да все так, я разобрался и жестко обломался

первый улетит - второй добавится

аса же не умеет 2 дефолтгейтвея?

да все так, я разобрался и жестко обломался

а что хочешь получить?

но второму я не давал бы АД больше 10

аса же не умеет 2 дефолтгейтвея?

если нужно распихать пользователей на разные каналы - используй PBR, c версии 9.4 есть.

можно наступить на грабли, когда дефолт с eigrp/ospf/bgp будет лучше статика

это я знаю...

если нужно распихать пользователей на разные каналы - используй PBR, c версии 9.4 есть.

pbr отрабатывается nat ?

кстати это же мне теперь правила для outside 2 дублировать?

не совсем понял вопрос

я про нат)

не совсем понял вопрос

если ты раутишь во второй провайдер - нат происходит ?

да

прям вот реально да ? у меня на isr нат не отрабатывал

nat (INSIDE,outside) after-auto source dynamic obj-corporate-network interface

а мне получается и для outside2 дублировать?

правила?

nat (INSIDE,outside) after-auto source dynamic obj-corporate-network interface

или дублировать или делать nat(INSIDE, any) blah-blah-blah. во втором варианте есть заморочки с arp и маршрутизацией. Детали я забыл, поэтоу дезинформировать не буду.

Короче походу проще перед Асами поставить 2 маршрутизатора)

на isr можно сделать 2 нат записи по роутмапам чтоб балансить в оба провайдера

да на иср это делать проще...

у асы в риб попадает только первый маршрут

а ты второй с АД таким же оставь

будут оба нет ?

я асы не особо тыкал

Андрей, что скажешь?

асы умеют в ecmp так-то

Use packet tracker, Luke...

packet-tracer input INSIDE tcp 192.168.1.1 12345 8.8.8.8 8

я про этот packet tracer)

да я понял.

я не про это

Тогд четко сформулируй задачу. Что есть и что нужно получить в итоге?

у асы в риб попадает только первый маршрут

???

я прав или нет?

Прав

короче мне в пофиг на исходящий, пусть он через ipsla работает

тааак

https://www.cisco.com/c/en/us/support/docs/security/adaptive-security-appliance-asa-software/115986-asa-eqm-products-configuration-example.html

Multiple static routes that utilize ECMP are available only on the same interface. ECMP is not supported across multiple interfaces.

Но, если у тебя нат трансляции на оба интерфейса/с обоих интерфейсов, трафик пришедший на интерфейс с меньшей ад снатится и ответ уйдет через тот же интерфейс

мне в идеале разгрузить входящие подключения...

там дохера бранчей цепляется

Multiple static routes that utilize ECMP are available only on the same interface. ECMP is not supported across multiple interfaces.

кек

в фичфайндере можно найти с какой версии был переход на новое лицензирование?

https://www.cisco.com/c/en/us/td/docs/security/asa/roadmap/asa_new_features.html

Коллеги, доброе утро. Сделал ARP-сканирование своего VLANa, допустим я в 10.0.14.Х/24. Помимо откликов всех компов из моей подсети, прилетели ответы от хостов 10.0.0.1, 10.0.2.15, 10.0.4.135. Которые совсем не из моей подсети и судя по всему в другом VLAN. Как так произошло? Топология для меня blackbox, смотрю со стороны пользователя

Коллеги, доброе утро. Сделал ARP-сканирование своего VLANa, допустим я в 10.0.14.Х/24. Помимо откликов всех компов из моей подсети, прилетели ответы от хостов 10.0.0.1, 10.0.2.15, 10.0.4.135. Которые совсем не из моей подсети и судя по всему в другом VLAN. Как так произошло? Топология для меня blackbox, смотрю со стороны пользователя

проксиарп?

проксиарп?

Думал об этом, но есть подозрение что в тех подсетях там не по одному узлу. Если я не ошибаюсь, то должны ответить и остальные.

Думал об этом, но есть подозрение что в тех подсетях там не по одному узлу. Если я не ошибаюсь, то должны ответить и остальные.

не все операционки отвечают на пинг броадкаста

Secondary ip

Secondary ip

Склоняюсь к этому варианту, пожалуй она наиболее подходящий

не все операционки отвечают на пинг броадкаста

Я не использовал ping для обнаружения, я использовал netdiscover для генерации ARP-пакетов

Я не использовал ping для обнаружения, я использовал netdiscover для генерации ARP-пакетов

какая разница?

пинг тоже использует арп

какая разница?

Потому что я не пинговал броадкаст, я поочередно опрашивал ARP с 10.0.14.1 по 10.0.14.254. При чем тут пинг и броадкаст?

Потому что я не пинговал броадкаст, я поочередно опрашивал ARP с 10.0.14.1 по 10.0.14.254. При чем тут пинг и броадкаст?

при том что они оба отправляют броадкастные арпы

или как по твоему ты узнал их мак?

набрутфорсил?

Вы хотите сказать не все хосты отвечают на FF:FF:FF:FF:FF:FF?

не все

ERROR: S client not available

Как же они тогда работают в сети? Что-то мы недопонимаем друг-друга явно

не все

Как вы тогда мак-соседа/шлюза узнаете?

А есть у кого-нибудь из здесь присутствующих доступ на баг-портал Аристы?

ну так в исходном сообщении у тебя была фраза "Помимо откликов всех компов из моей подсети, прилетели ответы от хостов" т.е. запрос был явно броадкастный

еси комп в твоей локалке или за прокси то на индивидуальный пакет с его ip адресом в заголовке он каэш ответит

ну так в исходном сообщении у тебя была фраза "Помимо откликов всех компов из моей подсети, прилетели ответы от хостов" т.е. запрос был явно броадкастный

Нет, никакого броадкаста не было. Был опрос хостов с 1-254

ну так в исходном сообщении у тебя была фраза "Помимо откликов всех компов из моей подсети, прилетели ответы от хостов" т.е. запрос был явно броадкастный

Вернее естественно ARP обнаружение броадкаствоое

броадкаст по любому был в мак дестинейшоне. еси в арпе был индивидуальный ip адрес - это другой момент

броадкаст по любому был в мак дестинейшоне. еси в арпе был индивидуальный ip адрес - это другой момент

Что значит индивидуальный IP-адрес? Все арпы летят на ff:ff:ff:ff:ff:ff

Что значит индивидуальный IP-адрес? Все арпы летят на ff:ff:ff:ff:ff:ff

ip адрес в arp заголовке

не 255.255.255.255

Всем доброго времени суток. Есть здесь инженеры с телекома, кто ещё iptv занимается?

ip адрес в arp заголовке

Так я и написал, что просканил хосты: ARP летит на FF:FF:FF:FF:FF:FF поочередно опрашивает с 10.0.14.1 по 10.0.14.254. Зачем мне обнаруживать проадкаст?)

@LoxmatiyMamont @NAT_GTX ловите спамера

Возрадуйтесь хейтеры - https://cloudmylab.com/eve-ng/

всё, хейторы положили сайтец? )))

всё, хейторы положили сайтец? )))

kakoi?

клауда. у меня с телефона работает, а с компа ERR_CONNECTION_REFUSED

kakoi?

Дорого чот. В хетцнере сервак 30 баксов стоит vs тариф за 50

клауда. у меня с телефона работает, а с компа ERR_CONNECTION_REFUSED

hz, u menya vse ok

Дорого чот. В хетцнере сервак 30 баксов стоит vs тариф за 50

zennik ne mi stavim

zennik ne mi stavim

Когда уже Еву pro будут бесплатно раздавать?

у меня тоже не работает

Когда уже Еву pro будут бесплатно раздавать?

kak viidet, cryakni i razdovai :)

Коллеги, подскажите один момент. Знаю, в книжках написано, но хочу побыстрее понять. Есть M-LAG. В него включаются сервера. Если на одном из участников пропадет транковый линк, будет ли передоваться трафик через peer link на участника у которого линк живой? Сам думаю, что нет, но хотелось бы точно знать. Спасибо за внимание к вопросу.

На Nexus с VPC будет использоваться peer-link

Cyber: Народ почему в команде tracert может не отображаться промежуточная cisco? Acl все норм

Cyber: Народ почему в команде tracert может не отображаться промежуточная cisco? Acl все норм

может у неё режим transparent?

сори я про ASA чего-то подумал

Cyber: Народ почему в команде tracert может не отображаться промежуточная cisco? Acl все норм

Что значит "не отображается". Её нету в трассировке вообще? Или "вроде как есть", но в ответах одни звёзды?

Cyber: Народ почему в команде tracert может не отображаться промежуточная cisco? Acl все норм

Ttl пакетов не меняет, тогда в tracert не будет