не понимаю тогда, для чего unnumbered, если так будет работать :)

да это я так его просто назвал.

не совсем корректно выразился.

а он в Софте делается?

Не понял вопрос

в бридж группу объединяешь 3 интерфейса

поднимаешь BVI и ок

Если IOS XR, то BVI скорее всего будет обрабатываться силами процессора линейной карты

Не понял вопрос

Бридж на ASR в софте поднимается, или на асиках? (перфоманс интересует...)

как на L3 свиче, только на роутере (там ещё stp запустится)

а

тут хз

Скажем так я не слышал чтобы падала производительность

ок

спасибо в любом случае

камрады, а не подскажете ли netflow парсер, которому можно скормить xml/csv и на выходе получить табличку/график?

сильный ответ ?

сейчас попробую собрать в eve

А что за ддос был на мастерхост и другие датацентры? есть где почитать?

Товарищи, кто подскажет, если есть route-map который навешан на out для bgp соседа, в котором несколько permit-ов (есть правила 100, 101, 102 в одном роут-мапе) и есть ACL с превиксом 1.1.1.0/24 И во всех этих правилах есть match с этими ACL НО set as-prepend висит только на 102 правиле. (в 100 и 101 есть только просто матч без сета) Вопрос, as-prepend сработает или нет ?

нет

при первом матче префикс выходит из роутмапы

Ребятки, а случаем у линк ми ап нет лаб web-iou готовых каких-нибудь интересных? Или только gns3? Я вот люблю иной раз ссие-шную от INE поиграться.

сcie1y лабы не устраивают?

это что за лабы?

Проект ccie за год. Тамошние

а

там есть пара больших годных лаб

но там далекооо не все технологии рассматриваются.

они большие, но на full-scale не тянут вообще.

На микротиках за 5 минут запилю

На микротиках за 5 минут запилю

Да ну их:)

Да ну их:)

Ох готов поспорить )

Не хочу полемики)

Говоря о микротах. Они что-то делают для SDN/Programmobility?

Для sdn есть пакет OpenFlow первой версии. Пока больше ничего.

Говоря о микротах. Они что-то делают для SDN/Programmobility?

У них есть поддержка openflow

И как? Кто-то использовал на практике?

Говоря о микротах. Они что-то делают для SDN/Programmobility?

это всё хипстерское дерьмо для ДЦ

мда

в микротике опенфлоу 1 версии, а мир сейчас вроде уже на третей?

Народ всем привет. С детства все форумы и дизайн гайды Cisco говорили мне что ospf не работает внутри ipsec (в дефолте в мультакаст). А сегодня собрал лабу на джуниках с ospf &ipsec в транспортном. И всё работает. Коллапс в сознании

Подскажите, пожалуйста, кто-нибудь знает, что за ошибка?

Гуггл пока не помогает

может быть плохо гуглите?

Народ всем привет. С детства все форумы и дизайн гайды Cisco говорили мне что ospf не работает внутри ipsec (в дефолте в мультакаст). А сегодня собрал лабу на джуниках с ospf &ipsec в транспортном. И всё работает. Коллапс в сознании

1. что мешает гонять мультикаст внутри ipsec ? 2. что мешает указать тип сети point-to-point ?

Народ всем привет. С детства все форумы и дизайн гайды Cisco говорили мне что ospf не работает внутри ipsec (в дефолте в мультакаст). А сегодня собрал лабу на джуниках с ospf &ipsec в транспортном. И всё работает. Коллапс в сознании

без gre?

1. что мешает гонять мультикаст внутри ipsec ? 2. что мешает указать тип сети point-to-point ?

1 во всех гайдах написано что нельзя. 2 вопрос то не в этом

но правильный путь - поднимать внутри ipsec дополнительный туннель.

без gre?

Ну

но правильный путь - поднимать внутри ipsec дополнительный туннель.

Vti ты хотел сказать ?

1 во всех гайдах написано что нельзя. 2 вопрос то не в этом

проблема не в том, что там мультикаст, а в том, что там мультикаст с ттл = 1, да ещё и по специальным адресам, а ещё ipsec работает через всякие криптомапы и прочие, а не через псевдоинтерфейсы. вот тут возникает заковырка.

если использовать vti, то может и взлетит, но не факт, и я бы на это не надеялся.

обычно используют gre туннели внутри ipsec, и уже в этих тоннелях запускают оспф. но хорошо ли подходит ospf для данной схемы?

проблема не в том, что там мультикаст, а в том, что там мультикаст с ттл = 1, да ещё и по специальным адресам, а ещё ipsec работает через всякие криптомапы и прочие, а не через псевдоинтерфейсы. вот тут возникает заковырка.

Насчет ттл может быть, хотя по факту хоп то один. Vti взлетит, но мне не это суть. Просто интересно почему всегда через gre делают. И я всегда так делал.

Насчет ттл может быть, хотя по факту хоп то один. Vti взлетит, но мне не это суть. Просто интересно почему всегда через gre делают. И я всегда так делал.

Не по идее ттл должно хватить. Пакет уходит с туннельного интерфейса. На него и приходит, а там уже оспф его ждет

Не по идее ттл должно хватить. Пакет уходит с туннельного интерфейса. На него и приходит, а там уже оспф его ждет

Сам пакет с хелоу то шифруется

Как мне кажется, оспф поверх vti с типом сети broadcast - это концептуально неправильно.

Как мне кажется, оспф поверх vti с типом сети broadcast - это концептуально неправильно.

Возможно. Я vti не делал. проверить это будет следующим пунктом в моей лабе. Мне просто не понятно почему где-то работает поверх ipsec где-то нет

поверх голого ipsec мне кажется, вообще не будет работать. наличие интерфейса (туннельного или псевдоинтерфейса) строго обязательно.

поверх голого ipsec мне кажется, вообще не будет работать. наличие интерфейса (туннельного или псевдоинтерфейса) строго обязательно.

Так вот я и говорю что работает

Так вот я и говорю что работает

что-то мне не верится.

Ну я написал что в туннельном режиме

ну значит у тебя ещё и vti интерфейсы есть. тогда ок.

ERROR: S client not available

ну значит у тебя ещё и vti интерфейсы есть. тогда ок.

Нет. Vti это отдельная фича у Cisco чтобы срезать gre заголовок

Пруф завтра закину. Сейчас в дороге

vti - вендоронезависимая концепция псевдоинтерфейсов для туннелирования.

Народ всем привет. С детства все форумы и дизайн гайды Cisco говорили мне что ospf не работает внутри ipsec (в дефолте в мультакаст). А сегодня собрал лабу на джуниках с ospf &ipsec в транспортном. И всё работает. Коллапс в сознании

В туннельном режиме не работает. На транспортный ему безразлично

vti - вендоронезависимая концепция псевдоинтерфейсов для туннелирования.

Ок. Может тут ты прав

В туннельном режиме не работает. На транспортный ему безразлично

Как раз нет. В транспортном у тебя вообще серые адреса будут

А какая оспф-у разница, какие адреса маршрутить? Он не знает понятий "белые" и "серые"

А какая оспф-у разница, какие адреса маршрутить? Он не знает понятий "белые" и "серые"

Так как у тебя по инету серые ходить будут ?

Так как у тебя по инету серые ходить будут ?

Вы прокладываете транспортный ИПсек какбэ для того, чтобы внутри пустить какой-то транспорт (гре, ипип, л2тп). Внутри этого транспорта уже бегает абсолютно что угодно, а для провайдера это видится как есп-траффик между двумя белыми адресами.

Вы прокладываете транспортный ИПсек какбэ для того, чтобы внутри пустить какой-то транспорт (гре, ипип, л2тп). Внутри этого транспорта уже бегает абсолютно что угодно, а для провайдера это видится как есп-траффик между двумя белыми адресами.

Ясно. Почитайте мое первое сообщение

Вы прокладываете транспортный ИПсек какбэ для того, чтобы внутри пустить какой-то транспорт (гре, ипип, л2тп). Внутри этого транспорта уже бегает абсолютно что угодно, а для провайдера это видится как есп-траффик между двумя белыми адресами.

Вот оно And True: Народ всем привет. С детства все форумы и дизайн гайды Cisco говорили мне что ospf не работает внутри ipsec (в дефолте в мультакаст). А сегодня собрал лабу на джуниках с ospf &ipsec в транспортном. И всё работает. Коллапс в сознании

хз нащёт оспф но eigrp в ипсеке норм пашет

Вот пожалуйста. Что ж это Cisco врала все эти годы ? )))

https://www.cisco.com/application/pdf/en/us/guest/netsol/ns171/c649/ccmigration_09186a008074f26a.pdf например.

врала, врала а потом заанонсила DMVPN

врала, врала а потом заанонсила DMVPN

Не он он то на гре работает

https://www.cisco.com/application/pdf/en/us/guest/netsol/ns171/c649/ccmigration_09186a008074f26a.pdf например.

да там не нужен мультикаст

там же туннели point-to-point

зачем там мультикаст

Btw, sdn на микротах - не позволяют задать порт на контроллере. Openflow использует 2 порта - если контроллер порт тоже не настраивает - то ой... у меня микроты с floodlight контроллером не снюхались

да там не нужен мультикаст

Ну да - может про сам мультикаст там не написано. В конкретно этом доке. Но пишет ведь мол, не должен работать. Normal IP Security (IPsec) configurations cannot transfer routing protocols, such as Enhanced Interior Gateway Routing Protocol (EIGRP) and Open Shortest Path First (OSPF), or non-IP traffic, such as Internetwork Packet Exchange (IPX) and AppleTalk. This document illustrates how to route between different networks that use a routing protocol and non-IP traffic with IPsec. This example uses generic routing encapsulation (GRE) in order to accomplish routing between the different networks.

Так обычный IPsec не пропускает multicast же.

кароч, это уже от конфигов/реализаций зависит с криптомапа на физике наверное не получиться поднять eigrp

но суть в том, что это возможно без особого гемора

с тем же гре

зачем там мультикаст

Да согласен. В этой ссылке про дмвпн. Он возможно работает на p-2-p. Хотя опять таки Cisco говорит про гре. Я в свое время дмвпн тоже на гре делал

врала, врала а потом заанонсила DMVPN

Вот другая ссылка например. http://www.cisco.com/c/en/us/support/docs/security-vpn/ipsec-negotiation-ike-protocols/14381-gre-ipsec-ospf.html

Если не ошибаюсь во всеми нами любимом сдсм есть тема типо gre решает задачи маршрутизации, а ipsec шифрования.

У меня нет задачи как то настроить сети чтобы они работали. Я просто хочу найти истину.

Об этом и речь последний час

Так обычный IPsec не пропускает multicast же.

О том и речь что пропускает.

Как Вы сетку анонсировали, что она у Вас в безинтерфейсный ипсек полетела?