Перейти к содержанию

Метка: cisco

Juniper SRX и Cisco ASA: серия очередная

Первый раз строить IPSec между Juniper SRX и Cisco ASA мне довелось ещё в далёком 2014 году. Уже тогда это было весьма болезненно, потому что проблем было много (обычно — разваливающийся при регенерации туннель), диагностировать было сложно (ASA стояла у нашего заказчика, поэтому возможности для дебага были ограничены), но как-то это работало.

С той поры и рекомендованный JunOS для SRX обновился на 15.1 (для линейки SRX300, по крайней мере), и ASA научилась в route based IPSec (c версии софта 9.8), что несколько упрощает настройку. И вот на текущей работе не так давно представился шанс снова собрать такую схему. И снова неудачно — при регенерации туннель благополучно падал (и не всегда поднимался без ручного рестарта). И снова в логах тишина и непонятки, а т.к. ASA находилась у нашего партнёра, то и дебажить, соответственно, не было никакой возможности.И вот теперь представился случай собрать схему, при которой обе стороны (и SRX, и ASA) находятся под нашим управлением, соответственно, поиграться можно на славу.

Оставьте комментарий

Как отравить кошку? Детективная история со счастливым концом

Статья подготовлена для Habrahabr

Устраивайся поудобнее, мой читатель. Сегодня я расскажу тебе увлекательную историю.

Все началось недавно. Свежеустановленный (меньше месяца) роутер Cisco вдруг на всех обиделся и ушел в себя. Настолько ушел, что на внешние раздражители реагировать перестал совершенно, трафик через себя пропускать посчитал делом неблагодарным и недостойным, и вообще закуклился по самое не могу.

Первая мысль после перезагрузки роутера: какой-то шутник решил запустить очередную убер-программу. Ну, или чей-нибудь ноут сошел с ума – тоже бывает. Однако пристальное изучение трафика (netflow, прослушка tcpdump-ом на предмет хитрого бродкаста) ничего не дало. Более того, шторм-контроль на клиентских портах не срабатывал.

А тем временем, роутер, проработавший после ребута едва ли пять минут, снова завис. Прошу заметить, в самый разгар рабочего дня. «К счастью», телефония шла через этот же роутер, и только это спасло нас от воплей огорченных коллег:).

Оставьте комментарий

Настройка MVR на Cisco ME3400

Начну с небольшого ликбеза. MVR (он же Multicast Vlan Registration) — технология, позволяющая инжектировать мультикаст во влан клиента непосредственно на свиче доступа. У D-Link такая технология называется ISM VLAN (IGMP Snooping Multicast VLAN). Таким образом до самого доступа влан с мультикаст-потоком у нас один, и только в самом конце он подмешивается к обычному пользовательскому влану. При этом Join/Leave сообщения также перехватываются и инжектируются в мультикаст-влан.

Для чего вообще это нужно? Можно, например, развести влан с мультикастом и клиентским трафиком по разным физическим трассам. Или не превращать каждый маршрутизатор еще и в PIM-роутер, уменьшая нагрузку на него. Вместе с IGMP Snooping использование MVR так же позволяет сэкономить на емкости каналов между сервером-источником и клиентами, например при использовании схемы vlan-на-пользователя.
В общем, если вы осознали, что вам нужна именно эта технология, добро пожаловать под кат.

Оставьте комментарий