我在vlan 99中创build了一个pipe理界面来远程login交换机(2900系列)。 我也想为属于不同vlan 101的计算机configuration同一台交换机的另一个pipe理接口。我可以configuration并使线路状态为up,但不能ping交换机。 但我发现应该只有一个交换机主动pipe理接口。 因此,我使用了3000系列(多端口)交换机,但仍然无法实现,因为我使用了networking(vlan 99为192.168.1.64/27)和vlan 101为192.168.1.100/27),因此出现了屏蔽错误。 我怎样才能同时拥有属于不同vlan的两个主机的两个pipe理界面?
我们从先前的公司inheritance了运行IOS 8.2(3)的ASA 5520的pipe理,现在我们正在通过直接连接到ASA接口之一的LAN链路将连接切换到VPN。 我们在IOS方面的技能不是很高。 当通过主stream协议(ssh,ftp,http …)的stream量无缝地stream过隧道时,所有其他stream量(例如端口82上的rsync,NGINX …)都被阻塞。 不用说,使用LAN链接没有问题。 我们为来自VPN的stream量设置一个permit ip any。 看文档,我们做了一个testing,跑了: Asa(config)# sysopt connection permit-vpn 这使得所有stream量都能stream动,但由于我们有不同的客户通过VPN连接,因此我们无法保持该选项的激活状态。 我们检查了存储在日志服务器中的所有ASA日志,但是我们没有发现任何提示。 我们试图通过思科的在线文档find解决scheme,我们浏览了用户组,但没有运气。 我们相信这个解决scheme是如此的微不足道,以至于没有人在没有解决问题的时候就经历过这个问题。 任何提示什么检查热烈欢迎。 我们的运行configuration是巨大的,我们相信这是没有用的发布一切,但如果问我们可以张贴build议的大块。
如果我在ASA上特别排查某些问题,那么能够将我所看到的系统日志消息过滤到只有那些相关的东西通常很有用。 如果我正在排除类似VPN隧道的故障,那么我可以使用类似于“vpn”类来过滤: logging class vpn buffered 6 但是,如果我想对ACL进行故障排除,那么即使这些消息存在syslog“类别”,也没有类,因此从106开始。 如果我想过滤一个没有定义类的“类”,我应该做一些类似于下面的类,还是有更好的方法? logging list mylist message 106000-106999 logging buffered mylist 这显然假设我想login到内部缓冲区。 如果我想login到其他地方,我会适当地更改命令。 有什么特别的原因,为什么一些系统日志“类别”没有定义的类? 仅仅是为了避免使用less量经常使用的类名称来污染类名称空间呢? 非常感谢
我在我的小公司有新的互联网服务提供商。 我从DHCP服务获得广域网IP,但ISP给我始终相同的IP地址。 他们已经设定了24小时的租赁时间。 我的路由器是cisco rv042小型企业。 我的问题来了:每天早上我来公司我没有互联网连接,但我的广域网地址是确定的。 当我让路由器重新启动互联网开始工作。 我试过的:我试图在我的广域网属性中设置静态IP(我总是从ISP DHCP得到相同的IP),但是我每天都失去连接。 我以前在旧的ISP上工作的路由器没有问题,但IP广域网静态configuration(没有这个DHCP ISP的狗屎,像新的ISP一样)。 是我的错还是新的ISP故障? 谢谢
我在Debian 8.5上configuration了ifenslave LACP。 两个端口连接到Cisco SLM2024交换机。 如果我断开1个链接,一切正常,另一个链接工作。 但是,当我重新连接第一个链接,我无法ping服务器,networking不起作用。 当我给ifdown bond0和ifup bond0时 ,networking再次工作。 这是正常的? 如果没有,解决scheme是什么? 的/ etc /networking/接口: auto eth0 iface eth0 inet manual bond-master bond0 auto eth1 iface eth1 inet manual bond-master bond0 auto bond0 iface bond0 inet static address 192.168.1.8 gateway 192.168.1.254 netmask 255.255.255.0 dns-nameservers 192.168.1.254 8.8.8.8 bond-mode 4 bond-miimon 100 bond-lacp-rate 1 bond-slaves eth0 […]
与五年前的这个问题类似 可以使用本地MacOS IKEv2 VPN客户端代替Cisco AnyConnect客户端吗? 示例anyconnectconfiguration文件: <AnyConnectProfile> <ServerList> <HostEntry> <HostName>VPN01_HostName</HostName> <HostAddress>VPN01.cisco.com</HostAddress> <PrimaryProtocol>IPsec <StandardAuthenticationOnly>false</StandardAuthenticationOnly> </PrimaryProtocol> </HostEntry> </ServerList> </AnyConnectProfile> 和MacOSconfiguration不工作(对我来说):
是否有一种方法可以同时在具有2个连接到2个不同ISP的Cisco路由器上进行负载平衡和故障切换? 根据我的理解,负载平衡是主动 – 主动,而故障切换是主动 – 备用,对吗?
首先:我在networking工程上发布了这个消息,但是被build议在这里发布,因为它被搁置了,因为太偏离了应用程序中心。 我不这么认为,因为这里发生的所有事情都发生在一个活跃的中介networking设备 – 路由器上。 我们正在尝试build立到外部站点的RDP连接。 它适用于来自任意networking(例如UMTS连接)的Windows 7和Windows 10客户端,但是从我们的networking只有Windows 10客户端可以工作。 我们捕获了我们的网关(内部和外部接口,Windows 7和10)上的连接build立/尝试,并注意到DTLSv1数据包(info:“Change Cipher Spec”)在内部和外部接口之间的网关“消失”但只适用于Windows 7客户端。 当Windows 10客户端尝试build立连接时,数据包出现在内部和外部接口上,并且连接build立成功。 我们的网关是带有IOS 15.2的Cisco 1921 / K9。 我们已经尝试过了: 远程RDS服务器是一个WinSrv2016。 我们第一次尝试解决这个问题的方法是将Windows 7机器上的RDP客户端版本升级到版本。 8.1 – 但它没有帮助。 我们还尝试在Windows 7客户端上降低MTU的大小,如下所示: https : //ask.wireshark.org/questions/29582/mtu-size-on-windows-machine-caused-retransmissions-and-event -你猜猜看; 这也没有帮助。 这里是捕获: 捕获:网关内部接口,Windows 7: No. Source Destination Protocol Length Info 1 10.128.0.44 xxx.xx.xx.xxx UDP 205 50625 → 15002 Len=163 2 xxx.xx.xx.xxx […]
有如下的思科路由器日志 Sep 18 20:55:30 2405:XXX:204:XXX:172:22:XXX:25 93596: 093382: Sep 18 20:53:17.848 IST: %TCP-6-BADAUTH: No MD5 digest from 2405:XXX:201:201:XXX:22:193:30(179) to 2405:XXX:201:XXX:172:22:XXX:25(15616) (RST) tableid – 0 我想要使用系统日志为每个日志键值对: "@timestamp": "Sep 18 20:55:30", "host": "2405:XXX:204:XXX:172:22:XXX:25", "seq_no1": "93596", "seq_no2": "093382", "@timestamp1": "Sep 18 20:53:17.848", "protocol": "TCP" "severity": "6" "message": "BADAUTH", "msg": "575387: No MD5 digest from 2405:XXX:201:201:XXX:22:193:30(179) to 2405:XXX:201:XXX:172:22:XXX:25(15616) (RST) tableid […]
RemoteSite (172.16.1.*) | Internet — InternetUsers | ASA — LocalUsers (192.168.1.*) | InsideNet (10.1.1.*) | Router | DeeperNet (10.22.22.*) 我有一个Cisco ASA 5510有三个接口,内部/外部/本地用户。 在内部有两个子网,InsideNet和DeeperNet,由一个简单的路由器连接。 ASA的路由表中有一个DeeperNet的条目。 远程站点通过外部接口上的LAN到LAN连接。 (此VPN包含InsideNet和DeeperNet,因此RemoteSite的用户可以联系DeeperNet上的服务器) 所有到InsideNet(10.1.1.1)上的Web服务器的stream量都需要redirect到Deepernet上的Web服务器(10.22.22.22)对于本地用户,这可以通过静态NAT规则轻松完成: static(inside,localusers)10.1.1.1 10.22.22.22 netmask 255.255.255.255 来自互联网用户的任何stream量都来自ASA的公共IP,并且使用静态NAT规则也很容易处理。 静态(内部,外部)203.203.203.203 10.22.22.22networking掩码255.255.255.255 我遇到问题的地方是VPN用户。 我不确定VPNfunction如何与NAT交互,以及NAT和VPN应用于ASA的顺序。 如何configuration一个静态NAT规则,以便任何通过VPN向远程用户发送数据的远程用户都将其redirect到10.22.22.22? 此NAT在VPNstream量select之前还是之后生效? (也就是说,如果将VPNconfiguration为RemoteSite < – > InsideNet,只有stream量通过10.1.1.1进入DeeperNet IP,或者ASA会查看真实的IP并确定它不属于VPN的一部分? )