Большое спасибо за Ваши статьи.
Можете повторно выложить материалы выпуска.
Исправлено! :) Спасибо
Нашел очепятку в эпиграфе
в строчке, где должно быть:
«A tree whose crucial property»

:)
В задаче сказано
Указанный трафик передается правильно, но не маршрутизируется остальной трафик из локальной сети
однако не маршрутизируется вообще ни какой трафик, в том чисе и указанный. В таблице маршрутизации отсутвуют какие-либо записи.
msk-arbat-gw1#sh ip route
Codes: C — connected, S — static, R — RIP, M — mobile, B — BGP
D — EIGRP, EX — EIGRP external, O — OSPF, IA — OSPF inter area
N1 — OSPF NSSA external type 1, N2 — OSPF NSSA external type 2
E1 — OSPF external type 1, E2 — OSPF external type 2
i — IS-IS, su — IS-IS summary, L1 — IS-IS level-1, L2 — IS-IS level-2
ia — IS-IS inter area, * — candidate default, U — per-user static route
o — ODR, P — periodic downloaded static route

Gateway of last resort is not set

102.0.0.0/30 is subnetted, 1 subnets
C 102.0.0.0 is directly connected, FastEthernet0/1
101.0.0.0/30 is subnetted, 1 subnets
C 101.0.0.0 is directly connected, FastEthernet0/0
10.0.0.0/24 is subnetted, 2 subnets
C 10.0.2.0 is directly connected, Loopback2
C 10.0.1.0 is directly connected, Loopback1
Отлично, рад, что пригодилось.
Как раз перед новым годом сдал CCNA Security, и могу от себя добавить пару-тройку вещей :-)
1) В IOS 15.3 появились новые методы шифрования секретов пользователей — Password-Based Key Derivation Function с использованием sha256 в качестве функции хеширования (type 8) и scrypt (type 9). Метод scrypt считается более защищённым, так как значения, созданные им сложнее сбрутфорсить. Использовать их можно следующим образом:
(config)#enable algorythm-type scrypt secret наш секрет
(config)#username Bob algorythm-type scrypt secret наш секрет
2) Для того, чтобы защититься от смены регистров через ROMMON и последующего сброса пароля злоумышленниками, и если мы уверены, что сброс пароля на данном устройстве нам не понадобится, можно в режиме глобальной конфигурации набрать команду no service password-recovery. Если в конфигурации устройства присутствует такая команда, то при его перезагрузке мы будем видеть строку «PASSWORD RECOVERY FUNCTIONALITY IS DISABLED». При отправке Break Sequence нам будет предложено лишь сбросить конфигурацию до дефолтной, т.е. попасть в ROMMON и скрытно поменять там конфиг-регистры мы не сможем.
3) Native VLAN лишь по умолчанию VLAN 1, т.е. мы можем настроить передачу кадров без тега в транке любого VLAN-а. И best-practice в данном случае native VLAN делать отличным от 1-го и не использовать его.
То, что доктор прописал.
Спасибо Линкмиап, спасибо Марат.
Мне одному немного больно слушать такие слова как хипсы и лулзсеки?
По поводу EIGRP хотелось бы добавить, что являясь distance-vector протоколом маршрутизации, он знает о маршрутах сетей только вплоть до своих соседей, с которыми у него установлены отношения и не строит всю карту сети в отличии от своих link-state собратьев. Это позволяет использовать меньше ресурсов маршрутизатора — памяти (не нужно держать в ней дерево SPF), процессора (просчитывать и пересчитывать кратчайшие пути). Ну и сама нагрузка на сеть снижается, так как отсутствует флуд LSA.
Здравствуйте.
Комментарий выше был как раз для того, чтобы поправить опечатку — она теперь исправлена)
Доброго времени суток!
А почему маска у адреса на R4 (fa 0/1) должна быть 24 бита, а не 30 как у остальных интерфейсов на роутерах в задаче?
Как небольшое дополнение. При наличии желания синхронизацию между переложить на OOB. Но с точки зрения дизайна такой подход рекомендуется только для recovery процедур.
Привет!
По поводу репликации БД. По сути, все процессы шарятся между всеми APIC в кластере. Данные, которые обрабатывают внутренние процессы, делятся на 32 части. И эти части раскидываются между серверами в +- равном распределении.
Начиная с версии 2.2 появилась возможность добавлять Standby ноды в кластер.
Есть такое понятие как Replica Vector. По сути это распределение процессов между нодами. Проверяя ее «статус» можно отслеживать не фейлятся ли какие-либо процессы. За это отвечает команда #acidiag rvread… Но такой траблшут должен выполняться только с полным пониманием того, что делается и с пониманием того за что отвечает каждый внутренний процесс. Т.е. это не пререгатива кастомера…
Спасибо за статью. На будущее стоит добавить еще про MRST (multiprocces RSTP). Данный функционал пользуется спросом у операторов и поддерживается, например, на коммутаторах агрегации Raisecom http://www.raisecom.su/equipment/ethernet_switches/optswitchfege2plus/
Если кратко, MRST позволяет на портах одного устройства создавать несколько независимых STP/RSTP/MSTP колец, так что перестроения в рамках одного кольца не приводят к перестроению других колец.
Спасибо за подкаст и полезную тему!

К слову о репликации, вопрос был мой.
«Нажимаешь в CUCM Apply Config, и не нужно знать, что там происходит в бэкэнде. Тут так же. »
— позволю тут частично не согласиться с аналогией и проблематикой. Можно игнорировать наличие БД и репликации между нодами ровно до момента, пока она не начнёт сбоить. А по опыту общения с CUCM 7.x-11.x и продуктами Cisco в целом это неизбежно случается. И тогда начинаются приключения.

Первый привет от Cisco TAC, когда есть подозрение на плавающие проблемы в CUCM-кластере:
utils dbreplication status
utils dbreplication runtimestate

И в том же CUCM топология репликации влияет на возможность управления кластером и частично на его функционирование: при выключенном Publisher’е невозможно вносить изменения в конфигурацию, хоть и некоторые user-facing функции продолжат работать.

Поэтому там, где есть кластер, лучше иметь понимание, с какими симптомами и последствиями он может (рано или поздно будет) разваливаться.
Все ИМХО, конечно.
Из всей статьи не понял как настраивается multicast-group, т.е. где настраивается ip группы multicast, для которой вещается трафик?
Принято!
Лютый вин!
Уважаю, братки:-)
Значит я неправильно понял изначальную цель деления по VLAN. Думал, что таким образом мы пользователей ограничиваем не только на уровне L2, но и на L3. По сути, до введения Inter-VLAN Routing-а это ведь так и было?
А после настройки Inter-VLAN Routing мы даем им доступ на уровне L3, но получаем возможность управлять доступами на этом уровне, правильно? Забегая вперед, хочу спросить — а вешать политики и управлять доступами мы можем только по конкретным пользователям, только по VLAN-ам или можно комбинировать оба способа?
  • avatar admin
  • 0
Нормально, актуально.
Задачи деления по VLAN:
1) Уменьшить широковещательный домен
2) Разграничить пользователей на уровне L2
Inter-VLAN Routing на L3-коммутаторе позволяет им общаться (а это обязательно необходимо), но только через этот L3-коммутатор, где мы можем повесить политики и управлять доступами.