друзья помогите пожалуйста. Сижу второй вечер. Проблема максимальная глупая и смешная.
> Есть Cisco2901 я хочу создать vlan
> Пишу: Cisco2901(config)# vlan 1
> Появляется: Invalid input detected at ‘^’ marker
> Я понимаю что это означает( что обнаружен не допустимый ввод). Но до
> этого на других маршрутизаторах точно так же прописывал и я заходил
> в конфигурацию vlana. Помогите друзья, что я упускаю ?
vlan 1 по умолчанию присутствует на любых коммутаторах
сообщить модератору +/– ответить
т е если взять обнуленный коммутатор, все порты по умолчанию находятся в влан 1, gf3598gg (?), 07:51 , 26-Дек-24 (4)
> Друзья помогите пожалуйста. Сижу второй вечер. Проблема максимальная глупая и смешная.
> Есть Cisco2901 я хочу создать vlan
> Пишу: Cisco2901(config)# vlan 1
> Появляется: Invalid input detected at ‘^’ marker
> Я понимаю что это означает( что обнаружен не допустимый ввод). Но до
> этого на других маршрутизаторах точно так же прописывал и я заходил
> в конфигурацию vlana. Помогите друзья, что я упускаю ?
т.е. если взять обнуленный коммутатор, все порты по умолчанию находятся в влан 1, возьмите другой номер )
сообщить модератору +/– ответить
Нужно разделить в голове четыре вещи 1,2 и 3 - это для тех у кого свич модуль ус, eek (ok), 13:29 , 26-Дек-24 (5)
> Друзья помогите пожалуйста. Сижу второй вечер. Проблема максимальная глупая и смешная.
> Есть Cisco2901 я хочу создать vlan
> Пишу: Cisco2901(config)# vlan 1
> Появляется: Invalid input detected at ‘^’ marker
> Я понимаю что это означает( что обнаружен не допустимый ввод). Но до
> этого на других маршрутизаторах точно так же прописывал и я заходил
> в конфигурацию vlana. Помогите друзья, что я упускаю ?
Нужно разделить в голове четыре вещи:
1,2 и 3 - это для тех у кого свич модуль установле, либо свич модуль изначально есть внутри коробки, всякие soho 800/900/1100 коробки, либо это прям L3 свич типа catalyst например)
1) создание vlan (#vlan 1) (для работы с L2 траффиком)
2) создание SVI switch virtual interface для этого vlan (для работы с L3 траффиком):
interface vlan 1
   ip address 1.1.1.0 255.255.255.0
Это в пределах модуля и влана работает на скорости порта (vlan1 -> vlan1)
Маршрутизация как правило будет упираться в проц (тут лучше смотреть документацию на платформу) (vlan1->vlan2)
3) определение порта в нужный влан:
interface fa1
  switchport
  switchport mode access
  switchport access vlan 1
4 - это для тех у кого нет свич модуля (почти все взрослые роутеры)
4) Создание sub interface для целей терминации тэгированного траффика.
interface gig0/1.1 (номер после точки можно поставить любой, но лучше такой же как номер vlan)
  encapsulation dot1q 1 (фактический номер vlan)
  ip address 1.1.1.0 255.255.255.0
Это почти всегда упирается в процессор (но тоже зависит от платформы и нужно смотреть документацию).
сообщить модератору +/– ответить

gt оверквотинг удален Человек хочет сделать влан, причем ТУТ SVI Сам то по, gf3598gg (?), 15:04 , 26-Дек-24 (6)
>[оверквотинг удален]
>   switchport access vlan 1
> 4 - это для тех у кого нет свич модуля (почти все
> взрослые роутеры)
> 4) Создание sub interface для целей терминации тэгированного траффика.
> interface gig0/1.1 (номер после точки можно поставить любой, но лучше такой же
> как номер vlan)
>   encapsulation dot1q 1 (фактический номер vlan)
>   ip address 1.1.1.0 255.255.255.0
> Это почти всегда упирается в процессор (но тоже зависит от платформы и
> нужно смотреть документацию).
Человек хочет сделать влан, причем ТУТ SVI???? Сам то понимаешь что пишешь????
сообщить модератору +/– ответить

Если даже после моего развернутого ответа все еще не понятно как связан vlan и s, eek (ok), 17:58 , 09-Янв-25 (7)
>>[оверквотинг удален]
>> switchport access vlan 1
> Человек хочет сделать влан, причем ТУТ SVI???? Сам то понимаешь что пишешь????
Если даже после моего развернутого ответа все еще не понятно как связан vlan и svi, попробуйте почитать учебник.
сообщить модератору +/– ответить

CISCO 3850 Used Memory value 98% exceeds critical level 95%,

Warlord377, (Cisco Catalyst коммутаторы) 26-Сен-24, 04:09 [⋘ | ☳ | ⋙ | ⚟ ] [линейный вид] [смотреть все] [раскрыть новое]

https www cisco com c en us td docs switches lan catalyst3850 software release, kornell (?), 14:45 , 30-Сен-24 (1)
> Добрый день. Имеется Cisco 3850 версия IOS 16.6.4.
> На данном устройстве постоянно всплывает ошибка:
> CISCO 3850 Used Memory value 98% exceeds critical level 95%
> Нагрузка на железяку не большая, имеются такие же устройства в других офисах
> с ними такой проблемы нет.
> Кто может подсказать куда смотреть и как лечить?
> Могут ли из за этого быть дропы пакетов? По сети сейчас дропается
> до 20000 пакетов судя по системе мониторинга. Уже накапало - Total
> output drops: 4186948820
https://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst3...
CSCvk54649
Memory Leak in fman_rp on 3850 running 16.6.4
сообщить модератору +/– ответить

CSCvh31431 Memory leak in linux_iosd-image on 16 6 releasesCSCvh52882 Memory, kornell (?), 14:50 , 30-Сен-24 (2)
CSCvh31431   Memory leak in linux_iosd-image on 16.6 releases
CSCvh52882   Memory Leak the fed process due nbar config
CSCvh85482   memory utilization increasing for tams_proc
CSCvh89372   Memory leak in linux_iosd-image or platfrom_mgr
CSCvi19809   Memory leak on C9300 due TMS process
CSCvf77673   Memory leak in OC-Platform
сообщить модератору +/– ответить

Обнови прошивку до последней cat3k_caa-universalk9 16 12 11 SPA bin от 01-Apr-20, ipmanyak (ok), 19:10 , 01-Окт-24 (3)
> Добрый день. Имеется Cisco 3850 версия IOS 16.6.4.
> На данном устройстве постоянно всплывает ошибка:
> CISCO 3850 Used Memory value 98% exceeds critical level 95%
> Нагрузка на железяку не большая, имеются такие же устройства в других офисах
> с ними такой проблемы нет.
> Кто может подсказать куда смотреть и как лечить?
> Могут ли из за этого быть дропы пакетов? По сети сейчас дропается
> до 20000 пакетов судя по системе мониторинга. Уже накапало - Total
> output drops: 4186948820
Обнови прошивку до последней cat3k_caa-universalk9.16.12.11.SPA.bin от 01-Apr-2024, или хотя бы до 16.6.9 cat3k_caa-universalk9.16.06.09.SPA.bin от 26-Feb-2021. На свичи 3850 контракт не просит, любую можно скачать.
сообщить модератору +/– ответить

Помогите с настройкой сети.,

BUMP, (Каналообразующее оборудование, Модемы) 14-Авг-24, 16:30 [⋘ | ☳ | ⋙ | ⚟ ] [линейный вид] [смотреть все] [раскрыть новое]

Заказать у оператора внешний статический ип адрес, ogiss (?), 10:13 , 16-Авг-24 (1) +1

Внешний адрес статический Я просто не могу объяснить, навреное Есть eth0 он по, BUMP (?), 23:23 , 16-Авг-24 (2)
>> Домашний комп сетевая карта eth0 со статическим адресом 192.168.0.11
>> Выход в интернет (оптоволокно) через оптоволокно модем (192.168.0.1) адрес компа привязан
>> к MAC (короче без DHCP).
>> # route add default gw 192.168.0.1 eth0
>> все работает, все хорошо.
>> Как мне настроить tun0 для подлючению к VPN серверу? и какой адрес
>> нужен tun0?
>> на серваке.
> Заказать у оператора внешний статический ип адрес
Внешний адрес статический.
Я просто не могу объяснить, навреное.
Есть eth0 он понднимается на компе ifconfig eth0 up 192.168.0.11
на модеме 192.168.0.11 зарезервирован под MAC ну т.е. не нужен DHCP
выхон наружу
route add default gw 192.168.0.1 eth0

и все работает, но я не доганяю как это пробросить к VPN серваку (VPN стартует с конфигом проблем нет, и с андроида работает) а вот как его пробросить через tun0 я ума не приложу...
сообщить модератору +/– ответить

если просто, то на компе тоже нужен впн клиент, который поднимет интерфейс tun0 , sn (??), 14:03 , 17-Авг-24 (3)

> серваку (VPN стартует с конфигом проблем нет, и с андроида работает)
> а вот как его пробросить через tun0 я ума не
> приложу...
если просто, то на компе тоже нужен впн клиент, который поднимет интерфейс tun0 и завернет туда трафмк нужный.
сообщить модератору +/– ответить

впн клиент, как на андроиде, sn (??), 14:04 , 17-Авг-24 (4)
>> серваку (VPN стартует с конфигом проблем нет, и с андроида работает)
>> а вот как его пробросить через tun0 я ума не
>> приложу...
> если просто, то на компе тоже нужен впн клиент, который поднимет интерфейс
> tun0 и завернет туда трафмк нужный.
впн клиент, как на андроиде
сообщить модератору +/– ответить
openvpn клиент стоит и работает tun0 я поднимаю вручную tunctl -u BUMP -g users , BUMP (?), 19:20 , 17-Авг-24 (5)
>> серваку (VPN стартует с конфигом проблем нет, и с андроида работает)
>> а вот как его пробросить через tun0 я ума не
>> приложу...
> если просто, то на компе тоже нужен впн клиент, который поднимет интерфейс
> tun0 и завернет туда трафмк нужный.
openvpn клиент стоит и работает.
tun0 я поднимаю вручную tunctl -u BUMP -g users -t tun0
ifconfig tun0 up 192.168.0.11
как "пробросить" c tun0 к vpn-серверу.
сообщить модератору +/– ответить

1 Если 192 168 0 11 у вас уже на eth0, зачем вы пытаетесь этот-же IP понять на , Andrey (??), 09:16 , 19-Авг-24 (6) +1
>>> серваку (VPN стартует с конфигом проблем нет, и с андроида работает)
>>> а вот как его пробросить через tun0 я ума не
>>> приложу...
>> если просто, то на компе тоже нужен впн клиент, который поднимет интерфейс
>> tun0 и завернет туда трафмк нужный.
> openvpn клиент стоит и работает.
> tun0 я поднимаю вручную tunctl -u BUMP -g users -t tun0
> ifconfig tun0 up 192.168.0.11
> как "пробросить" c tun0 к vpn-серверу.
1. Если 192.168.0.11 у вас уже на eth0, зачем вы пытаетесь этот-же IP понять на tun0? Вы используете VRF?
2. Если у вас стоит openvpn клиент, зачем вы поднимаете tun0 вручную?
сообщить модератору +1 +/– ответить

Т е tun0 не нужен ip Насколько я понимаю openvpn поднимает через сетевые сервис, shaped (ok), 09:59 , 19-Авг-24 (7)
> 1. Если 192.168.0.11 у вас уже на eth0, зачем вы пытаетесь этот-же
Т.е. tun0 не нужен ip?
> 2. Если у вас стоит openvpn клиент, зачем вы поднимаете tun0 вручную?
Насколько я понимаю openvpn поднимает через сетевые сервисы (systemd/openrc) на машине их нет.

сообщить модератору +/– ответить

Чой-то tun0 - это L3 интерфейс Смотрите логи openvpn Как вариант добавьте в к, Andrey (??), 10:15 , 19-Авг-24 (8) +1
>> 1. Если 192.168.0.11 у вас уже на eth0, зачем вы пытаетесь этот-же
> Т.е. tun0 не нужен ip?
Чой-то? tun0 - это L3 интерфейс.
>> 2. Если у вас стоит openvpn клиент, зачем вы поднимаете tun0 вручную?
> Насколько я понимаю openvpn поднимает через сетевые сервисы (systemd/openrc) на машине
> их нет.
Смотрите логи openvpn. Как вариант добавьте в конфиг "verb 4" и смотрите более детально.
Там должны быть все действия vpn клиента в системе и чем эти действия закончились.
сообщить модератору +1 +/– ответить

Спасибо, отпишусь , shaped (ok), 11:57 , 19-Авг-24 (9)
>>> 1. Если 192.168.0.11 у вас уже на eth0, зачем вы пытаетесь этот-же
>> Т.е. tun0 не нужен ip?
> Чой-то? tun0 - это L3 интерфейс.
>>> 2. Если у вас стоит openvpn клиент, зачем вы поднимаете tun0 вручную?
>> Насколько я понимаю openvpn поднимает через сетевые сервисы (systemd/openrc) на машине
>> их нет.
> Смотрите логи openvpn. Как вариант добавьте в конфиг "verb 4" и смотрите
> более детально.
> Там должны быть все действия vpn клиента в системе и чем эти
> действия закончились.
Спасибо, отпишусь

сообщить модератору +/– ответить
не поднимает он сам tun eth0 flags 4163 UP,BROADCAST,RUNNING,MULTICAST mtu 15, BUMP (?), 15:34 , 20-Авг-24 (10)
> Смотрите логи openvpn. Как вариант добавьте в конфиг "verb 4" и смотрите
> более детально.
> Там должны быть все действия vpn клиента в системе и чем эти
> действия закончились.
не поднимает он сам tun
>>UDPv4 link local: (not bound)
eth0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
inet 192.168.0.1  netmask 255.255.255.0  broadcast 192.168.0.255
ether 50:eb:f6:5b:83:a7  txqueuelen 1000  (Ethernet)
RX packets 5974788  bytes 7819375571 (7.2 GiB)
RX errors 0  dropped 0  overruns 0  frame 0
TX packets 6275878  bytes 910333837 (868.1 MiB)
TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0
device memory 0x94f00000-94ffffff
lo: flags=73<UP,LOOPBACK,RUNNING>  mtu 65536
inet 127.0.0.1  netmask 255.0.0.0
inet6 ::1  prefixlen 128  scopeid 0x10<host>
loop  txqueuelen 1000  (Local Loopback)
RX packets 46878310  bytes 2643217657 (2.4 GiB)
RX errors 0  dropped 0  overruns 0  frame 0
TX packets 46878310  bytes 2643217657 (2.4 GiB)
TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0
sit0: flags=128<NOARP>  mtu 1480
sit  txqueuelen 1000  (IPv6-in-IPv4)
RX packets 0  bytes 0 (0.0 B)
RX errors 0  dropped 0  overruns 0  frame 0
TX packets 0  bytes 0 (0.0 B)
TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0
wlan0: flags=4098<BROADCAST,MULTICAST>  mtu 1500
RX packets 0  bytes 0 (0.0 B)
RX errors 0  dropped 0  overruns 0  frame 0
TX packets 0  bytes 0 (0.0 B)
TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0
сообщить модератору +/– ответить
Все спасибо разобрался действительно была проблема в server user confпосле чего , BUMP (?), 20:10 , 20-Авг-24 (11)
>>> 2. Если у вас стоит openvpn клиент, зачем вы поднимаете tun0 вручную?
Все спасибо разобрался!
действительно была проблема в server/user.conf
после чего стал нормально подниматься tun0
дальше, бездумным (catandpaste) способом "пробросил" tun0
iptables -t nat -A POSTROUTING -s 192.168.0.1/24 ! -d 192.168.1.0/24 -o tun0 -j MASQUERADE
ip rule add from 192.168.0.1/24 table 99
ip route add 0.0.0.0/0 via 10.0.0.6 dev tun0 table 99
Еще раз благодарю!
сообщить модератору +/– ответить

Кривой датацентр,

ACCA, (Разное) 13-Июл-24, 13:02 [⋘ | ☳ | ⋙ | ⚟ ] [линейный вид] [смотреть все] [раскрыть новое]

Нихрена не понял как ты собрался свои 300 моих VM распихать на 28 Оказало, Pahanivo пробегал (?), 02:06 , 15-Июл-24 (1)
Нихрена не понял как ты собрался свои "300+ моих VM" распихать на /28 )))
Оказалось что меня ... вообще интересный подход к решению задач, прям как в анекдоте "даю вводную".
сообщить модератору +/– ответить

300 VM сидят по своим VLAN 28 сидит в отдельной VLAN и туда торчат reverse p, ACCA (ok), 19:25 , 16-Июл-24 (3)
> Нихрена не понял как ты собрался свои "300+ моих VM" распихать на
> /28 )))
300+ VM сидят по своим VLAN.
/28 сидит в отдельной VLAN и туда торчат [reverse] proxy и прочие VPN серверы.
сообщить модератору +/– ответить

gt оверквотинг удален Ответ на вопрос Всегда свою сеть отгораживать роутеро, Andrey (??), 10:18 , 15-Июл-24 (2)
>[оверквотинг удален]
> * в стойке куча хостов VMware+KVM
> * блок /28
> ожидалось, что /28 нарезан где-то в раутере, а мне отдали VLAN, куда
> воткнули портом.
> Оказалось, что меня воткнули в свитч ЦОД. IPv6, разумеется ни у кого
> не конфигурён. 300+ моих VM подняли радостный лай через NDP. Им
> ответили ВСЕ свитчи ЦОД и стали спорить по поводу default router.
> Мои 10Gb свитчи оказались сильнее. NDP шторм уложил весь ЦОД.
> Пришлось бежать в центр и рубить питание. А потом ставить свой раутер.
> А как нужно было сделать?
Ответ на вопрос:
Всегда(!) свою сеть отгораживать роутером/файрволом. Тем более что виртуалок у вас 300+.
Ну если только вы не берете L2 между площадками. Но это уже другая история.
С той стороны тоже шляпы. Клиенту, в большинстве случаев, должен отдаваться приватный VLAN в режиме access, и всегда без возможности доступа к менеджменту оборудования ЦОД. Т.е. конфликт между оборудованием клиента и оборудованием ДЦ должен быть невозможен.
Технические характеристики подключения согласовываются допником к договору, как и действия ЦОД/оператора связи по автоматической блокировке клиента в случае подобных эксцессов.
Тут не ДЦ кривой. Тут обе стороны не очень...
сообщить модератору +/– ответить

В ЦОД - HSRP, а у меня - VRRP Вот и поговорили Автомат что-то не сработал, адми, ACCA (ok), 23:11 , 16-Июл-24 (4)
> Технические характеристики подключения согласовываются допником к договору, как и действия
> ЦОД/оператора связи по автоматической блокировке клиента в случае подобных эксцессов.
В ЦОД - HSRP, а у меня - VRRP. Вот и поговорили.
Автомат что-то не сработал, админы ЦОД - водители мыши. Кабельщики подрабатывают охраной. При этом 3 га площади залов.

> Тут не ДЦ кривой. Тут обе стороны не очень...
Походу проще купить Cisco, чем договориться про VRRP.
сообщить модератору +/– ответить

Я конкретно не прав - все ЦОД так и должны работать, как автомат Калашникова В 4, ACCA (ok), 05:09 , 21-Июл-24 (5)
> Автомат что-то не сработал, админы ЦОД - водители мыши. Кабельщики подрабатывают охраной.
> При этом 3 га площади залов.
Я конкретно не прав - все ЦОД так и должны работать, как автомат Калашникова.
В 4 утра позвонил в техподдержку по поводу кривого счёта. Эти пoцы просто разбудили среди ночи главбуха и заставили отвечать.
Пошёл покупать раутер Cisco, чтобы не мешать пацанам работать...
сообщить модератору +/– ответить

IPSEC L2TP между микротами, и не доступа к внешнему IP,

Кровосток, (VPN, VLAN, туннель) 08-Дек-22, 06:55 [⋘ | ☳ | ⋙ | ⚟ ] [линейный вид] [смотреть все] [раскрыть новое]

Галочку Add default route снять в свойствах туннеля соединения, Сергей (??), 12:58 , 08-Дек-22 (1) +7 [^]
> Доброго дня Уважаемые!
> Есть два микрота в интернете: 1.1.1.1 и 2.2.2.2
> Между ними подняли L2TP + IPSec туннель. После этого пропал доступ с
> 1.1.1.1 к внешним сервисам 2.2.2.2 (25, 143, 465 и т.п. порты).
> Как будто всё что идёт на 2.2.2.2 пытается завернуться в туннель.
> Подскажите как это решить?
Галочку Add default route снять в свойствах туннеля/соединения
сообщить модератору +7 +/– ответить

Там маршрут по-умолчанию и не стоит Я может непонятно объяснил Весь остальной т, Кровосток (ok), 13:36 , 08-Дек-22 (2) +6 [^]
> Галочку Add default route снять в свойствах туннеля/соединения
Там маршрут по-умолчанию и не стоит.
Я может непонятно объяснил: Весь остальной траффик идёт, т.е. и интернет у микрота 1.1.1.1 есть, и у клиентов за ним интернет есть. И сам туннель 1.1.1.1 <=> 2.2.2.2 работает (допустим за 2.2.2.2 сеть 172.16.11.0/24 - доступна из-за микрота 1.1.1.1)
А вот если я с микрота 1.1.1.1 или из сети за ним пытаюсь достучаться каким-либо образом до внешнего адреса 2.2.2.2 - то он чёрная дыра. И трассировка с 1.1.1.1 до 2.2.2.2 не идёт ни одного хопа.
У меня сложилось впечатление, что все пакеты идущие с 1.1.1.1 на 2.2.2.2 оформляются в IPSEC. Может где-то в настройках профиля IPSEC что-то для этого есть?
сообщить модератору +6 +/– ответить

ip ipsec export чтолиа то какие-то гадания, ShyLion (??), 17:03 , 08-Дек-22 (3) +5
/ip ipsec export чтоли
а то какие-то гадания
сообщить модератору +5 +/– ответить

Да, вот данные ---------------------------------- code ip ipsec profileadd dh-g,

Кровосток (ok), 07:29 , 09-Дек-22 (4) +4

> /ip ipsec export чтоли
> а то какие-то гадания

Да, вот данные:
----------------------------------

/ip ipsec profile
add dh-group=modp1024 enc-algorithm=aes-128 name=EXT_Prof1 prf-algorithm=sha1/ip ipsec peer
add address=2.2.2.2/32 exchange-mode=ike2 local-address=1.1.1.1 name=\
    EXT_Peer1 profile=EXT_Prof1
/ip ipsec proposal
set [ find default=yes ] lifetime=1h
add name=EXT_Prop1
/ip ipsec identity
add peer=EXT_Peer1 secret=UWp2OwmWOqmxXoals1
/ip ipsec policy
add dst-address=2.2.2.2/32 peer=EXT_Peer1 proposal=EXT_Prop1 src-address=\
    1.1.1.1/32

сообщить модератору +4 +/–

ответить

Так оно и есть - все пакеты идущие с 1 1 1 1 на 2 2 2 2 оформляются в IPSEC Прав, PavelR (??), 07:54 , 10-Дек-22 (5) +3
> У меня сложилось впечатление, что все пакеты идущие с 1.1.1.1 на 2.2.2.2
> оформляются в IPSEC. Может где-то в настройках профиля IPSEC что-то для
> этого есть?
Так оно и есть - все пакеты идущие с 1.1.1.1 на 2.2.2.2 оформляются в IPSEC.
Правда 2.2.2.2 по идее должен быть доступен по этому IPSEC-стыку, как минимум с 1.1.1.1 -
ведь туннель то у вас работает. Возможно что файрвол что-то фильтрует.
Если не хочешь, чтобы в IPSEC заворачивался весь трафик, укажи в настройках IPSEC Policy только нужный для туннеля протокол (gre или ipip).

сообщить модератору +3 +/– ответить

1, ShyLion (??), 09:18 , 22-Дек-22 (6) +2
> Если не хочешь, чтобы в IPSEC заворачивался весь трафик, укажи в настройках
> IPSEC Policy только нужный для туннеля протокол (gre или ipip).
+1
сообщить модератору +2 +/– ответить

Да, в policy стоял all - изменил на нужный протокол и вроде всё ок Спасибо , Кровосток (ok), 09:28 , 22-Дек-22 (7) +1
>> Если не хочешь, чтобы в IPSEC заворачивался весь трафик, укажи в настройках
>> IPSEC Policy только нужный для туннеля протокол (gre или ipip).
> +1
Да, в policy стоял all - изменил на нужный протокол и вроде всё ок. Спасибо!
сообщить модератору +1 +/– ответить

Настройка AnyConnect Client VPN,

LinaSan, (VPN, VLAN, туннель) 28-Фев-24, 07:07 [⋘ | ☳ | ⋙ | ⚟ ] [линейный вид] [смотреть все] [раскрыть новое]

openconnet, Аноним (1), 16:38 , 29-Фев-24 (1)
> Добрый день.
> Стоит задача настройки AnyConnect Client VPN на ASA5540 для доступа в корпоративную
> сеть, который будет отказывать в установлении соединения по условию.
> Влияния на клиента нет. Т.е. технология Microsoft NAP не подходит из-за необходимости
> клиентской части.
> Подскажите, пожалуйста, какие есть пути решения? В сторону каких технологий/ настроек посмотреть?
> Заранее спасибо!
openconnet
сообщить модератору +/– ответить
который будет отказывать в установлении соединения по условию Что значит будет о, Тимофей (??), 16:56 , 29-Фев-24 (2)
> Добрый день.
> Стоит задача настройки AnyConnect Client VPN на ASA5540 для доступа в корпоративную
> сеть, который будет отказывать в установлении соединения по условию.
> Влияния на клиента нет. Т.е. технология Microsoft NAP не подходит из-за необходимости
> клиентской части.
> Подскажите, пожалуйста, какие есть пути решения? В сторону каких технологий/ настроек посмотреть?
> Заранее спасибо!
который будет отказывать в установлении соединения по условию.
Что значит будет отказывать? По каким условиям?
сообщить модератору +/– ответить

Вероятно ТС нужен Host Scan или DART в составе AnyConnect Или что-то подобное П, Andrey (??), 09:07 , 01-Мрт-24 (3)
>> Добрый день.
>> Стоит задача настройки AnyConnect Client VPN на ASA5540 для доступа в корпоративную
>> сеть, который будет отказывать в установлении соединения по условию.
>> Влияния на клиента нет. Т.е. технология Microsoft NAP не подходит из-за необходимости
>> клиентской части.
>> Подскажите, пожалуйста, какие есть пути решения? В сторону каких технологий/ настроек посмотреть?
>> Заранее спасибо!
> который будет отказывать в установлении соединения по условию.
> Что значит будет отказывать? По каким условиям?
Вероятно ТС нужен Host Scan или DART в составе AnyConnect. Или что-то подобное.
Позволяет проверять версию ОС, наличие необходимых патчей, софта (антивирусы и т.д) и на основе этого или разрешать полный доступ в сеть или ограничивать/отклонять.
Но сформулировано конечно не по-русски.
Можно только посоветовать читать сайт циски.
сообщить модератору +/– ответить

Если внутри сети есть домен, то можно поднять RADIUS-сервер В терминах windows , RussianSuperAdmin (ok), 08:21 , 04-Мрт-24 (4)
> Добрый день.
> Стоит задача настройки AnyConnect Client VPN на ASA5540 для доступа в корпоративную
> сеть, который будет отказывать в установлении соединения по условию.
> Влияния на клиента нет. Т.е. технология Microsoft NAP не подходит из-за необходимости
> клиентской части.
> Подскажите, пожалуйста, какие есть пути решения? В сторону каких технологий/ настроек посмотреть?
> Заранее спасибо!
Если внутри сети есть домен, то можно поднять RADIUS-сервер. В терминах windows это будет network policy server.
Туда нужно отдать группы пользователей, которым разрешен вход через vpn.
ASA5540 умеет проверять пользователей на Radius-сервере. В ASDM есть специальный мастер.
Кроме того, опять же если есть домен, то можно поднять службу сертификатов и выпускать сертификаты на пользователей или на группы. Это позволит сделать дополнительную проверку на актуальность сертификата. Своеобразная 2FA. Из сертификата пользователя в клиента можно подбрасывать имя пользователя. После входа пользователя можно доменной политикой обновить ему сертификат. Или например если это пользователь подрядчика, то по завершении работ по договору можно отозвать сертификат. Вобщем гибко все. И без DARTов и Umbrella.
сообщить модератору +/– ответить

Eправление вентиляторами,

sheff.artx, (Диагностика и решение проблем) 25-Дек-23, 08:19 [⋘ | ☳ | ⋙ | ⚟ ] [линейный вид] [смотреть все] [раскрыть новое]

Управлять - вряд-ли Диагностировать можно командой show environment all За С, Andrey (??), 09:10 , 25-Дек-23 (1)
> Всем привет,
> Имеется Cisco 1941/K9. Постоянно вращает вентилятором на максимуме. Есть ли возможность
> управлять оборотами либо если в чём-то проблема, как-то её диагностировать?
> С меня, как всегда... )
Управлять - вряд-ли.
Диагностировать можно командой "show environment all". За С1941 не скажу, но зависимости от железки должен показать соответствие температуры (или нескольких датчиков) и статус вентиляторов. В больших железках показывает и текущую скорость оборотов вентиляторов. Можно попробовать опросить по SNMP.
Как вариант - выбрать время, выключить, разобрать и почистить/продуть/пропылесосить С1941.
сообщить модератору +/– ответить

Благодарю за скорый ответ Но тут такое дело Девайс достался как есть на халяву, sheff.artx (ok), 11:00 , 25-Дек-23 (2)
>> Всем привет,
>> Имеется Cisco 1941/K9. Постоянно вращает вентилятором на максимуме. Есть ли возможность
>> управлять оборотами либо если в чём-то проблема, как-то её диагностировать?
>> С меня, как всегда... )
> Управлять - вряд-ли.
> Диагностировать можно командой "show environment all". За С1941 не скажу, но зависимости
> от железки должен показать соответствие температуры (или нескольких датчиков) и статус
> вентиляторов. В больших железках показывает и текущую скорость оборотов вентиляторов.
> Можно попробовать опросить по SNMP.
> Как вариант - выбрать время, выключить, разобрать и почистить/продуть/пропылесосить С1941.
Благодарю за скорый ответ. Но тут такое дело. Девайс достался как есть на халяву. И кулер там был подключен к плате со смещением на один пин и не работал вовсе. Обнаружил это когда в консоль посыпались сообщения о перегреве. Воткнул как положено, но шумит адски. Не могло ли на плате что сгореть от неправильного подключения? Теряюсь в догадках...

сообщить модератору +/– ответить

gt оверквотинг удален Можно просто перегрузить по питанию При прохождении POS, Andrey (??), 16:10 , 25-Дек-23 (3)
>[оверквотинг удален]
>> от железки должен показать соответствие температуры (или нескольких датчиков) и статус
>> вентиляторов. В больших железках показывает и текущую скорость оборотов вентиляторов.
>> Можно попробовать опросить по SNMP.
>> Как вариант - выбрать время, выключить, разобрать и почистить/продуть/пропылесосить С1941.
> Благодарю за скорый ответ. Но тут такое дело. Девайс достался как есть
> на халяву. И кулер там был подключен к плате со смещением
> на один пин и не работал вовсе. Обнаружил это когда в
> консоль посыпались сообщения о перегреве. Воткнул как положено, но шумит адски.
> Не могло ли на плате что сгореть от неправильного подключения? Теряюсь
> в догадках...
Можно просто перегрузить по питанию. При прохождении POST должен разгонять вентилятор до полной мощности, потом убирать в нормальное значение.
Должно укладываться в значения, приведенные в DataSheet:
Acoustic: Sound Pressure (Typ/Max) 26/46 dBA
Acoustic: Sound Power (Typ/Max) 36/55 dBA
Ну или смотреть осциллографом наличие ШИМ на выходе к вентилятору.
сообщить модератору +/– ответить

gt оверквотинг удален Очень интересно Есть простенький осциллограф и кое-како, sheff.artx (ok), 18:45 , 25-Дек-23 (4)
>[оверквотинг удален]
>> на один пин и не работал вовсе. Обнаружил это когда в
>> консоль посыпались сообщения о перегреве. Воткнул как положено, но шумит адски.
>> Не могло ли на плате что сгореть от неправильного подключения? Теряюсь
>> в догадках...
> Можно просто перегрузить по питанию. При прохождении POST должен разгонять вентилятор до
> полной мощности, потом убирать в нормальное значение.
> Должно укладываться в значения, приведенные в DataSheet:
> Acoustic: Sound Pressure (Typ/Max) 26/46 dBA
> Acoustic: Sound Power (Typ/Max) 36/55 dBA
> Ну или смотреть осциллографом наличие ШИМ на выходе к вентилятору.
Очень интересно! Есть простенький осциллограф и кое-какое представление о том как делать. Расскажите коротко что и на каком контакте мерять?
сообщить модератору +/– ответить

Ни-ни-ни У меня нет таких железок Знаю что управление идет ШИМ-ом Давать удале, Andrey (??), 10:23 , 26-Дек-23 (5)
>>[оверквотинг удален]
> Очень интересно! Есть простенький осциллограф и кое-какое представление о том как делать.
> Расскажите коротко что и на каком контакте мерять?
Ни-ни-ни.
У меня нет таких железок. Знаю что управление идет ШИМ-ом.
Давать удаленно объяснения что как мерить осциллографом, при отсутствии такой-же железки, при словах "кое-какое представление" - мне пока карма дорога. ;)
Лучше найдите какого-нибудь ремонтника в радиусе доступности.
сообщить модератору +/– ответить

Насколько старый Если лет 5-7, скорее всего термопаста закисла под радиаторами , Tron is Whistling (?), 16:19 , 28-Дек-23 (6)
Насколько старый? Если лет 5-7, скорее всего термопаста закисла под радиаторами.
Если руки не кривые - можете сами поменять, только надо тип крышки смотреть, чтобы не разъело.
Иначе да, ищите ремонтника
сообщить модератору +/– ответить

значит кто-то лазил - вопрос накой а ты уверен что он у тебя из-за скорости шуми, Pahanivo пробегал (?), 18:15 , 30-Дек-23 (7)
> И кулер там был подключен к плате со смещением на один пин и не работал вовсе.
значит кто-то лазил - вопрос накой.
> но шумит адски.
а ты уверен что он у тебя из-за скорости шумит, а не из-за ушатаных подшипников или втулки?

сообщить модератору +/– ответить

Нет пингов при 100% отправки пакетов,

LeiS, (VPN, VLAN, туннель) 15-Июн-23, 12:17 [⋘ | ☳ | ⋙ | ⚟ ] [линейный вид] [смотреть все] [раскрыть новое]

gt оверквотинг удален Мало исходных данных Ноут понимает тегированные VLAN Е, Andrey (??), 12:54 , 15-Июн-23 (1)
>[оверквотинг удален]
> line aux 0
> line vty 0 4
>  login
>  transport input none
> !
> scheduler allocate 20000 1000
> !
> end\
> Ноутом (20.10.4.239) встаем на interface FastEthernet0 пинга нет, но пишет 100% отправлено
> пакетов. по telnet  то же зайти не дает(
Мало исходных данных.
Ноут понимает тегированные VLAN?
Если нет, то зачем встаете на порт, который работает с тегированными VLAN?
сообщить модератору +/– ответить
А вы что, на ноут прописали тот же ip что и на интерфейс - если нет, то зачем , shadow_alone (ok), 01:16 , 16-Июн-23 (2)
> interface Vlan708
> ip address 20.10.4.239 255.255.255.0
> Ноутом (20.10.4.239) встаем на interface FastEthernet0 пинга нет, но пишет 100% отправлено
> пакетов. по telnet то же зайти не дает(
А вы что, на ноут прописали тот же ip что и на интерфейс :-) если нет, то зачем в скобках за ноутом указывать ip.
И да, надеюсь на ноуте вы vlan сделали
сообщить модератору +/– ответить

Включились в сеть с 2960 15 порт trunk в нашу в порт 0, нет ни пакетов ни пинго, LeiS (ok), 03:47 , 16-Июн-23 (3)
>> interface Vlan708
>> ip address 20.10.4.239 255.255.255.0
>> Ноутом (20.10.4.239) встаем на interface FastEthernet0 пинга нет, но пишет 100% отправлено
>> пакетов. по telnet то же зайти не дает(
> А вы что, на ноут прописали тот же ip что и на
> интерфейс :-) если нет, то зачем в скобках за ноутом указывать
> ip.
> И да, надеюсь на ноуте вы vlan сделали
Включились в сеть с 2960 (15 порт)trunk в нашу в порт 0, нет ни пакетов ни пингов c ПК, c2960 видит
сообщить модератору +/– ответить

Все решилось Спасибо, что не оставили без внимания Пошли немного другим путем,, LeiS (ok), 06:54 , 16-Июн-23 (4)
>>> interface Vlan708
>>> ip address 20.10.4.239 255.255.255.0
>>> Ноутом (20.10.4.239) встаем на interface FastEthernet0 пинга нет, но пишет 100% отправлено
>>> пакетов. по telnet то же зайти не дает(
>> А вы что, на ноут прописали тот же ip что и на
>> интерфейс :-) если нет, то зачем в скобках за ноутом указывать
>> ip.
>> И да, надеюсь на ноуте вы vlan сделали
> Включились в сеть с 2960 (15 порт)trunk в нашу в порт 0,
> нет ни пакетов ни пингов c ПК, c2960 видит
Все решилось)) Спасибо, что не оставили без внимания.
Пошли немного другим путем, при прописании ip адреса на порты выдал ошибку - IP addresses may not be configured on L2 links.
Поступи такт - айпи надо вешать на влан, а уже интерфейс привязывать к этому влану
сообщить модератору +/– ответить

cisco 871W dhcp,

Энди, (Диагностика и решение проблем) 14-Апр-24, 10:00 [⋘ | ☳ | ⋙ | ⚟ ] [линейный вид] [смотреть все] [раскрыть новое]

gt оверквотинг удален DHCP отдается по подсетям Подсети привязываются к интер, Andrey (??), 09:07 , 15-Апр-24 (1)
>[оверквотинг удален]
> поднял, одно плохо - хочется чтобы адреса раздавались по соответствующим интерфейсам
> - для вайфая из одного пула, для эзернета из другого -
> но никак не получается :( что нужно сказать на dot11radio0? все
> работает без заморочек через бридж. может кто чего подскажет?
> софт C870 Software (C870-ADVIPSERVICESK9-M), Version 12.4(24)T6, RELEASE SOFTWARE (fc2)
> три dhcp pool по 32 адреса из одной сети - для эзернет,
> вайфай, ppp - тут все как часы, а вот для вайфай
> циска упорно берет адреса из пула для езернета. адрес роутера на
> бридже, но даже если присвоить адрес радио интерфейсу из нужного пула
> - циска плюет на него. если нужен будет конфиг - кину.
DHCP отдается по подсетям. Подсети привязываются к интерфейсам.
По умолчанию Wifi работает в бридже с VLAN1. Т.е. в одной подсети.
Или делать привязку MAC-IP или выгонять Wifi в другой VLAN и привязывать этот VLAN к брижду.
Учтите что маршрутизация между VLAN будет "кушать" CPU.
По докам можно ориентироваться и на С89х. Архитектура одна и та-же. Отсутствуют только некоторые фичи из-за разницы в IOS 12.х и 15.х линеек. Но базовые настройки не меняются десятилетиями.
сообщить модератору +/– ответить

ну да, так то я уже и сам дотумкал что лучший вариант для домашней сети - привяз, Энди (ok), 15:28 , 15-Апр-24 (2)
> DHCP отдается по подсетям. Подсети привязываются к интерфейсам.
> По умолчанию Wifi работает в бридже с VLAN1. Т.е. в одной подсети.
> Или делать привязку MAC-IP или выгонять Wifi в другой VLAN и привязывать
> этот VLAN к брижду.
> Учтите что маршрутизация между VLAN будет "кушать" CPU.
> По докам можно ориентироваться и на С89х. Архитектура одна и та-же. Отсутствуют
> только некоторые фичи из-за разницы в IOS 12.х и 15.х линеек.
> Но базовые настройки не меняются десятилетиями.
ну да, так то я уже и сам дотумкал что лучший вариант для домашней сети - привязка по макам, и ограничение размером сети. но так лениво - каждую железяку и телефон привязывать ;) потому и надеялся что может есть вариант по ленивому :) вариант с созданием dot11radio0.1 делал, и он мне как то сразу не глянулся, почему и не стал делать отдельный вилан для вайфая. наверно все же лучше плюнуть на разделение езернет-вайфай, тем более что у меня в домашней сети только два телика без вайфая, проще им рядом эту циску поставить. спасибо за помощь и подтверждение. кстати, пока шарился в поисках док - наткнулся на интересную фичу - если по найденной ссылке на циско.ком напрямую не зайти, то зачастую можно эту доку получить если сказать гуглу перевести страницу. в 60 процентах примерно срабатывает.
сообщить модератору +/– ответить

Очень хотелось бы У самого по той же причине лежит такая же дома- всё руки не , Happy_demon (ok), 08:14 , 17-Апр-24 (3)
> - циска плюет на него. если нужен будет конфиг - кину.
Очень хотелось бы. У самого по той же причине лежит такая же дома- всё руки не доходят. А те мануалы, что находил в сети- как на подбор частичные
сообщить модератору +/– ответить

лови обещанное критика приветствуется да, впн снаружи не тестировался - слегка, Энди (ok), 20:02 , 19-Апр-24 (4)
>  Очень хотелось бы. У самого по той же причине лежит такая
> же дома- всё руки не доходят. А те мануалы, что находил
> в сети- как на подбор частичные
лови обещанное. критика приветствуется. да, впн снаружи не тестировался - слегка занят другими проектами и не доходят руки до выбора и настройки ddns, кстати по нынешним реалиям какого поставщика лучше заюзать?
ios - c870-advipservicesk9-mz.124-24.T6
если у кого есть поновее - с благодарностью приму :) последний иос вроде T8
!
version 12.4
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname ANDY-871W
!
boot-start-marker
boot-end-marker
!
logging message-counter syslog
!
no aaa new-model
clock timezone MSK 3
!
!
dot11 syslog
!
dot11 ssid Andy-test
authentication open
authentication key-management wpa
guest-mode
wpa-psk ascii 7 xxxxxxxxxx
!
ip source-route
!
!
no ip dhcp use vrf connected
ip dhcp excluded-address 192.168.252.1
!
ip dhcp pool VPN
   import all
   network 192.168.252.64 255.255.255.252
   default-router 192.168.252.1
   dns-server 192.168.252.1
!
ip dhcp pool Local
   import all
   network 192.168.252.0 255.255.255.192
   default-router 192.168.252.1
   dns-server 192.168.252.1
!
!
ip cef
ip domain retry 5
ip domain timeout 5
ip domain name ANDY-871.local
ip name-server 194.226.61.130
ip name-server 194.226.61.131
ip name-server 77.88.8.8
no ipv6 cef
!
multilink bundle-name authenticated
!
async-bootp dns-server 192.168.252.1
vpdn enable
!
vpdn-group 1
request-dialin
  protocol pppoe
!
vpdn-group VPDN-PPTP
! Default L2TP VPDN group
! Default PPTP VPDN group
accept-dialin
  protocol any
  virtual-template 1
local name pptp_gateway
ip pmtu
ip mtu adjust
!
!
!
username test privilege 15 secret 5 xxxxxxxxxxx
username test111 privilege 0 password 7 xxxxxxxxxxx
!
!
!
archive
log config
  hidekeys
!
!
ip ssh version 2
!
bridge irb
!
bba-group pppoe global
!
!
interface FastEthernet0
!
interface FastEthernet1
!
interface FastEthernet2
!
interface FastEthernet3
!
interface FastEthernet4
no ip address
duplex auto
speed auto
pppoe enable group global
pppoe-client dial-pool-number 1
!
interface Virtual-Template1
ip unnumbered BVI1
ip virtual-reassembly
autodetect encapsulation ppp
peer default ip address dhcp-pool VPN
ppp mtu adaptive
ppp encrypt mppe 128
ppp authentication pap chap ms-chap ms-chap-v2 eap
!
interface Dot11Radio0
no ip address
ip virtual-reassembly
no ip route-cache cef
no ip route-cache
!
encryption mode ciphers tkip
!
ssid Andy-test
!
speed basic-1.0 basic-2.0 basic-5.5 6.0 9.0 basic-11.0 12.0 18.0 24.0 36.0 48.0 54.0
station-role root
no cdp enable
bridge-group 1
bridge-group 1 subscriber-loop-control
bridge-group 1 spanning-disabled
bridge-group 1 block-unknown-source
no bridge-group 1 source-learning
no bridge-group 1 unicast-flooding
!
interface Vlan1
no ip address
bridge-group 1
!
interface Dialer0
description Inet
ip address negotiated
ip mtu 1452
ip nat outside
ip virtual-reassembly
encapsulation ppp
ip tcp adjust-mss 1452
dialer pool 1
dialer-group 1
no peer default ip address
ppp chap hostname xxxxxxxx
ppp chap password 7 xxxxxxxx
ppp direction dedicated
ppp ipcp dns accept
!
interface BVI1
ip address 192.168.252.1 255.255.255.0
ip nat inside
ip virtual-reassembly
no ip route-cache cef
no ip route-cache
!
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 Dialer0
no ip http server
no ip http secure-server
!
!
ip dns server
ip nat inside source list 100 interface Dialer0 overload
!
access-list 100 permit ip 192.168.252.0 0.0.0.255 any
dialer-list 1 protocol ip permit
no cdp run
!
!
!
!
!
control-plane
!
bridge 1 protocol ieee
bridge 1 route ip
!
line con 0
logging synchronous
no modem enable
line aux 0
line vty 0 4
login local
transport input ssh
!
scheduler max-task-time 5000
ntp server 162.159.200.1 source Dialer0
ntp server 31.184.251.19 source Dialer0
ntp server 217.10.42.30 source Dialer0
end
сообщить модератору +/– ответить

Как найти бесплатные надёжные облачные хранилища для IP камеры,

Megalo, (Диагностика и решение проблем) 04-Мрт-20, 07:56 [⋘ | ☳ | ⋙ | ⚟ ] [линейный вид] [смотреть все] [раскрыть новое]

gt оверквотинг удален А производитель камеры не предоставляет некоторое беспла, ыы (?), 09:58 , 04-Мрт-20 (1)
>[оверквотинг удален]
> в скором времени выйдут из строя из-за частой записи ну и
> вообще не хочется вникать в таковой вариант действий, потому акцент на
> облако. Какие бесплатные облака можно для неё использовать, ну или найти
> аналоговые решения?? спрашиваю потому как уже задрался искать ответ на мой
> вопрос, выручайте ! За абсолютно каждый вразумительный полезный ответ, я буду
> Вам очень благодарен и признателен!!!! только одна просьба, просто такое часто
> бывает, что в ответе просто с умничали а толку та.., потому
> если можно если по ситуации у Вас получается, то напишите более
> подробно и понятным языком порядок действий как это всё происходит. Обнял
> каждого, всем всех благ, и побольше улыбок в вашем окружении
А производитель камеры не предоставляет некоторое бесплатное количество мегабайт на своем облаке?
Обычно сейчас в ip-камерах скорее проблема отбрыкаться от этого "ненавязчивого" бесплатного сервиса по краже твоих частных фоток...
Но вообще - вы же можете использовать любое хранилище...хоть яндексдиск...
В общем проблема непонятна.
сообщить модератору +/– ответить

gt оверквотинг удален Прощу прощения, Вы не могли бы уточнить как именно проис, Megalo (ok), 18:12 , 04-Мрт-20 (2)
>[оверквотинг удален]
>> бывает, что в ответе просто с умничали а толку та.., потому
>> если можно если по ситуации у Вас получается, то напишите более
>> подробно и понятным языком порядок действий как это всё происходит. Обнял
>> каждого, всем всех благ, и побольше улыбок в вашем окружении
> А производитель камеры не предоставляет некоторое бесплатное количество мегабайт на своем
> облаке?
> Обычно сейчас в ip-камерах скорее проблема отбрыкаться от этого "ненавязчивого" бесплатного
> сервиса по краже твоих частных фоток...
> Но вообще - вы же можете использовать любое хранилище...хоть яндексдиск...
> В общем проблема непонятна.
Прощу прощения, Вы не могли бы уточнить как именно происходит данное действие ? точнее как синхронизировать и настроить.. данную айпи камеру на загрузку записи видео в облако например майкрософт, при этом умея роутер и провайдера от ростелеком ?? я просто условно далёк от этого, но если подскажите то без проблем разберусь в остальных деталях.. . Был бы Вам очень признателен!!!
сообщить модератору +/– ответить
Да, проблема то понятна Никто не хочет сделать мне полноценную систему видеонаб, tonys (??), 11:19 , 05-Мрт-20 (4)
> В общем проблема непонятна.
Да, проблема то понятна. Никто не хочет сделать мне полноценную систему видеонаблюдения с годовым архивом записей бесплатно, то есть даром. :-)
Купить NAS типа synology и направить на него поток. По-моему и неспец сможет это сделать.
Surveillance Station поддерживает более 7400 камер от 160 известных производителей.
сообщить модератору +/– ответить

И поставить ее в этот же дом , Del (?), 10:33 , 10-Апр-24 (9)
>> В общем проблема непонятна.
> Да, проблема то понятна. Никто не хочет сделать мне полноценную систему видеонаблюдения
> с годовым архивом записей бесплатно, то есть даром. :-)
> Купить NAS типа synology и направить на него поток. По-моему и неспец
> сможет это сделать.
> Surveillance Station поддерживает более 7400 камер от 160 известных производителей.
И поставить ее в этот же дом?
сообщить модератору +/– ответить

Ну мои соображения 1 Камера должна обладать детектором движения и возможнос, pofigist (?), 18:37 , 04-Мрт-20 (3) –1
Ну мои соображения...
1. Камера *должна* обладать детектором движения и возможностью его настройки, ибо писать неподвижную картинку - глупо, бессмысленно и никакого хранилища не хватит.
2. Камера *должна* уметь писать по ftp - хотя бы потому что его можно настроить так чтоб записать было можно, а стереть - нет, даже есди ты знаешь l/p под которым записывал.
3. Камера *должна* уметь как-то управлять старыми записями. Ну или это должен делать сторонний софт. Иначе любое хранилище - переполнится.
4. ~1 часа записи - достаточно при аккуратном использовании... Сценариев сделать так чтоб записать только сам инцидент, а пустые записи - дропнуть, очень много. Сам придумашь.
5. FullHD обычно либо излишне, либо... недостаточно.
https://www.drivehq.com, если кто предложит ftp более 5Гб даром - скажу спасибо. Но конечно можно придумать и комбинированные варианты, если платить неохота, типа переодического бекапа на халявный терабайт майлрушечки... :)
сообщить модератору –1 +/– ответить
Да не выйдут Есть специальная серия жестких дисков, по-моему Western Digital AV, zyxman (?), 19:25 , 10-Апр-24 (10)

> что со временем в связи с частой записью быстро выйдут из
> строя!
Да не выйдут. Есть специальная серия жестких дисков, по-моему Western Digital AV, которые специально заточены на то чтобы на них писать закольцованное потоковое видео (ага, постоянно перезаписывать хвост новыми данными), хотя у людей они прекрасно работают и в роли обычных винтов.
сообщить модератору +/– ответить
gt оверквотинг удален А если самому сделать хранилище дома и сделать доступ во, barthez (?), 22:23 , 11-Апр-24 (11)
>[оверквотинг удален]
> в скором времени выйдут из строя из-за частой записи ну и
> вообще не хочется вникать в таковой вариант действий, потому акцент на
> облако. Какие бесплатные облака можно для неё использовать, ну или найти
> аналоговые решения?? спрашиваю потому как уже задрался искать ответ на мой
> вопрос, выручайте ! За абсолютно каждый вразумительный полезный ответ, я буду
> Вам очень благодарен и признателен!!!! только одна просьба, просто такое часто
> бывает, что в ответе просто с умничали а толку та.., потому
> если можно если по ситуации у Вас получается, то напишите более
> подробно и понятным языком порядок действий как это всё происходит. Обнял
> каждого, всем всех благ, и побольше улыбок в вашем окружении
А если самому сделать хранилище дома и сделать доступ во внешний мир? Или карту памяти вставить в камеру.
сообщить модератору +/– ответить

Мне кажется, логично, хранить где-то в удаленном месте, хотя временами от ответо, zyxman (?), 23:11 , 11-Апр-24 (12)
> А если самому сделать хранилище дома и сделать доступ во внешний мир?
> Или карту памяти вставить в камеру.
Мне кажется, логично, хранить где-то в удаленном месте, хотя временами от ответов топикстартера впечатление что ему просто хочется шары.
Почему правильно хранить удаленно, ну представьте, если дачу затопит, или еще что-то там случится неприятное, весьма вероятно что там погибнет винт и карта памяти может погибнуть, а так через интернет оно вероятно сможет на облако сохранять картинку до конца и в облаке оно сохранится.
Мой знакомый организовал хранение записей у тещи, тоже вариант, но не с каждой тещей о таком договоришься, чтобы у нее комп постоянно работал.
сообщить модератору +/– ответить

Создать корректный маршрут,

pogreb, (Маршрутизация) 08-Фев-23, 14:39 [⋘ | ☳ | ⋙ | ⚟ ] [линейный вид] [смотреть все] [раскрыть новое]

Если надо как сейчас, но через другой VDOM , то пишите 10 3 0 130 в прокси и те, Licha Morada (ok), 02:31 , 09-Фев-23 (1)

gt оверквотинг удален Тех поддержка Фортигейта ушла из России Я на 3850 пропис, pogreb (ok), 08:50 , 09-Фев-23 (2)

gt оверквотинг удален правильные ли мои настройки PBR на 3850 distrib sh run i, pogreb (ok), 11:17 , 09-Фев-23 (3)

gt оверквотинг удален conf tint vlan437ip policy route-map ROOTend, na (??), 11:38 , 09-Фев-23 (4)

gt оверквотинг удален Сделал PBR и сеть у меня полностью отвалилась, т к все , pogreb (ok), 13:55 , 09-Фев-23 (5)

gt оверквотинг удален У вас в PBR используется Extended ACL Исключите в ACL вн, Andrey (??), 14:32 , 09-Фев-23 (6)

gt оверквотинг удален Вот так будет ACL выглядеть ip access-list extended ACL-, pogreb (ok), 14:39 , 09-Фев-23 (7)

gt оверквотинг удален Потому, что это обратная маска Если у вас проблема с эт, Andrey (??), 15:03 , 09-Фев-23 (8)

gt оверквотинг удален ДА, ошибку нашел ACL теперь выглядит такip access-list e, pogreb (ok), 15:59 , 09-Фев-23 (9)

gt оверквотинг удален Правильно ли я настроил то, что хочу реализовать Я со св, pogreb (ok), 16:43 , 09-Фев-23 (10) +1

gt оверквотинг удален No, in ACL first you have to deny traffic for LAN then a, kd (??), 08:28 , 10-Фев-23 (11) +2
[.... слишком большой тред, остальное см. в режиме смотреть все |+ ] (12) !!!

Закономерно, т к вы это правило добащили в таблицу маршрутизации, и оно значит , Licha Morada (ok), 00:54 , 11-Фев-23 (14)
> Я на 3850 прописал маршрут для своего ПК
> 10.43.79.2/32 via 10.3.0.130 и у меня вся сеть отвалилась
Закономерно, т.к. вы это правило добащили в таблицу маршрутизации, и оно значит "если поле 'Кому' совпадает с 10.43.79.2/32, то пересылать на 10.3.0.130".
А вам надо "Если поле 'От кого' совпадает с 10.43.79.2/32, то пересылать на 10.3.0.130". Собственно, принципиальная разница между классической таблицей маршрутизации и Policy Based Routing в том что по классике решение принимается только на основе поля dst_ip, а в PBR по какому-то ещё критерию. Например, на основе поля src_ip.
Конкретику вам уже всю объяснили выше по ветке, поздравляю.
Да, надо чтобы маршрут применялся не ко всем пакетам от 10.43.79.2/32, а только к тем которые идут в Интернет, т.е. не в локальную сеть.
И да, у фортигейта который VDOM ROOT надо чтобы был маршрут до 10.43.79.2/32 (или до всей 10.43.79.0/24) через Cisco 3850, чтобы ответы из Интернета вернулись куда надо.
И, конечно, предполагается что доступ в Интернет у VDOM ROOT есть свой.
> Про PBR читал, но опыта не хватает, чтобы определить не нагрузит ли
> она проц на моей 3850. Мнения разные.
Ну, вот он шанс попробовать и сей опыт обрести.
Заведите себе систему мониторинга и пусть она строит графики нагрузки проца и остального. Потом будете при случае расказывать "да, я делал так-то и получилось вот что".
сообщить модератору +/– ответить

gt оверквотинг удален Спасибо за разъяснение, pogreb (ok), 13:20 , 13-Фев-23 (16)
>[оверквотинг удален]
> И да, у фортигейта который VDOM ROOT надо чтобы был маршрут до
> 10.43.79.2/32 (или до всей 10.43.79.0/24) через Cisco 3850, чтобы ответы из
> Интернета вернулись куда надо.
> И, конечно, предполагается что доступ в Интернет у VDOM ROOT есть свой.
>> Про PBR читал, но опыта не хватает, чтобы определить не нагрузит ли
>> она проц на моей 3850. Мнения разные.
> Ну, вот он шанс попробовать и сей опыт обрести.
> Заведите себе систему мониторинга и пусть она строит графики нагрузки проца и
> остального. Потом будете при случае расказывать "да, я делал так-то и
> получилось вот что".
Спасибо за разъяснение
сообщить модератору +/– ответить

gt оверквотинг удален Подскажите, пожалуйста, еще раз Делаю ACL для сетейdeny , pogreb (ok), 16:39 , 10-Мрт-23 (17)
>[оверквотинг удален]
>> 10.43.79.2/32 (или до всей 10.43.79.0/24) через Cisco 3850, чтобы ответы из
>> Интернета вернулись куда надо.
>> И, конечно, предполагается что доступ в Интернет у VDOM ROOT есть свой.
>>> Про PBR читал, но опыта не хватает, чтобы определить не нагрузит ли
>>> она проц на моей 3850. Мнения разные.
>> Ну, вот он шанс попробовать и сей опыт обрести.
>> Заведите себе систему мониторинга и пусть она строит графики нагрузки проца и
>> остального. Потом будете при случае расказывать "да, я делал так-то и
>> получилось вот что".
> Спасибо за разъяснение
Подскажите, пожалуйста, еще раз.
Делаю ACL для сетей
deny ip 10.43.79.0 0.0.0.255 10.0.0.0 0.255.255.255
deny ip 10.43.79.0 0.0.0.255 172.16.0.0 0.15.255.255
deny ip 10.43.79.0 0.0.0.255 192.168.0.0 0.0.255.255
permit ip 10.43.79.2 255.255.255.0 any
Но запись permit ip 10.43.79.2 255.255.255.0 any превращается в permit ip 0.0.0.2 255.255.255.0 any
Как правильно сеть 10.43.79.0/24 в permit прописать?
сообщить модератору +/– ответить

gt оверквотинг удален 1 Наконец понять что такое wildcard и прямая маска 2 , Andrey (??), 17:10 , 10-Мрт-23 (18)
>[оверквотинг удален]
>> Спасибо за разъяснение
> Подскажите, пожалуйста, еще раз.
> Делаю ACL для сетей
> deny ip 10.43.79.0 0.0.0.255 10.0.0.0 0.255.255.255
> deny ip 10.43.79.0 0.0.0.255 172.16.0.0 0.15.255.255
> deny ip 10.43.79.0 0.0.0.255 192.168.0.0 0.0.255.255
> permit ip 10.43.79.2 255.255.255.0 any
> Но запись permit ip 10.43.79.2 255.255.255.0 any превращается в permit ip 0.0.0.2
> 255.255.255.0 any
> Как правильно сеть 10.43.79.0/24 в permit прописать?
1. Наконец понять что такое wildcard и прямая маска.
2. Понять что если что-то попало в ACL и обработалось, то второй раз обрабатываться этим-же ACL в этом-же процессе уже не будет.
3. Осторожно применять запреты какой-то подсети адресоваться к этой-же подсети.
сообщить модератору +/– ответить

gt оверквотинг удален Подскажите, пожалуйста, по новому косяку После всех выше, pogreb (ok), 10:16 , 23-Мрт-23 (19)
>[оверквотинг удален]
>> deny ip 10.43.79.0 0.0.0.255 172.16.0.0 0.15.255.255
>> deny ip 10.43.79.0 0.0.0.255 192.168.0.0 0.0.255.255
>> permit ip 10.43.79.2 255.255.255.0 any
>> Но запись permit ip 10.43.79.2 255.255.255.0 any превращается в permit ip 0.0.0.2
>> 255.255.255.0 any
>> Как правильно сеть 10.43.79.0/24 в permit прописать?
> 1. Наконец понять что такое wildcard и прямая маска.
> 2. Понять что если что-то попало в ACL и обработалось, то второй
> раз обрабатываться этим-же ACL в этом-же процессе уже не будет.
> 3. Осторожно применять запреты какой-то подсети адресоваться к этой-же подсети.
Подскажите, пожалуйста, по новому косяку.
После всех вышеизложенных советов, у меня ACL выглядит так
Extended IP access list ACL-ROOT
    10 deny ip 10.43.79.0 0.0.0.255 10.0.0.0 0.255.255.255 (142672 matches)
    20 deny ip 10.43.79.0 0.0.0.255 172.16.0.0 0.15.255.255 (1 match)
    30 deny ip 10.43.79.0 0.0.0.255 192.168.0.0 0.0.255.255 (2 matches)
    40 permit ip 10.43.79.0 0.0.0.255 any (982 matches)
Route-map ниже
distrib#sh route-map ROOT
route-map ROOT, permit, sequence 10
  Match clauses:
    ip address (access-lists): ACL-ROOT
  Set clauses:
    ip next-hop 10.3.0.130
  Policy routing matches: 1455 packets, 170877 bytes
Я хочу, чтобы при таких настройках я со своей подсети 10.43.79.0/24 получил доступ к порталу 10.45.5.27 по внутренним маршрутам. Портал имеет доступ с наружи. Сам портал открывается, но раздел документов, подключенных как сетевой диск отваливается.
В глобальном виде задача такая: все внутрениие сети обращаются между собой, но как только запрос вышел за пределы внутренних сетей, отрабатывает nexthop на 10.3.0.130 (это прокся)
сообщить модератору +/– ответить

gt оверквотинг удален Подскажите, пожалуйста, с моим вопросом, pogreb (ok), 11:12 , 24-Мрт-23 (20)
>[оверквотинг удален]
>   Set clauses:
>     ip next-hop 10.3.0.130
>   Policy routing matches: 1455 packets, 170877 bytes
> Я хочу, чтобы при таких настройках я со своей подсети 10.43.79.0/24 получил
> доступ к порталу 10.45.5.27 по внутренним маршрутам. Портал имеет доступ с
> наружи. Сам портал открывается, но раздел документов, подключенных как сетевой диск
> отваливается.
> В глобальном виде задача такая: все внутрениие сети обращаются между собой, но
> как только запрос вышел за пределы внутренних сетей, отрабатывает nexthop на
> 10.3.0.130 (это прокся)
Подскажите, пожалуйста, с моим вопросом
сообщить модератору +/– ответить

gt оверквотинг удален PBR, судя по всему, работает А причины некорректной раб, Andrey (??), 12:18 , 24-Мрт-23 (21)
>[оверквотинг удален]
>> ip next-hop 10.3.0.130
>> Policy routing matches: 1455 packets, 170877 bytes
>> Я хочу, чтобы при таких настройках я со своей подсети 10.43.79.0/24 получил
>> доступ к порталу 10.45.5.27 по внутренним маршрутам. Портал имеет доступ с
>> наружи. Сам портал открывается, но раздел документов, подключенных как сетевой диск
>> отваливается.
>> В глобальном виде задача такая: все внутрениие сети обращаются между собой, но
>> как только запрос вышел за пределы внутренних сетей, отрабатывает nexthop на
>> 10.3.0.130 (это прокся)
> Подскажите, пожалуйста, с моим вопросом
PBR, судя по всему, работает. А причины некорректной работы портала нужно проверять отдельно.
Для этого нужно и всю структуру вашей сети смотреть, трассировки с клиента, с прокси, с сервера портала, логи сервера портала проверять. Смотреть структуру DNS (любят некоторые держать одинаковые домены внутри и снаружи).
Возможно проверять html код куда ведут ссылки на документы.
Это вам нужен отдельный админ (и может не один), а не форум в интернете.
сообщить модератору +/– ответить

ASR9001/XR:BNG Не узнает VSA атрибут,

gardener, (AAA, Radius, Tacacs) 05-Авг-23, 22:01 [⋘ | ☳ | ⋙ | ⚟ ] [линейный вид] [смотреть все] [раскрыть новое]

Вы используете старый вариант VSA SSG судя по всему Пробуйте для сервиса BNG шны, Tron is Whistling (?), 11:52 , 06-Авг-23 (1) +1
Вы используете старый вариант VSA SSG судя по всему.
Пробуйте для сервиса BNG'шный subscriber:sa=<service-name>
Честно скажу, у меня BNG нет, но этот VSA описан
https://www.cisco.com/c/en/us/td/docs/routers/asr9000/softwa...
сообщить модератору +1 +/– ответить

В CoA тоже придётся использовать subscriber sd удалить и subscriber sa добави, Tron is Whistling (?), 11:55 , 06-Авг-23 (2)
В CoA тоже придётся использовать subscriber:sd (удалить) и subscriber:sa (добавить), если у вас динамическое изменение допускается.
сообщить модератору +/– ответить

Ещё я смотрю у вас там 26 250 и 26 1 BNG почти везде хочет 26 9 1 Cisco-AVPair , Tron is Whistling (?), 12:01 , 06-Авг-23 (3) +1
Ещё я смотрю у вас там 26/250 и 26/1.
BNG почти везде хочет 26/9/1 (Cisco-AVPair)
сообщить модератору +1 +/– ответить

он же 26 1 в выводе лога, а у вас 26 9 250 , Tron is Whistling (?), 12:02 , 06-Авг-23 (4)
(он же 26/1 в выводе лога, а у вас 26/9/250)
сообщить модератору +/– ответить

Да, я тоже обратил на это внимание И помнится, когда собирал информацию о вариа, gardener (ok), 16:27 , 06-Авг-23 (5)
> (он же 26/1 в выводе лога, а у вас 26/9/250)
Да, я тоже обратил на это внимание. И помнится, когда собирал информацию о вариантах настройки ASR9001, где-то на глаза попадалось что-то о смене формата задания атрибутов. Но тогда меня интересовали примеры создания конфигурации, и не сохранил ту статью. А сейчас не попадается. Но Ваше допущение меня утверждает в мысли, что нужно поднять тестовый радиус, и пробовать на нем.
Благодарю. О результатах сообщу.
сообщить модератору +/– ответить

Приветствую Долго пришлось разбираться с поднятием сессии, и вот теперь могу соо, gardener (ok), 02:59 , 20-Окт-23 (6)
> Ещё я смотрю у вас там 26/250 и 26/1.
> BNG почти везде хочет 26/9/1 (Cisco-AVPair)
Приветствую!
Долго пришлось разбираться с поднятием сессии, и вот теперь могу сообщить какие атрибуты работают вместо изначальных:
```
        Cisco-AVPair += "ip:qos-policy-in=add-class(sub, (class-default),police(1048576))"
        Cisco-AVPair += "ip:qos-policy-out=add-class(sub, (class-default),police(1048576))"
        Cisco-AVPair += "subscriber:accounting-list=ISG-AUTH"
```
Благодарю за подсказку.
сообщить модератору +/– ответить


Пометить прочитанным Создать тему	1 \| 2 \| 3 \| 4 \| 5 \| 6 \| 7 \| 8 \| 9 \| 10 \| Архив \| Избранное \| Мое \| Новое \| ☳ \| ☶ \| ⚟