网络工程

在距离几跳远的提供商网络中，有什么可能的方法可以检测数据包丢失的深度？ 在Internet边缘路由器上有多个提供程序通过BGP对等时，我需要能够自动检测数据包丢失（主要）和延迟（次要），并进行接口跟踪或类似操作并将其关闭，以便所有流量都使用我们的其他提供程序。 我已经看到了使用IP SLA的两个问题。首先，需要测量的距离至少要经过几跳（经过它们的BGP对等体），因此监视提供商网络深处的任何内容并不是一个静态的提议，例如监视我们与它们之间的链接（一直保持稳定）；如果该提供程序的链接已关闭，则SLA仍然可以通过另一个提供程序的路径访问。其次，使用ICMP类型的监视器不会检测到通常在更大的数据包中所见到的数据包丢失级别，并且延迟似乎也没有明显改变。 是性能路由（PFR），这里是最好的选择，并影响BGP的ノ唬？ 看来主控制器是一个SPoF（单点故障），那么如果要采用PfR，边界路由器又怎能不依赖于一个主控制器？还有两个或三个可行的选择？ 我们流量的大部分也是最关键的来自我们的出站HTTP响应。

9 cisco  bgp  performance 

我正在尝试找到最优雅的方法来为从客户收到的路由实施RTBH过滤器。 过滤器应： 只接受客户自己的前缀列表中的前缀 仅接受/ 32前缀 仅黑洞社区的前缀 将下一跳设置为RTBH下一跳（192.0.2.1） 首先，我查看了瞻博网络的“ 在路由策略术语中配置匹配条件 ”文档。 首先，我考虑过组合一个prefix-list-filter仅匹配来自客户前缀列表的路由和一个route-filter将接受的前缀限制为/ 32，如下所示： from { as-path customer; community blackhole; prefix-list-filter customer-prefixes orlonger; route-filter 0.0.0.0/0 prefix-length-range /32-/32; } 但是后来我偶然发现了文档中的这些信息： 如果您配置的策略包含路由过滤器，前缀列表和源地址过滤器的某种组合，则会根据逻辑或操作或最长路由匹配查找对它们进行评估。 据我了解这一点（我觉得有点不清楚），如果我用prefix-list-filter，route-filter和/或source-address-filter在同一学期将与最长匹配或全部，这使得这个方法之间进行评估不可用。 我想到的是以下过滤器。该hostroutes-only术语将所有短于/ 32的前缀转移到下一个策略。之后，prefixes如果/ 32在客户范围内，则该术语匹配，匹配其as-path并设置了黑洞社区： term hostroutes-only { from { route-filter 0.0.0.0/0 prefix-length-range /0-/31; } then next policy; } term prefixes { from …

9 routing  bgp  juniper 

在EIGRP中显示拓扑表时，我注意到某些条目如下所示： P 10.1.6.0/24, 1 successors, FD is 793600 via 10.1.2.2 (2195456/281600), Serial0/0/0 via 10.1.3.2 (77081600/281600), Serial0/0/1 似乎后继应该是10.1.2.2，但是为什么其FD显示2195456，而不等于793600？

9 cisco  eigrp 

我有两个路由器，A（Cat6500 w / SUP720-3BXL，IOS 12.2（33）SXH4）和B（Nexus 7K w / SUP1，NX-OS 5.2（4）），它们在MPLS核心上被几跳隔开，每跳VRF ABC。路由器A在此VRF中具有两条直接连接的路由和四条静态路由。 RouterA# show ip bgp vpnv4 vrf ABC labels Network Next Hop In label/Out label Route Distinguisher: 65000:123 (ABC) 10.30.10.0/24 10.30.200.1 154/nolabel 10.30.20.0/24 10.30.200.1 88/nolabel 10.30.30.0/24 10.30.200.1 38/nolabel 10.30.40.0/24 10.30.200.1 147/nolabel 10.30.200.0/24 0.0.0.0 IPv4 VRF Aggr:95/nolabel(ABC) 10.90.90.0/24 0.0.0.0 IPv4 VRF …

9 mpls  troubleshooting 

我有一个远程分支机构中的Cisco 2901，它通过ge0 / 1连接到由TW Telecom管理的Adtran，其中8个T1捆绑在一起用于MPLS电路。 我无权使用Adtran设备，它属于TW，并由TW提供服务。 有时我们的T1捆绑销售，TW会为此开出主动式罚单。 但是，我有什么办法（从2901年开始）： 知道T1出现问题或捆绑销售了吗？（很明显，如果他们都失败了，我会知道的，因为我不会通过流量。） 从2901或其他方法确定可用带宽，以判断整个捆绑包是否可用。 除了让远程站点中的某人走到智能插孔并说“是的，他们都显示绿色”之外，我还希望有一些方法可以监视，除了可能的话，还可以依靠TW。

9 cisco  mpls 

我最近用一个运行15.2（2）JB的（独立）1262从一个877-WM上的内部AP替换了站点上的无线。对于单个SSID操作（单网桥域，BVI1也是管理），我已经将AP配置与我对Cisco AP所做的配置几乎一样，并且一切似乎正常。 但是，在我的笔记本电脑上，我正在运行VMware，并且将NIC设置为桥接模式的来宾无法进行DHCP，但是IPv6可以正常工作。 搜索此问题时，我在WLC设置上看到对“ ip-mac-binding disable”命令的引用，但找不到它是否映射到单个AP上的设置。 AP配置的相关部分是： dot11 ssid # Removed authentication open authentication key-management wpa guest-mode mbssid guest-mode wpa-psk ascii # Removed ! bridge irb ! interface Dot11Radio0 no ip address ! encryption mode ciphers aes-ccm ! ssid # Removed ! station-role root bridge-group 1 bridge-group 1 subscriber-loop-control bridge-group …

9 cisco  wireless 

语境 我目前有： 1个pfSense 2.0.2路由器（在Firebox X-Peak X5000上） 2个广域网 1个局域网 3台服务器 我的界面 WAN1 68.XX.XXX.98至69.XX.XXX.102 WAN2 65.XXX.XXX.58至66.XXX.XXX.62 局域网192.168.1.XXX 非军事区 我的路由器配置如下： 基于此文档的网关组的负载平衡。 NAT 局域网服务器规则 WAN2和DMZ（在一台DMZ服务器上具有外部IP）之间的桥接-但是无法通过外部IP地址在该服务器与LAN上的其他服务器之间进行通信。通过自定义路由配置，我已经能够处理从LAN到DMZ上的服务器的请求，但是我不喜欢这样。 我的服务器使用本地IP地址192.168.1.XXX，所以对于我的计算机也是如此。 期待中 我想做两件事： 1使用NAT之后的DMZ和LAN桥接两个WAN 我希望将外部IP地址分配给服务器，并希望将IP从两个WAN混合到同一服务器。我还希望能够通过LAN示例与服务器进行通信： 192.168.1.100 <--> http://68.XX.XXX.99 也能够从服务器到另一个服务器的通信示例： 65.XXX.XXX.59 <--> http://68.XX.XXX.99 我是否需要为NAT之后的LAN上的计算机指定一个外部IP地址？ 我将能够保持NAT的负载平衡工作吗？ 注意：我想避免一对一的NAT，因为服务器上的本地IP地址会使虚拟主机配置变得复杂，因此我更喜欢使用外部地址。 2路由器硬件冗余（CARP） 我还有一个相同的Firebox X-Peak X5000，并希望将其作为备份，如果第一个失败，第二个可以接管而不会（或几乎）失去网络（即，从外部到服务器的请求必须正常工作，以及从LAN和服务器到Internet）。 我已经阅读了本文档，但是我不知道它是否可以与我的配置一起使用（桥接+ NAT +负载平衡）

9 nat  failover  pfsense  pfsense-2  bridge 

在办公室环境中，如果我想使用Cisco ISR路由器阻止youtube，请使用NBAR进行以下设置： class-map match-all YOUTUBE match protocol http host "*youtube.com*" ! policy-map DROP_YOUTUBE class YOUTUBE drop ! interface FastEthernet0/0 description TO INTERNET service-policy output DROP_YOUTUBE 这是一种全局配置，但是如何对其进行调整，使其仅适用于某些工作站（通过IP或MAC地址）？

9 cisco  router  qos  cisco-isr 

如何在Juniper EX系列交换机的访问端口上阻止IPv6 RA通告？我知道思科提供了ra-guard作为选项，就像生成树上的bpdu-guard一样，我只是不确定如何在Junos中完成同样的事情。

9 juniper  ipv6  security  juniper-junos 

我知道Brocade很乐意接受Cisco设备提供的CDP并将其显示在CD中show fdp neighbor。 如果在Brocade机箱上启用CDP，它将同时发送CDP数据包和FDP吗？

9 brocade  cdp 

我们有一个要启用CDP的ME3400，但没有cdp选项。为什么不可用？ switch(config)#int gi0/1 switch(config-if)#cdp ? % Unrecognized command CDP已全局启用。 switch#show cdp Global CDP information: Sending CDP packets every 60 seconds Sending a holdtime value of 180 seconds Sending CDPv2 advertisements is enabled 这是该接口的运行配置。 interface GigabitEthernet0/1 switchport trunk allowed vlan 101-108,110,112-115,119,170,192,211,254-262,268 switchport trunk allowed vlan add 269,271,508-512,701,888 switchport mode trunk load-interval …

9 cisco  switch  cdp 

配置IOS 12.4（25f）以支持IPv6的必要步骤是什么？Comcast是ISP，我将使用Server 2012盒作为内部DHCPv6。 我需要从Comcast获取DHCPv6地址作为外部接口。 到目前为止，在我的外部接口上，我有： ipv6 address autoconfig default ipv6 enable ipv6 traffic-filter al in ipv6 verify unicast reverse-path ipv6 dhcp client pd comcast-ipv6 对于“ al”访问列表，我有： permit udp any any eq 546

9 cisco  ipv6  cisco-ios 

有没有一种方法可以从Cisco设备上的MAC地址获取设备的IP？ 假设您不在可以进行ping扫频/ arp的本地网段上，而是处于远程状态，并且您与端点之间有许多路由器。 另外，有问题的思科设备上的arp表尚未包含此MAC地址。

9 ipv4 

VRRP-E是与VRRP完全独立的标准，还是只是在VRRP标准上增加了功能？VRRP和VRRP-E之间有哪些主要区别？

9 brocade  vrrp 

每当使用AAA / TACACS +登录网络设备时，如果我在用户名提示后加了密码提示，即使密码正确，第二个密码提示也总是失败。我必须再次等待用户名提示，并且必须紧随其后的第一个密码提示中输入正确的密码。换句话说，每当我看到第二个密码提示时，它将不起作用。 请参阅下面的经过清理的交互和配置。 用户访问验证 用户名：用户名 密码： 密码：（此处总是失败） ％ 拒绝访问 用户访问验证 用户名：用户名 密码： 在第1行（站点名称）上连接到s-site-rack-agg2.example.net。 s-site-rack-agg2＃ 使用第二个密码提示来解决此问题可能有什么不同？ 我拥有的典型AAA和相关配置为： aaa新模型 aaa身份验证登录默认组tacacs +本地线路 aaa身份验证登录控制台无 aaa身份验证启用默认组tacacs +启用 aaa授权执行程序默认组tacacs +本地if-authenticated aaa授权命令1个默认组tacacs +本地if-authenticated aaa授权命令7个默认组tacacs +本地if-authenticated aaa授权命令15个默认组tacacs +本地if-authenticated aaa会计执行官默认启动-停止组tacacs + aaa accounting命令0缺省启动-停止组tacacs + aaa accounting命令1个默认的启停组tacacs + aaa记帐命令7默认的启停组tacacs + aaa记帐命令15个默认的启停组tacacs + aaa会计系统默认的起止组tacacs + ！ ip tacacs源接口Loopback0 tacacs服务器主机-prmiaryipremoved-单连接 …

9 cisco  cisco-ios  aaa