网络工程

我在Juniper MX路由器（set firewall filter myfilter term myterm then count mycounter）上有一个防火墙计数器，想通过SNMP轮询其数据包/字节数。我搜索了一个OID，但找不到。是否可以通过SNMP轮询防火墙过滤器计数器，如果可以，我使用哪个MIB / OID？

11 juniper  snmp  juniper-mx 

我已经在SF上问过这个问题，但认为这里可能更合适。 是否可以通过提供者网桥扩展MACSec加密？典型的802.1ad实现是否能够转发加密的帧，或者转发中断帧的完整性？ 我确实意识到MACSec是用于逐跳安全性的。是否有任何理由不使用MACSec在运营商上进行点对点加密，或者是否应考虑其他特殊因素？ 我问的原因是MACSec硬件以与第二层加密相关的典型成本的一小部分提供线速加密。 我没有代表来添加新标签，但可以随时为MACSec，PBN，802.1ad和802.1ae等添加相关标签

11 ethernet  security 

我了解Cisco 6500 VSS具有明显的卖点，包括单个管理，单个路由实例，STP消除，机箱之间的端口通道等优点。通过两个独立的Cisco 6500，它们之间可能具有L3和L2端口通道，它们至少在控制平面上彼此之间没有操作依赖性。 在VSS世界中-我对此没有直接经验-我们现在拥有控制两个交换机的软件和其他协议。在我期望控制平面软件存在错误的设计中，VSS是否会像我所怀疑的那样降低MTBF，是否与获得的功能进行了权衡？还是我错过了MTBF的改进方式？

11 cisco  vss 

我知道人们可以修改IP标头和更改源IP地址，但是网络设备检测到这些消息应该很简单。如果他们不这样做，为什么这么难？它会增加过多的开销吗？

11 routing  router  ipv4  best-practices 

在这种情况下，我们有一个VPC'17'，由两个单端口端口通道'po17'组成。有2个N5K（5548s）-因此，来自两侧的po17组合在一起创建了VPC。 下游设备是刀片式交换机（Cisco 3020）。我们要在一侧添加一个新的VLAN，然后在另一侧添加一个新的VLAN，而不会丢失3020s之后的VM的连接性。下游可以处理此问题，因为如果一侧发生故障，则另一侧会恢复。 我知道VPC中的某个端口通道是否出现故障，我们仍然会保持上行，但是由于我们要向VPC成员端口通道之一添加新的VLAN，因此VPC会失去一致性，我不知道是否那会引起问题。

11 cisco  vpc  ieee-802.1ax  cisco-nexus-5k 

我很难集中精力进行设置，而MPLS供应商却无济于事，所以我想在这里问一下。 我有一个2节点MPLS，每个站点都可以在MPLS所在的同一电路上访问Internet。这些电路用站点之间的IPSEC隧道代替了每个站点上的专用Internet访问。我们希望保留现有的防火墙，因为它们可以提供内容过滤和VPN服务。我试图在每个站点上配置第3层交换机（cisco SG300-10P）以设置此方案。 相关信息（更改了IP地址以保护我的白痴） 网站A 本地局域网：172.18.0.0/16 现有防火墙（内部）：172.18.0.254 到站点B的MPLS网关：172.18.0.1 互联网IP范围192.77.1.144/28 电信运营商网关192.77.1.145 第3项和第5项使用的是来自adtran netvana的单个铜皮（承运人装备，我无法使用） 网站B 本地局域网：192.168.2.0/23 现有防火墙（内部）：192.168.2.1 到站点A的MPLS网关：192.168.2.2 互联网IP范围216.60.1.16/28 到互联网的运营商网关216.60.1.16 第3项和第5项使用的是来自adtran 908e的铜皮（载体设备我无权使用） 因此，鉴于上述，我想在每个站点上进行的操作是设置这些cisco开关，以便： 端口1 =运营商连接端口2 =内部局域网端口3 =防火墙 如果本地局域网未处于Internet IP范围内（例如，如果某些雅虎使用运营商网关将其机器设置在提供的Internet ip上，则它无法工作），或者与端口1不同，Internet子网中的所有流量只能从端口3退出，从端口1退出，本地lan子网上的所有流量只能退出端口2。 到目前为止，我所做的每一次尝试都导致端口之间根本无法访问，也没有基本的哑巴行为（任何端口上的任何主机都可以跨越所有IP范围）。 这里的第一个问题，所以请客气。:)如果您需要更多信息，我们将很乐意提供。

11 vlan  mpls 

我正在ping yahoo.com，对结果感到困惑。 C:\Users\jon>ping -t yahoo.com Pinging yahoo.com [98.138.253.109] with 32 bytes of data: Reply from 98.138.253.109: bytes=32 time=195ms TTL=46 Reply from 98.138.253.109: bytes=32 time=230ms TTL=44 Reply from 98.138.253.109: bytes=32 time=175ms TTL=45 Reply from 98.138.253.109: bytes=32 time=208ms TTL=44 Reply from 98.138.253.109: bytes=32 time=180ms TTL=46 Reply from 98.138.253.109: bytes=32 time=206ms TTL=44 Reply …

11 routing  nat 

您ssh 192.168.97.97从IOS设备发出命令，并且目标IOS路由器/交换机SSH服务器接受两个SSH版本。既然您没有指定要在SSH客户端上使用的版本，哪个版本的SSH将用于连接到IOS SSH服务器？

11 switch  router  cisco-ios  ssh 

我与两个不同城市的公交提供商进行了BGP会话。我们两个地方都使用相同的AS。我希望他们能够向我发送MED，以便用于路由出站流量的决策。（即，这样我就可以将流量发送到距离我的目的地最近的路由器，同一城市中的其他客户） 如何验证我确实收到了这些MED？ 我有Brocade XMR。 如果执行show ip bgp routes，则会看到以下内容： Total number of BGP Routes: 445744 Status A:AGGREGATE B:BEST b:NOT-INSTALLED-BEST C:CONFED_EBGP D:DAMPED E:EBGP H:HISTORY I:IBGP L:LOCAL M:MULTIPATH m:NOT-INSTALLED-MULTIPATH S:SUPPRESSED F:FILTERED s:STALE Prefix Next Hop MED LocPrf Weight Status 2 1.0.0.0/24 4.53.x.x 0 100 0 BE AS_PATH: 3356 15169 3 1.0.4.0/22 4.53.x.x 0 …

11 bgp  brocade 

我有一个奇怪的问题。这是设置。我们有2个Foundry SX。 SX01 ---> ISPA | | SX02 ---> ISPB 我从ISPA获得一个/ 24，从ISPB获得另一个/ 24。两个/ 24都可以向每个提供者宣布。 iBGP在两个SX之间运行，并且从每个SX到各自的ISP都使用了eBGP。 因此，我在SX上具有以下功能： ip route 1.1.1.0/24 null0 ip route 2.2.2.0/24 null0 我还为/ 24的每一个配置了前缀列表，并配置了bgp邻居以使用前缀列表。 我的问题是，每当我同时将上述空路由添加到两个路由器时，就会出现连接问题和完整的数据包丢失。我尝试过更改这些静态路线上的管理距离，但是没有运气。如果我仅将这些空路由添加到一个SX并将它们从另一个SX中删除，则前缀将被通知给相应的ISP，并且一切正常。 任何想法如何解决？在cisco设备上，就像将上述命令添加到两个边缘路由器一样简单，因此不确定为什么当前无法正常工作。

11 bgp  foundry 

在以太通道上配置错误以防止STP环路/广播风暴时，在Cisco交换机上配置以太通道的最佳实践是什么？ 我有一个实例，其中交换机上的2个端口通过中继端口正确配置，但是相对的交换机只有一个端口作为中继，第二个作为常规访问端口。在关闭电源后，广播风暴使网络瘫痪，并且起源于这两个交换机。 channel-group 1 mode on已在所有端口上配置。 根据我的研究，仅应将L2以太网通道链接配置为 channel-group 1 mode desirable L3链路可以配置为不带通道组1模式，因为STP不在它们之上运行。 不幸的是，在这种情况下，已配置PVST +，并且所有边缘端口上都缺少bdpuguard ：（最后，这里的所有交换机都是Cisco-不是多供应商环境

11 spanning-tree  best-practices 

我一直在使用ADSL在全球许多站点工作。下面的第一个输出是我已经使用了很多次的输出，因此我对此最为熟悉。它来自英国的一个站点。 interface ATM0 no ip address no atm ilmi-keepalive pvc 0/38 encapsulation aal5mux ppp dialer dialer pool-member 1 ! interface Dialer1 ip address negotiated encapsulation ppp dialer pool 1 dialer-group 1 ppp chap hostname xxxxxx ppp chap password xxxxxx ppp authentication chap callin 我了解这是如何运作的。现在我不明白的东西。下面的配置取自意大利都灵的一个站点。 interface ATM0/1/0 no ip address ip …

11 ppp 

我对VRF之间路由的了解不是最好的。 我有一个公共IP。公共Internet及其四元组0位于默认VRF上。 然后，我有一个Guest_VRF和Corporate_VRF，它们都需要访问Internet并指向默认VRF上的默认网关。 我可以看到这是通过多个Cisco路由器完成的，但是我找不到解决该多合一设备的方法。我一直在这里设想多个NAT / PAT，这很混乱，或者使用了环回和隧道。 我在这里主要关注ISR G1 / G2路由器。有人有建议吗？

11 cisco  cisco-ios-12  cisco-ios-15 

在VLAN上定位特定工作站的最佳方法是什么？ 如果工作站IP地址显示在ACL上，则有时需要执行此操作拒绝 激流使用 高带宽使用率（热门发言人） 鼻息警报 我现在的方式 登录到同一VLAN中的核心交换机 ping IP地址， 从ARP表中检索MAC Mac地址查找，以了解是从哪个开关中学到的 登录到该开关冲洗并重复直到找到工作站 有时，这可能需要登录约7台交换机，该网络存在一些特定的挑战，目前我无能为力。巨大的VLAN（/ 16），每个VLAN上有数百个用户 在所有思科商店中，使用思科交换机的预算最少，必须有一种更有效的方法来跟踪主机？ 编辑：添加更多详细信息 具体来说，我正在寻找用户连接到的交换机端口？还有一些历史将是伟大的..因为我的方法只能在用户仍处于连接状态时起作用，而当我在早晨查看日志时却没有任何价值，但是设备不再处于连接状态。 没有像访客网络那样的中央DNS或Active Directory，其中仅提供Internet访问。我尝试提供一些管理和一些安全性。 我已经尝试过“ show ip dhcp binding | inc”，它给了我一个奇怪的MAC（带有2个额外的字符），它不是关联的设备MAC，我还没有研究过，但是ARP是准确的，我更担心找到有问题的机器所连接的交换机端口。 希望这可以提供一些澄清

11 cisco  switch  vlan  cisco-commands  management 

让我们在由运行Shorewall生成的iptables规则的Debian路由器分隔的两个Debian主机之间执行一些路径MTU发现。两个主机中的每一个都使用单个以太网链路，而路由器在两个聚合的以太网链路上使用带标记的VLAN。 使用scamper： root@kitandara:/home/jm# scamper -I "trace -M 10.64.0.2" traceroute from 10.1.0.5 to 10.64.0.2 1 10.1.0.1 0.180 ms [mtu: 6128] 2 10.64.0.2 0.243 ms [mtu: 6128] 好：预期结果为6128字节（廉价的Realtek以太网适配器无法处理大小合适的巨型帧）。 现在，让iperf执行吞吐量测试，并通过以下方式告诉我们有关MTU的信息： root@kitandara:/home/jm# iperf -c 10.64.0.2 -N -m ------------------------------------------------------------ Client connecting to 10.64.0.2, TCP port 5001 TCP window size: 66.2 KByte (default) ------------------------------------------------------------ [ 3] …

11 routing  ipv4