Здравствуйте, Буду благодарен за любой совет по выбору подходящей модели ISR 4000 и лицензии на программное обеспечение DNA. В настоящее время на нашем сайте используются два ISR4331 с программным обеспечением Tier 0 DNA, подключенные к двум интернет-линиям — одна со скоростью 100 Мбит/с, а другая — 60 Мбит/с. Мы планируем модернизировать линию 100 Мбит/с до линии 3 Гбит/с и попросили нашего поставщика модернизировать модель маршрутизатора и пропускную способность программного обеспечения DNA. Поставщик порекомендовал продолжить использование текущих ISR 4331 и просто сменить программное обеспечение DNA с Tier 0 на Tier 1. Мы не понимаем их рекомендацию, потому что Tier 1 может поддерживать до 200 Мбит/с/400 Мбит/с в соответствии с Продуктами — Программное обеспечение Cisco DNA Subscription для SD-WAN и маршрутизации — Часто задаваемые вопросы — Cisco , а пропускная способность ISR4331, судя по всему, составляет до 300 Мбит/с в соответствии с Техническими характеристиками маршрутизатора Cisco 4000 Family Integrated Services — Cisco. Поставщик объяснил, что, поскольку новая линия 3 Гбит/с является широкополосной, мы должны рассматривать пропускную способность как 10 % от предлагаемой пропускной способности, то есть 300 Мбит/с. Хотя я понимаю, что 3 Гбит/с не будут реализованы в полной мере, я задаюсь вопросом, является ли 10 % действительно разумным сокращением. Если у вас есть опыт или знания о том, как выбрать модель ISR серии 4000 и опции программного обеспечения DNA, пожалуйста, поделитесь своим советом.

Вот конфигурация трекера: трекер tracker1 endpoint-ip 8.8.8.8 Она применяется здесь: vpn 0 name VPN0_Underlay_VPN dns 4.2.2.2 secondary dns 8.8.8.8 primary interface ge0/0 description INET1 ip dhcp-client nat respond-to-ping ! tracker tracker1 vedge1# show tracker СТАТУС VPN-ИНТЕРФЕЙСА RTT 0 ge0_0 UP Таймаут ame VPN0_Underlay_VPN dns 4.2.2.2 secondary dns 8.8.8.8 primary interface ge0/0 description INET1 ip dhcp-client nat respond-to-ping ! tracker tracker1 Статус: неактивен Я сократил вывод, чтобы вы могли увидеть, что статус трекера — DOWN. vedge1# show interface ge0/0 | tab 0 ge0/0 ipv4 192.168.3.10/24 Up Up Down router1# ping 8.8.8.8 Ping в VPN 0 PING 8.8.8.8 (8.8.8.8) 56(84) байт данных. 64 байта от 8.8.8.8: icmp_seq=1 ttl=115 time=14.2 ms 64 байта от 8.8.8.8: icmp_seq=2 ttl=115 time=13.5 ms Есть какие-нибудь идеи?

Привет всем, Мы создали IPsec-туннель в Cisco Secure Access, но не можем увидеть детали конфигурации фазы 1 и фазы 2. С уважением С. Раджеш

Я попытался внедрить изменение в существующую группу политик, и задача застряла в состоянии «запланировано» на длительный период времени. Я удалил застрявшую задачу с помощью вызова API, как описано здесь, но теперь внедрение политики застряло. При любой попытке внести изменения в политику или подключенное к ней устройство я получаю ошибку о том, что внедрение группы находится в процессе. Есть ли способ очистить развертывание?

Когда маршрутизатор SD-WAN устанавливает контрольное соединение с vManage или vSmart, он сначала создает сеанс DTLS с vBond. Если маршрутизатор SD-WAN имеет два цвета/интерфейса, private1 и public-internet, и каждый из них имеет свой собственный маршрут по умолчанию, как определяется интерфейс, используемый для доступа к vBond? Проще говоря, когда есть несколько маршрутов по умолчанию (например, private1 и public-internet), как маршрутизатор решает, какой маршрут по умолчанию использовать для доступа к vBond?

Я открыл заявку TAC в Cisco, но они зашли в тупик, что заставило меня задуматься и усомниться в жизни. Я дошел до того, что сомневаюсь, действительно ли Cisco полностью протестировала этот инструмент и/или действительно ли клиенты его используют? Поэтому я внедрил политики AAR в мою накладку с некоторыми конкретными приложениями, чтобы отдавать предпочтение определенным цветам TLOC и переходить на лучшее доступное соединение на основе определенных мной метрик SLA. Я обнаружил, что мои спицы следуют политике, как и положено, и обрабатывают данные через лучший TLOC до HUB, а затем hub отправляет их в пункт назначения, используя тот же цвет TLOC. Однако на обратном маршруте концентратор использует таблицу маршрутизации для определения маршрута обратно к спице, а не предпочитает исходный входной TLOC. Это проблема, потому что маршруты являются ECMP по всем доступным TLOC, в которых концентраторы иногда возвращают трафик обратно по проблемному каналу, что приводит к тому, что AAR становится в основном бессмысленным и игнорируется. Cisco предложило добавить мои хабы в политику AAR, но моя логика заключается в том, что у моих хабов практически никогда не будет проблем с TLOC в моем ЦОД, поэтому они по-прежнему будут использовать ECMP, что снова поставит меня в ту же ситуацию или вообще не перенаправит трафик.

Здравствуйте, В настоящее время в нашей среде SDWAN имеется около 1000 пограничных устройств SDWAN. Мы хотим добавить новую виртуальную локальную сеть (VLAN) ко всем устройствам и связанные с ними IP-адреса. Я знаю, как загружать и выгружать изменения конфигурации через CSV на одно устройство, но есть ли способ сделать это для нескольких/всех устройств за один раз, чтобы не пришлось касаться каждого устройства и выполнять выгрузку?

Здравствуйте, для своей лаборатории я создал устройства C8000V на портале Plug and Play. Затем я загрузил файл провижининга ( serialFile.viptela ) и загрузил его в vManage (Конфигурация > Устройства > Список WAN Edge и нажмите «Загрузить список WAN Edge»). При этом я получаю ошибку: Неподдерживаемый номер шасси C8000V-C8K-xxxxx из vManage. Но серийные номера в Plug and Play Connect не начинаются с C8000V-C8K. Они начинаются с C8K-XYZ......... Теперь я даже не могу удалить эти новые устройства C8000V в Plug and Play Portal. TAC не хочет мне помогать, так как это учебная лаборатория. ![:disappointed_face:] ... См. приложенные скриншоты. Невозможность подключить C8000V — это плохо, но невозможность удалить устройства/серийные номера из Plug and Play Connect — еще хуже. Мне нужно загрузить файл с обновленными устройствами CSR1K и vedge. Если у кого-нибудь есть идеи, как удалить эти устройства C8000V, буду очень благодарен. Или что я делаю не так? Большое спасибо и с уважением, Олли ![Unsupported_chassis_number1.png] ![del_not_allowed_1.png] ![del_not_allowed_2.png] ![del_not_allowed_3.png] [image: e057203d8ed51dd32ef509d6c1b46e32720ab1b7.png] [image: 2b8b83c2cec2eaa3d87cb2a95821fd6284f7b0ca.png] [image: 3304eabf94a055a57d645f8a91760a2f8fb2e666.png] [image: ac850c318398455786f8780c3dc7dfef1b55cb76.png] [image: a1441c8c2666173c9b7b9f51415c240503f8e5ab.png]

Привет всем Я работаю над топологией SD-WAN Hub-and-Spoke, но хочу избежать трафика между spoke и spoke, например: сайт DC использует VPN 100, филиал A использует VPN 10, филиал B использует VPN 20. В этих условиях мне нужно маршрутизировать трафик между 100-10、100-20, но сейчас таблица маршрутизации на VPN 100 пропускает трафик от 10 к 20 Из-за маршрута по умолчанию, объявленного с сайта DC, филиал может легко маршрутизировать трафик через VPN 100, поскольку VPN 100 должен иметь все маршруты VPN в структуре Есть ли какой-нибудь способ предотвратить трафик между 10 и 20 без использования SD-WAN ZBFW? Спасибо за ответ [image: d34670fa7bc689a83481e2f527b010a08a436924.jpg]

Здравствуйте, эксперты! Я настраиваю SD-WAN Lab с EVE-NG в Google Cloud. Настройка vManage завершена. Я попытался войти в графический интерфейс vManage со своего ноутбука с помощью браузера Google Chrome, но не смог получить доступ. Ping недоступен с моего ноутбука на IP-адрес vManage mgmt. Я понимаю, что мне нужно добавить маршрут. Что мне нужно сделать, чтобы решить эту проблему? с моего ноутбука на адрес vManage mgmt. ========================================= C:\windows\system32>ping 192.168.99.100 Ping 192.168.99.100 с 32 байтами данных: время ожидания запроса истекло. ========================================== Конфигурация vManage =========================================== vManage# show run system host-name vManage system-ip 99.99.99.10 site-id 10 admin-tech-on-failure no vrrp-advt-with-phymac organization-name sianets clock timezone America/Chicago vbond 10.110.1.10 aaa auth-order local radius tacacs usergroup basic task system read write task interface read write ! usergroup netadmin ! usergroup operator task system read task interface read task policy read task routing read task security read ! usergroup tenantadmin ! user admin password X.X.X ! user ciscotacro description CiscoTACReadOnly group operator status enabled ! user ciscotacrw description CiscoTACReadWrite group netadmin status enabled ! ! logging disk enable ! ! ntp parent no enable stratum 5 exit ! ! vpn 0 dns 8.8.8.8 primary interface eth0 ip address 10.110.1.10/24 ipv6 dhcp-client tunnel-interface allow-service all allow-service dhcp allow-service dns allow-service icmp allow-service sshd allow-service netconf no allow-service ntp no allow-service stun allow-service https ! no shutdown ! ip route 0.0.0.0/0 10.110.1.1 ! vpn 512 interface eth1 ip dhcp-client <<<<<<<<<<<<<<<<<<< no shutdown ! ip route 0.0.0.0/0 192.168.99.1 ! vManage# ========================================== Адрес vManage mgmt был настроен с помощью dhcp. ========================================== vManage# show interface description IF IF IF AF ADMIN OPER TRACKER VPN INTERFACE TYPE IP ADDRESS STATUS STATUS STATUS DESC------------------------------------------------------------------------------ 0 eth0 ipv4 10.110.1.10/24 Up Up - - 0 system ipv4 99.99.99.10/32 Up Up - - 0 docker0 ipv4 - Down Down - - 0 br-fc88b5016109 ipv4 - Вниз Вверх - - 512 eth1 ipv4 192.168.99.100/24 Вверх Вверх - - <<<<<<<<<<<<<<<<<<< vManage# ==============================================

Привет всем, я пытаюсь создать лабораторию sdwn с версией 20.12.4, но получаю сообщение, что лицензия не присвоена для 2 маршрутизаторов. Может ли кто-нибудь пояснить, какой тип лицензии требуется, и где я могу получить эту лицензию для лабораторных целей? Режим over Control connections не работает для vsmart, и пока не заработает vsmart control connection, BFD для других маршрутизаторов не будет работать правильно. Буду благодарен за любые предложения. ![mahende17febgmailcom_0-1734273691621.png] [image: 57c828d925a0625d97112aa4e1240e26ed49d359.png]

Здравствуйте. Я хотел настроить топологию Cisco SD-WAN в eve-ng. При первой попытке мне удалось успешно установить все сертификаты для vManage, vBond и vSmart, но я понял, что мне нужно изменить название организации моих контроллеров, чтобы оно соответствовало моему уникальному профилю Cisco Smart Account Controller. Теперь, когда я пытаюсь установить сертификаты, для vManage все проходит успешно, но для vBond и vSmart, когда я пытаюсь установить сертификаты (например: vbond.crt, vsmart.crt), я получаю следующую ошибку при попытке установки через vManage (браузер): Не удалось обработать запрос устройства. Сообщение об ошибке: журнал: Ошибка: root-ca-chain не может проверить сертификат... Прерывание! Если я пытаюсь из vManage CLI: открытый ключ CSR и сертификат различаются... Не удается установить сертификат. Не удалось установить сертификат! Я уже несколько раз пробовал переустановить все, но каждый раз получаю одну и ту же ошибку. Есть какие-нибудь идеи или рекомендации?

У меня есть утечка маршрутизатора между VPN через топологию - действие «экспорт в» утечка между VPN1 (HUB DC) и VPN 10-11,13,15 (BRANCHES) vpn-list VPN-export-from-Branch-to-DC vpn 10-11 vpn 13 vpn 15 vpn-list VPN-export-from-DC-to-Branch vpn 1 vpn-list VPN-import-to-Branch vpn 10-11 vpn 13 vpn 15 vpn-list VPN-import-to-DC vpn 1 control-policy Topology-vpn-export-from-DC-to-branch sequence 1 match route vpn-list VPN-export-from-DC-to-Branch prefix-list _AnyIpv4PrefixList ! action accept export-to vpn-list VPN-import-to-Branch ! ! default-action accept control-policy Topology-vpn-export-from-branch-to-DC sequence 1 match route vpn-list VPN-export-from-Branch-to-DC prefix-list _AnyIpv4PrefixList ! action accept export-to vpn-list VPN-import-to-DC ! ! default-action accept и он работает как обычно. Несколько дней назад я хотел добавить новую последовательность для VPN16, но для новой последовательности 11 она не работает. control-policy Topology-vpn-export-from-DC-to-branch sequence 1 match route vpn-list VPN-export-from-DC-to-Branch prefix-list _AnyIpv4PrefixList ! action accept export-to vpn-list VPN-import-to-Branch ! ! sequence 11 match route vpn-list VPN-export-from-DC-to-Branch prefix-list _AnyIpv4PrefixList ! action accept export-to vpn-list VPN16-Branch-WiFi ! ! default-action accept ! control-policy Topology-vpn-export-from-branch-to-DC sequence 1 match route vpn-list VPN-export-from-Branch-to-DC prefix-list _AnyIpv4PrefixList ! action accept export-to vpn-list VPN-import-to-DC ! ! sequence 11 match route vpn-list VPN16-Branch-WiFi prefix-list _AnyIpv4PrefixList ! action accept export-to vpn-list VPN-import-to-DC ! ! default-action accept ! Почему это происходит? Могу ли я использовать некоторые последовательности для утечки? Если я добавляю vpn16 в списки vpn VPN-export-from-Branch-to-DC и VPN-import-to-Branch, утечка работает

Я ищу решение, которое позволило бы перераспределять трафик по нескольким WAN-каналам на отдельных границах в общей топологии HUB Spoke. Например, HUB A имеет единственный транспорт, однако Spoke B и C имеют несколько видов транспорта, таких как LEO, сотовый/LTE и наземный. Я хотел бы иметь возможность выбирать предпочтения, в соответствии с которыми будут использоваться эти WAN-соединения на этих спицах, и делать это таким образом, чтобы иметь максимальную гибкость для быстрого изменения этих предпочтений в любой момент времени. Я изучил возможность сопоставления по идентификатору сайта и цвету для установки предпочтения TLOC в центральной политике. Однако можно активировать только одну центральную политику, а также невозможно редактировать текущую активную центральную политику. Необходимость клонировать, редактировать клон, а затем устанавливать клон в качестве активного делает этот метод несколько непривлекательным. Я также изучил возможность жесткой настройки значения предпочтения TLOC в шаблоне самого пограничного устройства под интерфейсом туннеля. Этот метод работает, однако с точки зрения долгосрочного масштабирования он не является оптимальным, поскольку означает, что каждому пограничному устройству требуется свой собственный шаблон, чтобы иметь возможность изменять эти значения и не влиять на все остальные пограничные маршрутизаторы. Это заставляет меня думать, что мне нужно использовать локальную политику. Но я не могу найти способ сделать что-то похожее на то, что я делал в централизованной политике сопоставления цветов для указания значения предпочтения. Буду благодарен за любой вклад от тех, кто имеет опыт работы с политиками Cisco SDWAN. Спасибо.

У меня есть два транспортных WAN-соединения в Cisco viptela sdwan. Будет ли балансировка нагрузки выполняться по умолчанию?

В моей среде есть 2 контроллера vSmart. Cisco планирует провести техническое обслуживание контроллеров vSmart. Они запланировали обслуживание по одному контроллеру vSmart за раз (обслуживание 1 контроллера vSmart в течение 1 дня и 2-го контроллера vSmart в другой день). Во время обслуживания будет произведена перезагрузка контроллеров vSmart. Cisco сообщила, что во время этого обслуживания будет перерыв в работе. Хотелось бы понять, почему во время этого обслуживания будут перебои. У меня есть 2 контроллера vSmart. Если один перезагружается, есть второй контроллер vSmart, и никаких последствий быть не должно. Сообщите мне, будут ли какие-либо последствия в этом сценарии. Насколько я понимаю, при наличии 2 контроллеров vSmart никаких последствий быть не должно.

Всем привет! Какие лаборатории лучше всего использовать в Cisco dCloud для практики по курсу «Основы SDWAN»? С уважением, Ахмед Эльрами

Уважаемые коллеги, при попытке установить сертификат у меня возникла ошибка. 12-Feb-2019 15:25:58 EET] Install Certificate, on device 95c654e1-8465-480d-9749-ab37293bb89f, started by user "osman" from IP address "192.168.10.153" [12-Feb-2019 15:25:59 EET] Pushing serial list to vManage-95c654e1-8465-480d-9749-ab37293bb89f (Vmanage1) [12-Feb-2019 15:25:59 EET] Started processing serial list file on vManage-95c654e1-8465-480d-9749-ab37293bb89f (Vmanage1) [12-Feb-2019 15:26:00 EET] Completed processing serial list file on vManage-95c654e1-8465-480d-9749-ab37293bb89f (Vmanage1) [12-Feb-2019 15:26:00 EET] Done - Push vSmart List for vManage-95c654e1-8465-480d-9749-ab37293bb89f (Vmanage1) [12-Feb-2019 15:26:00 EET] Updated controllers with new certificate serial number of vManage-95c654e1-8465-480d-9749-ab37293bb89f [12-Feb-2019 15:26:01 EET] Failed to process device request - Error type : application Error tag : operation-failed Error Message : log : Error: root-ca-chain unable to validate the certificate... Aborting ! Error info : <error-info> <bad-element>install</bad-element> </error-info> [12-Feb-2019 15:26:01 EET] Pushing serial list to vManage-95c654e1-8465-480d-9749-ab37293bb89f (Vmanage1) [12-Feb-2019 15:26:01 EET] Started processing serial list file on vManage-95c654e1-8465-480d-9749-ab37293bb89f (Vmanage1) [12-Feb-2019 15:26:02 EET] Completed processing serial list file on vManage-95c654e1-8465-480d-9749-ab37293bb89f (Vmanage1) [12-Feb-2019 15:26:02 EET] Done - Push vSmart List for vManage-95c654e1-8465-480d-9749-ab37293bb89f (Vmanage1) Я использую корневой сертификат предприятия и установил сертификат ЦС, но все равно получаю эту ошибку. Кто-нибудь может мне помочь? Спасибо

Здравствуйте, уважаемые коллеги Я начинаю обновлять свою WAN до SD-WAN, но столкнулся с некоторыми проблемами с лицензированием 1. Что такое бессрочная лицензия и лицензия на 3/5 лет в SD-WAN, как я могу ее приобрести и какая из них лучше для нас? 2- Подробная информация о разнице между типами лицензий, например, подробности о лицензиях Essential и Advantage? Например, какие функции безопасности поддерживает каждая из них? И много других вопросов С уважением Реза

Здравствуйте, Я настраиваю Windows NPS для аутентификации vmanage. Конфигурация проста, пользователи аутентифицируются с помощью radius, но они помещаются в группу Basic. Как указать группу netadmin в radius? С уважением