Ciscoのスレッド 0/12 [無断転載禁止]
■ このスレッドは過去ログ倉庫に格納されています
まぁ、Windows PC あるなら、VMware 上に Linux 入れて、Vyatta なんか入れてみるのも面 白いかもしれないが・・・ 機器間ルーティングできて何が楽しいの? ってのもあるので VLAN を扱える業務用の Wi-Fi 機器でも入れてみたら? SSID ごとに異なる VLAN 使ってみたり、VLAN 間でルーティングしながら ACL で通信制限 掛けてみたり、特定の VLAN からは IP アドレスを NAT して変換みたり その無線LANも WLC(コントローラー装置)付きの Aironet 一式だとか Aruba InstantOS 搭 載APだとかだと、さらにやれることが増えるので弄ってると楽しいが コントローラー抜きの Aruba IAP(InstantOS 搭載AP)1台だけでも LTE 通信したり(要LTE ドングル) PPPoE 喋ったり NAT したりファイヤーウォールくんだり 単体で Captive-Portal や 802.1x PEAP 認証したり・・・ 「ぶっちゃけこれルーター要らなくね?」 状態に陥るw Reflexive ACLを使って、WANからLANへの通信を戻りのパケットに限定したい。 以下のconfigで本件実現できたが、ルーター自身のWANへのパケットの戻りが 拒否されてしまう。 LANのDNS Serverの指定をルーター(192.168.100.1)にしていることもあり LANからのDNS問い合わせもできない。 どうすればよいかわかりますか? interface GigabitEthernet0/4 ip address dhcp ip access-group wan-to-lan in ip access-group lan-to-wan out ip nat outside interface Vlan1 ip address 192.168.100.1 255.255.255.0 ip nat inside ip dns server ip nat inside source list 1 interface GigabitEthernet0/4 overload ip access-list extended lan-to-wan permit ip any any reflect mirror timeout 300 ip access-list extended wan-to-lan evaluate mirror access-list 1 permit 192.168.100.0 0.0.0.255 わかる人いたら... ace4710でshow resource usage実行した時の出力結果で、conc-connectionsがどういう接続を示しているか知りたい レイヤ4や7ではないように思える... >>219 Thanks! ビンゴです。後で試してみます。 >>218 aceなんて骨董品まだ使ってるのか EoL迎えたプロダクト使うとかよっぽど製品知識に自信なければ止めておいた方がいいぞ aceなんてどこのベンダーも大して詳しくないだろうから保守してくれないか、あってもハードウェア交換しかしてくれないパターンになると想像 >>218 Concurrent Connections (Max 4M/Ace module) : Concurrent Layer 4 (through the box traffic) connections. >>221 リプレースするのに、現状の使用リソース調べててね... >>222 やっぱレイヤ4なのか。仕様が12万CPSなのに、90万近くcoc-connectionsで出てるのが気になってるんだよね... >>223 その製品のことは知らないけど、 CPSとConcurrent Connectionは別の値だよ。 前者はConnection per second、秒間新規コネクションのことで、 新規のコネクションをどれだけ素早く処理できるかの値。 後者はConcurrentだから現在値で、スペックとしては最大コネクション数で規定される。 多分コネクションテーブルに割り当てられたメモリ依存。 >>224 あーなるほど! 1000cpsのスペックの機器(フル稼働)で、各コネクションが10秒持続とすると、10秒後時点のconc-connectionsは10000になる...っていうイメージでいいのかな Firepower運用してる人いたら聞きたいんですがFMCってactive-standbyの2台構成でも導入した方がいいと思いますか? 導入検討中なんですが至極当然のように見積に入れられてるので要らなければ削りたいと思いまして ベンダーは売りたいから良いことしか言わないので使ってる人の率直な意見を聞きたいです まずベンダーと信頼関係無いのに発注はダメだろ なんかあった時に困るのは自分 Japan TAC 元々動きは遅かったけど 最近特に対応が悪くなってるね 実際にサービスが止まってるのに 放置プレイも当たり前 なので緊急案件はGlobalを選択しがち あんな豪華なオフィスを構える余裕があるなら 日本法人はもっとサポートを手厚くすべきだと思うんだが 強力な競合他社の台頭を期待してる サービスレベルぎりぎりまで回答を出し渋ってるような気がする 過剰なサービスを要求するつもりはないが、そもそも根本的にポリシーが裏で変わったんかね >>230 パートナーアカウント持ってたら使えるTACツールつかって、TACに問い合わせしなくても対応できるようになって一流 TACに頼ってるやつは二流 同じCiscoでもMerakiの方はドキュメントに書いてある内容が薄いから 問い合わせて仕様の裏取らないとダメだな TACの回答頼りにしてるやつが糞なのは同意だが 自分でTAC使うなんて面倒過ぎる NOSに丸投げで十分 サービス品質は10年前の半分以下 製品の複雑さは10年前の3倍以上 サポートは人件費の安い国に移転中 世界共通なので>>230 みたいにグローバル投げても一緒。すぐ応答できるエンジニアがつかまるまで裏で再アサインし続けるし一次連絡後も24/365体制なので返事だけは日本より早い。 それでも他に選択肢が無いのが困るんだよなぁ。 ウチはCiscoにとって数ある客の1つでしかないかもしれんが、こっちは他メーカーへの乗り換えなんて現実的じゃないし、そもそも他はもっと酷い。 アジアパシフィック市場で 日本の重要度が相対的に低下しているので仕方ない そのくせ過剰な品質を求めるし わかるなぁ スタックのスイッチの2系クラッシュしただけで通信断がーサービス影響がーとか騒いでるの見てるともう少し高い機器使えよとか思ったりする メーカーからしたら保守料は大して入らないのに要求する品質だけは高いとかやってられないやろ 影響度を正確に分析できずに騒ぐ情シス部門、軌道修正出来ずに丸投げする代理店、勝手に影響度を定義して客の気持ちを理解しないメーカサポート。 結局営業が客と対話して本当の影響度が分かる。 大したことなかったねで済むこともあれば、実はやばい話だったということもある。 Ciscoに限らず日本でよくある話。 Cisco資格改定か CCNP Securityだと、Coreともう一つ取りゃいいのかな 現行4科目あるけど firepowerはまだ聞くけどISEとかESAとか使ってるとこあるんか?? 実務に必要な問題出さずにほぼ使われてないマイナー製品/技術出すから資格持ちは役に立たないとかいわれるんだよなぁ うち、ISEとWSAとESA使ってるですよ、 ファイアウォールはFortiだけど。 ISEはちゃんと設定できればマジ便利。 むしろシェア伸びずに一番苦戦してるのがfirepowerでは? PPPoEなんかはPPPoEサーバーで擬似的にテストできますが、ISDNのテストも簡単にできる方法ってありますか? わかる、ISEはちゃんと設定できればまじで便利 問題はちゃんと設定できるベンダがいねぇ 常駐先でISEのパラメータシート見たら 単なるRADIUSサーバとしか使ってなかった時の悲壮感 CiscoPressのISE本読んだけど Phased Deploymentのコンフィグ多くて既存環境への実装とか面倒そう ラズパイのEthernetインターフェイスって 内部でUSB接続なんですけど… RADIUSサーバーくらいならUSBでも問題ないでしょ。 radiusをくらい、と言うなら入れなくても良さそう。 アレを扱うには愛が要る。 >> そうですね。 Raspberry Pi 3 Model B+ で実効 300Mbps くらいらしいですね。 どうせストレージが SDIO だし、十分な性能だと思いますけどね。 シスコパケットトレーサーでBGPを組んでみようと思ったのですが iBGPがサポートされていないようで出来ませんでした こういったエミュレーターでiBGPが組めるものって何かありますか? dCloudでどれくらいできるかだなー Packet Tracerはbgpやってないし C921J-4Pって画像見るとかなりサイズ小さく感じるね 921J : 2.80 x 21.59 x 16.51 cm 841m : 4.4 x 34.3 x 17.5 cm 841mに求めてたのはこのサイズ感だったのにどうしてこうなった… なんでJapanモデルをACアダプタにしちゃうかなぁ。 しかもラックマウント不可って。。 921って、CiscoのFAQ見ると暗号化スループット150Mbpsって書いてあるけど、またソフトで制限かけてある感じなのかな? データシートには250Mbpsみたいにも書かれてるし、よくわかんない securityライセンスじゃない? ライセンス投入でスループット向上っていつものパターンだと思われ 2960lを中古で手に入れたのですが設定いじるには専用ケーブルが絶対必要なのでしょうか? ドライバをCCOからダウンロードしてきてPCにインストールする必要があるけど、 mini-USBのコンソールポードがあるはずだから 汎用のmini-USBケーブルがあれば 専用のは無くても大丈夫ではありますが… まぁ一本持っておけ、とみんな言うし ここの住人なら10人中8人は持ってると思われ NX-OSでtab補完使ったときにteratermのログが汚くなるのが嫌なんですがIOSみたいにtab押すごとに改行して出力させることって出来ますか? C921Jは機能をライセンス式にしたせいで裸だとIPsecすら使えない かといってIPsecのためにSecurityライセンスを付けるとC891FJよりも高くなるから選びにくい これでC841mの後継機種とか。。。 C891FJよりも性能が低くて、値段が高いってか? 誰が買うんだろ。 >>273 あれ? C921J って日本専用で sec-bundle なのが出るんじゃなかったっけ? >>275 これから出るってこと?今だとIP BASE+SEC、APPみたいな感じでライセンスは別売りしか無さそうだけど >>263-264 ルーター全体のスループットなのか、IPsec暗号化のみのスループットなのかも留意しないと ややこしいことになるので要注意ですね C891FJ なんかは最大 1.9Gbps、暗号化最大 350Mbps だけど、いずれもラージパケットの場 合の最大値で、スモールパケットだと効率が落ちてくる。 CPU は常に目一杯使う仕様で制限はハードウェア性能によるものだけ 一方 ISR 4000 シリーズはパケットサイズによらず内蔵のパケットシェイパーでスループットを 制限されているので、C4221 は上位機種にもかかわらず最大 35Mbps(パフォーマンスライ センス適用時 75Mbps) なんて意味不明の数字が出てくる。 (恐ろしいことに、これ暗号化TPじゃなくて、単なるルーティングでも 35Mbps しか出ない) じゃあ C921J はどっちなんだ? って話ですけど、 C921J にはパフォーマンスライセンスは 存在しないし、ISR 4000 みたいながっつりした制限は掛かってなさそうですよね。 C891FJ は ISR 800 シリーズの最上級ライン x9x の系列ってことで性能追求型で C921J は ISR 900 シリーズでも x2x で下位の位置づけってことで 単純に性能が低いだけなような気がします。 なら安くしろよ、って話なんですが、また C841M の箱蹴りみたいなキャンペーン待つしかない んじゃないですかねぇ? (今 C841M-8X-JAIS/K9 買おうとしたら NTT-Xストア でも 90,528円 とかするし、6万円で買 える C891FJ-K9 が安すぎるというべきなのか?) 結論 中古の C891FJ-K9 を3千円で買ってきて ITProduct かどっかで SmartNet 8x5 NBD を組む EOS 出てないので まだ5年は安泰。これ最強 それにしても 今どき 1Gbps 回線当たり前、2G bps あるいは都心じゃ安価な 10Gbps サービスも始まって るのに、mGig や SFP+ 備える機種が欲しければ ASR 9000X 以上買えとか 上り下り 1G = トータル 2G のスループットが必要なら ISR 4451 以上必須とか いや BOOST ライセンス投入すれば 4321 で良いんじゃないの? と聞いてもライセンス料高 いだけで実質そこまで効果ないのでお勧めしませんとか、 まぁ否応なく高いの買わそうとしてくる・・・ ルーター全体的にぼったくり価格設定だよね。 L3 スイッチと違って、競合がいないせいなんだろうなぁ。 うちの職場じゃルーター 2921 の置き換えは L3スイッチで済ませることになりました。 (PPPoE とか使ってないし、NAT は別のファイヤーウォールがやってるので・・・) アライドとかFortiGate買った方が良いね。安いし速い。 Ciscoは日本のSOHO市場に従来型のルーター、スイッチに力を入れるくらいなら Merakiを拡販したいと思ってるとか ルーターだとおなじみの CBAC(Context-Based Access Control) L3スイッチでもできるの?? IP Services 固有なのかな? うちの スイッチ(IP Base)だと ip inspect ってやると % Unrecognized command ってエラーになるんだが・・・ Merakiの可視化はCLIオペレーションに比べると個々の力量に依存しにくいんだが ハマるとログの情報量少なくて泣けてくるから DNAのAssuranceから機能を輸入して欲しいわ >>280 SNTC保守って中古につけられないでしょ 少なくとも例で上げてるitproductはダメだったはず ヤフオクの中古だと初回購入ユーザ ≠ 契約ユーザーだから望み薄のはず SNTCを初回に契約するときに契約先と設置先を連絡するしね ただ、最近の機器はE-LLWがついてる機器が結構あって壊れてもRMA申請すれば交換してもらえるから個人なら保守なし運用も普通にありだと思う >>288 e-llwって中古も対象なの??マジで? 問い合わせ先は、japantac? >>289 ごめん書き方が不足してた E-LLWがついてるから保守なしで新品買って運用するのもありってこと E-LLWの条件に書いてあるけど所有者が持ち続けてる間有効ってなってるから中古はもちろん対象外 所有者が持ち続けている間。。 持っている人 ≠ 所有者 ? メーカーサイト見ると以下の記載になってるから さすがに中古はダメだろう… > 保証期間 購入したお客様が製品を所有している限り、適用されます。 購入したときに保守登録するからそこから変わるとだめじゃないかな >>290 あー。デスヨネー。 それはそうと。最近のsmartlicense系、個人だとどうやって買うんだろ… NTT-Xストアなんかだと 売った後のことは知らん って やられそうだよね。 smart licenseでも普通に代理店から買うだけだよ ただ買うときにスマートアカウント何で登録するか聞かれるからそこで事前に取得したのを伝えるだけで特別な事は必要ない >>296 >smart licenseでも普通に代理店から買うだけだよ >ただ買うときにスマートアカウント何で登録するか聞かれるからそこで事前に取得したのを伝えるだけで特別な事は必要ない スマートアカウント、個人で取れるの?? CCOアカウントと同様に普通に取得できるよ 会社名はPRIVATE USEにすれば問題ない >>276 いや、やっぱあるみたいだ シスコシステムズ Japan Only - Bundle C921J-4P with SEC License(C921J-4PJSEC) https://item.rakuten.co.jp/compmoto-r/9760062536060/ 必須ともいえるライセンスが別売りだと、NTT-Xストアみたいな売りっぱなし量販店での 取り扱いで困るからだろうね。 ・・・にしても高いなぁ。C841M-4X くらいの値段にはならんのか。 C841M-4Xと比較して、筐体が小さいこと以外メリットあるのか? あれ?CiscoのEnd-of-Sale and End-of-LifeのページからC841MのEOS情報って消えた? 前見たときは>>174 の情報が書いてあったんだけど… Ciscoの複数プロダクトに脆弱性、アップデートを 2019/07/05 09:45 後藤大地 https://news.mynavi.jp/article/20190705-853531/ United States Computer Emergency Readiness Team (US-CERT)は7月3日(米国時間)、 「Cisco Releases Security Updates for Multiple Products|CISA」において、シスコ システムズの複数のプロダクトに脆弱性が存在すると伝えた。これらセキュリティ脆弱性を 利用されると、攻撃社によって影響を受けたシステムの制御権が乗っ取られる危険性が あるとされている。 脆弱性に関する情報は次のページにまとまっている。(中略) 発見された脆弱性はどれも深刻度が高(High)に分類されており注意が必要。シスコシス テムズからは脆弱性を修正したアップデートがリリースされているので、必要に応じて アップデートを適用することが推奨される。 ACLをVTYに適用するとPC(172.16.1.100)からスイッチへのSSHが「拒否されました」となって出来なくなるのですがACLの書き方間違ってたりしますかね? 外すとログインできるようになるのでこれなのは間違いないのですが… ip access-list standard SSH deny host 192.168.1.254 permit 192.168.1.0 0.0.0.255 permit 172.16.1.0 0.0.0.255 line vty 0 4 access-class SSH in >>305 ありがとうございます!まさにそれでした! 3750Xでは問題なく出来てたのになんで3850では上手くいかないのか悩んでたんですが解決して助かりました Amazonで出ている、C841Mが安いねー。 長期在庫品で保守加入不可らしいけど、新品で15000円だったらアリじゃね? C921Jの評判を聞いたら尚更。 >>304 > deny host 192.168.1.254 これスイッチ自体のアドレス? access-class in に掛かってるから、 スイッチ自信を騙る外部ホストから、スイッチへのアクセスの遮断って意味なのかな? それは interface への ACL で弾いて、 vty の access-class には、単に許可するアクセス元だけ列挙してますよ。 (どうせ最後には暗黙の deny all が掛かるんだし) うちの C841M-4X-JAIS/K9、2年過ぎたんだけど保守入れないせいで買い替え悩んでる JSEC に乗り換えるくらいなら壊れるまでこのまま使ってたほうがいいような気もするが いざ壊れた時に困るし、予備をストックしとくにも JAIS の中古って滅多に見かけないから 血迷って ARUBA のアクセスポイントに PPPoE も 動的NAT/静的NAT も DHCP もさらに DNSリレーもやらせて縮退させようかと思ってみたり・・・ ■ このスレッドは過去ログ倉庫に格納されています
read.cgi ver 07.5.5 2024/06/08 Walang Kapalit ★ | Donguri System Team 5ちゃんねる