タグ付けされた質問 「routing」

私は、スイッチが別のスイッチの背後に「隠されている」宛先にパケットをルーティングする方法をどのように知っているのかと思っています。私の理解では、スイッチには、各ハードウェアポートを正確に1つのMACアドレスにマップするテーブルがあります。これまでのところ、パケット/フレーム（？）が到着すると、パケットをルーティングするポートを決定できます。 しかし、これらのポートの1つに接続されている別のスイッチがあり、この2番目のスイッチに複数のデバイスが接続されている場合はどうなりますか？ 私はこれが実際に機能する（？）と思うので、スイッチがこれをどのように解決できるのか（OSIレイヤー2ではルーターなし）と思います。 この質問がすでに存在する場合は申し訳ありませんが（そう思うので、それほど珍しいことではないはずです）、適切な検索クエリに自分の考えを反映させることができませんでした。

8 routing  switch  ethernet  mac-address  osi 

したがって、計画は、完全なルートを持つ2つのISPの1つへのeBGPセッションを持つ2つのコアルーターです。両方のルーターは完全なテーブルを相互に公開するため、iBGPを介してよりインテリジェントにトラフィックフローを制御できます。 議論のために、3つのアクセスルータには各コアルータへのパスがあります。私はiBGPを構成し、各コアルーターからのデフォルトルートを公開して、ハードウェア障害に対する回復力を備え、フィルターを使用して実際にどのルートがアクセスデバイスに送信されるかを制御します。 人々は一般的にIGPにOSPFを使用していると聞きましたが、もちろん、ケース固有の要素があります。 私の質問は、iBGPをOSPFに置き換えることの利点は何でしょうか？

8 routing  bgp  ospf  network-core  igp 

OSPFとそのマルチキャストの使用に関しては、ローカルセグメント内でIGMP転送とIGMPクエリアが依然として必要であると私は信じていますか？ 私の理解はこれがなければ、フレームはブロードキャストとして扱われ、すべての人に送信されます。したがって、マルチキャストを使用する利点を取り除きます。 これに基づいて、ユニキャストにフォールバックして、上記を防ぐためのメカニズムがあります。ここで私の理解がかなり外れている場合はお詫びします:)

7 routing  ospf  multicast  igmp 

ネットワーキングラボを実行しようとしています。基本的に、私はこのようなネットワークを持っています： したがって、PC1とPC2がリモートHOSTと相互にアクセスできるように、NATルーターを構成することは可能です。私にとっての問題は、PC1とPC2が同じローカルIPアドレスを持っていることです。

7 cisco  routing  ip  ipv4  nat 

次のシナリオがあります：私のAS：64501には2つのルーターR3（冗長）とR4（メイン）があります。 ISP AS：64500には3つのルーターR1、R2、R5があります ISPとのeBGPピアリングを行っています。ISP構成にはアクセスできません。ネット（R3、R4）の構成にしかアクセスできません。 ISPからの着信トラフィックが常にメインルーター（R4）に送信され、メインにアクセスできない場合にのみ、トラフィックをGeo冗長（R3）に送信する必要があります。 Geo-redundant router（R3）から送信されたAS-PATH Prependを使用してそれを行うことができ、それは機能しています： ただし、この場合、R5からのISPのトラフィックは、図に示すように（R1-R2-R4を介して）送信されます-ストレート（R5-R2-R4）ではなく、さらに1ホップ。これは、iBGPがAS-PATHプリペンドを使用していないために発生します。したがって、ルートR1 <-> R3が付加されるため、R1はR2経由のルートを優先します。しかし、R1はas-pathプリペンドなしでiBGPルートアップデートをR5に送信しています。したがって、R5の場合、Myネットワークへの2つの等しいルートがあり、R1のIPアドレスはR2のIPよりも低いため、R1経由のルートを選択しています。 質問＃1：どういうわけかデバイスを自分のネットワークでのみ構成できるので、トラフィックはMEDやコミュニティなしでこのように通過しますか？ 質問＃2：マイネットワークとISPネットワークでデバイスを何らかの方法で構成できるので、MEDやコミュニティなしでトラフィックはこのように通過しますか？ ありがとうございました。

7 routing  bgp 

私は勉強していて、この質問に答える最良の方法を見つけようとすることに行き詰まりました。 ルーターがインターフェースから到達できるネットワークについて学習する方法と、パケットをルーティングする方法を説明します。ルーターがネットワークに接続されたと想定する必要があります。 だから、私はそれを簡単な方法で説明することで正しいですか？ ルーターは、各ポートに接続されているコンピューターを学習するスイッチによって、インターフェースから到達できるネットワークについて学習します。そして、学習すると、ネットワーク層を使用して、IPを使用して宛先への最適なルートを決定します。 私は「Microsoft Networking Essentials」という本を研究してきましたが、この単純な質問に対する十分な詳細な答えを見つけることができません。本の構成方法のため、やや混乱しています。

7 routing  router 

混乱を避けるために、2つの質問に分けます。 冗長性に基づいたネットワークを構築するつもりです。すべてのデバイスには2つの部分があり、NICカードなど、場合によっては2つ以上あります。私はあなたのためにこの絵を描きました。 あなたが見ることができるように私が持っている二つのスイッチ、1ルータと2台のサーバー。各サーバーはWindows 2012 R2 Teaming（Teams of 2）を実行し、各チームは独自のVLAN上にあります（質問2がそれについて話しているため、これは変更される可能性があることに注意してください）。 私の最初の質問は、NICが負荷分散のためにどのような種類のロジックを持っているかです。、機能させるためにスイッチをスタックする必要がありますか？、ルータの2つのポートを各スイッチに接続するだけで、それらをスタックすることはできませんか（スイッチ）？これにより、スイッチAからルーターにスイッチBにトラフィックが送信されますか？、私はそれらを完全に独立させたいので、スイッチが故障したりNICが故障したりしても問題にはなりません。 2番目の質問はVLAN化についてです。ネットワーク上で複数の独立したプロセスが実行されています（約8）。サーバーAが不要な場合は、サーバーAがサーバーBと通信しないようにします。これにより、8つの異なるVLANを作成し、各マシンまたはVMに、特にVLAN上でIPアドレスを割り当てることができます。1台または2台のコンピューターですべて8が必要です（2台を超えるサーバーがありますが、例として、2台しか描画していません）。 これを行うより良い方法はありますか？チームVPNをネットワークに接続する予定です。すべてのスイッチ/ pc / vmに到達できるようにしたいので、各マシンに別のIPと別のVNICを追加する別の管理者VLANが必要になると思います。これを行うには、より良い方法が必要です。 皆さん、ありがとうございました、

7 routing  vlan  ethernet  ipv4 

人、 ISPのコアに2つのルーターがあります。その1つは少し古いシスコのギアです。アップストリーム、IX、およびダウンストリームとのeBGPセッションがあります。2つ目はMikroTik CCRで、これはDHCPサーバー、ファイアウォールなどの機能を顧客に提供します。 ネットワークの拡大により、古いCiscoルーターは現在のすべてのトラフィックを流動的に処理することができませんが、内部的な理由により、現時点では別のギアに変更することはできません。 すべての着信トラフィックをMikroTikギアに直接リダイレクトすることを検討しています。このような方法で、Ciscoがルーティングする必要はありません。しかし、それが可能かどうかはわかりません。 私は各アップストリームで/ 29範囲を使用しているので、自分とアップストリームの境界ルーターと同じ範囲内でMikroTikルーターをアドレス指定できます。例： アップストリームの最初のルーター：198.51.100.1/29 アップストリームの2番目のルーター：198.51.100.2/29 私のCiscoルーター：198.51.100.6/29 私のMikroTikルーター：198.51.100.5/29 192.0.2.1はMikroTikルーター（192.0.2.2）のデフォルトゲートウェイです。 MikroTikギアがBGPを実行している場合は、as-pathプリペンドを使用してこれを簡単に解決できますが、技術的および商業的な理由から、そうすることはできません。 アドバタイズされたプレフィックスのBGPネクストホップ属性を次の方法でMikroTikルーターのIPアドレスに変更することで、リダイレクトを実行できると思いました（上記のネットワーク図に準拠）。 route-map CHANGE_NEXTHOP permit 10 set ip next-hop 198.51.100.5 ! router bgp XXXXXX neighbor 198.51.100.1 route-map CHANGE_NEXTHOP out neighbor 198.51.100.2 route-map CHANGE_NEXTHOP out ! このように、アップロードトラフィックは両方のルーター間の直接接続を介して流れますが、ダウンロードトラフィックは上流からMikroTikルーターに直接流れます。 ただし、これは、BGPセッションがマルチホップである場合にのみ可能であり、ネイバーが直接接続されている場合ではないことをどこかで読みました。さらに、私が理解したところによると、ネクストホップの変更はiBGPのみの機能です。 私はシスコのエキスパートにはほど遠く、多くの検索を行いましたが、私の疑問に対する決定的な答えは見つからなかったため、上記の構成で説明したことを実行できるかどうか誰かに教えてもらえますか？私のトリッキーな状況に対するスニペットまたは解決策を提案しますか？ 残念ながら、私は現在、それをラボで（仮想マシンを使用してでも）実行し、意図したとおりに機能するかどうかをテストする方法がありません。 これとあなたが提供するさらなる情報に感謝します。

7 routing  bgp 

インターネットゲートウェイとしてpalo-altoファイアウォールを使用します。16個の静的IPアドレスがあります。1つは送信トラフィック（ユーザーがインターネットを閲覧する）に使用されます。残りは受信トラフィック（メールサーバー、ウェブサーバーなど）に使用されます。冗長な目的で、2番目のISPにサブスクライブします。新しいISPから16の新しい静的IPアドレスを購入します。そして、ここに構成の地獄があります。BGP、PIアドレス、AS番号などについて2日間読んでいます。しかし、私は何も理解していません。実践と全体的な理解なしの理論は何もありません。私はこれらのISPに電話をかけましたが、どちらのプロバイダーもルートを構成せず、AS番号を販売しないと言っています。自分で解決してみてください。私たちの小さなアジアの国では、LISPや他のクラウドベースルーティングソリューションはありません。次に何をしたらいいかわかりません。APNICに直接AS番号をリクエストする必要がありますか？ポリシーベースのルールでは、送信トラフィックの冗長性のみを構成できます。小規模なホスティングを冗長化するための信頼できるソリューションはありますか？AS番号とPIアドレスなしでBGPを構成することは可能ですか？

7 routing  bgp  redundancy  isp  palo-alto 

私は現在、小さなネットワークを管理しています。2つの別個のサイト（site1 site2）があります。各サイトには独立したインターネットとSonic NSA 220ファイアウォールがあります。現在、2つのSonicファイアウォールを接続するVPNがあるため、サイトは問題なく通信できます。 私たちのISPは各サイト（ISPルーター1と2）に「ルーター」をインストールしたばかりなので、インターネットポート（ISP-WAN）とサイト間ポート（ISP-LAN）の2つのポートを提供します。これにより、VPNを排除し、ISPクラウド（ISP-LAN）を介して直接トラフィックをルーティングできます。 ポートルーティングの設定方法を知りたいので、この新しいISP-LANポートを介して内部トラフィックをルーティングするようにファイアウォールに指示できます。 各サイトにはDC（同じドメイン）と個別のDHCP（サイトには異なるIP範囲があります）があります。 各ファイアウォールのポートX6をISP-LANポートに接続できると考えていました。これにより2つのサイト（ブルーライン）が接続されますが、ルーティング/ルールの構成方法がわかりません。すべてにデフォルトゲートウェイとしてSonic WANポートがあります。DHCPトラフィックなどをサイト間でブロードキャストしたくありません。 この問題の解決にご期待ください。 ありがとう

7 routing  firewall  subnet  sonicwall 

私はBGPに少し慣れていないので、構成の変更について少し支援が必要です。現在、すべてのサイトへのすべてのトラフィックにMPLS接続を使用しています。今後はデータセンターのバックアップリンクを他のスポークサイトから分離し、対応するためにコアデータセンターにMPLSレッグを追加します。現在のセットアップとルーター構成の画像を参照してください。 ISPにClosed User Group（CUG）を含む新しいMPLSレッグを注文しました。この新しいサービスは、データセンター間のトラフィックのみを対象としています。既存のMPLSレッグは、リモートサイト専用に使用されます。（ハブスポーク） 私の質問は、ISP（AS207）からの同じAS番号を持つこの新しいCUGでコアルーターをプログラムする方法です。新しいネットワークとネイバーを既存のAS 65001に追加するだけですか？バックアップDC MPLSは新しいCUGに統合されるため、コアルータを変更するだけでよいと思います。 これは制作ネットワークなので、このプログラムを変更するのは少し不安です。

7 cisco  routing  bgp  mpls 

次のようなネットワーク状況があります。 ISPルーター（モデム）-ISPから提供されたデバイス-モデムとルーターが1つに組み込まれていますが、透過モードに設定されています-ISPはそのように言っています。 MikroTikルーター（MTR） -ファイアウォールを備えたエッジルーター サーバーNASとVPNサーバー（NAS） -Synologyボックスとデータストレージ、および実行中のPPTP、OpenVPN、L2TP / IPSecサービスを備えたVPNサーバー-ローカル企業とリモートロケーションのワーカーがデータを取得するために接続します ローカルステーション（LS） -私たちのネットワークサイトの労働者-彼らはPPTPを使用することを意味するWindows 8を使用しています リモートステーション（RS） -異なるISPの背後にあるリモートサイトの労働者 以下に、Mikrotik構成を示します。 ルーティングテーブル： Dst. address | Gateway | Distance | Pref. source | 0.0.0.0/0 | 1.1.1.9 | 2 | - | 1.1.1.8/30 | ether1 | - | 1.1.1.8/30 | 192.168.1.0/24 | bridge local | - | 192.168.1.0/24 | …

7 routing  vpn  nat  isp 

2つのデバイス間でiBGPを構成しています。bgpセッションが起動した後、RouterBからRouterAに送信されるルートの数は、最初はおよそ100kに増加しますが、何らかの理由で160にしか減少しません。 これが発生する理由はありますか？これは、両方のルーターの単にibgp構成です。 例 開始： Neighbor Address AS# State Time Rt:Accepted Filtered Sent ToSend e.e.e.e xxxxx ESTAB 1h34m48s 493723 0 1 0 i.i.i.i xxxx ESTAB 0h 0m19s 301708 0 120998 71776 次で終わる： Neighbor Address AS# State Time Rt:Accepted Filtered Sent ToSend e.e.e.e xxxxx ESTAB 1h35m 4s 493722 0 1 0 i.i.i.i …

7 routing  bgp  brocade 

私のBGPトランジットの顧客の1人が、DDoS攻撃に苦しんでいるときにネットワーク内のトラフィックをブラックホール化しやすくするための解決策を求めてきました。通常、BGPブラックホール化はターゲットをブラックホール化することによって行われますが、攻撃のターゲットがオフラインにならないように、ソースアドレスに基づくブラックホールの解決策を探しています。 ターゲットアドレスに基づいてブラックホールソリューションを構築することはそれほど難しいことではありません。別のBGPセッションを介して、より具体的なルートとしてターゲットをアナウンスするか、特定のコミュニティでタグ付けしてから、ルーティングポリシーを使用して、いくつかの破棄インターフェースへのネクストホップ。 攻撃のソース（顧客のIP空間内にない）がブラックホール化されているブラックホールソリューションを構築することは、少し難しいようです。宛先のフィルタリングと同じソリューションを使用する場合、私の問題は、特定のソースからこの特定の顧客へのトラフィックのみを破棄したいということです。そのため、ルーティングテーブルに破棄ルートを挿入することは、他の顧客に影響を与えるため、もはや受け入れられません。上手。したがって、この特定の顧客にのみ適用されるフィルターを作成する方法が必要です。 私が考えていた最初の解決策は、BGPFlowspecを使用することでした。残念ながら、彼の装置はそれをサポートしていないので、これはこの特定の顧客にはうまくいきません。 したがって、私が探しているのは、ルーティングプロパティに基づいて動的ファイアウォールフィルターを作成する方法です。おそらく、専用のBGPブラックホールセッションを介して特定のルートを受信するときに、お客様または当社が設定したコミュニティです。次に、このフィルターを顧客のインターフェースに適用して、不要なトラフィックをブロックできます。残念ながら、この方法でファイアウォールフィルター（またはプレフィックスリスト）を作成する簡単な方法は見つかりませんでした。 私はhttp://thomas.mangin.com/posts/bgp-firewall.htmlを見つけましたが、これはSCU / DCUを誤用して、多かれ少なかれ私が探しているものを達成しますが、それは少しハックのように聞こえます。 私が考えることができる他のソリューションの1つは、ルート上に静的フィルターを作成し、このフィルターで使用されるプレフィックスリストを変更できるようにするインターフェイスを構築することです。ただし、お客様がブラックホールを追加するたびにルーターの構成変更をプッシュすることは、私が本当に望んでいることではありません。BGPを使用するソリューションが推奨されます。 私たちの側では、ルーティングはジュニパーで行われます。ソリューションとしては、さまざまなプラットフォームで使用できるものを用意したいので、基本的には、個別のセッションを介してBGPを使用するか、特定のコミュニティを介してルートにタグを付けるだけです。これにより、他のお客様にも使用できます。 （SCU / DCU以外の）これに対する素晴らしい解決策がある場合、私は本当に興味があります。

7 routing  bgp  firewall  juniper-junos 

その場合は ip route 10.1.0.0 255.255.255.0 null0 used? 前もって感謝します。 この質問はの再投稿です同じ質問でシスコラーニングネットワーク。ただし、答えはStack Exchangeに固有です。

7 routing  ipv4  ospf