Статические маршруты на то и статические, что находятся в таблице маршрутизации всегда, кроме случаев, когда ассоциированный интерфейс FG уходит в Down, или не появится дублированный маршрут, но с меньшей Distance. В таком поведении есть большой минус, т.к. линк может упасть далеко не только на FG, а где-нибудь дальше. Как итог мы получаем падение сервиса.

Для фильтрации маршрутов BGP, для редистрибуции маршрутов между протоколами, мы можем использовать access-lists и prefix-lists.
Для фильтрации маршрутов Prefix-lists имеют преимущество над access-lists по своей гибкости, но вместе с тем Prefix-list чуть сложнее для восприятия.

Итак, Prefix-list - это набор IP Address prefixes, который может быть использован в правилах фильтрации маршрутов.
Prefix-list может идти с операторами ge (Greater than or Equal to) и le (less than or equal to), которые помогают при фильтрации.

Наборы всех команд FG можно сравнить с деревом, и его корень начинается с основных команд:

• CONFIG - конфигурирование объектов
• GET - запросить значения объектов в данном разделе
• SHOW - показать конфигурацию в данном разделе
• EXECUTE - запустить команду
• DIAGNOSE - команды диагностики

Например:

config system interface

Здесь system является Object, а interface является SubObject.

Создание Snapshot

1. Вставляем флешку в интересующий нас коммутатор

2. request system snapshot media usb partition

   "partition" означает, что все данные на флешке будут удалены.

DNS - это Domain Name System.
Изначально, когда Интернет только появился, обращение к хостам производилась через IP адреса.
Уже в последствии появилась система DNS.

У Junniper EX нет возможности разграничивать доступ на VTI.
По умолчанию, если на L3 коммутаторе создано несколько интерфейсов VLAN или IRB, по SSH можно зайти на любой из них.

Для ограничения можно использовать следующую конструкцию:

Полезные команды

Проверяем статус сервисов:

show application status ise

Полная остановка системы.("по кнопке" выключать крайне нежелательно)

1. application stop ise
2. halt

Установка ISE 3.2

при создании виртуальной машины выделяем ресурсы:

Eltex

router ospf 10
area 0.0.0.0
enable
exit
enable
exit
!
tunnel vti 1
mtu 1420
ip ospf instance 10
ip ospf network point-to-point
ip ospf area 0.0.0.0
ip ospf
exit
!
security zone-pair trusted self
 rule 70
    action permit
    match protocol ospf
    enable
  exit

Fortigate

fg200f-node0 (ospf) # show
config router ospf
    set router-id 10.2.252.145
    config area
        edit 0.0.0.0
        next
    end
    config ospf-interface
        edit "RVD"
            set interface "VPN-RVD-PM"

Полезные команды

Проверка health:
show environment

Классический дизайн сети выглядит следующим образом:

Классический подход включает разделение сети на уровни:
- Client Access - Подключение конечных устройств
- Distribution - Если коммутаторов доступа становится много, появляется Distribution Layer, который объединяет коммутаторы уровня Client Access. В случае территориального распределения, добавляются дополнительные коммутаторы Distribution Layer.

Cisco c881w имеет wifi на борту.
Надо понимать, что wifi реализован в виде отдельного модуля, связь с которым происходит через, хоть и внутренний, но интерфейс.
Схематически это выглядит следующим образом:

Конфигурация на Router

Создадим простую конфигурацию, необходимую для работы Интернет

Создадим конфигурацию Mikrotik ROS7 для работы с несколькими каналами.

Рассмотрим следующую схему с двумя провайдерами:

Создание Routing Tables

Первое, что мы сделаем - создадим Routing Tables.
Различные Routing Table позволят заставить соединения использовать определённый путь.
Затем в каждой Routing Table мы создадим свой маршрут.

Итак, создаём Routing Tables

Подключение Mikrotik к коммутатору Cisco

Настроим Bond:
Со стороны Mikrotik: ether2,ether3
Co стороны Cisco: GigabitEthernet1/0/7, GigabitEthernet2/0/7

В определённый момент загрузка CPU маршрутизатора может начать зашкаливать.
Для определения причины даём команду:

show processes cpu sorted

Если лидером является IP input, причина кроется в обработке трафика.
Это может быть чрезмерная нагрузка из-за большого объема трафика.
Причину можно выяснить через команду:

show interfaces

Если команда показывает высокую загрузку интерфейса, можно вычислить виновника:

Конфигурация Cisco

1. Настраиваем AAA
   

   aaa authentication login default local enable
   aaa authentication ppp default local
   aaa authorization exec default local
   !
   username l2tp_user1 password 0 testpass
   username l2tp_user1 autocommand exit
   

   Под этим пользователем будет производиться логин клиента.
   Здесь пароль пользователя должен быть в открытом виде, если сделать secret - работать не будет.

Cisco 3750x может выступать в роли Ядра сети, и участвовать в маршрутизации.
Обычно шлюзом по умолчанию на ядре выставляют прокси-сервер или устройство NGFW, где происходит применение политик, и трансляция адреса клиента.

Бывают случаи, когда нам необходимо перенаправить трафик не только на основе destination address, но и на основе source address. В этом случае мы будем применять Policy Based Routing, или PBR.

В общем случае на коммутаторах 3750 нам сперва необходимо активировать routing SDM (по умолчанию стоит sdm prefer default)

Routing Instance

Junos способна логически группировать Routing Tables, интерфейсы, а также протоколы маршрутизации.
Такая группа называется Routing Instance
В каждой Routing Instance маршрутизация работает изолированно.

Использование Routing Instances даёт большую гибкость в настройках, поскольку одно устройство может работать, имитируя работу нескольких.

Имеется стек из 4-х коммутаторов EX2200.
После перезагрузки перестал пинговаться и работать.

Factory Reset

Factory Reset может зависеть от конкретной модели.
Для 1142 процедура следующая:
1) Нажимаем и держим mode button, включаем питание
2) Держим mode button 5-10сек
3) Отпускаем mode button

Первое подключение

Подключаемся консольным кабелем + Putty (Speed 9600)
Логин по умолчанию: Cisco/Cisco

VLAN Trunking Protocol (VTP) был разработан компанией Cisco для распространения настроек VLAN-ов среди коммутаторов LAN.
VTP позволяет добавлять, удалять и переименовывать VLAN-ы

VTP Domains

VTP организован в VTP Domains.
Коммутатор может принадлежать только к одному VTP Domain.
Коммутаторы, находящиеся в одном домене обмениваются друг с другом информацией:
- VTP revision number
- known VLANs
- specific VLAN parameters

VTP Mode

VTP Mode определяет как коммутатор будет обрабатывать информацию VTP: