@linkmeup_chat
Michael24.10.2018
17:30:45
17:30:45
Rabotaet volshebno
Michael24.10.2018
17:43:22
17:43:22
Pochitai kak rabotaet usermap i application awareness v paloalto
V palo kak tolko user authenticad ti vidish vse applications i mojesh ruli na etoi osnove delat
Google
Nullius in verba24.10.2018
21:15:18
21:15:18
https://www.youtube.com/watch?v=kBFMsY5ZP0o
Очень кратко, про то, как увидеть человека за стеной, по отраженным от него Wi-fi сигналам :)
Anton25.10.2018
05:33:56
05:33:56
добавляешь статический маршрут и в бгп говоришь редистрибьют статик йес
Так то оно не работает, это же не проста таблица, а bgp.l2vpn.0 маршрут я добавил, но он все время в hidden жалуется на next hop, хотя он есть во всех таблицах
Anton25.10.2018
05:41:50
05:41:50
Кидай скрины, так интересней)
Andrey25.10.2018
05:58:28
05:58:28
ребят, скажите а Cisco VIC возможно заказть отдельно от UCS сервера и будет ли оно работать допустим в супермикре или делл?
Leonid25.10.2018
06:01:11
06:01:11
Кто netbox пользует, есть там возможность как то закрыть read-only? чтоб туда тоже авторизация была?
Snake25.10.2018
06:06:55
06:06:55
Leonid25.10.2018
06:07:02
06:07:02
you may set LOGIN_REQUIRED to TRUE (FALSE by default) to require a login to Netbox before viewing any data. This is in ./netbox/netbox/configuration.py.
Snake25.10.2018
06:07:29
06:07:29
О. Клёво, спасибо. Скоро пригодится)
Dmitry25.10.2018
07:09:04
07:09:04
Коллеги, подскажите в каком направлении копнуть, в какой best-practice погрузиться
Есть сетка из ~200 2960, куча вланов и т.д.
Не редки случаи, когда кто-либо переезжает в другое место и меняется порт подключения. На старый порт при этом может вселиться, например другой сотрудник, и попасть в подсеть, в которую он не должен попадать.
Какими инструментами можно навести порядок в сети и как его поддерживать? Как лучше организовать отслеживание перемещений - старый порт погасить, новый порт настроить? Как это можно автоматизировать?
Denis25.10.2018
07:20:26
07:20:26
.1x
Google
Anton Klochkov25.10.2018
07:20:28
07:20:28
Коллеги, подскажите в каком направлении копнуть, в какой best-practice погрузиться
Есть сетка из ~200 2960, куча вланов и т.д.
Не редки случаи, когда кто-либо переезжает в другое место и меняется порт подключения. На старый порт при этом может вселиться, например другой сотрудник, и попасть в подсеть, в которую он не должен попадать.
Какими инструментами можно навести порядок в сети и как его поддерживать? Как лучше организовать отслеживание перемещений - старый порт погасить, новый порт настроить? Как это можно автоматизировать?
Выключать порты да и подписывать не забывать.
Можно коммутатор например разграничить так по портам. В начале например одно, а середине другое, а конце третье.
Мордочку прокрутить чтобы хелпер мог туда тыкать и прописывать порты без вашего вмешательства.
Еще вариант это прикпутить радиус. Тогда вланы будут прилетать в зависимости от того, например кто ты в AD.По dot1x есть нюансы с применением политик виндовых. Это все описано в гайде, посмотри там
U25.10.2018
07:25:59
07:25:59
самое тупое задействовать port security
Anton Klochkov25.10.2018
07:26:13
07:26:13
Еще если будешь мутить радиус, очень плотно тестируй эту связку. Так же должно быть более одного сервера, лучше сразу собрать отказоустойчевый дизайн чтобы потом ненасасывать. :)
Nik25.10.2018
07:27:07
07:27:07
привет, всем. Помогите понять. на циске включаю term monitor и после этого мне с какой-то периодичносью выходит сообщение NTP-6-NTP_SYSLOG_WARN (не важно какое именно). А вот в sh logging она не отображается. Как сделать так, чтобы отображалась?
Roman25.10.2018
07:29:36
07:29:36
Ставьте ISE. Сейчас этот реально мощный продукт. Заводите все свитчи туда. Привязывайтесь к AD (нужна будет поддержка от ребят рулящих этим).
Yakov25.10.2018
07:34:10
07:34:10
привет, всем. Помогите понять. на циске включаю term monitor и после этого мне с какой-то периодичносью выходит сообщение NTP-6-NTP_SYSLOG_WARN (не важно какое именно). А вот в sh logging она не отображается. Как сделать так, чтобы отображалась?
уровень логинга в файл очевидно < 6 (в show log должно быть написано), поднять можно чем то типа logging file 6Dmitry25.10.2018
07:40:56
07:40:56
спасибо за наводки, буду пробовать
Nik25.10.2018
07:41:45
07:41:45
спасибо за наводки, буду пробовать
у меня в голове сразу такое предположение всплыло - а это у вас случаем не общаги? ))уровень логинга в файл очевидно < 6 (в show log должно быть написано), поднять можно чем то типа logging file 6
logging level ntp 6
logging monitor 7
logging level syslog 7Dmitry25.10.2018
07:43:06
07:43:06
у меня в голове сразу такое предположение всплыло - а это у вас случаем не общаги? ))
нет, к сожалению. или к радости)Alexander25.10.2018
07:43:51
07:43:51
Alexey25.10.2018
07:44:05
07:44:05
Господа clear adjacency для перестроения CEF можно безболезнено выполнять в продакшне?
Alexander25.10.2018
07:44:29
07:44:29
Можно ClearPass от Aruba глянуть ещё
Yakov25.10.2018
07:44:44
07:44:44
logging level ntp 6
logging monitor 7
logging level syslog 7
я прям точно команды не помню, но тут первое хз что делает, а второе и третье точно не про локальный логNik25.10.2018
07:47:51
07:47:51
SC-2-1# sh run | in logg
logging level aaa 5
logging level ntp 6
logging level otm 5
logging level sksd 7
logging level vrrp-eng 7
logging level vshd 7
logging level bgp 7
logging level ospf 6
logging level vpc 7
logging server x.x.x.x 7 use-vrf OSS
logging source-interface loopback0
logging timestamp milliseconds
logging monitor 7
logging level syslog 7
Вот такая настройка ( я просто сам плоховато понимаю логику ведения логирования на железке
Snake25.10.2018
07:48:37
07:48:37
Это если деньги есть
МНого денег, я бы сказал :)
Но в принципе если ограничиваться dot1x то прям ISE не обязательно ставитьYakov25.10.2018
07:49:36
07:49:36
GoogleDenis25.10.2018
07:50:12
07:50:12
Alexander25.10.2018
07:50:13
07:50:13
Ну как самый вариант если не заморачиваться с опенсорсом то ClearPass сильно дешевле
Roman25.10.2018
07:51:14
07:51:14
Это если деньги есть
Саша, это ответ на любую технологию. Типа
- Пацаны, посоветуйте какуюнить штуку, чтобы перекладывать фреймы из одного порта в другой
- Вам нужен свитч
- (ты) Это если деньги есть
bazed25.10.2018
07:51:57
07:51:57
Alexander25.10.2018
07:52:32
07:52:32
Саша, это ответ на любую технологию. Типа
- Пацаны, посоветуйте какуюнить штуку, чтобы перекладывать фреймы из одного порта в другой
- Вам нужен свитч
- (ты) Это если деньги есть
Ты не прав тут Рома, ISE это комбайн за хороший такой ценник, даже с базовой лицензией
Dimko25.10.2018
07:52:36
07:52:36
Привет! Я делал по ману, первый раз готовлю кластер и вообще джуниперы
в мане было сказано в кластере страдать с irb интерфейсами?bazed25.10.2018
07:53:07
07:53:07
Alexander25.10.2018
07:53:20
07:53:20
Dimko25.10.2018
07:53:33
07:53:33
и правда
bazed25.10.2018
07:54:21
07:54:21
Roman25.10.2018
07:55:21
07:55:21
Ты не прав тут Рома, ISE это комбайн за хороший такой ценник, даже с базовой лицензией
Да, я не прав. Но я не прав только в одномМеня спросили "в каком направлении копнуть", а я предложил конкретный продукт. Но человек мыслящий (а я надеюсь тут все такие - мы же сетевики!)...Nik25.10.2018
07:56:00
07:56:00
sh loggi это buffered . его уровень смотрите
logging level sysmgr | System Manager syslog level такое только есть (Dimko25.10.2018
07:56:06
07:56:06
Googlebazed25.10.2018
07:57:05
07:57:05
Dimko25.10.2018
07:58:09
07:58:09
я пытаюсь понять зачем нужны там вланы и ирб
и лацп )
ты же в курсе у reth работает только один из интерфейсов за раз ?
общего lacp с двух нод кластера не будет
в общем я бы предложил как то упростить это все если нет на то существенных причин
bazed25.10.2018
08:00:10
08:00:10
Дублирую. Вкратце провайдер в транке даёт влан, надо принять в кластере и проверить коннект до шлюза. Опции: LACP должен работать
есть два физических интерфейса
ge-0/0/0 на node0
ge-5/0/0 на node1
конфиги интерфейсов
ge-0/0/0 {
gigether-options
redundant-parent reth0;
}
ge-5/0/0 {
gigether-options {
redundant-parent reth0;
}
они обьеденены в виртуальный интерфейс reth0, на котором включен LACP:
Настройка:
reth0 {
redundant-ether-options {
redundancy-group 1;
minimum-links 1;
lacp {
active;
periodic slow;
}
}
unit 0 {
family ethernet-switching {
interface-mode trunk;
vlan {
members vlan790;
}
}
}
}
Далее настройка сабинтерфейса интерфейса c ip адресом
irb {
unit 790 {
family inet {
address X.X.X.122/29;
}
}
}
Настройка vlan790
vlan790 {
vlan-id 790;
l3-interface irb.790;
На интерфейсы Ge-0/0/0 Ge-5/0/0 приходит транк с несколькими vlan и с vlan790 с интернетом от провайдера
Проблема нет коннекта с X.X.X.121/29 шлюзом
Команда show route
show route
inet.0: 3 destinations, 3 routes (3 active, 0 holddown, 0 hidden)
+ = Active Route, - = Last Active, * = Both
10.101.101.0/24 *[Direct/0] 04:14:17
> via fxp0.0
10.101.101.1/32 *[Local/0] 04:14:56
Local via fxp0.0
X.X.X.122/32 *[Local/0] 00:39:08
Reject
Dimko25.10.2018
08:00:19
08:00:19
и стерминировать вланы сразу на reth
ну и редунданси группы для reth не забыть
reth - это актив пассив
bazed25.10.2018
08:02:54
08:02:54
ну и редунданси группы для reth не забыть
Они есть. Еду в офис, сейчас буду более осознано переделывать да и выспался наконец)Dimko25.10.2018
08:03:38
08:03:38
Насколько я помню, у SRX (бранчевых, как минимум) всё довольно плохо с LACP в кластере
он там есть, но работает пер нодуSnake25.10.2018
08:03:41
08:03:41
И можно делать lacp только в пределах активной ноды
Alexander25.10.2018
08:03:41
08:03:41
Кто нибудь может подсказать Linux хост с rpcapd сможет 10Gb/s GRE декапсулировать с мирорингом? Без дополнительного колдовства?
Dimko25.10.2018
08:03:42
08:03:42
мц-лага там нет
GoogleDimko25.10.2018
08:04:10
08:04:10
ну как бы он и не нужен
reth пуля
и стандалон л3 интерфейсы работают на обоих нодах
Snake25.10.2018
08:04:40
08:04:40
ну так-то да, но чтобы одна коробка не простаивала нужно грамотно раскидывать redundancy groups
Solyanik25.10.2018
09:50:06
09:50:06
Всем привет, а кто-нибудь в netbox добавлял устройства с виртуальными контекстами? Какой подход к этому? Что-то не придумывается, как лучше сделать. Пока только в голову приходит сделать Device Type для контекста - с Subdevice Role = Child, и "вставлять их" в основную железку
Anton25.10.2018
09:54:31
09:54:31
Народ подскажите кто нибудь собирал l2vpn ccc на lsp p2mp? Это похоже на vpls или на что?
Roman25.10.2018
10:07:22
10:07:22
Раз пошёл час вопросов... кто нибудь видел это? Как вы думаете, почему там именно 1400?
Andrey Svinarenko25.10.2018
10:12:09
10:12:09
Ребят, кто нибудь юзает Ростелеком СПб?
Что то Википедия не хочет грузить, стопается трасса у них внутри сети
Victor25.10.2018
17:23:59
17:23:59
Раз пошёл час вопросов... кто нибудь видел это? Как вы думаете, почему там именно 1400?
vxlan?
и в андерлее 1500
Открыть в Telegram