Answers
1 . Есть ли у вас опыт работы с Cisco ASA или аналогичными устройствами? Если да, то опишите модели оборудования и задачи, под которые вы их использовали.
- Да, Cisco ASA 5515x, Cisco ASA 5585. Для организации VPN и фильтрации трафика на периметре
2. На коммутаторе Cisco 2960 есть два порта Gi0/1 и Gi0/2 с идентичной конфигурацией. На порту Gi0/2 дополнительно задали команду "spanning-tree portfast". Будет ли в чем-то отличаться поведение данных портов?
- Да, порт с "spanning-tree portfast" переходит в режим forwarding сразу при поднятии линка, без learning и listening
3. На Linux сервере есть директория /tmp/ из которой нужно удалить файлы старше 30 дней. Как это можно сделать?
- find /tmp -mtime +30 -exec rm -rf {}\;
4. Ваши коллеги жалуются на низкую скорость (~13Mbit/s) копирования файла по scp между хостами A и B, расположенными в разных офисах. Между офисами компания арендует у оператора связи канал c гарантированной полосой 100Mbit/s, его при этом его суммарная загрузка не превышает 20Mbit/s Команда ping показывает 0% потерь и стабильную задержку 40мс. Никаких ограничений скорости на сетевом оборудовании нет. Что может быть причиной невозможности утилизировать канал полностью?
- Протокол scp дорогой для передачи данных, так как использутся проццесор для шифрования/дешифрования данных и скорость передачи данных упирается не в канал связи, а в процессорное время хостов между которыми происходит передача данных.
5. У нас имеется 2 дата-центра и офис с пользователями. Все оборудование задублировано. Каждый ДЦ и офис имеют дублирующий канал связи. Нам необходимо построить отказоустойчивую сеть. Трафик между площадками должен быть зашифрован. Распишите пожалуйста(в идеале схема) как бы вы построили отказоустойчивую сеть с использованием оборудования Cisco ASA и ISR G2. Какие протоколы / технологии вы бы использовали?
Схема не очень понятна. Какие каналы ПД организованы L2VPN или L3VPN?
- Между сайтами будет поднят DMVPN на маршрутизаторах ISR G2 внутри DMVPN будет динамическая маршрутизация OSPF/EIGRP/BGP/IS-IS, в сторону уровня доступа будет поднят один из протоколов FHRP (GLBP, HSRP, VRRP). ASA будет работать в режиме transporent mode и failover active/standby. Если необходима балансировка трафика, то на маршрутизаторах используем протокол GLBP и на ASA failover в режим active/active. Все физические линки между оборудованием подключаем в Port-Channel .
В схеме есть недостатки, DMVPN содержит в себе много технологий и траблшутинг достаточно сложный. Вместо DMVPN можно построить ipSec туннели каждый с каждым.