网络工程

网络工程师的问答

2
IPv6 DHCP服务器与路由器
我正在为Dualstack设置测试环境。 我目前有一个服务器(Windows 2008 R2),2个交换机和一个已安装和配置的路由器。该服务器是主域控制器,并且已安装DHCP角色。 我正在使用VLAN将计算机彼此分开。现在我陷入了一个问题,似乎无法解决,所以我真的希望你们能帮助我! 我在服务器上创建了IPv4和IPv6范围。在路由器上,我具有用于VLAN和IPv4的子接口。 我似乎对IPv6有问题。我为我的NIC提供了一个静态IPv6地址,在这种情况下为2001:db8:a:1 :: 10。我还创建了多个作用域(以使用VLAN)。 我的路由器上两个接口的配置为: 分配给在默认VLAN(DEFAULT)上连接的计算机的IP从DHCP服务器接收IPv6地址。但是与其他VLAN连接的那些路由器无需我创建DHCP池就可以从路由器接收IP地址(注意:它们接收的IP地址在我给子接口提供的IP范围内)。 我希望这不会发生,并确保它们从DHCP服务器上的作用域获取IP地址(这样它们就会显示在租约中)。 任何帮助将不胜感激!
11 vlan  ipv6  dhcp  dhcpv6 
2
试图使集中式防火墙适合网络拓扑
我正在彻底检查我们的网络,我一直回想的问题是:尝试将第3层带入核心,同时仍具有集中式防火墙。 我在这里遇到的主要问题是,我一直关注的“微型核心”交换机始终具有较低的硬件内ACL限制,即使在我们当前的大小下,我们也可以很快达到该限制。我目前(希望)购买一对EX4300-32F内核,但是我看过其他型号,以及瞻博网络和Brocade ICX系列的其他选件。它们似乎都具有相同的低ACL限制。 这非常有意义,因为核心交换机需要能够保持线速路由,因此不想通过ACL处理牺牲太多。因此,我无法在核心交换机本身上完成所有防火墙工作。 但是,我们主要处理完全托管的服务器,而拥有集中式(状态)防火墙对该管理有很大帮助-因为我们无法让客户直接相互交谈。如果可以的话,我想保持这种方式,但是我觉得大多数ISP网络都不会做这种事情,因此为什么在大多数情况下,在核心中进行路由很简单。 作为参考,这是我理想情况下想做的拓扑(但不确定在何处适合FW)。 当前解决方案 现在,我们有一个棒式路由器配置。这使我们能够一站式完成NAT,状态防火墙和VLAN路由。非常简单。 通过将L2一直扩展到网络的“顶部”(边界路由器),我可以继续使用(大致)相同的解决方案。但是后来,我失去了核心可以为我提供的线速路由的所有好处。 IIRC的核心交换机可以进行464 Gbps的路由,而如果幸运的话,我的边界路由器将能够提供10或20 Gbps的路由。从技术上讲,这现在不是问题,而是增长的问题。我觉得好像我们现在不设计架构以利用核心路由功能一样,当我们规模更大并且需要利用该功能时,重做所有内容将很痛苦。我宁愿第一次就做对。 可能的解决方案 第3层访问 我以为我可以将L3扩展到访问交换机,从而将防火墙规则分解为更小的段,然后将这些段适应访问交换机ACL的硬件限制。但: 据我所知,这些不是有状态的ACL 对我来说,L3 Access似乎更加僵化。服务器移动或VM迁移到其他机柜会更加痛苦。 如果我要在每个机架的顶部(只有六个)管理防火墙,那么我可能还是想要自动化。因此,在这一点上,在主机级别自动管理防火墙并不是很大的飞跃。从而避免了整个问题。 访问/核心之间的每个上行链路上的桥接/透明防火墙 这将必须涉及多个防火墙盒,并显着增加所需的硬件。甚至可能比购买更大的核心路由器还要昂贵,即使使用普通的老式Linux机器作为防火墙。 巨型核心路由器 可以购买更大的设备来完成我需要的防火墙,并具有更大的路由能力。但是确实没有预算,而且,如果我要使设备执行并非为它设计的功能,则可能必须选择更高的规格。比起其他方式 没有集中式防火墙 由于我跳了圈,也许这不值得。这一直是一件好事,有时对于想要“硬件”防火墙的客户来说是一个卖点。 但是,为“整个”网络设置集中式防火墙似乎是不可行的。那么,我想知道,当拥有专用服务器的客户拥有数百甚至数千台主机时,大型ISP如何为他们提供硬件防火墙解决方案? 谁能想到解决这个问题的方法?是我完全错过的东西,还是上述想法之一的变化? 2014年6月16日更新: 基于@Ron的建议,我偶然发现了这篇文章,它很好地解释了我所面临的问题,并且是解决该问题的好方法。 除非有其他建议,否则我现在要说这是产品推荐类型的问题,所以我想这已经结束了。 http://it20.info/2011/03/the-93-000-firewall-rules-problem-and-why-cloud-is-not-just-orchestration/
2
一个大陆上的ISP如何连接到另一大陆上的ISP?
一个大陆上的ISP如何连接到另一大陆上的ISP?从物理层的角度来看? 假设一家ISP位于亚洲,另一家位于欧洲,他们将如何连接其光缆来交换流量?他们还将如何通过IXP(Internet交换点)进行物理连接。 他们是否必须将光缆一直拖到这些位置?
11 routing  fiber  isp 
1
TCP建立后,哪个BGP对等体将首先发送打开消息?
在两个bgp对等体之间建立Tcp连接之后。哪个对等方将首先发送打开消息?是主动对等方(正在发起出站连接)还是被动对等方?(正在接受入站连接的对等端)。 还是它独立于这种主动的被动状态?任何对等方都可以基于调度发送第一个打开的消息吗? 在本地路由器发出打开消息之前收到打开消息时会发生什么? 有没有好的BGP Peer fsm图?RFC4271没有fsm图:(
2
为什么RIP无法扩展?
大多数参考文献都说“ RIP不可扩展”,因此只能在较小的网络中使用。但是没有人说“为什么?” RIP中实际上阻止它扩展到更大网络的功能是什么?OSPF如何克服RIP的缺点?
11 routing  ospf  rip 
3
Quagga路由和安全性
我有一台有两个邻居的quagga路由器,并宣布了自己的IP空间。我最近加入了一个公共对等交换(IXP),所以我和所有其他参与者一起加入了他们的本地网络(/ 24)。到目前为止,一切正常。 为了安全起见,我想知道其他参与者是否不能简单地将所有传出的流量路由通过我?例如,如果任何其他参与者将默认路由指向我的IXP ip,会发生什么情况。如果我正确理解了来自该参与者的所有传出流量,然后将其转到我的路由器,该路由器将使用我的传输上行链路将其路由到Internet,对吗? 因此,我想知道是否需要采取任何措施。我的想法是: 设置防火墙(iptables)规则,以便其他IXP参与者仅接受目标地址为我自己IP空间的流量。丢弃来自IXP参与者的任何其他流量。 以某种方式使quagga对每个邻居(或对等组)使用不同的内核路由表。IXP邻居的路由表除了我自己的IP空间外不会包含任何条目,因此不会发生使用ip传输上行链路的路由。查看ip rule showshow quagga 的输出是否不自动执行此操作? 我在正确的轨道上吗?为什么2.不直接在Quagga中实现?硬件路由器(Cisco,Juniper等)如何处理此问题?
11 routing  bgp 
3
Tracert 216.81.59.173中的主机如何使用随机域名?[关闭]
关闭。这个问题是题外话。它当前不接受答案。 想改善这个问题吗? 更新问题,使它成为网络工程堆栈交换的主题。 2年前关闭。 此跟踪路由中的主机名如何能够使用随机顶级域?我不知道有一个“帝国”或“胜利”顶级域名。 C:\Users\Chloe> tracert 216.81.59.173 Tracing route to read.more.at.beaglenetworks.net [216.81.59.173] over a maximum of 30 hops: 1 * * * Request timed out. 2 27 ms 15 ms 11 ms 3 11 ms 11 ms 21 ms 4 12 ms 11 ms 11 ms 5 14 ms …
11 ipv4  dns  internet 
1
从Cisco IOS设备生成流量以证明WAN电路
本质上,我想知道我们是否可以使用扩展ping或任何其他命令变体向客户证明该电路能够实现最低CIR。CE路由器是运行15.1的Cisco ISR 881,19x1和29x1,PE路由器是Juniper MX。 在理想情况下,我们只是将笔记本电脑插入LAN端口,并使用iperf将其连接到CE路由器后面的远程目标,但是WAN / LAN部署是在不同的日子进行的,因此已被指示关闭LAN端口。 我们需要通过合同证明80 / 20MBps VDSL2电路满足最低20 / 4MBps CIR要求。 供参考:在Juniper MX方面,我们可以放入外壳并运行带有DF标志设置的多个Flooding Ping,但问题目前出在Cisco ISR上。 注意:RE-Protect在带宽测试期间将被禁用,因此不会成为一个因素。并且每天可能部署12个站点,因此简单性是成功的关键因素。 +---------------+ +---------------+ +-------------+ | |+--20mb-->| | |Cisco ISR CE | |Juniper MX PE | |Carrier network|<------4mb---| | +---------------+ +---------------+ +-------------+
2
定向和有限广播混乱
假设我在网络192.168.1.X上,并且使用以下ping命令。 ping 255.255.255.255 ping 192.168.1.255 为什么我们称第一局为受限而第二局为指示? 以下是什么类别?ping 10.XXX X表示IP中的可行值。
11 ipv4 
2
带有DNS转换的Cisco ASA双NAT
我正在尝试在Cisco ASA 9.0(3)上设置具有DNS转换功能的双重自动NAT,并且在DNS部分遇到一些挑战。我使双NAT正常工作,因此在生产环境和实验室中有一台具有相同IP地址的服务器。请参见b2masd1,名称为INSIDE(生产)和masd1,名称为DMZ(实验室)。 当您从DMZ 10.195.18.182 ping到1.195.18.182时,我看到双向翻译正确进行... D:10.195.18.182 S:192.168.11.101 D:1.195.18.182 S:10.195.18.182 <----------- <----------- 1) echo-request to 1.195.18.182 nat (INSIDE,DMZ) static 1.195.18.182 dns S:10.195.18.182 D:192.168.11.101 S:1.195.18.182 D:10.195.18.182 ------------> ------------> 2) echo-reply to 192.168.11.101 nat (DMZ,INSIDE) static 192.168.11.101 dns b2masd1 +-----------+ masd1 10.195.18.182 INSIDE | | DMZ 10.195.18.182 Mfg Server -------------| Cisco ASA …
11 cisco  cisco-asa  firewall  nat  dns 
1
您如何摆脱NVRAM中已删除的子接口?
这更多是一个装饰性的问题,但是确实使我烦恼。 我通过发布从3845路由器上删除了子接口。 no int fast1/0.10 no int fast1/0.15 default int fast1/0 当我做一个show run....时,子接口不再存在。但是,将show ip int br它们列出如下: router#sh ip int br Interface IP-Address OK? Method Status Protocol FastEthernet1/0 unassigned YES manual down down FastEthernet1/0.13 unassigned YES NVRAM deleted down FastEthernet1/0.30 unassigned YES NVRAM deleted down 如何在不重新启动的情况下将它们从NVRAM中删除?
1
在“可变”速度链路上实施QoS,由运营商进行协商NTE
从本质上讲,我们从承运人那里购买80/20线路,该线路提供了客户所在地与承运人终止于我们PE的本地交易所之间的运输。 (Juniper PE)<-> [客户属性中Exchange <---> NTE中的运营商互连] <--->(Cisco CPE-881,1921,1941,2921) 客户财产和本地街道机柜之间的电路仍然是铜线,因此,随着噪声/距离的增加,速度降低。 实际的线速协商是在运营商NTE而非我们的CPE上进行的。 我如何才能确保在链路饱和时不会丢弃优先级数据包,而实际上却不知道对线路速度进行了身份验证?ipsla可以做些事情吗?
11 qos  cisco-ios-15 
By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.