Последние сообщения

Страницы: [1] 2 3 ... 10
1
Коллега благодарю за помощь!!! Проблему я решил!

Пробовал на следующих образах!!!
System image file is "unix:/opt/unetlab/addons/iol/bin/i86bi-linux-l2-upk9-12.2.bin"
System image file is "unix:/opt/unetlab/addons/iol/bin/L2-ADVENTERPRISEK9-M-15.2-IRON-20151"

И каково было мое разочарование ненавистное сообщение о блокировке порта я получил и тут(((
Но я еще раз обратился к "О Всеведущий Google" и подсказал как решить проблему (чтоб и овцы целы и волки сыты)! Решение дается до безобразия просто!!! Надо на порту указать "spanning-tree bpdufilter enable"

interface Ethernet0/0
 switchport
 switchport access vlan 200
 switchport mode access
 duplex auto
 spanning-tree bpdufilter enable

(config-if)#do sh spa vlan 200

VLAN0200
  Spanning tree enabled protocol rstp
  Root ID    Priority    32968
             Address     aabb.cc00.9000
             This bridge is the root
             Hello Time   2 sec  Max Age 20 sec  Forward Delay 15 sec

  Bridge ID  Priority    32968  (priority 32768 sys-id-ext 200)
             Address     aabb.cc00.9000
             Hello Time   2 sec  Max Age 20 sec  Forward Delay 15 sec
             Aging Time 300

Interface           Role Sts Cost      Prio.Nbr Type
------------------- ---- --- --------- -------- --------------------------------
Et0/0               Desg FWD 100       128.1    Shr
 
(config-if)#do sh ip int br
Interface              IP-Address      OK? Method Status                Protocol
Ethernet0/0            unassigned      YES unset  up                    up
Vlan200                172.16.10.253   YES manual up                    up

(config-if)#do ping 172.16.10.1

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 172.16.10.1, timeout is 2 seconds:
.!!!!

Одним словом победа!!! Большое спасибо!!!
2
Так я тоже склоняюсь к варианту что я налетел на багу в 15.1.

И я все же запустил Dump.... Получил самый настоящий крах своих постулатов!!!

напоминаю у меня следующая архитектура

Vlan200---->Cisco3750--->HPG8--->ESXI(6.0)--->(Eve-NG)

Ключевая моя ошибка что я думал что ESXI отбрасывает пакеты!!! Это было мое заблуждение

Cisco3750--(CDP,STP...)<---->Brige (ESXI(6.0)--->(Eve-NG))<---->virtual(L2-Switch) короче он туда все запрокидывает без обработки... Век живи век учись!

P.S. Если есть образа и есть возможность поделиться буду очень благодарен)))

Вдогонку я отключал STP для VLAN 200 и это работает, но меня такой вариант не устраивает, так как противоречит условиям стенда!





 
3
Выдержка из доков EVE-NG:

2.2 Supported virtualization platformsand software
•VMware Workstation 12.5 or later
•VMware Player 12.5 or later
•VMware ESXi 6.0 or later

EVE-NG работает очень стабильно и устойчиво. Проблемы обычно с самими виртуальными образами. C L2 всегда была беда, надо ставить v12.2 с названием high_iron от 2017 или 2019 годов. Как для IOL, так и vIOS.

P.S.
Еще один вариант лечения этой проблемы, отключить stp на vlan200:
no spanning-tree vlan 200
4
Test L2 switch image

System image file is "unix:/opt/unetlab/addons/iol/bin/i86bi-linux-l2-adventerprise-15.1b.b"
and
Cisco IOS Software, vios_l2 Software (vios_l2-ADVENTERPRISEK9-M), Version 15.2(CML_NIGHTLY_20150414)FLO_DSGS7, EARLY DEPLOYMENT DEVELOPMENT BUILD, synced to  DSGS_PI5_POSTCOLLAPSE_TEAM_TRACK_CLONE

Да я как раз и изучал эту статью. Выводы я как раз и делал в предыдущем посте. Вся суть статьи сводиться "Если делаешь, то думай что ты делаешь"((

Давайте пойдем от противного, у меня следующая архитектура

Vlan200---->Cisco3750--->HPG8--->ESXI(6.0)--->(Eve-NG)

Соответственно Cisco3750 является корневым свитчем c него уходить туннель(trunk) в сторону HPG8 (dvswitch). Соответственно с dvswitch в сторону EVE-NG снимается всякий tgging(trunk) vlan и он идет как untagging(access) и приходит через сетевой мост на виртуальный свитч. Так я как думаю все летящие пакеты с 3750 в сторону виртуального коммутатора должны отбрасываться. Как то было бы глупо строить STP между 3750 и виртуалкой. Но я до сих пор не могу понять откуда прилетают BPDU(wireshark пока не задалось и снять дамп не выходит)

Повторюсь проблема появилась после того как я обновил ESXI с 5.5 до 6.0... А вообще есть у EVE-NG  понятие стабильной работы и под каким ESXI это работает?

Info 3750
System image file is "flash:/c3750e-universalk9npe-mz.150-2.SE1.bin"

VLAN0200
  Spanning tree enabled protocol rstp
  Root ID    Priority    28872
             Address     d48c.b52e.1e80
             This bridge is the root
             Hello Time   2 sec  Max Age 20 sec  Forward Delay 15 sec

  Bridge ID  Priority    28872  (priority 28672 sys-id-ext 200)
             Address     d48c.b52e.1e80
             Hello Time   2 sec  Max Age 20 sec  Forward Delay 15 sec
             Aging Time  300 sec
   

И чтоб не крутить посты вот Vlan 200 c виртуального свитча

VLAN0200
  Spanning tree enabled protocol rstp
  Root ID    Priority    32968
             Address     5000.0010.0000
             This bridge is the root
             Hello Time   2 sec  Max Age 20 sec  Forward Delay 15 sec

  Bridge ID  Priority    32968  (priority 32768 sys-id-ext 200)
             Address     5000.0010.0000
             Hello Time   2 sec  Max Age 20 sec  Forward Delay 15 sec
             Aging Time  300 sec


Как видно протокол STP одинаковый
   
5
Кстати, вот хороший материал по этой теме, разбирающий варианты Type-Inconsistencies и их причины:
https://www.cisco.com/c/en/us/support/docs/lan-switching/spanning-tree-protocol/24063-pvid-inconsistency-24063.html

А что за образ для L2 коммутатора Вы используете? IOL, vIOS?

6
Позвольте не согласиться, на сетевой адаптер VM присваивается только один Vlan. В последствии собирается сетевой мост
Вот так у меня настроен Cloud1
# Cloud devices
iface eth1 inet manual
auto pnet1
iface pnet1 inet manual
    bridge_ports eth1
    bridge_stp off      #default off
#    bridge_ageing 0


Но ваше утверждение тоже имеет право на жизнь и я решил ее проверить

настройка сетевого интерфейса

interface Ethernet0/0
 switchport trunk encapsulation dot1q
 switchport trunk allowed vlan 200
 duplex auto

*May 30 11:16:28.717: %SPANTREE-7-RECV_1Q_NON_TRUNK: Received 802.1Q BPDU on non trunk Ethernet0/0 VLAN1.
*May 30 11:16:28.717: %SPANTREE-7-BLOCK_PORT_TYPE: Blocking Ethernet0/0 on VLAN0001. Inconsistent port type.

Он даже до 200 не дошел. Свалился на нативном Vlan((((

Google говорит что (Inconsistent port type) это не стыковка STP протоколов! Условно говоря у меня на одном конце MST а на другом RSTP+... Но я побывал перебором, тоже не сработало(((

Похоже надо уходить на изыскание на уровне Dump. И смотреть что ко мне приходи и что я отдаю
7
Коллега, здравствуйте!

Сообщение "Inconsistent port type" говорит о не стыковке типа портов (Gi01 и Cloud1). Первый в режиме Access, а Cloud1 - 802.1Q Trunk.
Надо либо в настройках ESXi поменять режим, либо на L2 коммутаторе.

А "media-type rj45" скорее всего просто глюк IOL образа. Как быстрое решение, вероятно можно экспортировать конфигурацию коммутатора и руками добавить в текст конфига в eve-ng строчку "no media-type rj45".
8
Доброго времени суток! Помогите разобраться, обновил сервер для EVE. Сам сервер ESXI 6.0, раньше был 5.5

Суть проблемы такова мне необходимо подключить к лаборатории внешнюю сеть. Я соответственно это делаю через Cloud1 и после старта, появляется такая строка

*May 29 19:26:56.506: %SPANTREE-7-RECV_1Q_NON_TRUNK: Received 802.1Q BPDU on non trunk GigabitEthernet1/0 VLAN200.
*May 29 19:26:56.507: %SPANTREE-7-BLOCK_PORT_TYPE: Blocking GigabitEthernet1/0 on VLAN0200. Inconsistent port type.

CTU-TSH#sh spanning-tree vlan 200

VLAN0200
  Spanning tree enabled protocol rstp
  Root ID    Priority    32968
             Address     5000.0010.0000
             This bridge is the root
             Hello Time   2 sec  Max Age 20 sec  Forward Delay 15 sec

  Bridge ID  Priority    32968  (priority 32768 sys-id-ext 200)
             Address     5000.0010.0000
             Hello Time   2 sec  Max Age 20 sec  Forward Delay 15 sec
             Aging Time  300 sec

Interface           Role Sts Cost      Prio.Nbr Type
------------------- ---- --- --------- -------- --------------------------------
Gi1/0               Desg BKN*4         128.5    Shr *TYPE_Inc

interface GigabitEthernet1/0
 switchport access vlan 200
 switchport mode access
 media-type rj45
 no negotiation auto
end


По сути проблема в строчке  media-type rj45 так как в сообщении говориться о  (Inconsistent port type.) Эмпирическим путем я выяснил, что если удалить media-type rj45 и перезапустить интерфейс все начинает работать


(config-if)#do sh run int gi 1/0
Building configuration...

Current configuration : 109 bytes
!
interface GigabitEthernet1/0
 switchport access vlan 200
 switchport mode access
 no negotiation auto
end

(config-if)#do sh spa vlan 200

VLAN0200
  Spanning tree enabled protocol rstp
  Root ID    Priority    32968
             Address     5000.0010.0000
             This bridge is the root
             Hello Time   2 sec  Max Age 20 sec  Forward Delay 15 sec

  Bridge ID  Priority    32968  (priority 32768 sys-id-ext 200)
             Address     5000.0010.0000
             Hello Time   2 sec  Max Age 20 sec  Forward Delay 15 sec
             Aging Time  300 sec

Interface           Role Sts Cost      Prio.Nbr Type
------------------- ---- --- --------- -------- --------------------------------
Gi1/0               Desg FWD 4         128.5    Shr


Но вот проблема, если перезапустить, то строчка  media-type rj45 появляется снова и все перестает работать!!!((( Знает кто нить способ как победить данный недуг?
9
Коммутация и Маршрутизация - Routing & Switching / нужна помощь по 1941
« Последний ответ от sarkai Мая 27, 2020, 09:56:46 am »
Доброго всем времени суток!
Есть 2 беды с 1941.
1 беда где то есть косяк в кфг 1941 что не выбрасывается домашняя страница https:\\****
2 беда есть у сотрудников проставлен клиент Vpn cisco там стоят обезличенные профиля, все работает цепляются, но нужно не меняя настроек (переустанавливая клиента) заставить их проходить авторизовываться на радиус серваке. Радиус сервак на Windows 16 развернул, работает с anyconnect - но ограничение там по лицензиям (2 только лицензии висит в асе).
TK2#sh runn
Building configuration...

Current configuration : 5870 bytes
!
! Last configuration change at 17:36:26 UTC Tue May 26 2020
!
version 15.4
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname TTK2
!
boot-start-marker
boot-end-marker
!
!
enable secret 5
enable password 7
!
aaa new-model
!
!
aaa group server radius NPS
server name S13-DC-AU2
!
aaa authentication login VPN_USERS local
aaa authentication login VPN group NPS
!
aaa attribute list VPN_ADMINS
attribute type user-vpn-group "VPN_ADMINS"
!
aaa attribute list VPN_USERS
attribute type user-vpn-group "VPN_USERS"
!
aaa session-id common

ip domain name moren.vlmrk.corp
ip name-server 10.13.1.10
ip name-server 10.64.1.11
ip name-server 10.64.1.12
ip name-server 10.13.16.6
ip inspect udp idle-time 3600
ip ddns update method sdm_ddns1
DDNS both
!
ip cef
ipv6 spd queue min-threshold 30
ipv6 spd queue max-threshold 31
no ipv6 cef
!
multilink bundle-name authenticated
!
cts logging verbose
!
crypto pki trustpoint ME_TRUSTPOINT
enrollment selfsigned
serial-number
ip-address 80.237.****.***
subject-name CN=firewallcx-certificate
revocation-check crl
rsakeypair TTK
!
!
crypto pki certificate chain ME_TRUSTPOINT
license udi pid CISCO1941/K9 sn FCZ1931C12N
!
!
username remoteuser secret
username remoteuser aaa attribute list VPN_USERS
username remoteusers secret
username remoteusers aaa attribute list VPN_USERS
username remoteadmin secret
username remoteadmin aaa attribute list VPN_USERS

redundancy

crypto vpn anyconnect flash0:/webvpn/anyconnect-win-4.6.01103-webdeploy-k9.pkg sequence 1

interface Embedded-Service-Engine0/0
no ip address
shutdown

interface GigabitEthernet0/0
description Lan
ip address 10.13.0.24 255.255.255.128
no ip unreachables
no ip proxy-arp
ip nat inside
ip virtual-reassembly in
duplex auto
speed auto
history BPS
no cdp enable
hold-queue 32 in

interface GigabitEthernet0/1
ip address 192.168.9.3 255.255.255.248
ip access-group 101 in
ip access-group webvpn out
no ip unreachables
no ip proxy-arp
ip nat outside
ip virtual-reassembly in
duplex auto
speed auto
history BPS
no cdp enable

interface Virtual-Template1
ip unnumbered GigabitEthernet0/1

ip local pool WEBVPN_POOL 10.13.24.1 10.13.24.250
ip default-gateway 192.168.9.1
ip forward-protocol nd

no ip http server
ip http secure-server

ip nat inside source route-map SDM_RMAP_1 interface GigabitEthernet0/1 overload
ip route 0.0.0.0 0.0.0.0 192.168.9.1
ip route 10.10.10.128 255.255.255.128 10.13.0.1
ip route 10.12.12.0 255.255.255.0 10.13.0.10
ip route 10.13.0.128 255.255.255.128 10.13.0.1
ip route 10.13.1.0 255.255.255.0 10.13.0.1
ip route 10.13.10.0 255.255.255.0 10.13.0.1
ip route 10.13.11.0 255.255.255.0 10.13.0.1
ip route 10.13.12.0 255.255.255.0 10.13.0.1
ip route 10.13.23.0 255.255.255.0 10.13.0.1
ip route 10.13.24.0 255.255.255.0 10.13.0.1
ip ssh time-out 60
ip ssh authentication-retries 2
ip ssh logging events
ip ssh version 2

ip access-list extended Administrator_ACL
permit ip any any
ip access-list extended NAT_to_world
permit tcp any host 193.110.91.19
permit tcp any host 94.198.55.155
deny tcp any host 94.198.55.91
deny tcp any host 178.20.235.48
deny tcp any host 213.252.177.122
deny tcp any host 188.127.241.30
deny tcp any host 185.12.241.63
deny ip any 192.168.7.0 0.0.0.255
deny ip any 10.0.0.0 0.255.255.255
deny ip any 172.16.0.0 0.0.255.255
deny ip any 10.13.0.0 0.0.255.255
deny ip any 10.13.15.0 0.0.0.255
deny ip any 10.64.0.0 0.0.255.255
deny ip any 10.13.23.0 0.0.0.255
permit ip 10.13.12.0 0.0.0.255 any
deny ip any any
ip access-list extended User_ACL
permit ip 172.23.40.0 0.0.0.255 10.13.24.0 0.0.0.255
permit ip 10.64.0.0 0.0.255.255 10.13.24.0 0.0.0.255
permit ip 10.13.0.0 0.0.255.255 10.13.24.0 0.0.0.255
permit ip 10.13.10.0 0.0.0.255 10.13.24.0 0.0.0.255
permit ip 172.24.16.0 0.0.0.255 10.13.24.0 0.0.0.255
permit ip 192.168.3.0 0.0.0.255 10.13.24.0 0.0.0.255
permit ip 10.13.203.0 0.0.0.255 10.13.24.0 0.0.0.255
deny ip any any

route-map SDM_RMAP_1 permit 1
match ip address NAT_to_world

radius server NPS
address ipv4 10.13.1.30 auth-port 1645 acct-port 1646
key *******

control-plane
!
!
banner login ^CCCCC

*********************************ATTENTION*********************************

Unapproved access is forbidden. Unapproved access is pursued under the LAW!

***************************************************************************

^C
!
line con 0
line aux 0
line 2
no activation-character
no exec
transport preferred none
transport output pad telnet rlogin lapb-ta mop udptn v120 ssh
stopbits 1
line vty 0 4
access-class 23 in
exec-timeout 30 0
privilege level 15
password 7 15350E05162832227967337340
logging synchronous level all
transport input ssh
line vty 5 113
access-class 23 in
privilege level 15
logging synchronous level all
transport input ssh
line vty 114 153
transport input ssh
!
scheduler allocate 20000 1000
!
!
webvpn gateway WEBVPN_GATEWAY
ip address 80.237.**.** (внешний белый адрес DMZ зоне проброшенный) port 443
http-redirect port 80
ssl trustpoint ME_TRUSTPOINT
inservice
!
webvpn context WEBVPN_CON
title "*** - ***"
login-message "we work here, not relax"
virtual-template 1
aaa authentication list VPN_USERS
max-users 5
!
ssl authenticate verify all
inservice
!
policy group WEBVPN_POLICY
functions svc-enabled
svc address-pool "WEBVPN_POOL" netmask 255.255.255.0
svc split include 10.13.24.0 255.255.255.0
default-group-policy WEBVPN_POLICY
!
end

TTK2#

10
Коммутация и Маршрутизация - Routing & Switching / 2 ISP с резервом
« Последний ответ от parvin_92 Мая 06, 2020, 03:09:54 pm »
Добрый утро коллеги,
в этот лаб настроил HSRP, если первый ISP1 падал то второй автоматом работал, между switch  настроил Port-channel,
у меня такое вопрос щас все работает, но не могу пинговатся из PC8 свой R2 u ISP2, если отключу ISP1 то пинг работает в чем может быть проблема, спасибо заранее

вот здесь все мои настройки

config R1
!
interface Ethernet0/0
no ip address
no ip redirects
no ip proxy-arp
!
interface Ethernet0/0.101
description ISP
encapsulation dot1Q 101
ip address 10.10.10.2 255.255.255.252
no ip redirects
no ip proxy-arp
ip nat outside
ip virtual-reassembly in
!
interface Ethernet0/1
no ip address
no ip redirects
no ip proxy-arp
!
interface Ethernet0/1.102
description DEVICE
encapsulation dot1Q 102
ip address 192.168.1.254 255.255.255.0
ip virtual-reassembly in
standby version 2
standby 102 ip 192.168.1.1
standby 102 priority 120
standby 102 preempt
!
interface Ethernet0/1.103
description USER
encapsulation dot1Q 103
ip address 192.168.2.254 255.255.255.0
ip nat inside
ip virtual-reassembly in
standby version 2
standby 103 ip 192.168.2.1
standby 103 priority 120
standby 103 preempt
!
no ip http server
no ip http secure-server
ip nat inside source list FOR-NAT interface Ethernet0/0.101 overload
ip route 0.0.0.0 0.0.0.0 10.10.10.1 name ISP1
!
ip access-list extended FOR-NAT
permit ip 192.168.1.0 0.0.0.255 any
permit ip 192.168.2.0 0.0.0.255 any

!

config R2
!
interface Ethernet0/0
no ip address
no ip redirects
no ip proxy-arp
!
interface Ethernet0/0.101
description ISP
encapsulation dot1Q 101
ip address 11.11.11.2 255.255.255.252
no ip redirects
no ip proxy-arp
ip nat outside
ip virtual-reassembly in
!
interface Ethernet0/1
no ip address
no ip redirects
no ip proxy-arp
!
interface Ethernet0/1.102
description DEVICE
encapsulation dot1Q 102
ip address 192.168.1.253 255.255.255.0
ip virtual-reassembly in
standby version 2
standby 102 ip 192.168.1.1
standby 102 priority 110
standby 102 preempt
!
interface Ethernet0/1.103
description USER
encapsulation dot1Q 103
ip address 192.168.2.253 255.255.255.0
ip nat inside
ip virtual-reassembly in
standby version 2
standby 103 ip 192.168.2.1
standby 103 priority 110
standby 103 preempt
!
no ip http server
no ip http secure-server
ip nat inside source list FOR-NAT interface Ethernet0/0.101 overload
ip route 0.0.0.0 0.0.0.0 11.11.11.1 name ISP2
!
ip access-list extended FOR-NAT
permit ip 192.168.1.0 0.0.0.255 any
permit ip 192.168.2.0 0.0.0.255 any
!

 

config s5
!
interface Port-channel1
switchport trunk allowed vlan 101-103
switchport trunk encapsulation dot1q
switchport mode trunk
!
interface Ethernet0/0
switchport trunk allowed vlan 101
switchport trunk encapsulation dot1q
switchport mode trunk
!
interface Ethernet0/1
switchport trunk allowed vlan 102,103
switchport trunk encapsulation dot1q
switchport mode trunk
!
interface Ethernet0/2
description TO -> S6
switchport trunk allowed vlan 101-103
switchport trunk encapsulation dot1q
switchport mode trunk
channel-protocol lacp
channel-group 1 mode active
!
interface Ethernet0/3
description TO -> S6
switchport trunk allowed vlan 101-103
switchport trunk encapsulation dot1q
switchport mode trunk
channel-protocol lacp
channel-group 1 mode active
!
interface Ethernet1/0
switchport access vlan 103
switchport mode access
!
interface Ethernet1/1
shutdown
!
interface Ethernet1/2
shutdown
!
interface Ethernet1/3
description ISP
switchport access vlan 101
switchport mode access
!
interface Vlan1
no ip address
no ip route-cache
shutdown
!
!
interface Vlan102
ip address 192.168.1.101 255.255.255.0
no ip route-cache
!
ip default-gateway 192.168.1.1
ip forward-protocol nd
!
no ip http server
no ip http secure-server
!

config s6
!
interface Port-channel1
switchport trunk allowed vlan 101-103
switchport trunk encapsulation dot1q
switchport mode trunk
!
interface Ethernet0/0
switchport trunk allowed vlan 101
switchport trunk encapsulation dot1q
switchport mode trunk
!
interface Ethernet0/1
switchport trunk allowed vlan 102,103
switchport trunk encapsulation dot1q
switchport mode trunk
!
interface Ethernet0/2
description TO -> S5
switchport trunk allowed vlan 101-103
switchport trunk encapsulation dot1q
switchport mode trunk
channel-protocol lacp
channel-group 1 mode active
!
interface Ethernet0/3
description TO -> S5
switchport trunk allowed vlan 101-103
switchport trunk encapsulation dot1q
switchport mode trunk
channel-protocol lacp
channel-group 1 mode active
!
interface Ethernet1/0
switchport access vlan 103
switchport mode access
!
interface Ethernet1/1
shutdown
!
interface Ethernet1/2
shutdown
!
interface Ethernet1/3
description ISP
switchport access vlan 101
switchport mode access
!
interface Vlan1
no ip address
no ip route-cache
shutdown
!
!
interface Vlan102
ip address 192.168.1.102 255.255.255.0
no ip route-cache
!
ip default-gateway 192.168.1.1
ip forward-protocol nd
!
no ip http server
no ip http secure-server
!
Страницы: [1] 2 3 ... 10