Вот у меня например в нашем приват клоуде есть. В DMZ. тенантов много, а подсеть одна. Как трафик изолировать? Так pvlan-ом и сделали

Проблема только что VMM (та штука что Hyper-V управляет) не умеет в community pvlan

И когда два хоста в одной подсети принадлежат одному и тому же тенанту, и должны общаться друг с дружкой, а isolated mode не даёт, что делать?

Праааавильно - пускать через дефаулт гейтвей. То есть тупо статические маршруты на обоих хостах в сторону друг дружки, и трафик не в броадкаст домен уходит, а на роутер, а на роутере- ACL. Этим, мол, разрешить

криво, но работает

а local-proxy-arp почему не зашел в этой ситуации, вроде как раз к месту было бы?

а как local-proxy-arp решит проблему ограничения взаимодействия между хостами в одном влане?

а, типа гейтвей отвечает на любой arp запрос своим маком, например. src хост шлёт пакет по факту на роутер, а там acl-кой разруливать?

ну как вариант...зак исключением кучи ACL на роутере, да и не уверен что ASA умеет в local prpxy arp

ну и не понятно (пока) как в такой ситуации себя поведёт гипервизор (esxi\hyper-v) =\

Кстати (безотносительно предыдущщей темы), кто нить работал с аристовской фичей VARP? Хотелось бы получить ответ на вопрос, коий меня гложит в связи с ним

Вот у меня например в нашем приват клоуде есть. В DMZ. тенантов много, а подсеть одна. Как трафик изолировать? Так pvlan-ом и сделали

Поэтому я из своего клауд оператора выбил пачку вланов гипервизовых ))) и к ним подсетки привязал.

Кстати (безотносительно предыдущщей темы), кто нить работал с аристовской фичей VARP? Хотелось бы получить ответ на вопрос, коий меня гложит в связи с ним

спроси макса в тракторе

https://www.linkedin.com/feed/update/urn:li:activity:6323629967921991680

зачем?

зачем?

Не смог вовремя остановится)

Кстати (безотносительно предыдущщей темы), кто нить работал с аристовской фичей VARP? Хотелось бы получить ответ на вопрос, коий меня гложит в связи с ним

Работает в проде, что за вопрос?

Увлекательный мум((

зачем?

Или привычка или хороший понт дороже денег )))

У него же своя консалтинговая фирма в милуоки.

Работает в проде, что за вопрос?

У меня теперь тоже. А вопрос собственно как ЭТО работает? Вот есть виртуальный mac и все участники VARP-а шлют GARP При этом они шлют GARP со своего физического MAC-а. И по факту этот виртуальный MAC ведь нигде не светится. И вот допустим у нас есть два роутера подключенных к одному свитчу. И приходит на свитч кадр с пакетом внутри, который надо смаршрутизировать. dst mac у этого кадра - виртуальный MAC роутеров. этого MAC-а в CAM таблице коммутатора нет. Значит это unknown unicast и распространится он в оба порта (берём случай когда два порта в этом влане). И оба роутера его получат. Внимание вопрос - кто смаршрутизирует этот пакет, оба роутера? Как это? Ведь на сколько я понял внутри VARP домена никого общения между роутерами не происходит - нет контрольного протокола

Привет, кто знает, может через какой-нибудь протокол туннелирования remote access(l2tp, openvpn) отдавать конкретные маршруты, а не настраивать на клиенте дефолт?

https://eos.arista.com/a-comparison-of-virtual-ip-commands/

GARP с виртуальным mac src шлется

окей, даже если так

напишите с первой попытки гратюэйтус кто-нибудь

точки зрения свитча, в который подключены оба роутера, этот mac будет постоянно туда сюда бегать просто?

varp на свичах или роутерах? я чет запутался.

когда я говорю свитч - я подразумеваю простой L2 свитч

когда роутер - это свитч с L3 Svi

схема такая - два L3 свитча воткнуты в один L2, за ним же - хост

ох и наплодили же этих протоколов резервирования шлюзов, hsrp, glbp, rsmlt, vrrp, peer-routing это только то, с чем я работал

Оба L3 свитча шлют GARP где src mac - это виртуальный mac, то есть он одинаковый

схема такая - два L3 свитча воткнуты в один L2, за ним же - хост

а как ты l2 резервируешь?

stp, lacp?

с точки зрения L2 свитча - за каким портмо должен быть этот MAC

а как ты l2 резервируешь?

Никак. Это тут не при чём же

Ща, быстренько схему набросаю, что имею ввиду

Вот два "роутера" - R1 и R2. Оба шлют GARP с одниковым MAC src как ваяснилось.

Где в итоге будет MAC светится? За eth1 или eth2? Или будет флапать постоянно?

Ну судя по тому что вижу у себя (а у меня ещё это всё с VXLAN-ами) действительно флапает, то за одним VTEP-ом, то за другим

И как это фактически сказывается на работоспособности

оно работает :)

а если статически виртуальный мак задать на одном из портов?

Хм. какое-то время светился в таблице как static: Vlan Mac Address Type Prt Vtep Moves Last Move —— —--------- —— —- —— —--- —------- 100 0000.2020.1010 STATIC Vx1 10.0.0.22 1 0:00:06 ago

сейчас показывает что DYMANIC, но не флапает

Ну судя по тому что вижу у себя (а у меня ещё это всё с VXLAN-ами) действительно флапает, то за одним VTEP-ом, то за другим

будет mac flap warning да

http://blog.ipspace.net/2013/06/arista-eos-virtual-arp-varp-behind.html

Likewise, a L2 EOS switch ignores the fact that broadcasts from the same MAC address come from numerous ports (this behavior might trigger "flapping MAC addresses" warnings on other switches).

да, я Пепельняка читал

меня поэтому и смутило в начале

он там пише

The virtual MAC address is "silent" (no traffic is sent from that MAC address)

поэтому я и думал что в кадре src mac - не виртуальный

а что мешает собрать mlag и подключить свич изерченнелом?

будет один интерфейс, флапов не будет

Я же говорю - у меня там VXLAN

и что?)

и виртуальные IP на разных VTEPах

мне делать езерченел поверх VXLAN? :)

vtep c mlag сделай

В общем, не суть.Я не решаю какую то задачу сейчас. Хотел просто прояснить для себя непонятные момент

Спасибо что помог разобраться - документ от Аристы всё проясняет

ERROR: S client not available

предлагаю делиться оптытом эксплуатации этого вендора) можно в личке

Привет, кто знает, может через какой-нибудь протокол туннелирования remote access(l2tp, openvpn) отдавать конкретные маршруты, а не настраивать на клиенте дефолт?

openvpn точно умеет

openvpn точно умеет

спасибо

Привет. Коллеги нужен человек с действующим сертификатом ccna на удаленную работу

отлично

а подробнее?

Привет. Коллеги нужен человек с действующим сертификатом ccna на удаленную работу

У меня есть. Можно подробнее

Привет. Коллеги нужен человек с действующим сертификатом ccna на удаленную работу

Я с действующим CCNA)

Привет. Коллеги нужен человек с действующим сертификатом ccna на удаленную работу

Могу попробовать продать ccnp+hcna

Аналогично могу )

Ноут подключен через кабель к роутеру. Создаю vpn соединение, происходит соединение, но на сайт зайти не могу. Если интернет-кабель напрямую к компу подключить, то заходит нормально. В чем может быть причина?

Роутер не пускает

так соединение устанавливается

Ну и что

а почему роутер не пускает?

Надо настройки смотреть

Dns?

Ну если по IP заходит, то тогда DNS

1699 это год производства?

Либо ещё как вариант маршруты. У нас например сайт портала закрыт снаружи от всех, и приходится на клиентских миротах маршруты писать

Приветы всем. Может тут кто в курсе чего этому чуду для оживления не хватает? :)

AWE32, Voodoo2 и памяти полгига

Всплакнул

??

Приорал)

Могу попробовать продать ccnp+hcna

Работать же предлагают, а не купить ссна

Работать же предлагают, а не купить ссна

продать человека с ccnp и hcna x2)

продать человека с ccnp и hcna x2)

Работорговля, вроде как, вне закона) не?)

Работорговля, вроде как, вне закона) не?)

Нее

Зависит от того где продавать

))

Фриланс например