タグ付けされた質問 「cisco」

以下のためにリモートアクセス（RA）とのLAN-to-LAN（L2L）VPN、私は現在のCisco VPNのペアを操作するインターネットエッジの外側にルータとは何かにPIX 535sの内部ペアに結び付けられ内部に縛ら3005のコンセントレータ実際の内部ネットワークへの通過が許可される前のファイアウォール外部インターフェース。VPN 3005とPIX 535はどちらもASA-5545Xプラットフォームに置き換えられています。これらのファイアウォールは、主要なインターネットトラフィック用ではなく、VPN専用です。また、プライベートラインを介してデータセンターに入るトラフィックの内部ファイアウォールとしても機能します。 VPNファイアウォール（5545）の内部インターフェースが別のサブネットにある場合、セキュリティ境界のために、VPNトラフィックと潜在的に他のプライベートライントラフィックを処理する単一のファイアウォールに内部ファイアウォールACLを組み合わせて、ルーティングの問題を回避します。メインのインターネットファイアウォールから、またはそれは本当に重要ではないのですか？ OSPFは現在、インターネットファイアウォール（w / default-originate）およびVPN 3005で実行されています。このデータセンターはWebトラフィックの主要なDCであるので（パンとバター）、配置の潜在的な問題を排除する必要があります。少しでもこれに干渉する可能性のあるVPNファイアウォール。 ** 5545の内部インターフェイスが最初にL2エッジスイッチに到達し、次にAGGスイッチにトランク接続してセキュリティを向上させるか、内部回線を直接Aggレイヤにドロップする必要があります。また、プライベートライントラフィックがさらに別のインターフェイスを通過する可能性があることも考慮してください。 5545の将来。 問題となっているASA-5545X *について、L3接続の関連部分のみを以下に示します。 インターネット | エッジRTR +エッジRTR | 5545 *（VPN /内部fw）+ 5540（DCのトラフィックの送受信用のインターネットfw） | Agg-1 + Agg-2 | 等 L2スイッチのペアは、Aggスイッチに到達する前にすべてのエッジデバイスを接続します。 ファイアウォールの外側のパブリックIPスペース、内側はプライベート。 （各ファイアウォールは、示されていない個別のフェイルオーバーペアの一部です。5545および5540 相互作用はありません。） ベストプラクティスと見なすことができる回答またはコメントを探すこと、またはあなたが見つけたものは、典型的なエンタープライズネットワークで最もうまく機能します。

8 cisco  security  cisco-asa  vpn  switching 

小規模オフィスで3つのSSIDをブロードキャストする単一のCisco AP-1602を使用しています。私のチームの一部は、ネットワーク接続のランダムな低下について不平を言っています。（3日間にわたって、3人のユーザーが10分ごとにドロップについて不満を言ってきました。） 何が原因でしょうか？同じチャネルの3つのSSIDが同じ強度で（すべて同じAPからのものであるため）干渉を引き起こしていますか？これらのAPは、複数のネットワークをブロードキャストするように構築されていますか、それともリセラーによって部品表を販売しましたか？

8 cisco  wireless 

ワンアームSLB構成では、SNATを使用して、リターントラフィックがSLBを通過するように強制します。これには1つの欠点があります。単に、XFF（X-Forwarded-For）ヘッダーで渡され、Webサーバーがログに記録できる場合を除き、Webログは真のクライアントIPをキャプチャできないということです。 別の方法は、PBR（ポリシーベースのルーティング）を使用して戻りトラフィックをSLBに戻すことですが、SUP720 / PFC3Bを備えた6500Eプラットフォームで他に優れた解決策がない限り、PBRを回避しようとします-そして、私は特定のことを知っていますIOSバージョンも要因になる可能性があります-PBRがすべてハードウェアで行われていると仮定すると、PBRはSNATを実行するよりも遅延を追加しますか？ PBRが現在サポートされているコマンドのみを使用してハードウェアで実行される場合、将来IOSをアップグレードするとPBRがソフトウェア/プロセス切り替えで実行されるように変更される可能性はありますか？ 現在、当社のロードバランサーは、ほとんどのWebサーバーVLANの真後ろにあり（デフォルトのg / wはSLBを指しています）、非SLB VLANのSQLなどの他のサーバーです。ただし、このWeb-SQLトラフィックはSLBを通過します。私たちの目標は、SLBを超えないようにし、SQLトラフィックを分離したままにし、本当のクライアントをWebログに保持することです。PBRでのトラブルシューティングの複雑さを導入したくないので、将来的にハードウェアからソフトウェアにこの変更を処理する可能性があります。 前述のXFFとSNATが不足している場合、PBRはここでの唯一のオプションであり、PBRを緊密に構成しておくための最良の方法は何ですか？

8 cisco  nat  cisco-6500  pbr  load-balancer 

NATの概念に問題があります。ローカルとグローバルおよびNATオペレーションのシスコ定義は次のとおりです。 ローカルアドレス：ローカルアドレスは、ネットワークの内部に現れる任意のアドレスです。 グローバルアドレス-グローバルアドレスは、ネットワークの外部に表示される任意のアドレスです。 ネットワークの内部にあるパケットは、ネットワークの内部にある一方で、パケットの送信元アドレスとして内部ローカルアドレス、宛先アドレスとして外部ローカルアドレスを持っています。同じパケットが外部ネットワークに切り替えられると、パケットの送信元は内部グローバルアドレスと呼ばれ、パケットの宛先は外部グローバルアドレスと呼ばれます。 逆に、パケットがネットワークの外部にある場合、外部ネットワーク上にあるとき、そのソースアドレスは外部グローバルアドレスと呼ばれます。パケットの宛先は、内部グローバルアドレスと呼ばれます。同じパケットが内部ネットワークにスイッチングされる場合、送信元アドレスは外部ローカルアドレスと呼ばれ、パケットの宛先は内部ローカルアドレスと呼ばれます。 参照:: http://www.cisco.com/en/US/tech/tk648/tk361/technologies_tech_note09186a0080094837.shtml#defining 私の質問は、「ローカル」という用語はネットワークのLAN側のトラフィックを意味し、「グローバル」という用語はネットワークのWAN側のトラフィックを意味するのでしょうか。 コマンド「ip nat inside destination」を使用すると、ローカルの内部アドレスとグローバルな内部アドレス間の変換を設定し、コマンド「ip nat outside source」の場合は、ローカル間の変換を設定します外部アドレスとグローバル外部アドレス、これは正しいですか？ 最後に、外部ローカルと内部グローバルの間にNATを設定する必要がないのはなぜですか？または外部グローバルと内部ローカル間のNAT？

8 cisco  cisco-commands  nat 

Private Vlansに関する問題があります。ファイバーモデムを使用していますが、プロビジョニングするDHCP / TFTPに到達できません。プライベートVLANの設定に疑いがあります。それらを確認できますか？私の疑問は、主にギガビットポートのアクセススイッチとトランクの設定にあります。 簡単に言うと、モデムの電源を入れると、DHCPを介してIPを取得し、タグなしフレームを送信してアクセススイッチ4506に到着し、タグなしのプライベートVLANであるため、VLAN 11で処理する必要があります。ブロードキャスト検出後、DHCPはVLAN 10を介してアグリゲータスイッチに移動する必要があります。アグリゲータスイッチ4500xには、パケットをユニキャストで送信するプロビジョニングサーバーのIPヘルパーアドレスを持つSVI VLAN 10があります。 アクセススイッチ4506の設定： vlan 10 name vlan_10 private-vlan primary ! vlan 20 name vlan_20 private-vlan primary ! vlan 30 name vlan_30 private-vlan primary ! ! Isolated VLAN: Connects all CPE hosts to Switch ! vlan 11 name Pvlan_11 private-vlan isolated ! vlan 21 …

8 cisco  switch  private-vlan  ftth 

私の組織は間もなく、いくつかの5508コントローラを備えたCAPWAP展開で、約600の新しいCisco 2602iアクセスポイントを展開する予定です。 これはインフラストラクチャの更新です。現在、CAPWAPを使用する古いCisco APと複数のWiSMコントローラセットが混在しています。新規/交換用APを導入するための現在の手順は、私の理解では、このシスコサポートフォーラムのドキュメントに記載されている標準のプライミング手順です。 新しいアクセスポイントをデスクのネットワークに接続します APがDHCPアドレスを取得する DHCPオプション43はAPをコントローラーにポイントします NCS Primeにログインし、新しいAPを見つけます AP名とプライマリ/セカンダリコントローラを変更する Box APをバックアップし、導入のためにサイトに持ち込む 最初にAPをコントローラーと通信させるためのオプションが他にもあることを知っています。たとえば、無線プロビジョニングや、コントローラーを備えたレイヤー2 VLANにAPを配置することなどです。しかし、これらは特定のプライマリ/セカンダリコントローラ用に準備するのではなく、APを任意のコントローラに接続することに焦点を当てているようです。 新しいアクセスポイントの事前設定、インベントリの実施、アセットタグによるタグ付け、最終的な展開エリアによるAPのソートなどのために、ある種のステージング/準備エリアをセットアップしたいと思います。 このステージング領域を設定する際に、これらのAPをすばやく簡単に準備するためのより良い方法はありますか？それとも、これを最も効率的な方法で既に実行していますか？

8 cisco  wireless  capwap 

4つのセキュリティコンテキストで9.0（1）を実行しているASAがあります。コンテキストを変更するときの標準的な手順は、そのコンテキスト内で「write mem」を実行することです。ただし、場合によっては、同じ変更ウィンドウですべてのコンテキストを変更する必要があります。システムコンテキストから "write mem"を実行して、すべてのコンテキスト構成を一度に保存できますか？

8 cisco  cisco-asa  firewall 

「nameif」インターフェイス属性を変更または名前変更するときに、Cisco ASAで悪い経験をしました。 ASA構成で使用されている名前を変更するか、単に既存の名前を削除するだけで構成に影響があるかどうかを知りたいです。

8 cisco  cisco-asa  firewall 

Sup7L-E（IOS XE 3.4SG）を搭載したCatalyst 4500R + Eがあります。インストールされているLAN Baseライセンスにバンドルされていました。 #show license summary Index 0 Feature: entservices Period left: 8 weeks 4 days License Type: Evaluation License State: Active, Not in Use, EULA not accepted License Count: Non-Counted License Priority: None Index 1 Feature: ipbase Period left: 0 seconds Index 2 Feature: lanbase …

8 cisco  cisco-catalyst 

新しい場所を介した特定のパブリックインターネットサイトの移行を検討しています。現在の場所では、Ciscoルーターで内部ファイアウォールを指す静的ルートを構成しています。新しい場所は、MPLS接続（eBGP）を介して配置されます。 既存の場所で2つのローカルサブネットを使用しており、MPLSネットワークを介して新しい場所のインターネットアクセスへのサブネットの1つだけをテストしたいと考えています。 これは、1つのローカルサブネットがファイアウォールへの静的ルートを利用し、2番目のサブネットがMPLSアドバタイズメントを利用し、このインターネットサイトだけに他のサイトを経由してインターネットにルーティングするポリシールーティングで可能ですか？もしそうなら、どうですか？

8 cisco  routing 

PVLANトランク（Sup4、4500、12.2（54）S）をサポートしないCatalystスイッチがあります。他に複数のCatalystスイッチ、3750メトロがあります。 C4500はそのスーパーバイザではPVLANトランクをサポートしていないため、3750が4500とプライベートVLANを共有するために通常のトランクポートが機能しないと仮定しても正しいですか？ 望ましいシナリオは、4500がプライマリVLAN 500と分離されたVLAN 501,502をホストし、501,502がネットワーク内の他の3750に常駐することです。必要な構成を実現するために、3500無差別ポートを4500のアクセスポートに接続する必要があると思います。これは正しいですか？

8 cisco  cisco-catalyst 

Catalyst 3750スイッチでリモートターゲットengineIdを設定するときに非常に奇妙な問題が発生しました。スイッチはengineIdを変更し、最後の2桁の間にゼロを挿入します。以下に示すように、それは... e166を... e1606に変更します。ユーザーの削除、スイッチの再起動、およびユーザーの再追加を試みましたが、スイッチは毎回engineIdを変更します。私はまったく同じ方法で数十のスイッチを構成しており、この問題に遭遇したことはありません。誰かが問題が何であるか知っていますか？ sw21(config)#snmp-server engineID remote 10.1.9.6 udp-port 162 b7a9d3ca99325e6b5fb2894a500e166 sw21#show snmp user User name: trap Engine ID: B7A9D3CA99325E6B5FB2894A500E1606 storage-type: nonvolatile active Authentication Protocol: SHA Privacy Protocol: None Group-name: sys sw21#show version .... Switch Ports Model SW Version SW Image ------ ----- ----- ---------- ---------- * 1 30 WS-C3750X-24 …

8 cisco  cisco-catalyst  snmp 

DOCSIS / CMTS環境で新しいプロビジョニングサーバーをテストしており、CPEの5つのモデルを使用してラボをセットアップする必要があります。Ciscoルータでdhcpリレー（ipヘルパー）をCPEのMACアドレスと一致するように構成できるかどうか疑問に思っています。この目標は、デフォルトですべてのdhcp検出を実際のプロビジョニングサーバーにリダイレクトすることで、ラボの5 CPEは新しいプロビジョニングサーバーにリダイレクトされます。それに到達する方法を推測しますか？ 情報： ルータは、NPE-G2カードを搭載したCMTS Cisco UBR7225です。 DHCPサーバーのタイプは無関係です。両方で実行されているISC DHCPdサービスと見なすことができます。

8 cisco  router  dhcp 

私の会社では、スタック内の2つのCisco 3560Gスイッチ（HSRPアクティブおよびスタンバイペア）を2つのCisco 3750Xスイッチにアップグレードします。 Cisco 3560sスイッチを取り外してから、Cisco 3750xスイッチがオンラインになるまで、スイッチの交換手順を行う必要があります。私はそれをグーグルで検索し、シスコのWebサイトを検索し、さまざまなフォーラムを検索しましたが、自分のニーズに合うものを見つけることができませんでした。 私のアプローチは... スタンバイ3560構成をバックアップします（トラフィックはアクティブ3560を通過します）。 3560のプラグを取り外し、1つの3750xに取り付けます。トラフィックを受け入れ、スタックマスターになるように3750xを設定します。 残りの3560の構成をバックアップし、削除します。 2番目の3750xを接続する スタックメンバーとして設定します。 この手順を見直してアドバイスを与えてください。このようなスイッチのアップグレードの段階的な手順を示すベンダーのドキュメントを私に示すことができれば、私はそれを感謝します。

8 cisco  switch 

パケットキャプチャに関して、特定の用語と設定を理解するのに苦労しています。例。私の会社では、NetScoutと、PFS（Packet forwading switch）やTAP、Infinistreamなどのさまざまなサービスを使用しています。私の問題は、PFSとTAPの違いは何ですか？彼らはまったく同じことをしているようです。また、パケットキャプチャと絶対時間を見ると、データがTAPがデータを送信する時間のワイヤーにデータが到達する時間です。申し訳ありませんが、私の質問がそれほど明確ではありません。

8 cisco  tap  packet-analysis