タグ付けされた質問 「routing」

まず、ネットワーキングの問題が常に頭を悩ませていることを指摘しておきます。特にルーティングについては、「ああ、わかった」という瞬間がまだないので、これは非常に基本的な設定ミスである可能性があります。 Cisco ASA 5505を1つのインターフェイスのパブリックIPアドレスに接続し、2番目のインターフェイスを内部ネットワークに接続するように設定しようとしています。現在、内部ネットワークは192.168.1.0/24にあり、ISPから取得したパブリックIPは125.xxxの範囲にあります。 ASAに3つのインターフェイスを設定しました。 内部 IP: 192.168.1.3 Mask: 255.255.255.0 Ports 1-6 Sec Level 100 外側 IP: 125.x.x.x Mask: 255.0.0.0 Port 0 Sec Level 0 管理 IP: 10.0.0.1 Mask: 255.255.255.0 Port 7 Restricted to management Restrict flow to Outside (had to do this for licensing reasons) ファイアウォールに、内部ネットワークの任意のソースから安全性の低いネットワークへのIPトラフィックを許可するアクセスルールがあります（IPv4と6の両方に1つあります）。 インターネットに接続するルーターをポート0に接続し、コンピューターをポート1にIP 192.168.1.20、マスク255.255.255.0、ゲートウェイで接続します192.168.1.3。このPCを使用すると、pingを実行できます192.168.1.3が、それ以上は実行できません8.8.8.8。パブリックIPアドレスまたはpingを実行できません。 同じPCをルーターに直接接続してパブリックIPアドレスを直接割り当てると、インターネットに問題なくアクセスできます。ここでの問題は、内部からのパスを表示するためにいくつかの静的ルートを追加する必要があることだと思います<->外部から。どんな助けや提案でも大歓迎です。 …

7 cisco  routing  cisco-asa  troubleshooting 

設定しようとしているDell PowerConnect 5524があります。 私が欲しいのは、VLANとユーザーガイドの間の単純なルーティングが役に立たないことです。 220ページでは、2つのVLAN間でルーティングを有効にするために必要なことは、スイッチ上にVLANを作成してデバイスを接続するだけで、すべてが自動的に機能することを示しています（または示唆しています）。これはそうではありません。 現在のrunning-configファイルはこちらで確認できます。 私は自分のPCをポート21（VLAN 2 192.168.2.41）に接続し、別のPCをポート1（VLAN 3 192.168.3.10）に接続していますが、お互いに到達できず、pingを実行するとタイムアウトになります（両方のPCがはい）ファイアウォールでICMPエコー要求を有効にします）。 スイッチの管理ページを見ると、デバイスを別のポートに接続すると、ローカルルートが適切なサブネットに追加されているが、トラフィックが流れていないように見えます。 読んだことがあるので、別のVLANに接続するためのトランクポートが必要なのでしょうか。 また、ケーブルを接続してVLAN間に物理リンクを作成しようとしましたが、効果のない最後の試みでしたが、これも機能しませんでした。 次に何をしたらいいのか途方に暮れています。私はネットワークエンジニアではありません。どんな助けでも大歓迎です。 編集： console# show ip route Maximum Parallel Paths: 1 (1 after reset) IP Forwarding: enabled Codes: C - connected, S - static, D - DHCP S 0.0.0.0/0 [1/1] via 192.168.2.1 0:18:50 vlan 2 C 192.168.2.0/24 …

7 routing  vlan  dell  powerconnect 

デュアルWANリンクで構成されたCisco 891ルーターがいくつかあります。これらのルーターはすべてCisco IOS 15.xを実行しています。場合によっては、ポリシーベースのルーティングを使用して、特定のトラフィックを1つのリンクに強制的にダウンさせます。 お客様は通常、特定のトラフィックが特定のリンクを通過することを望んでいるため、デュアルWANセットアップでPBRをよく使用します。たとえば、VOIPなどのリアルタイムトラフィックが1つのリンクを通過し、次に一般的なインターネットが別のリンクを通過する必要があることがよくあります。通常、PBRを使用して、送信元/宛先IP、VLAN、またはそれに適合するものに従ってトラフィックをルーティングします。 。 もちろん、専用の音声リンクをオフラインにする必要がある場合は、サービスの品質を下げることをお勧めします。set next-hop verify-availability必要に応じて、トラフィックが他のWANにフェールオーバーできるようにするために、IP SLAトラッキングオブジェクトを使用する傾向があります。 私の質問は、ネクストホップではなくPBRを使用してインターフェイスを設定するときに、同じ構成（可用性を確認するために追跡オブジェクトを使用）を実行することはまったく可能ですか？ これにはいくつかの理由があります。 すべてのPPPoEダイヤラインターフェイスでIPおよびルーティング設定を自動ネゴシエートします。サードパーティのISPの1つが先に進み、すべてのDSL接続のデフォルトルートを変更しました。これは、ネクストホップをPBR構成にハードコードしていたため、機能しなくなったことを意味します。幸運なことに、PBRは他のWANにフェールオーバーしましたが、いずれにせよ、デフォルトルートを実行する方法と同様に、できる限りIPをハードコーディングする必要がないようにしています。ip route 0.0.0.0 0.0.0.0 Dialer0 10 track 1 今日、私はいくつかの新しいCPEでデュアルWANを構成するように求められ、PBRを使用してVOIPトラフィックを専用回線に送り、必要に応じてインターネットリンクにフェイルバックします。問題は、この顧客が同じISPからの2つのDSL回線を使用しているため、ネクストホップがどちらの場合でも同じになることです。したがって、明らかに次に行うのは代わりにインターフェースを設定することですが、これはつまり、検証可能性を失うことを意味します。 インターフェイスを設定するときに、これを実現するために使用できるPBR構成を知っている人がいることを願っています。 参考までに、ここで私が現在それを行う方法を以下に示しますnext-hop。 編集：より詳細な例が含まれています。 track 1 ip sla 1 delay down 20 up 10 ! track 2 ip sla 2 delay down 20 up 10 ! interface FastEthernet8 description PPPoE …

7 cisco  routing  router  cisco-ios-15  pppoe 

現在100サイトを提供するSPが1つあります。現在、すべてのサイトを新しいSPに移行する予定です。ただし、これは段階的な移行になるため、新しいSPクラウドにいくつかのサイトがあり、古いものに他のサイトがあります。SPは、SP間でいかなる種類のInter-ASも実行しません。 古いSPクラウドと新しいSPクラウドのサイト間の通信を維持するために、他にどのような選択肢がありますか？ 編集： これで、サイトは単一のMPLSクラウドを介して接続され、IPSecはなくなりました。すべてのサイトが単一のMPLSクラウドに接続します。一部のサイトを新しいMPLSクラウドに移動します。2つのMPLSクラウド（異なるSP）間に接続がなく、それらがInter-ASを実行していないため、問題は、サイトを維持するために他にどのような選択肢があるかです。たとえば、MPLS-AがMPLS-Bのサイトと通信しているとします。 これは、サービスプロバイダーのPEルータと交換されるBGPルートを持つMPLS VPNです。つまり、基本的にはMPLS L3VPNです。追加情報が必要な場合はお知らせください。

7 routing  mpls  service-provider  mpls-vpn 

イーサネットメディアでISIS p2pトポロジを使用する必要がある、または使用してはならない理由について、技術的な明確さを探しています。 イーサネットはブロードキャストメディアですが、/ 31のp2pリンクとして構成されている場合、ブロードキャストドメインは最小限に抑えられます。したがって、私が理解しているように、ルーティングプロトコルが実行および管理しなければならない情報の量が減り、DR / DISの選択が可能になります。省略されます。（ここに参照draft-ietf-isis-igp-p2p-over-lan 私は実際にこの理論をサポートする証拠をほとんど見つけることができません。したがって、上記を正当化するための適切な技術的推論と、理想的にはこれが収束にどのように影響するかについての情報を探しています。

7 routing  ethernet  point-to-point 

私は中国への信頼性の高い接続を確立するのに苦労しています（AS4837チャイナユニコムバックボーン、AS4134チャイナテレコムバックボーン、AS4538中国教育研究ネットワークセンター） 私が使用したほとんどのリンクでは、300ms + RTTと高いジッターが見られ、50％のパケット損失は珍しくありません。いくつかのリンクは、忙しい時間帯にRTTが1000msを超えることさえあります。 中国のISPは、プレミアム以外のトラフィックをオーバーサブスクライブリンクに送信する傾向があります。 私は、米国と中国に複数のサーバーを配置することで回避しようとしています。米国の各サーバーが中国の少なくとも1台のサーバー（例：AS6939 Hurricane Electric with AS4134 China Telecom Backbone）に接続できることを願っています。中国のリソースにアクセスしたい米国の顧客の場合、彼らは米国の私のサーバーに接続し、私のサーバーは中国のどのサーバーに接続するかを「ルーティング決定」します。私はある意味でトランスポートを実行しています。 これは実現可能ですか？現時点では、金銭的およびライセンス上の制約により、中国でプレミアムリンクを購入することはできません（CDNでさえ、中国で通信事業者のライセンスを取得するのが難しいことは言うまでもなく、妥当な価格帯の帯域幅を取得するのは難しいと感じています）。 トランスポートネットワークでルーティングを決定するには、どのようなルーティングオプションが必要ですか？サイト間VPNをメッシュ化する場合、どのように拡張できますか？ 使用できる暗号化はありますか？AFAIK OpenVPNはAS4837 China Unicom Backboneでは機能しません。これは、TLSハンドシェイクが中国のGFWによってドロップされているためです。stunnelのようなものを使用した二重カプセル化は今のところ機能しますが、実際にはパフォーマンスが低下します（tcp内のtcpでカプセル化されたトラフィック）。 中国への接続が良好なアップストリームとのBGPピアと一部のBGPトラフィックエンジニアリングは適切なアプローチのように聞こえますが、現時点では予算をはるかに超えています。 私の目標は、遠く離れたコンテンツにアクセスする住宅ユーザーのエクスペリエンスを最適化することです。私は問題を解決するために正しい方向を見ていますか？ ありがとう。 私は中身ではありません、ただ交通手段を提供したいだけです。 Edit1：AS4538中国教育研究ネットワークセンターはIPv6対応であり、IPv6のパフォーマンスは通常IPv4より優れています。これら3つの中国のISP間の接続は、非常に貧弱な場合があります（同じ都市にある別のISPへのパケット損失が高い300ms + RTT、中国のISP1-US-中国ISP2より遅い）。また、ユーザーはこれら3つのISPのいずれかに接続できます。

7 routing  vpn 

閉まっている。この質問はトピックから外れています。現在、回答を受け付けていません。 この質問を改善してみませんか？ ネットワークエンジニアリングスタック交換のトピックになるように質問を更新します。 昨年休業。 私はMikrotik RouterOSをNATルーターとして使用しています。ルーターの背後にある一部のホストもインターネットに直接接続しており、これらのホストには、RouterOSではなくISPのゲートウェイへのデフォルトルートがあります。これらのホストの1つで、パブリックIPを使用してOpenVPNサーバーを調整モードで設定しました。問題は、VPNクライアントがISPへのデフォルトルートを持っているため、パブリックIPを持つホストと通信できないことです。RouterOSに静的ルートを配置できますが、ISPのルーターを制御できません。したがって、VPNクライアントに送信されるパケットは、VPNサーバーではなくWANリンクに送信されます。どのようなオプションがありますか？ プライベートDHCPプール172.16.10.0/24、ゲートウェイ172.16.10.1（RouterOS） OpenVPNプール172.16.11.0/24 タップモード、多くのオーバーヘッド tunモード、DHCPプール内のVPNプール、およびLAN内のVPNプール用のOpenVPNサーバープロキシARP tunモードでは、パブリックIPを持つすべてのホストにOpenVPNプールの静的ルートを追加します。これはうまく拡張できず、混合環境では作業が多すぎます IPv6。問題は、多くのWindowsアプリケーション（VMware製品など）でIPv6のサポートが不十分であることです。すべてのホストにはIPv6接続がありますが、VPNクライアントはIPv6を取得するのに苦労する可能性があります。 私はおそらくすべてをファイアウォールの背後に置く必要があることを知っています。Juniper SRXを入手したら、それを行います。すべてのホストに十分なパブリックIPがありません。また、RouterOS / pfSenseは、パブリック/プライベートIPが混在する環境には適していません。私はこれが最初から貧弱な設計であることを認めなければなりません、銀行を壊すことなく移行パスはありますか？制作ではなく、少し複雑なホームネットワークです。 私はあなたの入力に感謝します。 Edit1（JelmerSの回答への応答）：これは実行可能ですが、OPで述べたように実際には適切にスケーリングされません。この環境では、BSD、Linux、Windows、スタンドアロンアプライアンス（シェル、プリンター、ネットワーク監視デバイス、電話など）のないさまざまなフレーバーを使用しています。DHCPオプション33とオプション121を試しますが、それらがさまざまなデバイスでどの程度サポートされているかはわかりません。 Edit2（Joseph Draneの回答への応答）：1.現在パブリックIPを持つホストには、RouterOS LANへのリンクとISPへの別のリンクがあります（RouterOSをバイパス） 静的NATを実行する正当な理由はありますか？不要のようです（パフォーマンスが大幅に低下します） 私が探しているファイアウォールは、透過モードでうまく機能します。DHCP / NATは完全に別のボックスで実行できます。しかし、私が使用したほとんどのファイアウォールは透過モードではサポート/機能せず、トラブルシューティングが困難です（可視性の欠如） Edit3：RouterOSはESXi内で実行されます。他のゲストOSもあります。環境が物理/仮想ホストと混在しています。ESXiボックスに十分なNICインターフェイスがあります。ホストがパブリック/プライベートアドレスを簡単に切り替えられるようにする柔軟性が欲しい。

7 vpn  routing 

OSPFをサポートしていないルーターがあり、他のすべてのデバイスがOSPFをサポートしているため、ルーティングトポロジがOSPFを使用している場合、このルーターネットワークをOSPFエリアに接続するための最良の方法は何ですか？ 私の最初の考えは、静的ルートを他のすべてのルーターに置くことでしたが、このルーターの背後に複数のネットワークがある場合、これは非常に面倒になる可能性があります。 この問題は、別の質問に対する回答から発生 します。ASAは、NATされた「外部」アドレスをOSPFゾーンにアナウンスする方法を教えてください。

7 ospf  routing