Ciscoのスレッド 0/12 [無断転載禁止]
■ このスレッドは過去ログ倉庫に格納されています
>>198
そりゃ光って言ったって 1000BASE-SX とかじゃあないんで
ONU に相当する光メディアコンバーターは置いていくよ?
そこで長距離用の光ファイバー(たいていはシングル)を
SFP あるいは 1000BASE-T や 1000BASE-SX に直接変換されるなりして供給される
単なるメディアコンバーターみたいなものだけど、
いちおう局舎側からの疎通テスト出来る程度のインテリジェンスは持ってる場合が多い。
そんで、プロバイダーの対向ルーターのインターフェイスが見えている状態なので、企
業からは IPv4 (あるいは IPv6)で単にルーティングするだけなのが一般的。
(フレッツの v6 網なんかを利用する企業向けサービスもないこともないけど)
というわけで HGW みたいに PPPoE 喋ったり NAT したり F/W したりみたいなことは、
プロバイダーが持ち込む側の機器ではやらないよ。
(別契約でプロバイダーから VPNルーターとかファイヤーウォールを借りることはある
けど、それはまた別の話) OSPFとかRIPとか動かしたいんだけどルータ1個だと意味ない? RIPならクライアントでも聞く奴がいるかもね。しゃべる奴はいないだろうけど。 202です
資格勉強のために中古で1台買ってみたんだけどコンソール入れてもなんか実感がないんだよね しゃべる相手が欲しいだけだったら
いらないPCにQuaggaでも入れてみるとかはありかも? 使ったことがあるならともかく
資格目的なら買い足したほうがいいよ 不具合発生時の切り分けや
冗長構成にも対応できるように
同型2台はあった方が良いね 冗長化の勉強するならL2SW 4台追加しよう
あ、でも、どうせなら、対向も冗長化しよう まぁ、Windows PC あるなら、VMware 上に Linux 入れて、Vyatta なんか入れてみるのも面
白いかもしれないが・・・ 機器間ルーティングできて何が楽しいの? ってのもあるので
VLAN を扱える業務用の Wi-Fi 機器でも入れてみたら?
SSID ごとに異なる VLAN 使ってみたり、VLAN 間でルーティングしながら ACL で通信制限
掛けてみたり、特定の VLAN からは IP アドレスを NAT して変換みたり
その無線LANも WLC(コントローラー装置)付きの Aironet 一式だとか Aruba InstantOS 搭
載APだとかだと、さらにやれることが増えるので弄ってると楽しいが
コントローラー抜きの Aruba IAP(InstantOS 搭載AP)1台だけでも LTE 通信したり(要LTE
ドングル) PPPoE 喋ったり NAT したりファイヤーウォールくんだり 単体で Captive-Portal
や 802.1x PEAP 認証したり・・・ 「ぶっちゃけこれルーター要らなくね?」 状態に陥るw Reflexive ACLを使って、WANからLANへの通信を戻りのパケットに限定したい。
以下のconfigで本件実現できたが、ルーター自身のWANへのパケットの戻りが
拒否されてしまう。
LANのDNS Serverの指定をルーター(192.168.100.1)にしていることもあり
LANからのDNS問い合わせもできない。
どうすればよいかわかりますか?
interface GigabitEthernet0/4
ip address dhcp
ip access-group wan-to-lan in
ip access-group lan-to-wan out
ip nat outside
interface Vlan1
ip address 192.168.100.1 255.255.255.0
ip nat inside
ip dns server
ip nat inside source list 1 interface GigabitEthernet0/4 overload
ip access-list extended lan-to-wan
permit ip any any reflect mirror timeout 300
ip access-list extended wan-to-lan
evaluate mirror
access-list 1 permit 192.168.100.0 0.0.0.255 わかる人いたら...
ace4710でshow resource usage実行した時の出力結果で、conc-connectionsがどういう接続を示しているか知りたい
レイヤ4や7ではないように思える... >>219
Thanks!
ビンゴです。後で試してみます。 >>218
aceなんて骨董品まだ使ってるのか
EoL迎えたプロダクト使うとかよっぽど製品知識に自信なければ止めておいた方がいいぞ
aceなんてどこのベンダーも大して詳しくないだろうから保守してくれないか、あってもハードウェア交換しかしてくれないパターンになると想像 >>218
Concurrent Connections (Max 4M/Ace module) : Concurrent Layer 4 (through the box traffic) connections. >>221
リプレースするのに、現状の使用リソース調べててね...
>>222
やっぱレイヤ4なのか。仕様が12万CPSなのに、90万近くcoc-connectionsで出てるのが気になってるんだよね... >>223
その製品のことは知らないけど、
CPSとConcurrent Connectionは別の値だよ。
前者はConnection per second、秒間新規コネクションのことで、
新規のコネクションをどれだけ素早く処理できるかの値。
後者はConcurrentだから現在値で、スペックとしては最大コネクション数で規定される。
多分コネクションテーブルに割り当てられたメモリ依存。 >>224
あーなるほど!
1000cpsのスペックの機器(フル稼働)で、各コネクションが10秒持続とすると、10秒後時点のconc-connectionsは10000になる...っていうイメージでいいのかな Firepower運用してる人いたら聞きたいんですがFMCってactive-standbyの2台構成でも導入した方がいいと思いますか?
導入検討中なんですが至極当然のように見積に入れられてるので要らなければ削りたいと思いまして
ベンダーは売りたいから良いことしか言わないので使ってる人の率直な意見を聞きたいです まずベンダーと信頼関係無いのに発注はダメだろ
なんかあった時に困るのは自分 Japan TAC
元々動きは遅かったけど
最近特に対応が悪くなってるね
実際にサービスが止まってるのに
放置プレイも当たり前
なので緊急案件はGlobalを選択しがち
あんな豪華なオフィスを構える余裕があるなら
日本法人はもっとサポートを手厚くすべきだと思うんだが
強力な競合他社の台頭を期待してる サービスレベルぎりぎりまで回答を出し渋ってるような気がする
過剰なサービスを要求するつもりはないが、そもそも根本的にポリシーが裏で変わったんかね >>230
パートナーアカウント持ってたら使えるTACツールつかって、TACに問い合わせしなくても対応できるようになって一流
TACに頼ってるやつは二流 同じCiscoでもMerakiの方はドキュメントに書いてある内容が薄いから
問い合わせて仕様の裏取らないとダメだな
TACの回答頼りにしてるやつが糞なのは同意だが 自分でTAC使うなんて面倒過ぎる
NOSに丸投げで十分 サービス品質は10年前の半分以下
製品の複雑さは10年前の3倍以上
サポートは人件費の安い国に移転中
世界共通なので>>230みたいにグローバル投げても一緒。すぐ応答できるエンジニアがつかまるまで裏で再アサインし続けるし一次連絡後も24/365体制なので返事だけは日本より早い。 それでも他に選択肢が無いのが困るんだよなぁ。
ウチはCiscoにとって数ある客の1つでしかないかもしれんが、こっちは他メーカーへの乗り換えなんて現実的じゃないし、そもそも他はもっと酷い。 アジアパシフィック市場で
日本の重要度が相対的に低下しているので仕方ない
そのくせ過剰な品質を求めるし わかるなぁ
スタックのスイッチの2系クラッシュしただけで通信断がーサービス影響がーとか騒いでるの見てるともう少し高い機器使えよとか思ったりする
メーカーからしたら保守料は大して入らないのに要求する品質だけは高いとかやってられないやろ 影響度を正確に分析できずに騒ぐ情シス部門、軌道修正出来ずに丸投げする代理店、勝手に影響度を定義して客の気持ちを理解しないメーカサポート。
結局営業が客と対話して本当の影響度が分かる。
大したことなかったねで済むこともあれば、実はやばい話だったということもある。
Ciscoに限らず日本でよくある話。 Cisco資格改定か
CCNP Securityだと、Coreともう一つ取りゃいいのかな
現行4科目あるけど firepowerはまだ聞くけどISEとかESAとか使ってるとこあるんか??
実務に必要な問題出さずにほぼ使われてないマイナー製品/技術出すから資格持ちは役に立たないとかいわれるんだよなぁ うち、ISEとWSAとESA使ってるですよ、
ファイアウォールはFortiだけど。
ISEはちゃんと設定できればマジ便利。 むしろシェア伸びずに一番苦戦してるのがfirepowerでは? PPPoEなんかはPPPoEサーバーで擬似的にテストできますが、ISDNのテストも簡単にできる方法ってありますか? わかる、ISEはちゃんと設定できればまじで便利
問題はちゃんと設定できるベンダがいねぇ 常駐先でISEのパラメータシート見たら
単なるRADIUSサーバとしか使ってなかった時の悲壮感 CiscoPressのISE本読んだけど
Phased Deploymentのコンフィグ多くて既存環境への実装とか面倒そう ラズパイのEthernetインターフェイスって
内部でUSB接続なんですけど… RADIUSサーバーくらいならUSBでも問題ないでしょ。 radiusをくらい、と言うなら入れなくても良さそう。
アレを扱うには愛が要る。 >>
そうですね。 Raspberry Pi 3 Model B+ で実効 300Mbps くらいらしいですね。
どうせストレージが SDIO だし、十分な性能だと思いますけどね。 シスコパケットトレーサーでBGPを組んでみようと思ったのですが
iBGPがサポートされていないようで出来ませんでした
こういったエミュレーターでiBGPが組めるものって何かありますか? dCloudでどれくらいできるかだなー
Packet Tracerはbgpやってないし C921J-4Pって画像見るとかなりサイズ小さく感じるね
921J : 2.80 x 21.59 x 16.51 cm
841m : 4.4 x 34.3 x 17.5 cm
841mに求めてたのはこのサイズ感だったのにどうしてこうなった… なんでJapanモデルをACアダプタにしちゃうかなぁ。
しかもラックマウント不可って。。 921って、CiscoのFAQ見ると暗号化スループット150Mbpsって書いてあるけど、またソフトで制限かけてある感じなのかな?
データシートには250Mbpsみたいにも書かれてるし、よくわかんない securityライセンスじゃない?
ライセンス投入でスループット向上っていつものパターンだと思われ 2960lを中古で手に入れたのですが設定いじるには専用ケーブルが絶対必要なのでしょうか? ドライバをCCOからダウンロードしてきてPCにインストールする必要があるけど、
mini-USBのコンソールポードがあるはずだから
汎用のmini-USBケーブルがあれば
専用のは無くても大丈夫ではありますが…
まぁ一本持っておけ、とみんな言うし
ここの住人なら10人中8人は持ってると思われ NX-OSでtab補完使ったときにteratermのログが汚くなるのが嫌なんですがIOSみたいにtab押すごとに改行して出力させることって出来ますか? C921Jは機能をライセンス式にしたせいで裸だとIPsecすら使えない
かといってIPsecのためにSecurityライセンスを付けるとC891FJよりも高くなるから選びにくい
これでC841mの後継機種とか。。。 C891FJよりも性能が低くて、値段が高いってか?
誰が買うんだろ。 >>273
あれ? C921J って日本専用で sec-bundle なのが出るんじゃなかったっけ? >>275
これから出るってこと?今だとIP BASE+SEC、APPみたいな感じでライセンスは別売りしか無さそうだけど >>263-264
ルーター全体のスループットなのか、IPsec暗号化のみのスループットなのかも留意しないと
ややこしいことになるので要注意ですね
C891FJ なんかは最大 1.9Gbps、暗号化最大 350Mbps だけど、いずれもラージパケットの場
合の最大値で、スモールパケットだと効率が落ちてくる。
CPU は常に目一杯使う仕様で制限はハードウェア性能によるものだけ
一方 ISR 4000 シリーズはパケットサイズによらず内蔵のパケットシェイパーでスループットを
制限されているので、C4221 は上位機種にもかかわらず最大 35Mbps(パフォーマンスライ
センス適用時 75Mbps) なんて意味不明の数字が出てくる。
(恐ろしいことに、これ暗号化TPじゃなくて、単なるルーティングでも 35Mbps しか出ない)
じゃあ C921J はどっちなんだ? って話ですけど、 C921J にはパフォーマンスライセンスは
存在しないし、ISR 4000 みたいながっつりした制限は掛かってなさそうですよね。
C891FJ は ISR 800 シリーズの最上級ライン x9x の系列ってことで性能追求型で
C921J は ISR 900 シリーズでも x2x で下位の位置づけってことで
単純に性能が低いだけなような気がします。
なら安くしろよ、って話なんですが、また C841M の箱蹴りみたいなキャンペーン待つしかない
んじゃないですかねぇ?
(今 C841M-8X-JAIS/K9 買おうとしたら NTT-Xストア でも 90,528円 とかするし、6万円で買
える C891FJ-K9 が安すぎるというべきなのか?) 結論
中古の C891FJ-K9 を3千円で買ってきて ITProduct かどっかで SmartNet 8x5 NBD を組む
EOS 出てないので まだ5年は安泰。これ最強 それにしても
今どき 1Gbps 回線当たり前、2G bps あるいは都心じゃ安価な 10Gbps サービスも始まって
るのに、mGig や SFP+ 備える機種が欲しければ ASR 9000X 以上買えとか
上り下り 1G = トータル 2G のスループットが必要なら ISR 4451 以上必須とか
いや BOOST ライセンス投入すれば 4321 で良いんじゃないの? と聞いてもライセンス料高
いだけで実質そこまで効果ないのでお勧めしませんとか、
まぁ否応なく高いの買わそうとしてくる・・・ ルーター全体的にぼったくり価格設定だよね。
L3 スイッチと違って、競合がいないせいなんだろうなぁ。
うちの職場じゃルーター 2921 の置き換えは L3スイッチで済ませることになりました。
(PPPoE とか使ってないし、NAT は別のファイヤーウォールがやってるので・・・) アライドとかFortiGate買った方が良いね。安いし速い。 Ciscoは日本のSOHO市場に従来型のルーター、スイッチに力を入れるくらいなら
Merakiを拡販したいと思ってるとか ルーターだとおなじみの CBAC(Context-Based Access Control)
L3スイッチでもできるの??
IP Services 固有なのかな? うちの スイッチ(IP Base)だと ip inspect ってやると
% Unrecognized command
ってエラーになるんだが・・・ Merakiの可視化はCLIオペレーションに比べると個々の力量に依存しにくいんだが
ハマるとログの情報量少なくて泣けてくるから
DNAのAssuranceから機能を輸入して欲しいわ >>280
SNTC保守って中古につけられないでしょ
少なくとも例で上げてるitproductはダメだったはず ヤフオクの中古だと初回購入ユーザ ≠ 契約ユーザーだから望み薄のはず
SNTCを初回に契約するときに契約先と設置先を連絡するしね
ただ、最近の機器はE-LLWがついてる機器が結構あって壊れてもRMA申請すれば交換してもらえるから個人なら保守なし運用も普通にありだと思う >>288
e-llwって中古も対象なの??マジで?
問い合わせ先は、japantac? >>289
ごめん書き方が不足してた
E-LLWがついてるから保守なしで新品買って運用するのもありってこと
E-LLWの条件に書いてあるけど所有者が持ち続けてる間有効ってなってるから中古はもちろん対象外 所有者が持ち続けている間。。
持っている人 ≠ 所有者 ? メーカーサイト見ると以下の記載になってるから
さすがに中古はダメだろう…
> 保証期間 購入したお客様が製品を所有している限り、適用されます。 購入したときに保守登録するからそこから変わるとだめじゃないかな >>290
あー。デスヨネー。
それはそうと。最近のsmartlicense系、個人だとどうやって買うんだろ… NTT-Xストアなんかだと
売った後のことは知らん
って やられそうだよね。 smart licenseでも普通に代理店から買うだけだよ
ただ買うときにスマートアカウント何で登録するか聞かれるからそこで事前に取得したのを伝えるだけで特別な事は必要ない >>296
>smart licenseでも普通に代理店から買うだけだよ
>ただ買うときにスマートアカウント何で登録するか聞かれるからそこで事前に取得したのを伝えるだけで特別な事は必要ない
スマートアカウント、個人で取れるの?? CCOアカウントと同様に普通に取得できるよ
会社名はPRIVATE USEにすれば問題ない >>276
いや、やっぱあるみたいだ
シスコシステムズ Japan Only - Bundle C921J-4P with SEC License(C921J-4PJSEC)
https://item.rakuten.co.jp/compmoto-r/9760062536060/
必須ともいえるライセンスが別売りだと、NTT-Xストアみたいな売りっぱなし量販店での
取り扱いで困るからだろうね。
・・・にしても高いなぁ。C841M-4X くらいの値段にはならんのか。 ■ このスレッドは過去ログ倉庫に格納されています