Добрго времени суток. Давно ничего не писал уже.
Есть удалённый филиал, с cisco 881 и adsl интернетом. С входящей скоростью 4 мб.с и исходящей 64 кб с
Начальство поставило задачу, хотить смотреть красивое виде с филиала, а то всё квадратиками...а так не интересно.
Был подключен второй канал по WiMax и скоммутирован в Cisco 881.
Сообственно конфиг. и пояснения
Fa4 это первый ISP
Vlan 12 это второй ISP
Vlan 31 это подсеть для видео и там храниться тот самый видеорегистратор 192.168.31.100
Tunnel 100 использован адрес источник 1ISP
Tunnel 101 использован адрес источник 2ISP
Building configuration...
Current configuration : 7084 bytes
!
! Last configuration change at 07:15:00 UTC Thu Dec 11 2014 by obercot
! NVRAM config last updated at 05:32:27 UTC Thu Dec 11 2014 by obercot
! NVRAM config last updated at 05:32:27 UTC Thu Dec 11 2014 by obercot
version 15.1
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname roddom
!
boot-start-marker
boot-end-marker
!
!
logging buffered 51200 warnings
!
aaa new-model
!
!
aaa authentication login default local
!
!
!
!
!
aaa session-id common
!
memory-size iomem 10
ip source-route
!
!
!
ip dhcp excluded-address 10.10.10.1
!
ip dhcp pool ccp-pool
import all
network 10.10.10.0 255.255.255.248
default-router 10.10.10.1
lease 0 2
!
!
ip cef
ip domain name KGBUZ
ip name-server 212.122.1.2
ip name-server 8.8.8.8
ip inspect tcp reassembly queue length 512
ip inspect tcp reassembly memory limit 4000
ip inspect name FW tcp router-traffic
ip inspect name FW udp router-traffic
ip inspect name FW icmp router-traffic
ip inspect name FW ftp
ip inspect name FW router
no ipv6 cef
!
!
multilink bundle-name authenticated
crypto pki token default removal timeout 0
!
crypto pki trustpoint TP-self-signed-1680798861
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-1680798861
revocation-check none
rsakeypair TP-self-signed-1680798861
!
!
crypto pki certificate chain TP-self-signed-1680798861
certificate self-signed 01
3082022B 30820194 A0030201 02020101 300D0609 2A864886 F70D0101 05050030
31312F30 2D060355 04031326 494F532D 53656C66 2D536967 6E65642D 43657274
69666963 6174652D 31363830 37393838 3631301E 170D3133 30383236 30333433
31375A17 0D323030 31303130 30303030 305A3031 312F302D 06035504 03132649
4F532D53 656C662D 5369676E 65642D43 65727469 66696361 74652D31 36383037
39383836 3130819F 300D0609 2A864886 F70D0101 01050003 818D0030 81890281
81009609 CED512BA 13B5A71E 929AB1D7 97AE1221 4E4C5BE1 901EEBE0 7701C082
F9FB7758 2AC5FDC6 B34E92F8 26258E22 E09F364A 8EDBDA46 FC00E425 682A6840
BC6FCC49 37870CE5 AC0017A2 66CF17B3 569D81B8 3F9D33B9 2D18C1E0 45C16F4A
ADBFB6DC 569F4CAC 7C119072 2BDDB1CB D0D26C5B 2CD4DEDE 6D8F5D89 18917717
FE530203 010001A3 53305130 0F060355 1D130101 FF040530 030101FF 301F0603
551D2304 18301680 142B2673 E48C1C67 36A2ECAD 83A236AF CCDE4410 0F301D06
03551D0E 04160414 2B2673E4 8C1C6736 A2ECAD83 A236AFCC DE44100F 300D0609
2A864886 F70D0101 05050003 81810064 B365F028 64E57C8D E15EA236 CCCB53DF
FB03EF37 EB6AC3EF 290945BA 071FA892 D73E8EDA DF69E3AF E6B5E56A D0E8FE3B
75FD4306 FABE0C9F 0CCB0E4E BBB20652 BDBD7806 4EC4BC93 CD8E1A3E 1C2E5A7E
6F4AAE1E 2BF7E194 D85D0FF4 8A7F097F D90B9116 677FF6FF 70897F2E AE1F4038
9B065983 331F8B9B 95930414 4F4700
quit
license udi pid CISCO881-K9 sn FGL163825S1
license boot module c880-data level advipservices_npe
!
!
!
!
ip ssh version 2
!
!
!
!
interface Tunnel100
ip address 172.16.1.22 255.255.255.252
tunnel source 82.162.235.114
tunnel destination 86.102.222.210
!
interface Tunnel101
description Enforta.video
ip address 172.16.1.38 255.255.255.252
tunnel source 94.28.75.194
tunnel destination 86.102.222.210
!
interface FastEthernet0
no ip address
!
interface FastEthernet1
switchport access vlan 31
no ip address
!
interface FastEthernet2
switchport access vlan 12
no ip address
!
interface FastEthernet3
no ip address
!
interface FastEthernet4
ip address 82.162.235.114 255.255.255.240
ip access-group FW in
ip nat outside
ip inspect FW out
ip virtual-reassembly in
duplex auto
speed auto
!
interface Vlan1
description $ETH-SW-LAUNCH$$INTF-INFO-HWIC 4ESW$
ip address 192.168.35.1 255.255.255.0
ip nat inside
ip virtual-reassembly in
ip tcp adjust-mss 1452
!
interface Vlan12
ip address 94.28.75.194 255.255.255.252
!
interface Vlan31
ip address 192.168.31.1 255.255.255.0
ip nat inside
ip virtual-reassembly in
ip policy route-map video
!
interface Vlan101
no ip address
!
ip local policy route-map enforta.route
ip forward-protocol nd
ip http server
ip http access-class 23
ip http authentication local
ip http secure-server
ip http timeout-policy idle 60 life 86400 requests 10000
!
!
ip dns server
ip nat inside source list NAT interface FastEthernet4 overload
ip route 0.0.0.0 0.0.0.0 82.162.235.113
ip route 192.168.98.0 255.255.255.0 Tunnel100
ip route 192.168.100.0 255.255.252.0 Tunnel100
!
ip access-list extended Enforta.route
permit ip 94.28.75.192 0.0.0.3 any
ip access-list extended FW
permit tcp any any eq 22
permit icmp any any echo
permit gre host 86.102.222.210 any
ip access-list extended NAT
permit ip 192.168.35.0 0.0.0.255 any
ip access-list extended route.map.video
permit ip host 192.168.31.100 192.168.8.0 0.0.0.255
permit ip host 192.168.31.100 192.168.98.0 0.0.0.255
!
access-list 23 permit 10.10.10.0 0.0.0.7
no cdp run
!
!
!
!
route-map enforta.route permit 6
match ip address Enforta.route
set ip next-hop 94.28.75.193
!
route-map video permit 5
match ip address route.map.video
set ip next-hop 172.16.1.37
!
!
!
!
control-plane
!
banner exec ^C
% Password expiration warning.
-----------------------------------------------------------------------
Cisco Configuration Professional (Cisco CP) is installed on this device
--More--
Вроде всё сделал.
Но но просмотр видео из нашей сети через туннель 2isp.
Он всё равно показывает через первого провайдера.
Не могу понять в чём загвоздка
↧
PBR 2 ISP
↧
туннели S2S IPSec
Уважаемые, прошу помощи. Соединяю два Cisco 2921 и 880
Туннель поднимается, но траффик не идёт. В чём затык? Никак не могу разобраться, понять и взять в толк. Если запустить пинг с Точки, то соответствие появляется в обоих access list'ах (с двух сторон) описывающих ';интересный'; траффик, но пинга нет. Если запустить пинг из ЦО, то ни пинга ни соответствий.
Конфиг ЦО:
crypto keyring Br1
pre-shared-key address 1.1.1.1 key Megapass
crypto keyring Br2
pre-shared-key address 2.2.2.2 key Megapass
!
crypto isakmp policy 10
encr 3des
authentication pre-share
group 2
!
crypto isakmp policy 20
encr 3des
hash md5
authentication pre-share
group 2
crypto isakmp key Superpass address 0.0.0.0 0.0.0.0
crypto isakmp profile Br1
keyring Br1
match identity address 1.1.1.1 255.255.255.255
crypto isakmp profile Br2
keyring Br2
match identity address 2.2.2.2 255.255.255.2555
!
!
crypto ipsec transform-set 3DES-SHA esp-3des esp-sha-hmac
mode transport
crypto ipsec transform-set 3DES-MD5 esp-3des esp-md5-hmac
!
crypto ipsec profile HQ-Br1
set transform-set 3DES-SHA
set isakmp-profile Br1
!
crypto ipsec profile HQ-Br2
set transform-set 3DES-SHA
set isakmp-profile Br2
!
!
crypto map VPNRetail 101 ipsec-isakmp
set peer 3.3.3.3
set transform-set 3DES-MD5
match address Shop1
!
!
!
interface Tunnel0
ip address 192.168.100.1 255.255.255.252
ip mtu 1400
ip tcp adjust-mss 1360
tunnel source x.x.x.1
tunnel mode ipsec ipv4
tunnel destination 1.1.1.1
tunnel protection ipsec profile HQ-Br1
!
interface Tunnel1
ip address 192.168.101.1 255.255.255.252
ip mtu 1400
ip tcp adjust-mss 1360
tunnel source x.x.x.1
tunnel mode ipsec ipv4
tunnel destination 2.2.2.2
tunnel protection ipsec profile HQ-Br2
!
interface Embedded-Service-Engine0/0
no ip address
shutdown
!
interface GigabitEthernet0/0
---Сеть провайдера---
ip address y.y.y.2 255.255.255.252
duplex auto
speed auto
!
interface GigabitEthernet0/1
no ip address
duplex auto
speed auto
!
interface GigabitEthernet0/1.1
---Внутренняя сеть---
encapsulation dot1Q 10
ip address 10.10.1.1 255.255.255.0
!
interface GigabitEthernet0/1.2
---Белая сеть выданная провайдером---
encapsulation dot1Q 2
ip address x.x.x.1 255.255.255.224
ip access-group Global_External in
crypto map VPNRetail
!
interface GigabitEthernet0/2
no ip address
duplex auto
speed auto
!
interface Vlan1
no ip address
!
!
router eigrp 1
---Для филиалов---
network 10.10.1.0
network 192.168.100.0
network 192.168.101.0
!
ip forward-protocol nd
!
!
ip route 0.0.0.0 0.0.0.0 y.y.y.1
!
ip access-list extended Global_External
---тут разные правила для хостов сети x.x.x.x 255.255.255.224---
ip access-list extended Shop1
permit ip 10.10.1.0 0.0.0.255 192.168.1.32 0.0.0.31
Конфиг Точки:
crypto isakmp policy 10
encr 3des
hash md5
authentication pre-share
group 2
crypto isakmp key Superpass address x.x.x.1
!
!
crypto ipsec transform-set 3DES-MD5 esp-3des esp-md5-hmac
mode tunnel
!
!
!
crypto map VPNHQ 10 ipsec-isakmp
set peer x.x.x.1
set transform-set 3DES-MD5
match address VPN-HQ
!
!
!
!
!
!
interface FastEthernet0
no ip address
!
interface FastEthernet1
no ip address
!
interface FastEthernet2
no ip address
!
interface FastEthernet3
no ip address
!
interface FastEthernet4
---Внешняя сеть---
ip address z.z.z.5 255.255.255.0
ip access-group Outbound out
no ip redirects
no ip proxy-arp
ip nat outside
ip inspect INSPECT_OUT out
ip virtual-reassembly in
ip verify unicast reverse-path
duplex auto
speed auto
no cdp enable
crypto map VPNHQ
!
!
!
interface Vlan1
---Внутренняя сеть---
ip address 192.168.1.33 255.255.255.224
ip accounting output-packets
ip nat inside
ip virtual-reassembly in
!
ip forward-protocol nd
!
!
ip nat inside source list NAT_out interface FastEthernet4 overload
ip route 0.0.0.0 0.0.0.0 z.z.z.1
!
ip access-list extended NAT_out
deny ip 192.168.1.32 0.0.0.31 10.10.1.0 0.0.0.255
permit ip 192.168.1.32 0.0.0.31 any
ip access-list extended Outbound
permit ip any any
ip access-list extended VPN-HQ
permit ip 192.168.1.32 0.0.0.31 10.10.1.0 0.0.0.255
↧
↧
Cisco WSA возможности
Здравствуйте. Хотим приобрести Cisco IronPort S170 для контроля интернет трафика. Подскажите по его функционалу:
1. Есть ли у него возможность контролировать пользователей по объему скаченного?
2. Есть ли возможность отправить часть пользователей по шлюзу т.е. по default gateway, а часть трафика отправить на другой прокси сервер?
↧
Anyconnect connect on demand
Приветствую.
Чото никак не могу победить connect on demand в Anyconnect. Руками по сертификату все прекрасно коннектится, в connect on demand прописан .int, когда руками отключаюсь и браузером лезу в ucm.int соединение не пытается установиться. Мне кажется что единственное место где может быть засада это выбор групп - при ручном подключении у меня выпадает выбор групп. Остальные группы нужны, работоспособен ли connect on demand в такой схеме?
↧
Два провайдера на роутере
Всем здравствуйте!
Тема двух провайдеров и маршрутизации конечно забитая и банальна, но есть проблемы у меня.
Имеется оборудование Cisco Router 3945 с тремя GI интерфейсами, а так же локалка на заводе, настроенный и полностью функционирующий AD со своими ДНСами.
В роутер приходят два провайдера: Первый в GigabitEthernet 0 (92.*.*.62\30, шлюз провайдера 92.*.*.61), Второй GI 0/2 (109.*.*.109\25, шлюз провайдера 109.*.*.1) ну и GI 0/1 - локалка.
При настройке использовал мануал http://anticisco.ru/pubs/DualISPRouter.pdf. Только не настраивал переключение провайдеров при падении.
Недели две у меня такая связка работала, но вчера, когда я поменял маску сети в локалке (была 255.255.0.0, сделал 255.255.248.0) - что-то пошло не так. При чем на роутере было несколько адресов на GI 0/1 - 192.168.96.200\21, 192.168.0.200\16 secondary ну и когда маску в сети поменял (виндовый ДХЦП раздает адреса) у циски secondary сделал 192.168.0.200\24.
Собственно проблема: с Первого провайдера перестали нормально ходить пакеты. Что значит нормально - делаю ,допустим, пинг ya.ru source gi 0/0 - получаю в ответ !.... (первый ответ проходит, остальные нет), делаю ping google.com source gi 0/0 ответ !...., делаю тут же ping google.RU source gi 0/0 - !!!!!, все ответы приходят. Через какое-то время ситуация меняется - яндекс и гугл ком пингуются - гугл.ру !.... Но это ещё не всё - если поставить repeat 50 скажем, то пройдет первый ответ, шестой, 13 и ещё какие-нибудь. Но первый стабильно приходит. Трасерт до узлов доходит, только долго идет. В качестве DNS для циски указаны контроллеры домена, с ДНСами на борту. Сами ДНСЫ настроены на 8.8.8.8. По IP адресам пинговал - ситуация такая же - первый проходит ответ, дальше затыки. Со Второго провайдера пингую - всё отлично, потерь нет. Если выключаю Второго провайдера (shut gi 0/2) - то с Первого связь становится отличной и никакие пакеты не пропадают. Провайдерские кабели пробовал менять местами и перенастраивать - ситуация один в один плохая. При чем - тупит опять же Первый провайдер (хотя он уже в другом порту).
Провайдер соответственно тут не при чем - с тех поддержкой пол дня воевал, пока не выяснил что проблема на моей стороне. Железяку перезагружал несколько раз.
Подскажите, пожалуйста, в чём может быть проблема?
Вот мой конфиг:
gate#show run
Building configuration...
Current configuration : 8939 bytes
!
! Last configuration change at 22:50:54 Asia Thu Dec 11 2014 by koshka
version 15.3
no service pad
service timestamps debug datetime msec
service timestamps log datetime localtime
service password-encryption
!
hostname gate
!
boot-start-marker
boot-end-marker
!
!
logging count
logging userinfo
logging queue-limit 16384012
logging reload debugging
logging persistent size 163840 filesize 163840
no logging console
enable secret 4 ************
!
aaa new-model
!
!
!
!
!
!
!
aaa session-id common
clock timezone Asia 6 0
!
!
!
!
!
!
!
ip domain name kpd-gs.local
ip name-server 192.168.96.14
ip name-server 192.168.96.18
ip name-server 192.168.96.15
ip cef
no ipv6 cef
multilink bundle-name authenticated
!
!
password encryption aes
!
crypto pki trustpoint TP-self-signed-1794392468
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-1794392468
revocation-check none
rsakeypair TP-self-signed-1794392468
!
!
crypto pki certificate chain TP-self-signed-1794392468
certificate self-signed 01
****************
****************
quit
license udi pid C3900-SPE150/K9 sn *********
!
!
username koshka secret 4 ******
!
!
ip ssh time-out 60
ip ssh authentication-retries 2
ip ssh source-interface GigabitEthernet0/1
ip ssh logging events
ip ssh version 2
!
class-map match-all shape-proxy
match access-group 150
class-map match-all shape-camera
match access-group 120
!
policy-map shape-camera
class shape-camera
shape average 3000000
policy-map shape-proxy
class shape-proxy
!
!
!
!
!
interface Loopback2
no ip address
!
interface Tunnel50
description GRE-Stroyka
ip address 172.24.25.1 255.255.255.0
ip tcp adjust-mss 1436
tunnel source GigabitEthernet0/2
tunnel destination 213.*.*.*
!
interface Embedded-Service-Engine0/0
no ip address
shutdown
!
interface GigabitEthernet0/0
description outside
ip address 92.*.*.62 255.255.255.252
ip nat outside
ip virtual-reassembly in
duplex auto
speed auto
no cdp enable
!
interface GigabitEthernet0/1
ip address 192.168.0.200 255.255.0.0 secondary
ip address 192.168.96.200 255.255.248.0
ip nat inside
ip virtual-reassembly in
ip policy route-map RAZRULI
duplex auto
speed auto
service-policy output shape-camera
!
interface GigabitEthernet0/2
ip address 109.*.*.109 255.255.255.128
ip nat outside
ip virtual-reassembly in
duplex auto
speed auto
no cdp enable
service-policy output shape-proxy
!
ip forward-protocol nd
!
no ip http server
ip http authentication local
no ip http secure-server
!
ip nat inside source list 5 interface GigabitEthernet0/2 overload
ip nat inside source list 10 interface GigabitEthernet0/0 overload
ip nat inside source list 20 interface GigabitEthernet0/0 overload
ip nat inside source list 30 interface GigabitEthernet0/0 overload
ip nat inside source list 50 interface GigabitEthernet0/0 overload
ip nat inside source static tcp 192.168.96.6 25 92.*.*.62 25 extendable
ip nat inside source static tcp 192.168.96.6 110 92.*.*.62 110 extendable
ip nat inside source static tcp 192.168.96.6 143 92.*.*.62 143 extendable
ip nat inside source static tcp 192.168.96.6 465 92.*.*.62 465 extendable
ip nat inside source static tcp 192.168.96.6 993 92.*.*.62 993 extendable
ip nat inside source static tcp 192.168.96.6 995 92.*.*.62 995 extendable
ip nat inside source static tcp 192.168.96.70 1723 92.*.*.62 1723 extendable
ip nat inside source static tcp 10.10.0.2 7000 92.*.*.62 7310 extendable
ip nat inside source static tcp 192.168.96.25 443 92.*.*.62 8000 extendable
ip nat inside source static tcp 192.168.96.6 443 92.*.*.62 8080 extendable
ip nat inside source static tcp 192.168.96.71 3389 92.*.*.62 49050 extendable
ip nat inside source static tcp 192.168.96.180 21 92.*.*.62 51474 extendable
ip nat inside source static tcp 192.168.96.6 25 109.*.*.109 25 extendable
ip nat inside source static tcp 192.168.96.6 110 109.*.*.109 110 extendable
ip nat inside source static tcp 192.168.96.6 143 109.*.*.109 143 extendable
ip nat inside source static tcp 192.168.96.6 465 109.*.*.109 465 extendable
ip nat inside source static tcp 192.168.96.6 993 109.*.*.109 993 extendable
ip nat inside source static tcp 192.168.96.6 995 109.*.*.109 995 extendable
ip nat inside source static tcp 192.168.96.70 1723 109.*.*.109 1723 extendable
ip nat inside source static tcp 192.168.96.6 443 109.*.*.109 8080 extendable
ip route 0.0.0.0 0.0.0.0 GigabitEthernet0/0 92.*.*.61
ip route 0.0.0.0 0.0.0.0 GigabitEthernet0/2 109.*.*.1
ip route 10.10.0.0 255.255.255.0 172.24.25.2
ip route 172.24.26.0 255.255.255.0 172.24.25.2
!
logging history size 500
logging history debugging
logging facility user
!
route-map VTOROY_IN permit 100
match interface GigabitEthernet0/2
!
route-map PERVIY_IN permit 100
match interface GigabitEthernet0/0
!
route-map RAZRULI deny 8
match ip address 130
!
route-map RAZRULI deny 9
match ip address 120 130
!
route-map RAZRULI permit 10
match ip address 5
set ip next-hop 109.*.*.1
!
route-map RAZRULI permit 20
match ip address 10 20 30
set ip next-hop 92.*.*.61
!
!
access-list 5 permit 192.168.96.27
access-list 5 permit 192.168.98.234
access-list 5 permit 192.168.98.235
access-list 5 permit 192.168.98.232
access-list 5 permit 192.168.98.233
access-list 5 permit 192.168.98.230
access-list 5 deny 192.168.98.231
access-list 5 permit 192.168.103.248
access-list 5 permit 192.168.103.247
access-list 5 permit 192.168.98.0 0.0.0.255
access-list 10 permit 192.168.100.24
access-list 10 permit 192.168.100.25
access-list 10 permit 192.168.100.22
access-list 10 permit 192.168.100.18
access-list 10 permit 192.168.100.37
access-list 10 permit 192.168.100.57
access-list 10 permit 192.168.101.52
access-list 10 permit 192.168.100.54
access-list 10 permit 192.168.100.48
access-list 10 permit 192.168.100.68
access-list 10 permit 192.168.100.66
access-list 10 permit 192.168.0.201
access-list 10 permit 192.168.100.199
access-list 10 deny 192.168.98.231
access-list 10 permit 192.168.96.0 0.0.0.255
access-list 10 permit 192.168.97.0 0.0.0.255
access-list 10 permit 192.168.98.0 0.0.0.255
access-list 20 permit 192.168.106.2
access-list 20 permit 192.168.106.3
access-list 20 permit 192.168.106.1
access-list 20 permit 192.168.106.6
access-list 20 permit 192.168.106.4
access-list 20 permit 192.168.106.5
access-list 80 deny 220.177.198.32
access-list 80 deny 117.27.158.88
access-list 80 permit any
access-list 120 permit ip any host 10.10.0.2
access-list 120 permit ip host 10.10.0.2 any
access-list 130 permit ip any 172.24.26.0 0.0.0.255
access-list 130 permit ip 172.24.26.0 0.0.0.255 any
access-list 130 permit ip any host 172.24.25.1
access-list 130 permit ip host 172.24.25.1 any
access-list 130 permit ip host 172.24.25.2 any
access-list 130 permit ip any host 172.24.25.2
access-list 150 permit ip any host 192.168.96.27
access-list 150 permit ip host 192.168.96.27 any
!
!
!
control-plane
!
!
!
line con 0
line aux 0
line 2
no activation-character
no exec
transport preferred none
transport input all
transport output pad telnet rlogin lapb-ta mop udptn v120 ssh
stopbits 1
line vty 0 4
exec-timeout 60 0
privilege level 15
rotary 50
transport input ssh
transport output all
line vty 5 15
exec-timeout 60 0
privilege level 15
rotary 50
transport input ssh
transport output all
line vty 16 858
privilege level 15
transport input ssh
transport output all
!
scheduler allocate 20000 1000
ntp server 192.168.96.18
ntp server 192.168.96.14
ntp server 192.168.96.15
!
end
gate#
↧
↧
Проблема с DNS на ASA anyconnect
Добрый день! Подскажите пожалуйста как побороть следующую проблему.
Есть cisco asa 5520 c настроенным personal vpn через anyconnect, авторизация ldap. Для каждой группы пользователей своя группа в AD и доступы.
Возникла следующая проблема, есть группа внешних пользователей, которые при подключении к vpn теряют доступ к своим локальным ресурсам и AD. Так как раздается наш DNS. Вопрос можно ли как то на ASA в записи dynamic-access-policy-record указать чтобы наш групповой dns не раздавался или задать отличный?
Спасибо!
↧
Вопрос на собеседовании по траблшутингу
Господа, добрый день.
В чем может быть причина неработоспособности, например, веб-сервера, (или какого-то другого, не суть) если пинг до него проходит и телнет по 80 порт тоже. Может ли тут быть дело в сетевой инфраструктуре? По условию задачи никаких межсетевых экранов и аксесс-листов нет.
Как у вас на работе поступают с такого рода проблемами, когда вроде как и с сервером все ОК, и с сетью. Но сервис все равно не работает.
↧
Смена IP адресации в телефонии.
По некоторым причинам в организации меняется IP-адресация.
Имеется кластер CUCM 8.6 Publisher+Subscriber.
Publisher на виртуалке.
Нужно у ВСЕГО поменять IP адресацию. У телефонов, у шлюзов (MGCP и H.323), сабскрайберов и паблишера. В каком порядке лучше это делать, и какие радости меня ждут?
↧
ASA 5510 + AnyConnect
Всем доброго времени суток, прошу помощи. В работе с цисками - новичок, поэтому прошу сильно не бить. Итак,
Cisco ASA 5510 9.1(5).
Есть внешний белый ip (интерфейс nbn) и внутренняя сеть 192.168.12.0/24 (интерфейс lan), 192.168.22.0/24 (voip).
Настроен PAT на lan и voip.
Необходимо настроить Anyconnect таким образом, чтобы при подключении был доступ к lan и интернету (nbn). В подсеть 192.168.12.0/24 пускает без проблем, а вот наружу - нет. Замучился настраивать, никак не выходит(
Создал мастером VPN, выделил пул адресов 192.168.12.40-192.168.12.60. Клиенты подключаются на внешний интерфейс.
ACL для vpn используется такой: access-list any_vpn extended permit ip any any
Шлюз 192.168.12.1 (сама ASA) не пингуется, интернет-адреса тоже.
Что сделать, чтобы клиенты по anyconnect смогли ходить в интернет?
Конфиг во вложении.
↧
↧
ASA и несколько туннелей
Есть ASA на outside прикручено несколько l2l туннелей.
Нужно прогонять трафик между туннелями например между 10.23.0.0 и 10.43.0.0
https://dl.dropboxusercontent.com/u/83039864/vpn.jpg
Подскажите добавив в филиалах маршруты, ацл для криптомапов, и в головной асе прописав ACL я получу желаемый результат или есть танцы с бубнами
↧
QoS Настройка
Всем привет!
в QoS не силен ->Есть задача нужно приоритизировать трафик до внутреннего веб сервера и войс заодно
DMPVN и IPSEC присутствует, рассматриваю пока только исходящую политика для SPOKE
class-map match-any VOICE
match dscp ef
match protocol rtp
ip access-list extended WEBSERVER
permit ip any host 10.10.10.10
permit ip any host 8.8.8.8
class-map match-all WEBSERVER
match access-group name WEBSERVER
policy-map DEFDOTCOM
class VOICE
priority percent 25
class WEBSERVER
priority percent 35
class class-default
fair-queue
на VTI - qos pre-classify одну команду <- для IPSEC
и на физический интефрейс - service-policy output DEFDOTCOM
Правильно ли это с точки зрения LLQ? - тоесть если есть трафик RTP и WEBSERVER под них алоцируется по 25 и 35 процентов соотстветнно от значения bandwith на интерфейсе? остальное в Class-default по FIFO?
Если трафика по WEBSERVER нет, class-default может выжрать хоть все 100% ?
↧
3650 vs 3560X
Есть небольшой вопросик по сабжу. Собсно поставщик предлагает взять 3650 вместо 3560X в качестве l3 свича на новую локацию. На доступе будет - 2960X. Бегло глянул маркетинговых материалов (в том числе и http://www.cisco.com/c/dam/en/us/produc ... 731054.pdf) - у 3650 одни плюсы. Стоит ли с ним связываться, или лучше по старинке взять 3560X?
↧
Cisco 6509
Всем привет!
Досталась вот такая игрушка ';Cisco Systems Catalyst 6500 9-slot Chassis System';.
Из начинки:
WS-X6148A-GE-TX,
WS-SUP720-3B c дочерними платами
Policy Feature Card 3: WS-F6K-PFC3B
MSFC3 Daughterboard: WS-SUP720
Читаю ';Cisco Catalyst 6500 Switch Architecture';.
Родилось много вопросов. У самого шасси(на картинке) есть плата с Crossbar и Shared Bus - это интерфейсы куда подключаются модули? правильно? Если Crossbar то там обмен идет на скорости 20Gbps, если Shared Bus то 8Gbps. Так? Как я понял, у 720 визора встроена ';720Gbps crossbar fabric'; и версия 3B имеет максимум 512MB. Отсюда еще вопросы, 720Gbps crossbar fabric это скорость чего?
Смотрю консоль:
SW6509#sh fabric utilization
slot channel speed Ingress % Egress %
5 0 20G 0 0
SW6509#sh fabric switching-mode
Global switching mode is Flow through
dCEF mode is not enforced for system to operate
Fabric module is not required for system to operate
Modules are allowed to operate in bus mode
Truncated mode is not allowed unless threshold is met
Threshold for truncated mode operation is 2 SFM-capable cards
Module Slot Switching Mode
1 Bus
5 Bus
отсюда вижу, что speed = 20G и Switching Mode = Bus
почему speed = 20G и при этом mode = bus ?
Если кто работает с подобным оборудованием объясните пожалуйста что к чем? пока что-то не входит
Заранее спасибо!
↧
↧
Все 3850 и 2960 уходят в пик по процу
Сильно нужна помощь эекспертов
Вообщем, с недавнего времени, все циски разом начали по процу проседать по максимому почти.
Видимо петля? но иногда пропадает, иногда не появляется вовсе за день.... возможно что то выключается, а потом включается....
Вроде я нашел два аплинка кто делает весь этот балаган, но теперь это не помогает.... я развожу руками, те порты которые я нашел якобы вредители, после шатдауна порторв, циски не перестают напрягаться.... уже не знаю что делать.
Может потом пригодиться комунить:)
Начнем с 3850
Core 0: CPU utilization for five seconds: 42%; one minute: 46%; five minutes: 45%
Core 1: CPU utilization for five seconds: 42%; one minute: 49%; five minutes: 51%
Core 2: CPU utilization for five seconds: 60%; one minute: 58%; five minutes: 56%
Core 3: CPU utilization for five seconds: 56%; one minute: 51%; five minutes: 52%
PID Runtime(ms) Invoked uSecs 5Sec 1Min 5Min TTY Process
5686 3015971 18562474 438 25.07 25.44 25.47 1088 fed
10165 2179009 48744172 2154 23.91 23.65 23.61 0 iosd
6222 3165260 10414887 64 1.39 1.40 1.40 0 pdsd
5688 94015 20229417 42 0.14 0.15 0.15 0 stack-mgr
Видим два процесса ->смотрим по ним в деталях
show processes cpu detailed process iosd sort | ex 0.0
Core 0: CPU utilization for five seconds: 52%; one minute: 42%; five minutes: 21%
Core 1: CPU utilization for five seconds: 51%; one minute: 44%; five minutes: 20%
Core 2: CPU utilization for five seconds: 50%; one minute: 48%; five minutes: 19%
Core 3: CPU utilization for five seconds: 55%; one minute: 43%; five minutes: 17%
PID T C TID Runtime(ms) Invoked uSecs 5Sec 1Min 5Min TTY Process
(%) (%) (%)
10165 L 2724069 4885544 2150 23.86 20.13 8.55 0 iosd
10165 L 0 10165 1812725 3198104 0 22.42 18.84 7.74 0 iosd
241 I 1370593 2384238 0 1.99 1.77 1.00 0 Spanning Tree
264 I 430 157 0 0.66 0.33 0.11 2 SSH Process
199 I 203952 1474619 0 0.33 0.33 0.22 0 IP Host Track Proce
227 I 1635112 2280775 0 0.33 0.33 0.33 0 IP Input
349 I 1298882 5815742 0 0.22 0.11 0.11 0 PDU DISPATCHER
59 I 820562 2397072 0 0.11 0.44 0.44 0 ARP Snoop
show processes cpu detailed process fed sorted | ex 0.0
Core 0: CPU utilization for five seconds: 44%; one minute: 44%; five minutes: 26%
Core 1: CPU utilization for five seconds: 64%; one minute: 52%; five minutes: 27%
Core 2: CPU utilization for five seconds: 64%; one minute: 55%; five minutes: 26%
Core 3: CPU utilization for five seconds: 43%; one minute: 49%; five minutes: 24%
PID T C TID Runtime(ms) Invoked uSecs 5Sec 1Min 5Min TTY Process
(%) (%) (%)
5686 L 3545621 1858703 438 25.82 24.09 12.18 1088 fed
5686 L 3 10647 3300443 5077749 0 16.33 15.83 7.76 0 PunjectTx
5686 L 2 10645 1268164 1309598 0 7.48 7.23 3.53 0 PunjectRx
5686 L 0 6128 4012133 2666629 0 0.38 0.49 0.52 0 fed-ots-nfl
Детализируем
Видим по асикам что мультикаст гадит
RX (ASIC2CPU) Stats (asic 0 qn 20 lqn 20):
RXQ 20: CPU_Q_MCAST_END_STATION_SERVICE
----------------------------------------
Packets received from ASIC : 535765512
Send to IOSd total attempts : 535764862
Send to IOSd failed count : 2624599
RX suspend count : 2624599
RX unsuspend count : 2624599
RX unsuspend send count : 2624600
RX unsuspend send failed count : 1
RX dropped count : 649
RX conversion failure dropped : 649
RX pkt_hdr allocation failure : 0
RX INTACK count : 55806795
RX packets dq'd after intack : 1055207
Active RxQ event : 116603097
RX spurious interrupt : 5312201
или вот такой вывод
tag buffer jumbo fallback packets received failures
alloc free bytes conv buf
27 0/1024/2048 0/5 0/5 0 0 0 0 0
65536 0/1024/1600 0/0 0/512 31284566 31284566 2002207193 0 0
65537 0/ 512/1600 0/0 0/512 922238 922238 195398227 0 0
65538 0/ 5/5 0/0 0/5 0 0 0 0 0
65539 2/2048/1600 0/16 0/512 23840004 23842875 3002779496 0 0
65540 0/ 128/1600 0/8 0/0 357463 357463 41172730 0 0
65541 2/ 128/1600 0/16 0/32 10778028 15229705 1298773735 0 0
s65542 733/ 768/1600 0/4 0/0 535850867 4201994200 3127366840 0 2451867
65544 0/ 96/1600 0/4 0/0 0 0 0 0 0
65545 0/ 96/1600 0/8 0/32 0 0 0 0 0
65546 0/ 512/1600 0/32 0/512 7903366 8056563 755109739 0 0
65547 0/ 96/1600 0/8 0/32 0 0 0 0 0
65548 0/ 512/1600 0/32 0/256 318 318 19080 0 0
65551 0/ 512/1600 0/0 0/256 31934 31934 4630871 0 0
65556 0/ 16/1600 0/4 0/0 0 0 0 0 0
65557 0/ 16/1600 0/4 0/0 0 0 0 0 0
65558 0/ 16/1600 0/4 0/0 291538 291538 16428606 0 0
65559 0/ 16/1600 0/4 0/0 614 614 142707 0 0
65560 0/ 16/1600 0/4 0/0 434 434 36881 0 0
65561 5/ 512/1600 0/0 0/128 36863055 59397924 2221294360 0 179
немного локализовали, продолжим
show pds tag all | in Active|Tags|65542
Active Client Client
Tags Handle Name TDA SDA FDA TBufD TBytD
65542 6853728 Punt Rx Mcast Snoop 536047248 536047248 0 536047248 993436420
Получается сходится про мультикаст
Посмотрим дам
show pds tag all
65542 6853728 Punt Rx Mcast Snoop 536076471 536076471 0 536076471 996066238
Dumping Packet(245376) # 0 of Length 90
-----------------------------------------
Meta-data
0000 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................
0010 00 00 16 36 00 00 00 00 00 00 00 00 55 73 f1 f0 ...6........Us..
0020 00 00 00 00 fd 01 10 df 00 5b 70 00 00 11 44 00 .........
↧
Не совпадение MTU на интерфейсах. Проблемы.
Коллеги, добрый день. Чем чревато несовпадение MTU на интерфейсах? Сталкивались ли вы с проблемами, связанными с этим?
↧
CUCME vs 7821 & 7841
Необходимо подключить к CUCME сиповые телефоны Cisco 7821 и 7841.
Поставил IOS поновее - c2900-universalk9-mz.SPA.155-1.T.bin
Скачал прошивку для самих телефонов - cmterm-78xx.10-2-1-12SR1-4
Телефоны скачали прошивку, обновились и висят ждут регистрации.
Такое ощущение что где-то пропустил ';волшебную командочку';. Но где?
Конфиг.
ip dhcp pool PHONE-10.x.83.0
network 10.x.83.0 255.255.255.224
default-router 10.x.83.1
option 150 ip 10.x.83.1
voice service voip
ip address trusted list
ipv4 0.0.0.0 0.0.0.0
allow-connections h323 to h323
allow-connections h323 to sip
allow-connections sip to h323
allow-connections sip to sip
voice register global
mode cme
source-address 10.x.83.1 port 5060
max-dn 10
max-pool 10
load 7821 sip78xx.10-2-1-12SR1-4.loads
load 7841 sip78xx.10-2-1-12SR1-4.loads
authenticate register
timezone 38
time-format 24
date-format D/M/Y
mwi stutter
tftp-path flash:
file text
voice register dn 1
number 3301
allow watch
name Administrator
label Administrator
!
voice register dn 2
number 3302
allow watch
name Operator 1
label Operator 1
voice register pool 1
busy-trigger-per-button 2
id mac 0008.2F1B.54BC
type 7841
number 1 dn 1
codec g711ulaw
!
voice register pool 2
busy-trigger-per-button 2
id mac 6899.CD84.33B4
type 7821
number 1 dn 2
codec g711ulaw
interface GigabitEthernet0/2.83
description -==Phones
encapsulation dot1Q 83
ip address 10.224.83.1 255.255.255.224
tftp-server flash0:sip78xx.10-2-1-12SR1-4.loads
tftp-server flash0:kern78xx.10-2-1-12SR1-4.sbn
tftp-server flash0:rootfs78xx.10-2-1-12SR1-4.sbn
tftp-server flash0:sboot78xx.10-2-1-12SR1-4.sbn
create profile - естественно делал.
↧
Подключение к Cisco 2811 через Anyconnect Mobile
Доброго всем дня!
Ситуация следующая: есть Cisco 2811, к ней можно нормально подключиться через Cisco VPN Client с компьютера. Возникла необходимость иногда подключаться с мобильного устройства, поставил себе Cisco AnyConnect под Android, вот только в упор не могу понять - а какие настройки там для авторизации нужно прописать и вообще будет ли оно как-то работать, или сия программа не предназначена для подобного?
Настройки на маршрутизаторе такие:
crypto isakmp policy 22
encr 3des
authentication pre-share
group 2
!
crypto isakmp client configuration group XXX
key XXX
domain XXX.XX
pool VPN-POOL
acl VPN-SPLIT
!
!
crypto ipsec transform-set VPN esp-3des esp-md5-hmac
!
crypto dynamic-map VPN-DM 10
set transform-set VPN
reverse-route
!
!
crypto map VPN-CM client authentication list local
crypto map VPN-CM isakmp authorization list local
crypto map VPN-CM client configuration address respond
crypto map VPN-CM 100 ipsec-isakmp dynamic VPN-DM
!
bridge irb
В клиенте есть следующие варианты (все не сработали):
EAP-AnyConnect
IKE-RSA
EAP-GTC
EAP-MD5
EAP-MSCHAPv2
Что мне нужно допилить, чтобы любой из них заработал?
Заранее спасибо!
↧
↧
Radius аутентификация SSH на коммутаторах Huawei
Добрый день.
Помогите настроить SSH аутентификацию на Huawei S9300 через радиус.
Не выходит каменный цветок. Мануал читал и гуглил - логику настройки так и не понял(((
Пока сделал следующее:
radius-server template RADIUS-TEMPLATE
radius-server shared-key cipher XXX
radius-server authentication A.A.A.A 1812 weight 80
radius-server authorization A.A.A.A shared-key cipher XXX
В настройках темплейта команда test-aaa проходит - т.е. радиус доступен и отвечает.
Далее в ааа сделал следующее:
aaa
_authentication-scheme default
_authentication-scheme RADIUS
____authentication-mode radius local
__authorization-scheme default
__accounting-scheme default
__domain default
__domain default_admin
__domain XXX.LOCAL
____authentication-scheme RADIUS
____radius-server RADIUS-TEMPLATE
__local-user root password cipher XXX
__local-user root privilege level 15
__local-user root service-type telnet ssh web http
__undo local-user admin
user-interface vty 0 4
authentication-mode aaa
protocol inbound all
Как далее привязать это все к SSH и заставить работать я так и не понял...
Все остальное на железке заработало без проблем и она пока нравится, но вот тут затык))
Заранее премного благодарен.
↧
VCS ExpressWay on DMZ, VCS Control on INSIDE, ASA Hairpin
Приветствую друзья. Нужна помощь безопасника и ВКСника (где Трюхан?)
Существует задача. Есть ASA5500 с 9й версией на борту.
Cisco Adaptive Security Appliance Software Version 9.0(3)
Device Manager Version 7.1(1)52
Compiled on Fri 19-Jul-13 17:16 PDT by builders
System image file is ';disk0:/asa903-smp-k8.bin';
К данной ASA на OUTSIDE подведен белый адрес (A.A.A.A), который статически НАТится в VCS express (172.26.203.3)
Согласно дизайну ВКС сервер VCS control и VCS express должны находится в разных зонах. Причем VCScontrol (192.168.5.13) должен попадать на VCSexpress, обращаясь на внешний адрес ASA (А.А.А.А). Интернеты и местный форум говорят, что делать это нужно технологией Hairpinned NAT. Читал здесь http://anticisco.ru/forum/viewtopic.php?f=2&t=5384&hilit=hairpin, однако, в голове не укладывается. Там задача стоит для случая, когда и клиент и сервер находятся в одной зоне. У меня же в разных.
Что имеем по конфигу.
hostname asa
xlate per-session deny tcp any4 any4
xlate per-session deny tcp any4 any6
xlate per-session deny tcp any6 any4
xlate per-session deny tcp any6 any6
xlate per-session deny udp any4 any4 eq domain
xlate per-session deny udp any4 any6 eq domain
xlate per-session deny udp any6 any4 eq domain
xlate per-session deny udp any6 any6 eq domain
names
!
interface GigabitEthernet0/0
description STATE Failover Interface
!
interface GigabitEthernet0/1
description LAN Failover Interface
!
interface Port-channel1
no nameif
no security-level
no ip address
!
interface Port-channel1.5
vlan 5
nameif VPN_SERVERS
security-level 100
ip address 192.168.5.1 255.255.255.0 standby 192.168.5.2
!
!
interface Port-channel1.203
vlan 203
nameif DMZ_EXPRESS_WAY
security-level 100
ip address 172.26.203.1 255.255.255.0 standby 172.26.203.2
!
interface Port-channel1.999
vlan 999
nameif OUTSIDE
security-level 0
ip address A.A.A.A 255.255.255.252
!
boot system disk0:/asa903-smp-k8.bin
ftp mode passive
dns domain-lookup OUTSIDE
dns server-group DefaultDNS
same-security-traffic permit inter-interface
same-security-traffic permit intra-interface
object network VCS_EXPRESS_WAY
host 172.26.203.3
object network GLOBAL
host A.A.A.A
object network GLOBAL_1
host A.A.A.A
object network VCS_POOL
range 10.230.230.1 10.230.230.254
object network VCS_CONTROL
host 192.168.5.13
object network VCS_CONTROL_2
host 192.168.5.13
object network obj_192.168.5.0
subnet 192.168.5.0 255.255.255.0
object network obj_172.26.203.0
subnet 172.26.203.0 255.255.255.0
object network obj_any
subnet 0.0.0.0 0.0.0.0
object network range_192.168.5.0
range 192.168.5.1 192.168.5.254
access-list TST extended permit ip any any
access-list tcp_bypass extended permit tcp 192.168.5.0 255.255.255.0 172.26.203.0 255.255.255.0
icmp unreachable rate-limit 1 burst-size 1
no asdm history enable
arp timeout 14400
no arp permit-nonconnected
nat (VPN_SERVERS,any) source dynamic obj_192.168.5.0 VCS_POOL destination static GLOBAL_1 VCS_EXPRESS_WAY
nat (MGMT,OUTSIDE) source dynamic ADMINS interface inactive
nat (INSIDE,OUTSIDE) source dynamic USERS interface inactive
nat (DMZ,OUTSIDE) source dynamic DMZ_SERVERS interface inactive
nat (VPN_SERVERS,OUTSIDE) source dynamic any interface inactive
nat (DMZ_EXPRESS_WAY,OUTSIDE) source static VCS_EXPRESS_WAY interface
!
object network obj_any
nat (VPN_SERVERS,OUTSIDE) dynamic interface
access-group TST in interface OUTSIDE
route OUTSIDE 0.0.0.0 0.0.0.0 A.A.A.C 1
timeout xlate 3:00:00
timeout pat-xlate 0:00:30
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute
timeout tcp-proxy-reassembly 0:01:00
timeout floating-conn 0:00:00
dynamic-access-policy-record DfltAccessPolicy
user-identity default-domain LOCAL
aaa authentication ssh console LOCAL
aaa authentication http console LOCAL
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart warmstart
crypto ipsec security-association pmtu-aging infinite
crypto ca trustpool policy
telnet timeout 5
ssh timeout 5
ssh version 2
console timeout 0
!
!
tls-proxy maximum-session 1000
!
threat-detection basic-threat
threat-detection statistics access-list
no threat-detection statistics tcp-intercept
username fwadmin password QQf.VmNkM3V7FEqR encrypted privilege 15
!
class-map inspection_default
match default-inspection-traffic
class-map tcp_bypass
description ';TCP traffic that bypasses stateful firewall';
match access-list tcp_bypass
!
!
policy-map type inspect dns preset_dns_map
parameters
message-length maximum client auto
message-length maximum 512
policy-map global_policy
class inspection_default
inspect dns preset_dns_map
inspect ftp
inspect h323 h225
inspect h323 ras
inspect rsh
inspect rtsp
inspect esmtp
inspect sqlnet
inspect skinny
inspect sunrpc
inspect xdmcp
inspect sip
inspect netbios
inspect tftp
inspect ip-options
inspect pptp
policy-map tcp_bypass_policy
class tcp_bypass
set connection advanced-options tcp-state-bypass
!
service-policy global_policy global
prompt hostname context
no call-home reporting anonymous
Настроил как ';по книжке';. Только работает ';через раз';.
Меня смущает 1е правило NAT (то, что длинное).
Помогите внести необходимые коррективы в дизайн и конфигурацию.
↧
ospf flapping
Всем добрый день.
Запутался в трёх соснах. Между cisco 3750-X и checkpoint никак не может устаканиться соседство.
Ниже лог:
068380: Dec 18 16:25:17: OSPF-1 ADJ Vl665: Cannot see ourself in hello from 172.16.1.21, state INIT
068381: Dec 18 16:25:17: OSPF-1 ADJ Vl665: Neighbor change event
068382: Dec 18 16:25:17: OSPF-1 ADJ Vl665: DR/BDR election
068383: Dec 18 16:25:17: OSPF-1 ADJ Vl665: Elect BDR 172.31.1.1
068384: Dec 18 16:25:17: OSPF-1 ADJ Vl665: Elect DR XX.XX.XX.98
068385: Dec 18 16:25:17: OSPF-1 ADJ Vl665: DR: XX.XX.XX.98 (Id) BDR: 172.31.1.1 (Id)
068386: Dec 18 16:25:17: OSPF-1 ADJ Vl665: Rcv DBD from 172.16.1.21 seq 0x1BCA opt 0x2 flag 0x7 len 32 mtu 1500 state INIT
068387: Dec 18 16:25:17: OSPF-1 ADJ Vl665: 2 Way Communication to 172.16.1.21, state 2WAY
068388: Dec 18 16:25:17: OSPF-1 ADJ Vl665: Neighbor change event
068389: Dec 18 16:25:17: OSPF-1 ADJ Vl665: DR/BDR election
068390: Dec 18 16:25:17: OSPF-1 ADJ Vl665: Elect BDR 172.31.1.1
068391: Dec 18 16:25:17: OSPF-1 ADJ Vl665: Elect DR XX.XX.XX.98
068392: Dec 18 16:25:17: OSPF-1 ADJ Vl665: DR: XX.XX.XX.98 (Id) BDR: 172.31.1.1 (Id)
068393: Dec 18 16:25:17: OSPF-1 ADJ Vl665: Nbr 172.16.1.21: Prepare dbase exchange
068394: Dec 18 16:25:17: OSPF-1 ADJ Vl665: Send DBD to 172.16.1.21 seq 0x1BCB opt 0x52 flag 0x7 len 32
068395: Dec 18 16:25:17: OSPF-1 ADJ Vl665: First DBD and we are not SLAVE
068396: Dec 18 16:25:17: OSPF-1 ADJ Vl665: Rcv DBD from 172.16.1.21 seq 0x1BCB opt 0x2 flag 0x0 len 1092 mtu 1500 state EXSTART
068397: Dec 18 16:25:17: OSPF-1 ADJ Vl665: NBR Negotiation Done. We are the MASTER
068398: Dec 18 16:25:17: OSPF-1 ADJ Vl665: Nbr 172.16.1.21: Summary list built, size 53
068399: Dec 18 16:25:17: OSPF-1 ADJ Vl665: Send DBD to 172.
sw.cluster01#16.1.21 seq 0x1BCC opt 0x52 flag 0x1 len 1092
068400: Dec 18 16:25:17: OSPF-1 ADJ Vl665: Rcv DBD from 172.16.1.21 seq 0x1BCC opt 0x2 flag 0x0 len 32 mtu 1500 state EXCHANGE
068401: Dec 18 16:25:17: OSPF-1 ADJ Vl665: Exchange Done with 172.16.1.21
068402: Dec 18 16:25:17: OSPF-1 ADJ Vl665: Synchronized with 172.16.1.21, state FULL
068403: Dec 18 13:25:17.343: %OSPF-5-ADJCHG: Process 1, Nbr 172.16.1.21 on Vlan665 from LOADING to FULL, Loading Done
068404: Dec 18 16:25:17: OSPF-1 ADJ Vl665: Nbr 172.16.1.21: Clean-up dbase exchange
И так постоянно.
Конф на cisco:
router-id 172.31.1.1
passive-interface default
no passive-interface Vlan665
network 10.0.0.0 0.255.255.255 area 10.0.0.0
network 172.16.0.0 0.0.0.7 area 0
Куда копать?
↧