标签: cisco

Cisco VPN 客户端 (IPsec) 不支持 64 位 Windows。

更糟糕的是，思科甚至不打算发布 64 位版本，而是说
“对于 x64（64 位）Windows 支持，您必须使用思科的下一代 Cisco AnyConnect VPN 客户端。”

• Cisco VPN 客户端介绍
• Cisco VPN 客户端常见问题

但是 SSL VPN 许可证需要额外付费。例如，大多数新的 ASA 防火墙都带有大量 IPSec VPN 许可证，但只有少数 SSL VPN 许可证。

对于 64 位 Windows，您有哪些选择？到目前为止，我知道两个：

1. 虚拟机上的 32 位 Cisco VPN 客户端
2. 64 位 Windows 上的NCP 安全入口客户端

有其他建议或经验吗？

希望这里的人可能对我们面临的问题有所了解。目前，我们让思科 TAC 正在调查此案，但他们正在努力寻找根本原因。

虽然标题提到了 ARP 广播和高 CPU 使用率，但现阶段我们不确定它们是否相关。

原问题已发布在INE在线社区

我们已将网络精简为没有冗余设置的单个链路，将其视为星形拓扑。

事实：

• 我们使用 3750x 交换机，一个堆栈中的 4 个。版本 15.0(1)SE3。Cisco TAC 确认此特定版本没有高 cpu 或 ARP 错误的已知问题。
• 没有连接集线器/非管理型交换机
• 重新加载的核心堆栈
• 我们没有默认路由“Ip route 0.0.0.0 0.0.0.0 f1/0”。使用 OSPF 进行路由。
• 我们看到来自 VLAN 1 的大型广播数据包，VLAN 1 用于桌面设备。我们使用 192.168.0.0/20
• Cisco TAC 表示他们认为使用 /20 没有任何问题，否则我们将拥有一个大型广播域，但仍然可以正常工作。
• Wifi、管理、打印机等都在不同的 VLAN 上
• 生成树已通过 Cisco TAC 和 CCNP/CCIE 合格人员的验证。我们关闭了所有冗余链接。
• 核心配置已通过 Cisco TAC 验证。
• 我们在大多数交换机上都有默认的 ARP 超时。
• 我们不实施问答。
• 没有添加新的开关（至少我们不知道）
• 不能在边缘交换机上使用动态 arp 检查，因为这些是 2950
• 我们使用了显示接口 | inc line|broadcast 找出大量广播来自哪里，但是 Cisco TAC 和其他 2 位工程师（CCNP 和 CCIE）确认这是正常行为，因为网络上发生了什么（如大量 mac …

我们有一台通过 Cisco SSL VPN ( \\speeder)连接的机器。

我可以ping我们对我们speeder在10.0.0.3：

路由表\\speeder显示了我们分配给它的多个 IP 地址：

与 Cisco AnyConnect VPN 客户端连接后：

我们不能再 ping 了\\speeder：

虽然 Cisco VPN 适配器有新的路由条目，但连接后没有修改现有的路由条目：

预计我们无法在 Cisco VPN 适配器(192.168.199.20)上ping Speeder 的 IP 地址，因为它与我们的网络位于不同的子网上（我们是 10.0.xx 255.255.0.0），即：

C:\Users\ian.AVATOPIA>ping 192.168.199.20
Pinging 192.168.199.20 with 32 bytes of data:
Request timed out.

我们遇到的问题是我们无法ping通现有的IP地址\\speeder：

C:\Users\ian.AVATOPIA>ping 10.0.1.17
Pinging 10.0.1.17 with 32 bytes of data:
Request timed out.

C:\Users\ian.AVATOPIA>ping 10.0.1.22
Pinging 10.0.1.22 …

我需要从数据中心的 VM 运行 Cisco AnnyConnect。当我运行它时，我收到此消息：

来自远程桌面的 VPN 建立功能被禁用

这个可以关掉吗？我看到了一些关于它的帖子，但需要使用我没有的帐户下载 Cisco 软件。VPN 软件来自我工作的客户。

在我们公司，我们有一系列 /21 (2048) IPv4 公共地址。

我们有一堆 Cisco 路由器和服务器。

如何开始使用 IPv6？我们可以做些什么来为我们的客户提供 IPv6 补充的互联网？

在为 CCENT 考试学习期间，我的参考资料对 A/B/C 类网络的引用数量惊人。值得庆幸的是，他们只是将 A/B/C 类视为 /8、/16 和 /24 CIDR 子网的简写，并且没有提及第一个半字节中的隐式子网。尽管如此，让我在问题或解释中弹出“B 类”并且不得不在每一步提醒自己那里有一个隐含的 /16 掩码让我感到厌烦。

这是一个尽管在二十多年前已经过时但仍在广泛使用的约定吗？我是否只需要从我的高级管理员那里习惯这一点？而且，也许最重要的是，思科是否希望其经过认证的技术人员/同事/专家接受和使用分类网络术语？（如果最后一个问题违反了思科的考试保密政策，请忽略它。）

更新：切换到更权威的参考/学习指南后，很明显，思科希望了解实际的有类网络，因为官方学习指南专门为它们提供了几章。这使得问题不再是关于 A/B/C 术语的，而是更多关于管理员是否/为什么应该了解有类网络的问题。

我们刚刚收到了一台新的 Cisco Catalyst 2960，盒子里有一件我们以前从未见过的东西。有趣的是，文档显示了该对象的图像，但没有在指南的其他任何地方列出（包括编号错误的图例）！

我的朋友和我认为这是某种类型的电缆管理设备。任何人都可以识别并详细说明其正确使用吗？

这是入门指南中的图像（带圆圈的对象）：

有没有人有一个指向代码（或只是算法）的指针，思科使用它来为“启用机密”之类的东西生成密码哈希？

我不想闯入任何事情；我正在尝试在给定明文密码的情况下生成适当的“启用机密”行，而不是使用散列密码解码现有的“启用机密”行。我需要这个用于我正在使用的自动配置文件生成器（Netomata Config Generator）。

基本上，我想要的是 Cisco 相当于用于 Web 服务器的“htpasswd”命令。

例如，当我将以下带有明文密码的命令放入 Cisco 配置时：

enable secret foobar

然后当我执行“show config”命令时（假设我启用了“服务密码加密”），我看到的是这样的：

enable secret 5 $1$pdQG$0WzLBXV98voWIUEdIiLm11

我想要将“foobar”转换为“5 $1$pdQG$0WzLBXV98voWIUEdIiLm11”的代码，以便我可以在我的配置生成工具中生成已经散列的密码，而不是将明文密码放入生成的配置中并等待路由器生成哈希。

我认为散列结果中的“5”是某种散列算法标识符。如果思科目前或历史上有其他哈希算法，那么我也希望拥有这些算法的代码。

我们公司最近关闭了一半没有使用的办公空间。我们将未使用的空间还给了建筑管理部门，并将其隔离起来。在我们关闭它之前，我记下了要关闭的一侧的网络插孔#，并确保将它们与我们服务器机房的交换机断开连接。

今天，我正在重新创建一个电子表格，其中列出了我们当前所有的物理网络插孔，以及它们在调整后的办公室中的位置。

两个问题：

1) 一些网络插孔号码似乎与中继机架上的标签不同步。例如，有一台已登录的笔记本电脑插入了 28 号插孔。所以我转到中继机架，找到端口 28，并跟踪它到交换机。问题是，它插入交换机上的端口没有亮起，显示它处于非活动状态。但是，它绝对是活跃的并且在网络上。有没有办法通过 IP 或名称来查询 Cisco 交换机以告诉您该特定 PC 插入哪个端口号？

2) 交换机上有几个端口亮起，表示活动，但是当我将它们追溯到中继机架时，它们连接到不再使用或不再存在的端口上。我想我的问题如上所述，有没有办法显示连接到交换机上该端口的任何内容的 IP 或名称？

Juniper 和 Cisco 的防火墙比房子还贵。

所以我想知道：与运行 OpenBSD/FreeBSD/Linux 等具有 4 个 10Gbit 网卡的 2U 服务器相比，一个 10.000 美元以上的防火墙能得到什么？

硬件防火墙可能有一个 Web 界面。

但是 10.000 美元或 100.000 美元的防火墙还能得到什么？？？