C2921 - po podłączeniu jednego z klientów siada łącze

[rebus]

Zapytam jeszcze o parę rzeczy bo właściwie nie mam za bardzo kogo. Bo jeżeli ja mam podawać Partnerowi do wyceny P/N'y no to ja dziękuję. Może dlatego tak jest, że to znajomy szefa.

Chciałem się upewnić jeśli chodzi o funkcjonalności jakie mi są potrzebne, bo mało co przyjął bym ofertę bez możliwości logowania po SSH - myślałem, że to podstawa, no bo jak inaczej logować się zdalnie.

1. Czy jeśli jest licencja IP Base czyli bez VPN, IPsec'a to oczywiście nie znaczy, że jeżeli, któryś klient, któremu dostarczam net będzie używał VPN site-to-site to się okaże, że nie będzie mógł zestawić tego tunelu bo mój router brzegowy - ASR - tego nie obsługuje. Czyli jednym słowem brak danej funkcjonalności dot. samego routera a nie ruchu, który przez niego przechodzi?

2. Np. nie znalazłem takiej funkcjonalności jak Static Route, która przecież będzie mi potrzebna. No chyba, że jest we wszystkich licencjach i tego nie podają?

3. Moją obecną konfigurację podałem. Czy oprócz MQC, ACL, SSH, SNMP, VFR, 802.1Q będę potrzebował jeszcze jakichś? Jakie są funkcjonalności, które najczęściej przypadkowo się pomija? VPN, ZBFW to już wiadomo, że odpada. W IP Base mam też IPv6 i BGP, które to mogą się w przyszłości na tym routerze przydać. Choć QoS'u dla IPv6 nie ma. NAT będzie realizował stary 1841-sec/k9.

MQC QoS na ASR 1k działa tak samo jak na mniejszych routerach (no, ma parę rozszerzeń).

Oczywiście sprzętowo. Jednym słowem karta ESP to po prostu taki "dopalacz" dla routera. Rozumiem, że ta karta przyspiesza wszystkie procesy jakie zachodzą w routerach ASR.
Do tej pory nie zdawałem sobie sprawy, że routery ISR to routery czysto programowe.
Do tej pory myślałem, że wszystkie są sprzętowe a programowe to jedynie się mówiło np. na router/komputer z Linux'em, którego samemu się postawiło.

Możesz także terminować zdalnych użytkowników ...

O co chodzi z tym terminowaniem zdalnych ...

[lbromirs]

Zapytam jeszcze o parę rzeczy bo właściwie nie mam za bardzo kogo. Bo jeżeli ja mam podawać Partnerowi do wyceny P/N'y no to ja dziękuję. Może dlatego tak jest, że to znajomy szefa.

Chciałem się upewnić jeśli chodzi o funkcjonalności jakie mi są potrzebne, bo mało co przyjął bym ofertę bez możliwości logowania po SSH - myślałem, że to podstawa, no bo jak inaczej logować się zdalnie.

1. Czy jeśli jest licencja IP Base czyli bez VPN, IPsec'a to oczywiście nie znaczy, że jeżeli, któryś klient, któremu dostarczam net będzie używał VPN site-to-site to się okaże, że nie będzie mógł zestawić tego tunelu bo mój router brzegowy - ASR - tego nie obsługuje. Czyli jednym słowem brak danej funkcjonalności dot. samego routera a nie ruchu, który przez niego przechodzi?

Transport ruchu VPN to co innego niż jego terminowanie. Do transportu ruchu IPv4, IPv6, ESP czy AH nie musisz mieć osobnych licencji.

2. Np. nie znalazłem takiej funkcjonalności jak Static Route, która przecież będzie mi potrzebna. No chyba, że jest we wszystkich licencjach i tego nie podają?

Static route jest wszędzie.

3. Moją obecną konfigurację podałem. Czy oprócz MQC, ACL, SSH, SNMP, VFR, 802.1Q będę potrzebował jeszcze jakichś? Jakie są funkcjonalności, które najczęściej przypadkowo się pomija? VPN, ZBFW to już wiadomo, że odpada. W IP Base mam też IPv6 i BGP, które to mogą się w przyszłości na tym routerze przydać. Choć QoS'u dla IPv6 nie ma. NAT będzie realizował stary 1841-sec/k9.

NAT też zrobisz w IP Base. QoS dla IPv6 również. Bez sensu jest NATować ruch >100Mbit/s na 1841. Zabijesz go.

Oczywiście sprzętowo. Jednym słowem karta ESP to po prostu taki "dopalacz" dla routera. Rozumiem, że ta karta przyspiesza wszystkie procesy jakie zachodzą w routerach ASR.

Tak.

Do tej pory nie zdawałem sobie sprawy, że routery ISR to routery czysto programowe.
Do tej pory myślałem, że wszystkie są sprzętowe a programowe to jedynie się mówiło np. na router/komputer z Linux'em, którego samemu się postawiło.

Niestety nie. Dopiero ASRy 1k mają wsparcie sprzętowe.

Możesz także terminować zdalnych użytkowników ...

O co chodzi z tym terminowaniem zdalnych ...

Sesja VPN IPsec, PPPoE... cokolwiek co potrafi tworzyć 'sesję'. Na interfejsie, na którym robisz shaping ruchu do 200Mbit/s nic nie terminujesz - kształtujesz tylko ruch. Jak chcesz zrobić profesjonalny BRAS, na którym będzie np. 500 użytkowników, z których każdy dostanie swój QoS, ACLki/etc, to masz inny scenariusz wdrożeniowy - wtedy potrzebne są osobne licencje na takie funkcjonalności. Z Twojej konfiguracji wynika, że obsługujesz klientów na poziomie interfejsu IP i polityki QoS dla całości ruchu na tym interfejsie - tak też można i nie wymaga to wtedy osobnej licencji.

[peper]

Zapytam jeszcze o parę rzeczy bo właściwie nie mam za bardzo kogo.

Abstrahując od tego, że oczywiście na forum wiele osób chętnie ci pomoże i ma dużą wiedzę na temat sprzętu i rozwiązania to jakbyś zaczął kupować sprzęt od partnera a nie od resellera to by on Ci dokładnie doradził co powinieneś zastosować w swojej sieci.

[rebus]

Bez sensu jest NATować ruch >100Mbit/s na 1841. Zabijesz go.

Nie, nie, ruch na nim byłby przycięty/kolejkowany do max 15Mbit dla VLAN1, VLAN2 i VLAN70 - patrz mój konfig. Na nim też byłby dostęp zdalny przez Cisco VPN Client'a do zdalnej konfiguracji obydwu routerów, switch'ami - VLAN900, robienia zdalnego backupu ich konfiguracji.

Teraz mam już pełną jasność. Dziękuję.

[rebus]

... to jakbyś zaczął kupować sprzęt od partnera a nie od resellera to by on Ci dokładnie doradził co powinieneś zastosować w swojej sieci.

Może to dlatego, że już nam się naprawdę śpieszy bo z początkiem sierpnia musi być to uruchomione - chyba raczej jest to nierealne.
Reseller'em i administratorem tej sieci to jestem ja. Partner, o którym pisałem ma status Silver Partner Cisco. Sprzęt będzie kupowany albo u niego albo u Autoryzowanego Dystrybutora Cisco.

[rebus]

Wstępne zamówienie na ASR1k poszło do Partnera. Ale ponieważ w zamówieniu jest błąd dot. serwisu musiałem przygotować nowe zestawienie. Proszę Was o doradzenie czy do tych moich wymagań potrzebuję jeszcze jakąś licencję albo czegoś nie potrzebuję. Jeśli chodzi o serwis dałem SmartNet (SNT) 8x5xNBD.

Kod: Zaznacz cały

ASR1001	              Cisco ASR1001 System,Crypto, 4 built-in GE, Dual P/S
ASR1001-PWR-AC	       Cisco ASR1001 AC Power Supply
CAB-ACE-RA	           Power Cord Europe, Right Angle
SLASR1-IPB	           Cisco ASR 1000 IP BASE License
CON-SNT-SLASR1IK 	      SMARTnet 8x5xNBD for SLASR1-IPB
FLSASR1-FWNAT-R	      Firewall/NAT Stateful Inter-Chassis Redundancy License
CON-SNT-FLSASR2F	      SmartNet 8x5xNBD Firewall/NAT Stateful Inter-Chassis Redundancy 
M-ASR1K-1001-4GB	      Cisco ASR1001 4GB DRAM

I poniżej mam dylemat:

Kod: Zaznacz cały

SASR1001UK9-32S
czy
SASR1001UK9-36S	        Cisco ASR 1001 IOS XE - ENCRYPTION UNIVERSAL

Kod: Zaznacz cały

CON-SNT-ASR1001
czy  
CON-SNT-CASR1001	     SMARTNET 8x5xNBD CISCO ASR1001 SYSTEM,CRYPTO 

Bardzo proszę, podpowiedzcie coś.
pzdr

[rebus]

Widzę, że od chwili napisania, że pracuję w firmie, która jest tylko reseller'em nie należy mi się już jakakolwiek pomoc.
A co ja mogę zrobić jeśli Silver Partner Cisco pisze:

Proszę , przyslijcie dokładne całe zestawienie oczekiwanego zamówienia. Błakamy się. Temat w Cisco mam zabukowany.

[lbromirs]

Widzę, że od chwili napisania, że pracuję w firmie, która jest tylko reseller'em nie należy mi się już jakakolwiek pomoc.
A co ja mogę zrobić jeśli Silver Partner Cisco pisze:

Proszę , przyslijcie dokładne całe zestawienie oczekiwanego zamówienia. Błakamy się. Temat w Cisco mam zabukowany.

Napisz mi na priv co to za Partner.

[Seba]

Widzę, że od chwili napisania, że pracuję w firmie, która jest tylko reseller'em nie należy mi się już jakakolwiek pomoc.

Daleko naciagniety wniosek, ze ktos z takiego czy innego powodu nie chce pomoc. Pamietaj, ze forum nie ma SLA na poziomie 4h czy cos podobnego na odpowiedz, jest weekend i do tego sezon urlopowy.
Dla przykladu ostatnie 48h spedzilem bez dostepu do Internetu i forum...
A ze Lukasz zaadresowal problem, to ja sie juz nie bede wpychal.

[rebus]

Napisz mi na priv co to za Partner.

Napisałem. Za Twoją namową napisałem też do dwóch Gold Partnerów. Nie dostałem konfiguracji ale kontakt na pewno się przyda w przyszłości. Dziękuję.

Tak jak napisałem w mailu router ostatecznie zamówiłem u Silver Partnera.
Nie jestem pewien jak jest naprawdę z tym IPv6 w IP Base- czy jest, czy nie, ale to obecnie mało istotna rzecz, prawdopodobnie za rok będzie kupowana aktualizacja do advipservices .

Pamietaj, ze forum nie ma SLA na poziomie 4h czy cos podobnego na odpowiedz, jest weekend i do tego sezon urlopowy.

Masz rację. Ja siedząc zeszły tydzień po 16h dziennie przed komputerem nie brałem pod uwagę jak ktoś przez 48h może się obejść bez tego forum.

[zet69]

Pokaż konfigurację swojego routera.

Kod: Zaznacz cały

version 15.1

line 2
 no activation-character
 no exec
 transport preferred none
 transport input all
 transport output pad telnet rlogin lapb-ta mop udptn v120 ssh
 stopbits 1
line vty 0 4
 access-class 23 in
 exec-timeout 30 0
 privilege level 15
 transport input ssh
line vty 5 15
 access-class 23 in
 privilege level 15
 transport input ssh
!

Tak tylko informacyjnie, jesli uzywasz jeszcze tego ruterka to zainteresuj sie line 2 oraz transport input all. Kazdy moze na 2002 4002 ci wjechac .

Pozdr.