Накопилось

и то странно. У меня за ~10 лет накопилось от силы два десятка. Бывало "не бъёт", измерителем мощности простеньким проверяю - сигнал есть в духе -35дбм. Ватной палочкой протёр оптическую часть, хопа, -3дбм, живём

Ребята, а кто может подсказать, что может лочить на АСА ответные TCP SYN пакеты при установке соединения

И это происходит не пстоянно

Может есть какае-то фича которая лочит такое дело ?

проблема с SSL восновном

проблема с SSL восновном

ассиметричный раутинг

ассиметричный раутинг

Нету

Инфа 100%

sh asp drop cap cap type asp-drop %drop cause%

а лучше cap cap type asp-drop access-list %acl name%

ERROR: % Invalid input detected at '^' marker.

Я понял

сча

Может есть какае-то фича которая лочит такое дело ?

возможно TCP Sequence Randomization

Как ее вырубить ?

Как ее вырубить ?

https://www.cisco.com/c/en/us/td/docs/security/asa/asa93/configuration/firewall/asa-firewall-cli/conns-connlimits.html#pgfId-1297891

Как ее вырубить ?

а причину дропов выяснили?

Всем привет. Есть проблема. На Cisco 2960x поменяли ПО, после чего устройства, подключенные непосредственно к свичу, перестали пингать друг друга. Есть дебаг debug arp. Нули в дебаге - это нормально?

Никаких настроек в плане port isolated, private vlan на свиче нет. Но судя по дампам, перестали ходить arp запросы...

я б откатил софт

Откатывал. Что самое интересное, индикатор статуса SYS оранжевым горит. Типа проблема с питанием. Но как замена ПО на питание повлияла?)

Стоп, стоп стоп

>устройства, подключенные непосредственно к свичу, перестали пингать друг друга. >Но как замена ПО на питание повлияла В чём проблема то в итоге?

Всем привет. Есть проблема. На Cisco 2960x поменяли ПО, после чего устройства, подключенные непосредственно к свичу, перестали пингать друг друга. Есть дебаг debug arp. Нули в дебаге - это нормально?

дебаг арп показывает Л3 арп, т.е. если есть нужный SVI. Если просто вланы то не покажет

В итоге: между устройствами пинга нет, со свича до каждого устройства пинг есть. Плюс оранжевый индикатор SYST

В итоге: между устройствами пинга нет, со свича до каждого устройства пинг есть. Плюс оранжевый индикатор SYST

Ок. После того как откатили софт на предыдущую работающую версию "проблема с пингами" пропала?

>индикатор статуса SYS оранжевым горит Тут важно не притягивать осла за уши. возможно это бы случилось при ЛЮБОМ ребуте

дебаг арп показывает Л3 арп, т.е. если есть нужный SVI. Если просто вланы то не покажет

Т.е. сквозные АРП он не покажет, а почему тогда в дампе ни src, ни dst не принадлежать ip SVI свича.

Ок. После того как откатили софт на предыдущую работающую версию "проблема с пингами" пропала?

Нет.

Т.е. сквозные АРП он не покажет, а почему тогда в дампе ни src, ни dst не принадлежать ip SVI свича.

сквозные покажет. не покажет арп в влане если на комутаторе нет соотв. SVI

Нет.

Ну то есть получается как - оно работало, псоле ребута железки (версия софта судя по всему не важна) - не работает?

На свиче есть SVI.

Ну то есть получается как - оно работало, псоле ребута железки (версия софта судя по всему не важна) - не работает?

Да.

свитч выступает как L3 ?

Мак таблица корректна?

Блин, опять начинается гадание на кофейно гуще )

ну без понимания конфига это и будет гадание

свитч выступает как L3 ?

Как L2 обязательно.

Как L2 обязательно.

То есть два хоста в одном и том же L2 сегменте не могут пингануть друг друга?

Мак таблица? Она корректна?

То есть два хоста в одном и том же L2 сегменте не могут пингануть друг друга?

Да.

покажите конфиг пары портов

которые непингают друг друга

И мак таблицу! )

Да.

с svi принаются?

с svi принаются?

Да.

прикольна

а на компах можно посмотреть арп таблица заполнена соседом?

Свич был в стеке.

НУ если на этом же свитче поднят SVI в этом влане, я бы посмотрел arp таблицу + мак таблицу

Арпы таблицы на компах не заполняются, не получают ответ.

no switch 1 provision - не проходит.

ребуты и поудалять все конфиги с флеша не помогает?

sh run int vlan 5 sh ip arp vlan 5 | можно инклуд интересубщие адреса ipconfig /all с обоих компов sh mac address-table interface gigabitEthernet 1/0/2 vlan 5 sh mac address-table interface gigabitEthernet 1/0/3 vlan 5 Без этого всё пока что гадание на кофейной гуще

ребуты и поудалять все конфиги с флеша не помогает?

Сейчас этим займусь. Но конфиг переименовывали и удаляли, но я смотрю, что там мусор какойто.

всякие баги есть на эту тему

https://quickview.cloudapps.cisco.com/quickview/bug/CSCux38041

https://quickview.cloudapps.cisco.com/quickview/bug/CSCve53124

ребуты и поудалять все конфиги с флеша не помогает?

Сделал erase startup-config. Проверяю.

можно покурить чёнить в show platform...

если там такое есть

@Refakki будет жить. Поприветствуем!

так-с, а что не так с ifconfig?

В преддверии народной скорби по покидающему нас ifconfig, хочется смахнуть скупую слезу ностальгии и вспомнить как хорошо нам с ним было. Но несмотря ни на что, всё равно есть ощущение, что линуксовый подход “Ага, у нас есть клёвая тула, простая как чайник, она давно и без сюрпризов работает, поэтому давайте её заменим чем-то новым потому что мы можем и всё старое это легаси” иногда удручает. Наступают времена ip и netplan. https://danielmiessler.com/study/set_ip/

так-с, а что не так с ifconfig?

ну просто он вроде как устарел и много чего не умеет. хотя для того, чтобы назначить адрес и включить физ интерфейс его хватает.

хотя во фрибзд ifconfig превратился в такого же монстра, как и iproute в линукс.

так-с, а что не так с ifconfig?

Вероятно в нем был обнаружен фатальный недостаток

Вероятно в нем был обнаружен фатальный недостаток

https://habr.com/post/320278/

Вероятно в нем был обнаружен фатальный недостаток

Создаёт проблемы и должен быть исправлен же.

Ну /bin/ip клёвая же

Все в ней и команды целиком писать не надо

https://habr.com/post/320278/

зато можно на каждый ввод команды ss можно зиговать

зато можно на каждый ввод команды ss можно зиговать

ну кроме этого, ss поддерживает множество семейств протоколов (protocol family). Например, ss -0 покажет, что у тебя запущен tcpdump на каком-нибудь интерфейсе

ну кроме этого, ss поддерживает множество семейств протоколов (protocol family). Например, ss -0 покажет, что у тебя запущен tcpdump на каком-нибудь интерфейсе

вообще в ss меня убивает и радует встроенный grep ss -nltp '( sport = 80 )'

https://habr.com/post/320278/

»Вся таблица маршрутизации. >ip ro list table all Спасибо Экстриму, что мои глаза больше не вытекают от неформатированного вывода

мне, например, вывод маршрутов в iproute нравится гораздо больше, чем в route.

Но статья годная, спасибо :)

Но статья годная, спасибо :)

там ещё есть ссылка с tips and tricks и кучей примеров. есть, например, ip route get <dst> который показывает актуальный маршрут. там ещё есть куча параметров, так что можно проверять маршрут для транзитных пакетов вот так ip route get <dst> from <src> iif <input-interface> , что позволяет легко диагностировать забытый включенный rp_filter :)

https://baturin.org/docs/iproute2/

Но статья годная, спасибо :)

Почему-то очень часто забывают про 'ip monitor' - тоже отличная штука.

Почему-то очень часто забывают про 'ip monitor' - тоже отличная штука.

ip ne тоже норм

https://www.bufferbloat.net/projects/attachments/150817135028_cake-battlemesh-v8.pdf - уже в 4.19 будет

Сделал erase startup-config. Проверяю.

так в итоге победили или нет?

хотя во фрибзд ifconfig превратился в такого же монстра, как и iproute в линукс.

Нормальный монстр, по крайней мере не гадаешь через что конфигурять, особенно в свеженьком релизе

так в итоге победили или нет?

Нет. У клиента Cisco с Китая, без лицензий. Может какой-нибудь скрвисный центр возьмется за нее.

Нет. У клиента Cisco с Китая, без лицензий. Может какой-нибудь скрвисный центр возьмется за нее.

Шта? Это как?) натурально фейковая циска? или просто по серийнику в китае светиться?

По серийнику не проверял, но обычный смарт контракт на нее не пойдет.