Ciscoのスレッド 0/12 [無断転載禁止]
レス数が950を超えています。1000を超えると書き込みができなくなります。
それぞれの使用率を見る。
>>851
次は契約回線速度を増減してみる、だね! 専用線でなければ他の契約者とのバッティングが発生しているはずなので、
固定的な宛先(ISPのDNSとか)に定期的にpingを打って
RTTの値とそのジッターを測定して統計から判断する。 詳しい人、どなたか教えてくださいませ。。
https://mevius.5ch.net/test/read.cgi/hack/1612935664/
の>>943や>>950あたりを見て、「これに近い環境作れたら検証にも使えるしいいかも」と思って
勉強も兼ねてLAC-LNS環境を作ってみようと思っていろいろ参考にしながら試行錯誤してました。
(主に見たのはこれ→https://www.cisco.com/c/dam/global/ja_jp/td/docs/ios-xml/ios/vpdn/configuration/xe-16/vpd-xe-16-book.pdf)
で、手持ちのC1812J 2台をそれぞれLAC、LNSにしてみたら想定通り動いてくれました。
(LACに対してクライアントがPPPoE、LACはLNSにL2TPで中継し、ユーザーの認証やIP払い出しはLNS側で実行)
問題はここからで、
LACの機種をC891FJ-K9に変えると、同じようなConfigでも動作しなくなります。
(PPPoEクライアントに認証エラーが返る)
debugしてみたり、パケットキャプチャしてみたりしたのですが、
どうやらLAC(C891FJ-K9)が認証をLNSに中継せずに認証エラーをPPPoEクライアントに返している模様。。
vpdn search-order domainしているにも関わらずなぜこうなるのか(そもそもC1812は同様のConfigで動くのに)わからず、
丸2日調べたり試行錯誤したりしたのですがサッパリ分かりませんでした…
何か足りない設定があるのでしょうか?どなたか詳しい方、教えてくださいませ… (>>854の続き)
参考に図とConfigを貼ります。
https://light.dotup.org/uploda/light.dotup.org696858.png
■LAC側(初期状態のC1812JもしくはC891FJ-K9に以下を投入)
hostname LAC
aaa new-model
vpdn enable
vpdn search-order domain
vpdn domain-delimiter @ suffix
vpdn-group 1
request-dialin
protocol l2tp
domain test.com
initiate-to ip 192.168.1.223
local name LAC
l2tp tunnel password 0 abc123
bba-group pppoe bas
virtual-template 1
interface FastEthernet0
ip address 192.168.1.222 255.255.255.0
no shutdown
interface Virtual-Template1
no ip address
ppp authentication chap
interface Vlan1
no ip address
pppoe enable group bas (>>854の続き)
■LNS側(初期状態のC1812Jに以下を投入)
hostname LNS
aaa new-model
aaa authentication ppp default local
aaa authorization network default local
aaa attribute list ISP_USER1_LIST
attribute type addr 203.0.113.11 service ppp protocol ip
attribute type dns-servers "1.1.1.1 1.0.0.1"
vpdn enable
vpdn-group 1
accept-dialin
protocol l2tp
virtual-template 1
terminate-from hostname LAC
local name LNS
lcp renegotiation always
l2tp tunnel password 0 abc123
username user@test.com password 0 userpass
username user@test.com aaa attribute list ISP_USER1_LIST
interface Loopback0
ip address 10.1.1.1 255.255.255.255
interface FastEthernet0
ip address 192.168.1.223 255.255.255.0
no shutdown
interface Virtual-Template1
ip unnumbered Loopback0
no peer default ip address
ppp authentication chap 9300納期4カ月って、長すぎんか?
もうcisco止めるわ、DNAも使わんし 慣れてる人は知ってるけど「いろんなことが出来ます」的なソリューションはほぼうまく行かない
コンセプトだけ出すけど、実際の製品は機能が搭載されてなかったりで思ったように動かない
株主へのアピールかもしれんけど、そういうのが多い データシートレベルの質問ですまんが、C3560Gをリプレースするのに
C9200(Network Advantage)を選定してOKですか?
OSPFとHSR対応が条件だけど、858さんによると9300が品薄みたいだし
金額も安いので。 9200も納期かかると思うよ
半導体不足、コロナの影響だから 背に腹は代えられないので倉庫からC2900やC3750X引っ張り出して使ってる うちはもうL2以外は全部SD-WAN対応ルータに入れ替え始めてる
フレッツとか沢山使ってオフロードしてかないと回線帯域いくらあっても足りん 一時品として導入後物入ったら切替えするだけやんけ バカいて草 納期遅れを解決できない時点でバカだろ
まともなところなら代替機で員数検査通らねえし
現用になったら客も簡単に切り替え許可ださねえよ
お前仕事したことねえだろ WANリンクがバンドルできてブレイクアウトできれば大体のユーザはそれでOKな気がする
高度なことやってるとこって少ないしね 1つの拠点にフレッツ複数引き込んで分散しようとしてる人たまに見かけるけどあれ効果あるんかな。帯域とか食い合うだけなんじゃって思っちゃう。 その複数回線が同じエッジの同じインタフェースに収容されてるなら意味無いかもね フレッツ複数引くなら収容を分散してもらうように調整必須
法人営業がついてないと無理だけど 同じ地域に引き込むんだったら
フレッツでも別のサービス選ばないと分散にならない気がするが 全部ベンダに作ってもらったバックボーンなら安心ですねw 教えてください。
C3560実機で検証してたら分からなくなった。。。
SWってアクセスポートにしないとフレーム接続できないんだっけ?
mac-address-tableにはfa0/8から各macアドレス追加されてた。
L3SWだから?L2SWはどうだったか覚えてない・・・・・・
fa0/8ポートから管理VLANにtelnet不可
fa0/10ポートからは管理VLANにtelnet可
interface FastEthernet0/8 ← no shutdown済、switchport未設定
!
interface FastEthernet0/9
!
interface FastEthernet0/10
switchport access vlan 10
switchport mode access
interface Vlan10
ip address 192.168.20.40 255.255.255.0
ip default-gateway 192.168.20.1
line vty 0 4
password ****3700
login local コンソールポートからping操作しても
Gatewayにフレーム送れないのは、やっぱりアクセスポートじゃないから???
ほんとう、初歩的な質問で申し訳ないですが教えてください!
Switch#ping 192.168.20.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.20.1, timeout is 2 seconds:
.....
Success rate is 0 percent (0/5) fa 0/8をアクセスポートにして、VLAN10入れたらいけた。
デフォルトゲートウェイのネットワークアドレスが
192.168.20.1/24 だから同じネットワークアドレスの
SVIに所属してる192.168.20.40/24でVLAN10のアクセスポートじゃないと
192.168.20.1へのping接続、192.168.20.40へのtelnet接続できないって理論であってますか? 自己解決しました。
IPアドレス使ったフレームは『レイヤ3』以上の通信。
Swithc#show arp
Protocol Address Age (min) Hardware Addr Type Interface
Internet 192.168.1.100 - e8ba.701b.7dc1 ARPA FastEthernet0/20
Internet 192.168.20.40 - e8ba.701b.7dc2 ARPA Vlan10
Internet 192.168.20.1 0 106f.3fe6.7794 ARPA Vlan10
Internet 192.168.20.3 0 f406.6954.11cc ARPA Vlan10
Internet 192.168.1.200 - e8ba.701b.7dc3 ARPA Vlan20
ってことだから『 no shutdown 』でレイヤ2の通信行えても
アクセスポート+gatewayとVLAN所属させないとping、telnetできなくて当たり前でした・・・・・・
(´Д`)ハァ… こんな初歩的なことが理解できてなかった
L2SWでも同じ現象が再現されるか今度試してみます。。。 スイッチ、ルータ系は未だにtelnetがデフォなんかな いや最初に殺してる
crypto key generate rsa
ssh ver 2
line vty 0 15
trans input ssh ipv6関連のコマンド検証はじめたら、面倒くさい。
running-configの見かたも学習し直しだ・・・・・・
◆ IPv6アドレスの設定 - IPv6アドレスの自動取得
(config-if)# ipv6 address autoconfig default
interface FastEthernet0/1
no switchport
no ip address
ipv6 address autoconfig ←うん、これはわかる。
ipv6 enable ←これは何のためにあるのか不明・・・・・・ Link local addressも付与しないとかじゃね? > ipv6 disable 皆さん実機で勉強!それともパケットトレーサーで勉強してるのですか? >>879
ping 192.168.20.1 source vlan10
とかやったら行ったかも。知らんけど >>886
資格は研修で(金で解決)
実務は実機で(仮想環境を触る暇なし)
要するにゆっくり学んでる時間ないんだよね
困ったらすぐTACに相談 だいたい皆実務で覚えるでしょ
基本的なことなんかは教科書漁ればそらわかるけど教科書通りにいかないのが実務なんだから 実務なり独学なりである程度手を動かして自分なりに消化しないと身につかないと思う
手を動かしてる人はコンフィグレベルの技術的な会話もやり取りできるから安心 C9300LとDNA Advantage3年を購入予定です。
DNAを使わなくてもDNAのライセンス認証が必要ですか? DNA使わないんなら1年でよくね?
もっと言うとライセンス認証しなくてもlogにwarningが出るだけじゃないっけ? >>892
DNAライセンスは確か最低3年で1年の選択肢はないはず
>>891
SmartLicense using Policy対応のバージョンなら初回にレポーティングすればNetworkadvantage部分の継続的な認証は要らなかったはず
DNA advantage部分はサブスクリプションライセンス扱いで継続的な認証が必要だから無効にすればOK >>894
失礼、3年、5年、7年だったわ
そう、最近のiOSからまた変わったんだよなー相当苦情あったんだろうな
SLRなんかすげーめんどいからな ライセンス関連は社内の人間ですら理解できてなかったりするからね
決めるだけ決めて変更するけど詳しいドキュメントは作られない 弊社にやり逃げした奴がいるって風の噂が
そんなリア充いるのか 転職勢でネットワーク初だけど
機種が全然覚えられん
ISRやらASRやら
CatalystだのNexusだの
ルータとスイッチくらいの違いしかわからん 転職したてでルーターとスイッチを明確に理解して区別出来る方がすごいと思うんですけど…… ciscoに限った話だとルーターとスイッチの違いは全ポートでswitchportやSVI使えるかどうかだと思ってるわ
BVIとかbridge-group使わないとスイッチングできない奴はルーターのイメージ IPアドレスがないと何もできないのがルーター
IPアドレスなんか無くても物理アドレスさえあれば疎通出来るのがスイッチ
こんなもんでいいでしょ 本職のSEじゃなかったらその程度でいいんじゃないかな お客様がルータとして買っていればルータだし、スイッチとして買っていればスイッチ。
それが本職の見解です。 昔から繰り返されるナツイ話題w
歴史的経緯があるから今から業界に入る人にはワケワカメだよね
Layer3 プロトコルをルーティングするから ルータとL3スイッチは本質的には同じもの
アプリケーション層から見たらルータ=L3スイッチであってる
高機能なルーティングを目的としてソフトウェア処理をするのがルータで
高速化のためハードウェアでのルーティングに向かったのがL3スイッチ
SONET/SDM/ATM/ISDN/シリアル専用線などの様々な回線インターフェースに対応しているのがルータで
ほぼ Ethernet 専用なのが L3スイッチ ・・・というのがだいたいの区別だったんだけど、
15年位前からエンプラ・キャリア向けでは高速化の為にハードウェア処理するルータが一般的になった
回線インターフェースも10G/40G/100G/400Gと高速化するに従いLANもWANも
Ethernetで統一されてしまい、区別がつけられなくなってきた だからエンプラ・キャリア向けの機器の場合は >906 の言うように
ベンダーなりお客様なりが「ルータ」と言えばルータだし、「スイッチ」といえばスイッチであってる
古い例で申し訳ないが、Ciscoも 同じハードウェアを
ルータとして「Cisco7600」、スイッチとして「Catalyst6500」として売ってたくらい
ローエンド/SOHO/家庭用の機種では >909 の区別でだいたいあってるはず まあ家庭用は一台でブロードバンド接続もWifiもLANもFWやUTM的なセキュリティも
なんでも一台のNW機器でできるようにになって来てるから
それを何と呼ぶのかはメーカー次第じゃないかな。 確かにね
今ではRealTekのローエンドSwitch用 SoCの内蔵CPUで Linux(OpenWrt)が動くくらいだから
ローエンドでもルータとL3スイッチの違いは曖昧になりつつあるね だからCiscoは無線もルータもスイッチもCatalystブランドで統一した、ともいえるね Crescendo, Kalpana, Grand Junctionあたりのアーキテクチャを汲んでればSwitch、それ以外はRouterでいいんじゃね? Ciscoに限って言えば
デフォルトのコンソールのプロンプトが
Router> ならルーター、
Switch> ならスイッチでいいんじゃないの? すべてのポートがスイッチングポートならスイッチ、一つでもルーテッドポートがあったらルーター その定義だとMgmtのルーテッドポートがあるL2スイッチがルーターになっちゃうよん その手のデバイスをルーターと呼びたくて917のように定義した説
なんてね sdm templateでbasic L3 switchingできるようになるから合ってる んじゃ
Mgmt をのぞく すべてのポートがスイッチングポートならスイッチ、一つでもルーテッドポートがあったらルーター CML2使ってる人いますか?
あれって決められた仮想ノードでしか遊べないんでしょうか。
IOS持ってたらそれインポートできたりしないのかな。 >>922
x86/64の用の仮想マシンイメージがあるものであればインポートで増やせるけど
IOSはもともとがそうではないので、CML2ではCiscoが作り替えたもの(IOSvL2)を入れて対応しているから
CML2に添付されているバージョンしか選べないね。 >>932
ありがとうございます。
やはり、IOSのインポートは無理なんですね。
IOS-XEのスイッチで遊びたかったんですが、
無理であるならまた別の目的を探してみます。 CISCO IOSをESXiなどで動かすことってできますか?
仮想アプライアンスみたいな >>925
たぶん望んでる構成ではないと思うけど、うちはESXiの上でCML2を動かしてる。 >>926
今やりたいのは教えていただいたCML2そのものでした。
ありがとうございます。
>>927
いずれ仮想環境でソフトウェアルータとして使える様にしたいです。
Catalyst 8000Vがそれにあたる思うのですが、ライセンスっていくらくらいでしょうか。
というかそもそも使っている方このスレにいますでしょうか。 cisco 品質低い
特にnexsus
よく検品したほうがいいぞ アレ Ciscoのスマートライセンスなんだけど
ライセンスレベルipbaseってNBARとかって使えるの? NexusはNX-OSだと安かったから買ってるお客さんがいた記憶 去年5月に発注した9200Lがようやく届いてワロタ estimate の 300 days とかって何かの間違いかと思ってたけど本当なんですね。。。 >>932
そんなん納品待ってる間に現行機の EOL 来ちゃうじゃん・・・
っていうか 年度跨いだら そもそも予算承認申請からやりなおしだ >>934
そのとおり
なので本番環境から引き揚げた3750Xが捨てられない
故障対応用ね
幸い予算は繰り越し可能だから大丈夫 Cisco1111なんでスループット公表してくれないんだろ
スイッチングでどんだけ出るか知りたいのに暗号化スループットしか出てこねえ 中国から偽のCisco製品を輸入した米企業CEOが逮捕。政府や軍でも被害
https://pc.watch.impress.co.jp/docs/news/1423868.html
F-Secureが2020年に公開したCiscoの偽造品の調査報告書より。この写真が追加のチップ
https://asset.watch.impress.co.jp/img/pcw/docs/1423/868/1_o.jpg
ニュージャージー州の連邦大陪審は8日(現地時間)、フロリダ・マイアミに住むOnur Aksoy氏(別名Ron Aksoy、Dave Durden)に対し、長年偽のCiscoのネットワーク機器を推定10億ドルを超える金額で販売したとし提訴したことを発表した。
起訴状によれば、Aksoy氏は中国や香港などから数万台にのぼる偽造のCiscoデバイスを輸入し、新品だと偽って米国および海外顧客に販売した。少なくとも1億ドル以上の収入を生み出し、個人的な利益としても数百万ドルを受けとったとしている。
中国や香港から輸入されたPro Network Entitiesのデバイスは、古かったり、低スペックの製品であったという。その一部は本来、(中古として)販売または破棄されるのだが、中国の偽造業者は、新しくアップグレードされた上位のバージョンとして本物に見せかけて変更を行なったという。
具体的には、海賊版のCiscoソフトウェア、認証されていない低品質、なおかつ信頼性の低い部品を追加するとともに、Ciscoのソフトウェアチェックやライセンスコンプライアンス、認証を回避する対策を盛り込んでいるという。その後、高品質なCisco製品に見せかけるために、偽造されたラベル、ステッカー、ボックス、ドキュメント、パッケージなどを用意したとしている。 Pro Network Entitiesによって販売されたこれらの偽造製品は、性能や機能、安全性などの問題に悩まされ、誤作動によってユーザーのネットワークに損害をおよぼし、場合によっては被害額は数万ドルに及んだという。顧客には病院、学校、政府機関、軍隊も含まれていたとしている。
Aksoy氏は税関国境警備局(CBP)のチェックを回避するために、別名を使って書類を提出したり、中国の共謀者とともに貨物をより小さな小包に分割して異なる日に出荷したり、異なる2つの住所に送ったりといった手段を用いていた。CiscoはAksoy氏に対し、2014年から2019年まで偽造機器の売買をやめるよう7通の手紙を送ったが、弁護士に偽造文書を作らせ、このうちの2回に返答していたという。
Aksoy氏は偽造品の取引など複数の罪で起訴され、6月29日にマイアミで逮捕された。 中国の偽Cisco製品1300億円分を輸入販売したアメリカ人実業家を逮捕ww 米政府と米軍も被害w 保守契約時に偽物はすぐに発覚すると思うのだが
どうしてすぐに気づかなかったんだ DNAライセンスって
使わないなら延長しなくていいんだね
知らなかった UCS使ってる人いる?
なかなか変態仕様だよね。
rootも取れないし。passwd勝手に書き換わる。 UCSは standalone で使うとどこにでもある普通のIAサーバ
Fablic interconnect に収容して使うと、中央集約型の特異なサーバに様変わり
つくづく思うのは、「ネットワーク屋さんが考えた最強のIAサーバ」ってかんじ 小型ONU使ってみたいんだが
C2960S-24TS-Lが手元にあるからこれで受けてvlanで切り替える的なことをやりたいんだが可能? >>950
WANをTrunkで受ける用途ってどんなんだろ。
プロバイダのバックアップかな。
>>948
ていうか、そもそも小型ONUはSFP+だからC2960S-24TS-Lは無理かな。
C2960S-24TD-Lが必要っぽい。
ttps://business.ntt-east.co.jp/service/onu/
ttps://www.cisco.com/c/ja_jp/td/docs/sw/lanswt-access/cat2960swt/ig/002/higbk-book/higoverv.html レス数が950を超えています。1000を超えると書き込みができなくなります。