タグ付けされた質問 「cisco」

9.1.2を備えたASA5525-Xを持っています。その上にいくつかのインターフェースがありますが、主に私は見ています： （偽のサブネット） 10.0.0.0/24内、セキュリティレベル100 10.0.200.0/24外、セキュリティレベル0 DMZ 10.0.100.0/24、セキュリティレベル50 DMZにDNSサーバー10.0.100.1があり、内部から問題なくアクセスできます。ただし、インターネット上のユーザーには10.0.200.95（この例では実際のIPではありません）として表示されます。私はこれが機能するために必要だと思ったものを持っていますが、それをテストすると、パケットはデフォルトのACLによってドロップされています。 関連する構成要素： interface GigabitEthernet0/0 nameif outside security-level 0 ip address 10.0.200.194 255.255.255.192 interface GigabitEthernet0/6 nameif DMZ security-level 50 ip address 10.0.100.254 255.255.255.0 interface GigabitEthernet0/7 nameif inside security-level 100 ip address 10.0.0.254 255.255.255.0 object network DMZ-DNS-Server-1 host 10.0.100.1 nat (inside,outside-backup) source static Company-MPLS-Network-Group Company-MPLS-Network-Group destination …

8 cisco  cisco-asa  nat 

Cisco WLCで802.11kを有効にすることを検討しています。これは、WLANごとの機能であり、それを有効にしない理由があるのではないかと思います。特に、802.11kネイバーリストをクライアントに提供することでセキュリティの問題があるかどうか誰かが知っていますか？その場合、ゲストSSIDから802.11kを省略することを検討すべきですか？

8 cisco  wireless  wlc 

私のラボには4台のルーターがあります。FR1はフレームリレースイッチ（2621）、R1（2621）、R2（2651）およびR3（2651）はすべてサブインターフェイスを使用してメッシュで接続されます-R1はR2＆R3へのpvcを持っています。OSPFがなければ、すべてのポイントに正常にpingできます。OSPFを使用すると、ルータに構築されたすべてのループバックにpingすることもできます。OSPFは機能しているようですが、私が実行すると次のようになります。 #show ip ospf neighbor ネイバーはFULLと表示されますが、優先度は0です。詳細を確認すると、各ルーターのDRは0.0.0.0です。 優先順位を変更しようとしていますが、今夜ラボを構築する前に書き込み消去を行ったという事実を踏まえると、優先順位がデフォルトの1から0に移動する原因は何ですか？ 前もって感謝します。

8 cisco  ospf 

現在、オフィス環境ではCisco 1921 / K9ルーターとSG300 L3スイッチおよびその他のL2スイッチを使用しています。インターネット用の10Mファイバー回線に接続していますが、それだけの帯域幅がまだ必要かどうかはわかりません。現在の使用状況で実際にそれほど多くの帯域幅が必要かどうかをテストするための良い方法は何ですか？ 私が最初に考えたのは、1日の間にピーク時の帯域幅使用率に達した回数を確認することでした。現在の機器でそれを追跡することは可能ですか？これは帯域幅のニーズをテストするための良い方法ですか？

8 cisco  router  monitoring  bandwidth 

トラフィックポリシングは、LAN環境で通常見られるものではないことを知っています。私はそれを見つけたくないのですが。そう言われている…私には仕方がない。 デバイスは3750Xです。要件は、10.0.0.0および10.0.1.0ネットワークとの間で送受信されるすべてのトラフィックを最大48Mbpsまでポリシングする（シェーピングしない）ことです。以下は私が思いついた設定です。Whatd'ya reckon？また、私はおそらくこれを受信インターフェイスで構成する必要があることを知っていますが、それはまったく別の話です... ip access-list extended acl-police permit ip 10.0.0.0 0.0.0.255 10.0.1.0 0.0.0.255 permit ip 10.0.1.0 0.0.0.255 10.0.0.0 0.0.0.255 ! class-map police-san match access-group name acl-police ! policy-map police-san-replication class police-san police 47000000 10000 20000 conform-action transmit exceed-action drop interface <outbound> service-policy output police-san-replication もうひとつ...缶は誰もが私に説明「バースト・ノーマル」＆「バースト-MAX」？これにより、私が定義した警察の制限（bps）を超えてバーストすることができますか？そのためのタイマーしきい値は何ですか？これらのバースト数を小さく設定する必要がありますか？大きい？

8 cisco  cisco-catalyst  qos  policing 

2504 WLCでのLAGサポートに関するシスコのドキュメントでいくつかの矛盾を見つけています。一方、Cisco 2500シリーズワイヤレスコントローラ導入ガイドには、次のように明記されています。 注：リンク集約（LAG）は、Cisco 2500シリーズワイヤレスコントローラではサポートされていません。 一方、Cisco Wireless LAN Controllerのパンフレットでは、 2504がLAGをサポートしていることが一目でわかります。 いくつか検索したところ、Cisco Unified Wireless Networkソフトウェアリリース7.4の掲示が見つかりました。 ワイヤレスコントローラー8500、2500、およびFlex 7500は、リンク集約グループ（LAG）をサポートするようになりました。 2504でのLAGのサポートは、デバイスにロードされているソフトウェアのバージョンによって異なると思います。 私が取り組むことができる唯一の2504は7.2ソフトウェアバージョンを持っていることと実稼働環境にある（アップグレードとテストが容易ではない）ので、私はまだ疑問に思います： 2504 WLCは本当にLAGをサポートしていますか？ 最小限のソフトウェアバージョンまたは追加のハードウェアが必要ですか？ それには制限がありますか、それとも5500 WLCシリーズと同じLAG機能ですか？

8 cisco  wlc 

Cisco Prime 1.3（およびその他のバージョン）のマップのサイズ変更をマップビューに追加すると問題が発生します。これは、建物と床の両方で発生します。シスコのドキュメントには次のように書かれています： ステップ1マップを.PNG、.JPG、.JPEG、または.GIF形式で保存します。（注）Prime Infrastructureは作業領域に合わせてマップのサイズを自動的に変更するため、マップのサイズは任意です。 私の経験から、これらのマップは、作業領域の幅に基づいてサイズ変更されます（つまり、約800ピクセルです）。私が抱えている問題は、一部のマップが非常に薄いということです。1つは200 x 800ピクセルです。つまり、Primeはこのマップのサイズを800 x 3200に変更しています。このマップにはAPが少ししかないので、マップをスクロールするのは面倒です。 Primeがこのようにマップのサイズを変更するのを止める方法を誰かが知っていますか？ また、マップはキャンパスマップに基づいており、建物を正しい方向に向ける必要があるため、建物を回転できません。

8 cisco  wireless 

私はこれを確認するためのラボASAを持っていないので、Ciscoのドキュメントを読んでも、確実に％100未満でした。 私が本当に知りたいのは、グループポリシーから属性をプルした場合、DfltGrpPolicyですでに設定されているものに置き換えられますか？ ここに良い例があります： group-policy DfltGrpPolicy attributes dns-server value 1.1.1.1 group-policy BLAH-VPN attributes dns-server value 5.5.5.5 次に、dns-serverステートメントをBLAH-VPNから削除すると、そのグループはDfltGrpPolicyで設定された値を使用しますか？

8 cisco  security  cisco-asa  firewall 

アクセスレイヤーを設計する場合、今日のベストプラクティスはL3設計に進むことを示しているようです。DC設計とエンタープライズキャンパス設計のどちらを話しているかによって、答えが異なる場合があることを知っています。 アクセスレイヤでL3よりもL2を選択する場合、およびDCとキャンパスの設計の違いを説明してください。 クラスター（Windows、VMWareなど）などのサーバー間のL2隣接要件により、DCアクセスでL2がプッシュされることがわかっています。他にも要因はありますか？（そして、L2が必要な場合、ベストプラクティスは、L2トラフィックをアグリゲーションレイヤーまで運び、バックダウンするか、アクセススイッチ間の直接接続されたトランクを介してそのL2を運ぶ（つまり、三角形の代わりにループの正方形を構築する）ことです。ブロードキャスト/衝突/ STPドメインを増加させないように、L2隣接を1組のアクセススイッチに限定し続けますか？ エンタープライズキャンパスで、L2隣接要件がないと仮定して、アクセスレイヤでL3以外の設計を示すケースはありますか？

8 cisco  routing  best-practices  design 

セナリオ：バックアップ構成ファイルがあります。しかし、USBドライブやコンパクトフラッシュカードは使用しません。ルーティングエンジンを交換した後、コンソールターミナルから構成（約12k行）をコピー/貼り付けようとしましたが、構成を貼り付けるとバッファが破損しました。 質問：設定をルーターに適用する最良の方法は何ですか？

8 cisco  routing 

Ciscoルーターで使用されるトンネルインターフェイスとは何ですか？ VPN接続とトンネルインターフェースの設定の違いは何ですか。またはこれは同じ目的を果たしますか？

8 cisco  vpn  router  tunnel 

私のラボで新しいFTTH CPEをテストしています。Cisco ME3400スイッチ。これまでのところ、それらのプロビジョニングに問題があります。DHCPデバッグをアクティブにして、DHCPパケットを確認しました。 CPEとME3400の間にレイヤー2接続があるかどうかを確認するにはどうすればよいですか？ いくつかの出力： ME3400＃sh int fa0 / 1 FastEthernet0 / 1が稼働、ラインプロトコルが稼働（接続）ハードウェアはファストイーサネット、アドレスは0023.05ab.c883（bia 0023.05ab.c883） ME3400＃sh MACアドレステーブル VLAN MACアドレスタイプポート ---- ----------- -------- ----- すべての0100.0ccc.cccc静的CPU ... 1 XXXX.XX29.c942 DYNAMIC Gi0 / 1 1 XXXX.XXe4.0bdd DYNAMIC Gi0 / 1 1 XXXX.XX70.113e DYNAMIC Gi0 / 1 10 XXXX.XXa1.4ca0 DYNAMIC Fa0 / 1

8 cisco  switch 

今朝アップグレードした1260 APがあります。アップグレード前は、システムはsshを許可し、ネットワーク上のpingに応答していましたが、現在は応答していません。 シリアルケーブルを接続して、設定を確認しましたが、何もおかしいとは思えず、sshデバッグをオンにしても出力は生成されません。 sshがオンラインにならない可能性のあるオフチャンスでRSAキーを再生成しようとしましたが、ネットワーク経由でユニットに接続できないことに影響はありませんでした。 また、「ip routing」と「ip cef」をオンにしてみたところ、問題である可能性がありますが、効果はありませんでした。静的なデフォルトルートを管理ゲートウェイに追加しました。これがデフォルトルートの問題である可能性があることを期待していますが、これも役に立たなかったようです。 ユニットの現在のバージョンのIOSは次のとおりです。 Cisco IOS Software, C1260 Software (AP3G1-K9W7-M), Version 15.2(2)JB, RELEASE SOFTWARE (fc1) Technical Support: http://www.cisco.com/techsupport Copyright (c) 1986-2012 by Cisco Systems, Inc. Compiled Mon 10-Dec-12 23:42 by prod_rel_team ROM: Bootstrap program is C1260 boot loader BOOTLDR: C1260 Boot Loader (AP3G1-BOOT-M), Version 12.4 [mpleso-ap_jmr3_esc_0514 …

8 cisco  wireless  cisco-ios-15  ieee-802.11 

私は、多数のリモートロケーションのre-ipアドレス指定の処理を行っています。すべてのリモートロケーションは、トラフィックの暗号化にCisco GET VPN / GDOI構成を使用しています。その過程で、ベストプラクティスに従っていることを確認するために、構成も確認したいと思いました。 Cisco GET VPN構成ガイドと導入ガイドを読み終えましたが、この質問に対する適切な回答が見つかりませんでした。 暗号化されたトラフィックの終端インターフェイスとしてループバックまたは物理インターフェイスを使用するのがベストプラクティスですか？ 現在の構成では、物理Gig0 / 0インターフェイスを使用して、暗号化されたトラフィックを終端しています。ただし、関連する他の変更の一部を簡略化するために、その目的のためにLoopback0インターフェイスを利用したいと思います。将来的には、これらのサイトの一部が冗長アップリンクを取得することになります。私の理解では、ループバックインターフェイスを使用して両方の暗号化された接続を終了できると思います。 次の2つのサンプルは、既存の構成と、ループバックを使用するようにルーターを設定する必要があることを理解する方法です。次のコマンドをGMに追加するだけでよいと思います。 crypto map %MAPNAME local-address Loopback0 GMアドレスは、キーサーバーでも変更する必要があります。私の知る限り、KSの唯一の変更です。 既存の構成のサンプル： ! crypto isakmp policy 10 encr aes authentication pre-share group 2 crypto isakmp key %KEY address 10.100.1.1 crypto isakmp key %KEY address 10.100.2.1 ! crypto ipsec df-bit clear crypto gdoi …

8 cisco  vpn 

よく知られているように、Nexus 2000シリーズは、DCネットワークでの分散ファブリックを可能にするスイッチです。Nexus 2000の固定は非常に簡単です。私は他の人が何をしているのかについての議論と一般的なコンセンサスを求めて探していました。 単純なN2Kピンはそのようなものです。 fex 101 pinning max-links 1 description "FEX0101 多くの人が、ピン留めされたNexus 2000の「検証」を提供することにより、ピンに割り当てることができるNexus 2000デバイスをロックダウンします。 fex 102 pinning max-links 1 description "SVRSW-01-102" serial FOC240831BZ type N2248TP 追加の構成はベストプラクティスの構成に該当しますか、それとも環境に必須の構成であり、疑似物理セキュリティのレイヤーとして追加しますか？

8 cisco  cisco-nexus-2000