网络工程

网络工程师的问答

1
CRS-1和CRS-3有什么区别
CRS-1和CRS-3平台之间有什么区别?我知道CRS-3是CRS-1的升级。 我需要一个新的机箱才能升级到CRS-3吗?还是仅将RP,MSC和Fabric卡升级就可以将CRS-1机箱升级到CRS-3? 从CRS-1升级到CRS-3需要升级什么?下面是全部还是几块? 机壳 RP 布卡 MSC
10 cisco 
3
循环BGP传播
这是一个很难描述的假设,因为我正在学习路由,现在我专注于BGP。 假设我的ASN是65000,然后宣布192.0.2.0/24。我的对等AS 65001用到我要宣布的网络的路由更新其路由表,但是我的ISP路由器不是我的对等。如果AS 65001(正在接收我的路由更新)与我的ISP对等,则意味着我的ISP从接收路由65001,这是否意味着我的ISP现在将能够将流量路由到192.0.2.0/24,避免了直接与我的ISP对等的需求? 如果我在任何方面都犯了严重错误,请更正我(或告诉我在哪里可以找到好的文档)。
10 routing  bgp  ipv4 
1
基于策略路由的Cisco配置示例
我发现自己处于不久前的状况,但我不记得自己是如何解决的:) 场景 我有一个带有局域网接口(fa0 / 0)和WAN接口(fa0 / 1)以及第二个WAN接口(fa0 / 2)的Cisco IOS路由器。 可以说有两个LAN子接口fa0 / 0.10和fa0 / 0.20。 有一条通过fa0 / 1的默认路由。但是,有一条到特定子网的静态路由,可以说是通过fa0 / 2到达1.2.3.4/24(fa0/2距离该子网较近,但是更昂贵的$$$ WAN链接) 我所有的fa0 / 0.10用户都正在访问1.2.3.4/24,因此静态路由将其发送到fa0 / 2(WAN2)之外。对于所有其他目的地fa0 / 0.10,用户将使用我在WAN1接口fa0 / 1上收到的DHCP默认路由。 问题定义; fa0 / 0.20子网中的用户只能访问Internet。我的fa0 / 0.20子网中没有用户真正需要访问远程1.2.3.4/24子网。但是,它们很少这样做,在这种情况下,静态路由会通过fa0 / 2发送它们。我不希望这样,我希望他们通过默认的WAN接口fa0 / 1访问1.2.3.4/24。我相信我可以通过PBR实现这一目标,但是我似乎无法使其正常运行? 这是我目前正在尝试的配置; interface FastEthernet0/0.10 description LAN1 encapsulation dot1Q 10 ip address …
3
思科:防止VLAN在Cisco路由器上相互通信(ACL替代)
设置:在其上配置了多个VLAN的Cisco路由器。 如何防止2个VLAN之间相互通信?通常,我会这样使用ACL: access-list 102 deny ip 1.1.1.0 0.0.0.255 2.2.2.0 0.0.0.255 access-list 102 deny ip 2.2.2.0 0.0.0.255 1.1.1.0 0.0.0.255 int vlan 1 ip address 1.1.1.1 255.255.255.0 access-group 102 in int vlan 2 ip address 2.2.2.2 255.255.255.0 access-group 102 in 但是,这在处理路由器上配置的大量VLAN时并不方便。有什么建议可以对此进行调整或使用替代方法来提高可伸缩性?
1
在Cisco 891上使用外部调制解调器进行PPPoA ADSL配置
语境 我们将Cisco 891路由器用作多个客户端站点的CPE。他们都在运行IOS 15。 Cisco IOS Software, C890 Software (C890-UNIVERSALK9-M), Version 15.0(1)M8, RELEASE SOFTWARE (fc1) 这些站点中的大多数都终止于外部ADSL2调制解调器,而我们将其置于桥接模式(我不记得确切的桥接模式,但基本上调制解调器只是使所有内容通过)。 我们依靠我们的Cisco 891设备进行PPP会话终止,NAT等。我已经提出了以下配置,我们已经与主要ISP成功地合作了一段时间,它的运行状况很好: interface GigabitEthernet0 description WAN PPPoE ADSL2+ bandwidth 1024 bandwidth receive 20480 no ip address ip nat outside ip virtual-reassembly duplex auto speed auto pppoe-client dial-pool-number 1 interface Dialer0 description ADSL2+ Dialer Interface …
4
速度/双工不匹配
不匹配如何发生;不匹配对网络连接有什么影响;解决不匹配真的值得付出努力吗?大规模检测不匹配的方法有哪些?
10 ethernet 
3
SRX DHCP客户端与HP Procurve DHCP Relay的兼容性
我正在尝试在某些Juniper SRX100上引导配置,并且遇到一些DHCP问题。 具体来说,我将0/0端口(软件中的fe-0 / 0/0)连接到我现有的网络,在该网络中,DHCP对于我使用的几乎所有其他设备都非常可靠。SRX100没有获得DHCP地址。尝试此操作时,SRX100是开箱即用的默认配置。 我将其中一台设备带到家里,然后将其插入我的家庭网络,它通过DHCP毫无问题地在我的家庭网络上获得了IP地址。 我的办公室网络在我的桌面上有一个Procurve 1400(仅限第2层)交换机,上行链路到Polycom IP670 IP电话(充当简单的第2层交换机),上行链路到Procurve 3500yl交换机,充当带有“ ip vlan接口上的“ helper-address 1.1.1.1”,指向用于DHCP中继的DHCP服务器。 有没有人有通过Procurve获得SRX DHCP客户端获得IP地址的经验(运行K.15.09.0012软件...尽管Procurve上的多个固件版本都存在该问题)。SRX100出厂时似乎上面装有11.2,尽管我认为升级到12.1X44-D10.4时问题仍然存在。 有人对这个问题有任何建议吗?Procurve 3500yl似乎不承认已经看到SRX100发出了DHCP客户端请求,但是该区域中Procurves的故障排除信息似乎很有限。DHCP服务器绝对看不到任何与SRX100相关的DHCPDISCOVER数据包。 我的解决方法是在SRX100上静态配置IP地址以使其进入网络并进行其余配置,但是我正在从事的项目涉及将SRX100发送到不受我控制的远程位置,并且,因此,取决于它们可靠地获取用于连接的DHCP地址,因此我真的很想解决此问题并解决特定原因,因此我知道如果这种情况发生在远程站点,可能会寻找什么。 更新: 我已经(要仔细检查)SRX100的出厂默认设置,并将其直接插入Procurve 3500yl的端口中,并且仍然看到问题,因此从讨论中删除了1400和IP670电话。我在下面包括了SRX100的tcpdump输出...正如您所看到的那样,它发送的内容可能是最简单的DHCP数据包,这往往表明问题出在3500yl上的dhcp-relay函数。我找不到任何方法可以从3500yl中获取任何调试输出,这些输出显示数据包命中了dhcp-relay函数(是否成功)。关于如何在3500yl上调试此功能的建议将不胜感激。 tcpdump -n -s 0 -c 1 -vvv -r juniper.dhcp.pcap reading from file juniper.dhcp.pcap, link-type JUNIPER_ETHER (Juniper Ethernet) 17:49:11.538670 Juniper PCAP Flags [Ext], PCAP Extension(s) total length 16 …
2
ASA 5540是否支持3000个并发IPsec连接?
作为新项目的一部分,我们要求在Cisco ASA 5540防火墙上终止大约3000个IPsec连接。根据规范,该平台支持的最大IPsec对等体为5000,因此应该没有问题。 问题是,如果所有 3000个远程站点都尝试立即建立IPsec连接,将会发生什么?例如,如果上游交换机死亡。它可能不是一次全部,而是取决于计时器,它可能在一个非常小的窗口内,可能是10秒左右。在资源方面,ASA是否可以应对所有传入连接?可能发生的最坏情况是什么? 我了解可能需要调整威胁检测的阈值。ASA除了终止IPsec连接外不会做太多事情。没有NAT,没有检查。它将参与LAN端的OSPF,尽管将总结所有远程站点网络。
10 cisco-asa  vpn  ipsec 
1
在Nexus操作系统上配置HSRP
如何在Nexus 7000系列交换机上配置HSRP? 我知道IOS中的命令位于接口配置中,例如: switch-a#config t switch-a(config)#interface g1/0/1 switch-a(config-if)#ip address 10.1.1.2 255.255.255.0 switch-a(config-if)#standby 10 ip 10.1.1.1 switch-a(config-if)#standby 10 priority 110 switch-a(config-if)#standby 10 preempt 当我在Nexus OS中配置接口时,待机命令不存在。在接口配置模式下,我的输出“?-ing”似乎没有任何显示……我想念什么?
1
Cisco WLC外部WebAuth表观随机行为
在Cisco 5508 v7.2.103.0上,我配置了几个WLAN。为了这个问题,将它们称为ABC和XYZ。ABC使用802.1X,并获得一个初始页面重定向URL向下推。XYZ使用PSK并使用WebAuth外部配置来推送登录页面重定向URL。初始页面和登录页面均在相同的基础(外部Web服务器)URL下提供,例如http://webauth.example.com/splash.html和/login.html。 WLAN ABC - Splash-Page-Web-Redirect[WPA + WPA2][Auth(802.1X + CCKM)] WLAN XYZ - Web-Passthrough[WPA2][Auth(PSK)] 我看到重定向URL在设备上显示时,webauth / NAC RUN状态以及实际获得Internet访问(或在我应有的时候不能获得)的能力时,似乎出现了不一致的行为。 我知道登录页面在允许流量通过之前需要接受(不需要用户名),并且WLC只需认为初始页面已被设备看到(不需要接受),流量就可以在此处流动。 我已经看到几乎所有情况都是可能的,但是交通流量并不总是很有意义。 当浏览到非安全的纯文本URL时,启动或登录页面重定向发生;webauth显示已通过NAC状态RUN进行身份验证,流量通过。这是预期发生的事情,但不会经常发生。 浏览到非安全的纯文本URL时,不会发生启动或登录页面重定向;webauth显示已通过NAC状态RUN进行身份验证,流量通过(但在从WLC删除客户端以强制未显示的webauth重定向之后不应该)。 浏览到非安全的纯文本URL时,不会发生启动或登录页面重定向;未通过NAC状态WEBAUTH对webauth进行身份验证,流量会(但不应)通过。 当浏览到非安全的纯文本URL时,启动或登录页面重定向发生;webauth显示NAC状态为WEBAUTH的未经身份验证,流量不会流动(但如果WEBAUTH显示为已通过,则不会)。 浏览到非安全的纯文本URL时,不会发生启动或登录页面重定向;webauth未通过NAC状态WEBAUTH进行身份验证,流量不流通(按预期)。 在所有情况下,客户端详细信息都会显示已设置重定向URL。 在重定向,webauth /运行状态和流量(允许或拒绝)一切正常的两种情况下,我认为ACL并不是问题。除了重定向URL,没有其他任何东西可以从ACS下推。这两个WLAN硬编码到不同的VLAN。 这是随机行为还是我的眼睛在骗我?我发现不同设备的行为略有不同-有些随机,有些更少。 缩小此问题的最佳方法是什么? 更新:DNS不是问题。常规IP可达性在浏览器中随机起作用。无论webauth状态(RUN与WEBAUTH-REQD)如何,有时浏览器都能通过,有时却无法通过。(初始请求始终是纯文本HTTP。)我什至看到非SMTP等非Web应用程序的正常流量都可以通过,因此我真的认为Webauth对此很不满意,但是我看不到任何明显错误的东西。 。我有一个相当宽松的预认证 ACL和一个来宾 ACL。我什至在两个ACL中都添加了允许任何/任何内容,但没有任何区别。
10 cisco  wireless 
4
生成树路径成本是否应在物理链路上匹配?
在处理一组交换机时,我注意到生成树路径成本未设置为在同一物理链路的相对侧匹配。由于某种原因,我觉得不合适。不应为同一链接设置相同的路径成本吗?为什么或者为什么不? 更具体地说,我们将循环配置为: Cisco 1/1/1 -> HP 7 A4 Cisco 2/1/1 -> HP 8 B1 HP 7 A2 -> HP 8 A1 HP 8的A1路径成本为2000000 HP 7的A2路径成本为20000 思科设置​​的生成树优先级为0。
By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.