И вот таким сисадминам сейчас платят деньги...

> Здравствуйте. Помогите скачать прошивки и патчи на оборудование Huawei. У поставщика закончилась
> поддержка.

Лучше проси в телеге, канал  Huawei сборная СНГ
актуальный invite
https://t.me/c/1233860510/192207

Зависит от того, как много абонентов они на один "передатчик" запихивают. В простом езернете тоже никогда абоненту не приходят именно его n мегабит. Все так же, одна трубу делится на кучу абонентов. Все абоненты никогда не используют всю полосу на всю катушку. Полная аналогия с водопроводными трубами.

>[оверквотинг удален]
> Почитал про устройство GPON . дословно понял, что на все дерево в
> ветке максималная скорость не превышает 2.5 гбит\сек. Т.е если в многоквартирном
> доме (300 квартир) 20-30 квартир подключены + пара соседних домов (т.к.
> я не уверено, что одно волокно идет от GPON головного устройства
> в каждый дом), то скорость эта профанация?
> Или количество абонентов на гигабит в среднем такое же как и у
> других провайдров? просто интересно, если я возьму 800, и еще 3
> соседа возьмут по 800, да запустят торенты, это будет предел?
> И как у ростелекома качество услуг? Гугл конечно на этот вопрос отвечает,
> но уровень мнения там примерно "небыло не единого разрыва"

Был от них тариф со скоростью 200 мбит/сек. Выжимал до 150 мбит/сек, дальше мой комп не тянул, т.к. соединение было pptp.
Скорость закачки "измерял" на торрентах. Но заметил одну неприятную особенность, если качать из-за рубежа, то скорость падала до 25 мбит/сек.
За другими операторами большой тройки этого не замечал, на 100 мбит/сек канале скорость что по стране, что за рубеж стабильно была 80 мбит/сек.

>[оверквотинг удален]
> Почитал про устройство GPON . дословно понял, что на все дерево в
> ветке максималная скорость не превышает 2.5 гбит\сек. Т.е если в многоквартирном
> доме (300 квартир) 20-30 квартир подключены + пара соседних домов (т.к.
> я не уверено, что одно волокно идет от GPON головного устройства
> в каждый дом), то скорость эта профанация?
> Или количество абонентов на гигабит в среднем такое же как и у
> других провайдров? просто интересно, если я возьму 800, и еще 3
> соседа возьмут по 800, да запустят торенты, это будет предел?
> И как у ростелекома качество услуг? Гугл конечно на этот вопрос отвечает,
> но уровень мнения там примерно "небыло не единого разрыва"

НЕ вздумайте у GPON китайские модемы с процессором 500 мегагерц и плохой прошивкой и поменять вы этот оптический роутер на что то другое не сможете многие от этого страдают

> Друзья помогите пожалуйста. Сижу второй вечер. Проблема максимальная глупая и смешная.
> Есть Cisco2901 я хочу создать vlan
> Пишу: Cisco2901(config)# vlan 1
> Появляется: Invalid input detected at ‘^’ marker
> Я понимаю что это означает( что обнаружен не допустимый ввод). Но до
> этого на других маршрутизаторах точно так же прописывал и я заходил
> в конфигурацию vlana. Помогите друзья, что я упускаю ?

2901 - это роутер. У него порты L3.
Чтобы настраивать порты L2 вам нужно поставить модуль свитчевый.
Конфигурацию своего устройства вы не привели, поэтому для настройки VLAN на L3 интерфейсах используется приблизительно такая конструкция:

!
interfaca Gi0/0
no ip address
no shut
!
interface Gi0/0.1
encapulation dot1q 1
ip address 10.0.0.1 255.255.255.0
!
interface Gi 0/0.2
encapsulation dot1q 2
ip address 10.2.0.1 255.255.255.0
!

номера интерфейсов, VLAN и подсети поставьте свои.
Для VLAN 1 можно настройки внести на физический интерфейс, а не на sub-интерфейс.

> Друзья помогите пожалуйста. Сижу второй вечер. Проблема максимальная глупая и смешная.
> Есть Cisco2901 я хочу создать vlan
> Пишу: Cisco2901(config)# vlan 1
> Появляется: Invalid input detected at ‘^’ marker
> Я понимаю что это означает( что обнаружен не допустимый ввод). Но до
> этого на других маршрутизаторах точно так же прописывал и я заходил
> в конфигурацию vlana. Помогите друзья, что я упускаю ?

свитч модуль вставлен?
show inventory

> Друзья помогите пожалуйста. Сижу второй вечер. Проблема максимальная глупая и смешная.
> Есть Cisco2901 я хочу создать vlan
> Пишу: Cisco2901(config)# vlan 1
> Появляется: Invalid input detected at ‘^’ marker
> Я понимаю что это означает( что обнаружен не допустимый ввод). Но до
> этого на других маршрутизаторах точно так же прописывал и я заходил
> в конфигурацию vlana. Помогите друзья, что я упускаю ?

vlan 1 по умолчанию присутствует на любых коммутаторах

> Друзья помогите пожалуйста. Сижу второй вечер. Проблема максимальная глупая и смешная.
> Есть Cisco2901 я хочу создать vlan
> Пишу: Cisco2901(config)# vlan 1
> Появляется: Invalid input detected at ‘^’ marker
> Я понимаю что это означает( что обнаружен не допустимый ввод). Но до
> этого на других маршрутизаторах точно так же прописывал и я заходил
> в конфигурацию vlana. Помогите друзья, что я упускаю ?

т.е. если взять обнуленный коммутатор, все порты по умолчанию находятся в влан 1, возьмите другой номер )

> Друзья помогите пожалуйста. Сижу второй вечер. Проблема максимальная глупая и смешная.
> Есть Cisco2901 я хочу создать vlan
> Пишу: Cisco2901(config)# vlan 1
> Появляется: Invalid input detected at ‘^’ marker
> Я понимаю что это означает( что обнаружен не допустимый ввод). Но до
> этого на других маршрутизаторах точно так же прописывал и я заходил
> в конфигурацию vlana. Помогите друзья, что я упускаю ?

Нужно разделить в голове четыре вещи:

1,2 и 3 - это для тех у кого свич модуль установле, либо свич модуль изначально есть внутри коробки, всякие soho 800/900/1100 коробки, либо это прям L3 свич типа catalyst например)

1) создание vlan (#vlan 1) (для работы с L2 траффиком)

2) создание SVI switch virtual interface для этого vlan (для работы с L3 траффиком):
interface vlan 1
   ip address 1.1.1.0 255.255.255.0
Это в пределах модуля и влана работает на скорости порта (vlan1 -> vlan1)
Маршрутизация как правило будет упираться в проц (тут лучше смотреть документацию на платформу) (vlan1->vlan2)

3) определение порта в нужный влан:
interface fa1
  switchport
  switchport mode access
  switchport access vlan 1

4 - это для тех у кого нет свич модуля (почти все взрослые роутеры)
4) Создание sub interface для целей терминации тэгированного траффика.

interface gig0/1.1 (номер после точки можно поставить любой, но лучше такой же как номер vlan)
  encapsulation dot1q 1 (фактический номер vlan)
  ip address 1.1.1.0 255.255.255.0

Это почти всегда упирается в процессор (но тоже зависит от платформы и нужно смотреть документацию).

https://www.justogroup.ru/dokumentacija/cisco/marshrutizirue...

https://www.usedcisco.info/CISCO/Modules-AS.html сюдя по этой таблице
AS54-DFC-108NP  - карта в комплекте с dsp на 108 голосовых портов
а
AS5X-FC - карта без DSP но с 6ю слотами для DSP модулей

> Добрый день. Имеется Cisco 3850 версия IOS 16.6.4.
> На данном устройстве постоянно всплывает ошибка:
> CISCO 3850 Used Memory value 98% exceeds critical level 95%
> Нагрузка на железяку не большая, имеются такие же устройства в других офисах
> с ними такой проблемы нет.
> Кто может подсказать куда смотреть и как лечить?
> Могут ли из за этого быть дропы пакетов? По сети сейчас дропается
> до 20000 пакетов судя по системе мониторинга. Уже накапало - Total
> output drops: 4186948820

https://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst3...

CSCvk54649

Memory Leak in fman_rp on 3850 running 16.6.4

> Добрый день. Имеется Cisco 3850 версия IOS 16.6.4.
> На данном устройстве постоянно всплывает ошибка:
> CISCO 3850 Used Memory value 98% exceeds critical level 95%
> Нагрузка на железяку не большая, имеются такие же устройства в других офисах
> с ними такой проблемы нет.
> Кто может подсказать куда смотреть и как лечить?
> Могут ли из за этого быть дропы пакетов? По сети сейчас дропается
> до 20000 пакетов судя по системе мониторинга. Уже накапало - Total
> output drops: 4186948820

Обнови прошивку до последней cat3k_caa-universalk9.16.12.11.SPA.bin от 01-Apr-2024, или  хотя бы до 16.6.9  cat3k_caa-universalk9.16.06.09.SPA.bin от 26-Feb-2021. На свичи 3850 контракт не просит, любую можно скачать.

> Кто знает, подскажите на примере?

Лучший вариант утащить эту задачу на любой nginx/traefic или что там сейчас модно. На файрволе немного роутить, фарволить и натить, а на реверс прокси проксировать.

Мимо темы вопрос: Чего не взяли Palo или какое-нибудь более софтовое решение раз уж типичные задачи для L7 есть?

> Всем привет!
> Есть cisco asa 5516x, один внешний ip, esxi с десятком вебсайтов. Переезжаю
> с kerio control. У керио встроенный reverse proxy решает вопрос. У
> циски можно через SNI реализовать? HTTPS мне достаточно.
> Кто знает, подскажите на примере?

можно

> Домашний комп сетевая карта eth0 со статическим адресом 192.168.0.11
> Выход в интернет (оптоволокно) через оптоволокно модем (192.168.0.1) адрес компа привязан
> к MAC (короче без DHCP).
> # route add default gw 192.168.0.1 eth0
> все работает, все хорошо.
> Как мне настроить tun0 для подлючению к VPN серверу? и какой адрес
> нужен tun0?
> на серваке.

Заказать у оператора внешний статический ип адрес

Нихрена не понял как ты собрался свои "300+ моих VM" распихать на /28 )))
Оказалось что меня ... вообще интересный подход к решению задач, прям как в анекдоте "даю вводную".

>[оверквотинг удален]
> * в стойке куча хостов VMware+KVM
> * блок /28
> ожидалось, что /28 нарезан где-то в раутере, а мне отдали VLAN, куда
> воткнули портом.
> Оказалось, что меня воткнули в свитч ЦОД. IPv6, разумеется ни у кого
> не конфигурён. 300+ моих VM подняли радостный лай через NDP. Им
> ответили ВСЕ свитчи ЦОД и стали спорить по поводу default router.
> Мои 10Gb свитчи оказались сильнее. NDP шторм уложил весь ЦОД.
> Пришлось бежать в центр и рубить питание. А потом ставить свой раутер.
> А как нужно было сделать?

Ответ на вопрос:
Всегда(!) свою сеть отгораживать роутером/файрволом. Тем более что виртуалок у вас 300+.
Ну если только вы не берете L2 между площадками. Но это уже другая история.

С той стороны тоже шляпы. Клиенту, в большинстве случаев, должен отдаваться приватный VLAN в режиме access, и всегда без возможности доступа к менеджменту оборудования ЦОД. Т.е. конфликт между оборудованием клиента и оборудованием ДЦ должен быть невозможен.
Технические характеристики подключения согласовываются допником к договору, как и действия ЦОД/оператора связи по автоматической блокировке клиента в случае подобных эксцессов.

Тут не ДЦ кривой. Тут обе стороны не очень...

show isdn status

> почитал...во всех случаях перезагрузка вызвана программным сбоем.
> Не знаю что может быть :(

Какой-нибудь хаксор с эксплойтом, что вы как маленькие.

На этом железе конденсаторы ещё живы?
Не верю (с)

> Впорос про 6500 и 7600 - в последнее время у вас не
> появились частые перезагрузки?

У этих коробок обычно аптаймы годами меряются. Ничего нового (тьфу-тьфу-тьфу).

> Софт обновил, конфиг 100 раз перепроверил, крешфайлы почитал...во всех случаях перезагрузка
> вызвана программным сбоем.

Стабильный софт для 720, 32 и их вариаций:
adventerprisek9_wan-mz.122-33.SXI14.bin

Сначала наливайте стабильный софт. Потом выводите в мониторинг данные всех датчиков и смотрите где что у вас переполняется или падает.

> Не знаю что может быть :(

Бывает. GOLD и ЗИП два ваших лучших помощника.

>[оверквотинг удален]
> у хостера стоит микротик WANIP 234.234.234.234 LANIP 11.0.0.1
> за микротиком у хостера стоит сервер на базе PROXMOX(DEBIAN) LANIP 11.0.0.100 LinuxBridgeIP
> 12.0.0.1
> внутри (PROXMOX-а)стоит виртуалка с астериском LANIP 12.0.0.101
> Задача поднять VPN типа IPIP между микротиком(123.123.123.123)(на микротике просто создаи
> интерфейс IPIP) и астериском(12.0.0.101)
> при этом IP адреса в тунеле будут микротик 10.60.60.2 астериск 10.60.60.1
> Proxmox натит все что надо в Астериск.
> Вопрос - что надо пробросить протоколы/порты на микротике у хостера (WANIP 234.234.234.234)
> и что пробросить на линуксе в PROXMOX.

Поднимайте IPSec. Он может работать через NAT.
Или IPIP придется поднимать не на Asterisk, а на Proxmox.

0 это значит нормально.

D1C и D0 это идентификаторы звонка внутри циски.

> Все привет.
> По какой технологии оптимальнее объединить две сетки со шлюзами Cisco и Mikrotik?
> Cisco в сети Ростелеком получает по dhcp приватный адрес. Mikrotik в сети
> другого провайдера и имеет статический публичный айпишник. Нужно запилить туннель Cisco
> -> Mikrotik. Черканите, кто знает. Заранее благодарю.

что-нибудь, работающее через nat, l2tp например, или что там у них общее, мб обычный policy-based ipsec с nat-traversal

> Доброго дня Уважаемые!
> Есть два микрота в интернете: 1.1.1.1 и 2.2.2.2
> Между ними подняли L2TP + IPSec туннель. После этого пропал доступ с
> 1.1.1.1 к внешним сервисам 2.2.2.2 (25, 143, 465 и т.п. порты).
> Как будто всё что идёт на 2.2.2.2 пытается завернуться в туннель.
> Подскажите как это решить?

Галочку Add default route снять в свойствах туннеля/соединения

> Добрый день.
> Стоит задача настройки AnyConnect Client VPN на ASA5540 для доступа в корпоративную
> сеть, который будет отказывать в установлении соединения по условию.
> Влияния на клиента нет. Т.е. технология Microsoft NAP не подходит из-за необходимости
> клиентской части.
> Подскажите, пожалуйста, какие есть пути решения? В сторону каких технологий/ настроек посмотреть?
> Заранее спасибо!

openconnet

> Добрый день.
> Стоит задача настройки AnyConnect Client VPN на ASA5540 для доступа в корпоративную
> сеть, который будет отказывать в установлении соединения по условию.
> Влияния на клиента нет. Т.е. технология Microsoft NAP не подходит из-за необходимости
> клиентской части.
> Подскажите, пожалуйста, какие есть пути решения? В сторону каких технологий/ настроек посмотреть?
> Заранее спасибо!

который будет отказывать в установлении соединения по условию.
Что значит будет отказывать? По каким условиям?

> Добрый день.
> Стоит задача настройки AnyConnect Client VPN на ASA5540 для доступа в корпоративную
> сеть, который будет отказывать в установлении соединения по условию.
> Влияния на клиента нет. Т.е. технология Microsoft NAP не подходит из-за необходимости
> клиентской части.
> Подскажите, пожалуйста, какие есть пути решения? В сторону каких технологий/ настроек посмотреть?
> Заранее спасибо!

Если внутри сети есть домен, то можно поднять RADIUS-сервер. В терминах windows это будет network policy server.
Туда нужно отдать группы пользователей, которым разрешен вход через vpn.
ASA5540 умеет проверять пользователей на Radius-сервере. В ASDM есть специальный мастер.
Кроме того, опять же если есть домен, то можно поднять службу сертификатов и выпускать сертификаты на пользователей или на группы. Это позволит сделать дополнительную проверку на актуальность сертификата. Своеобразная 2FA. Из сертификата пользователя в клиента можно подбрасывать имя пользователя. После входа пользователя можно доменной политикой обновить ему сертификат. Или например если это пользователь подрядчика, то по завершении работ по договору можно отозвать сертификат. Вобщем гибко все. И без DARTов и Umbrella.

> Всем привет,
> Имеется Cisco 1941/K9. Постоянно вращает вентилятором на максимуме. Есть ли возможность
> управлять оборотами либо если в чём-то проблема, как-то её диагностировать?
> С меня, как всегда... )

Управлять - вряд-ли.
Диагностировать можно командой "show environment all". За С1941 не скажу, но зависимости от железки должен показать соответствие температуры (или нескольких датчиков) и статус вентиляторов. В больших железках показывает и текущую скорость оборотов вентиляторов. Можно попробовать опросить по SNMP.

Как вариант - выбрать время, выключить, разобрать и почистить/продуть/пропылесосить С1941.

> Народ, подскажите модель коммутатора...
> Нужен коммутатор 3 уровня, с гигабитными Ethernet портами, в количестве >=16.
> Производитель и исполнение не важно.
> Ищу архивную модель по причине крайне ограниченного бюджета и возможностью покупки б/у
> на avito.
> С меня, как обычно.

подсказываю:
Cisco 3750
hpe A5500 EI
D-Link DGS-3120 (нет BGP, только RIP и OSPF).

24 портовые модели есть с PoE и без. Смотрите сами что вам нужно.

https://m.aliexpress.ru/item/1005005040992978.html

https://m.avito.ru/moskva/tovary_dlya_kompyutera/mikrotik_cr...

>[оверквотинг удален]
> line aux 0
> line vty 0 4
>  login
>  transport input none
> !
> scheduler allocate 20000 1000
> !
> end\
> Ноутом (20.10.4.239) встаем на interface FastEthernet0 пинга нет, но пишет 100% отправлено
> пакетов. по telnet  то же зайти не дает(

Мало исходных данных.
Ноут понимает тегированные VLAN?
Если нет, то зачем встаете на порт, который работает с тегированными VLAN?

> interface Vlan708
>  ip address 20.10.4.239 255.255.255.0
> Ноутом (20.10.4.239) встаем на interface FastEthernet0 пинга нет, но пишет 100% отправлено
> пакетов. по telnet  то же зайти не дает(

А вы что, на ноут прописали тот же ip что и на интерфейс :-) если нет, то зачем в скобках за ноутом указывать ip.
И да, надеюсь на ноуте вы vlan сделали

> Добрый день!
> Подскажите, в чем может быть проблема. Есть 3 виртуальных стерры, две из
> них резервируют друг друга по протоколу VRRP.
> При попытке построить VPN туннель выходит ошибка на одном: https://prnt.sc/cK_ivhdZH81w,
> и на втором: https://prnt.sc/hFC1EFomvtso. Схема сети такая: https://prnt.sc/5klYSg_OtYOw.
> Cisco-like конфиги тут: https://www.dropbox.com/scl/fo/nxfh0y8mv0rt1e0zqhnu6/h?rlkey...
> Буду очень благодарен если поможете)

Вам нужно обратиться к производителю этого российского сертифицированного ФСТЭК/ФСБ оборудования, они помогут.

>[оверквотинг удален]
> поднял, одно плохо - хочется чтобы адреса раздавались по соответствующим интерфейсам
> - для вайфая из одного пула, для эзернета из другого -
> но никак не получается :( что нужно сказать на dot11radio0? все
> работает без заморочек через бридж. может кто чего подскажет?
> софт  C870 Software (C870-ADVIPSERVICESK9-M), Version 12.4(24)T6, RELEASE SOFTWARE (fc2)
> три dhcp pool по 32 адреса из одной сети - для эзернет,
> вайфай, ppp - тут все как часы, а вот для вайфай
> циска упорно берет адреса из пула для езернета. адрес роутера на
> бридже, но даже если присвоить адрес радио интерфейсу из нужного пула
> - циска плюет на него. если нужен будет конфиг - кину.

DHCP отдается по подсетям. Подсети привязываются к интерфейсам.
По умолчанию Wifi работает в бридже с VLAN1. Т.е. в одной подсети.
Или делать привязку MAC-IP или выгонять Wifi в другой VLAN и привязывать этот VLAN к брижду.
Учтите что маршрутизация между VLAN будет "кушать" CPU.

По докам можно ориентироваться и на С89х. Архитектура одна и та-же. Отсутствуют только некоторые фичи из-за разницы в IOS 12.х и 15.х линеек. Но базовые настройки не меняются десятилетиями.

> - циска плюет на него. если нужен будет конфиг - кину.

Очень хотелось бы. У самого по той же причине лежит такая же дома- всё руки не доходят. А те мануалы, что находил в сети- как на подбор частичные

>[оверквотинг удален]
> в скором времени выйдут из строя из-за частой записи ну и
> вообще не хочется вникать в таковой вариант действий, потому акцент на
> облако. Какие бесплатные облака можно для неё использовать, ну или найти
> аналоговые решения?? спрашиваю потому как уже задрался искать ответ на мой
> вопрос, выручайте ! За абсолютно каждый вразумительный полезный ответ, я буду
> Вам очень благодарен и признателен!!!! только одна просьба, просто такое часто
> бывает, что в ответе просто с умничали а толку та.., потому
> если можно если по ситуации у Вас получается, то напишите более
> подробно и понятным языком порядок действий как это всё происходит. Обнял
> каждого, всем всех благ, и побольше улыбок в вашем окружении

А производитель камеры не предоставляет некоторое бесплатное количество мегабайт на своем облаке?
Обычно сейчас в ip-камерах скорее проблема отбрыкаться от этого "ненавязчивого" бесплатного сервиса по краже твоих частных фоток...

Но вообще - вы же можете использовать любое хранилище...хоть яндексдиск...

В общем проблема непонятна.

Ну мои соображения...
1. Камера *должна* обладать детектором движения и возможностью его настройки, ибо писать неподвижную картинку - глупо, бессмысленно и никакого хранилища не хватит.
2. Камера *должна* уметь писать по ftp - хотя бы потому что его можно настроить так чтоб записать было можно, а стереть - нет, даже есди ты знаешь l/p под которым записывал.
3. Камера *должна* уметь как-то управлять старыми записями. Ну или это должен делать сторонний софт. Иначе любое хранилище - переполнится.
4. ~1 часа записи - достаточно при аккуратном использовании... Сценариев сделать так чтоб записать только сам инцидент, а пустые записи - дропнуть, очень много. Сам придумашь.
5. FullHD обычно либо излишне, либо... недостаточно.

https://www.drivehq.com, если кто предложит ftp более 5Гб даром - скажу спасибо. Но конечно можно придумать и комбинированные варианты, если платить неохота, типа переодического бекапа на халявный терабайт майлрушечки... :)

> что со временем в связи с частой записью быстро выйдут из
> строя!

Да не выйдут. Есть специальная серия жестких дисков, по-моему Western Digital AV, которые специально заточены на то чтобы на них писать закольцованное потоковое видео (ага, постоянно перезаписывать хвост новыми данными), хотя у людей они прекрасно работают и в роли обычных винтов.

>[оверквотинг удален]
> в скором времени выйдут из строя из-за частой записи ну и
> вообще не хочется вникать в таковой вариант действий, потому акцент на
> облако. Какие бесплатные облака можно для неё использовать, ну или найти
> аналоговые решения?? спрашиваю потому как уже задрался искать ответ на мой
> вопрос, выручайте ! За абсолютно каждый вразумительный полезный ответ, я буду
> Вам очень благодарен и признателен!!!! только одна просьба, просто такое часто
> бывает, что в ответе просто с умничали а толку та.., потому
> если можно если по ситуации у Вас получается, то напишите более
> подробно и понятным языком порядок действий как это всё происходит. Обнял
> каждого, всем всех благ, и побольше улыбок в вашем окружении

А если самому сделать хранилище дома и сделать доступ во внешний мир? Или карту памяти вставить в камеру.

> Здравствуйте,  есть большой список сайтов которые необходимо заблокировать NBAR с ним
> не справляется т.к. ограничения на 24 условия.
> CBAC не приниматься команда  ругается на inspect в ip inspect name
> webfilter http urlfilter.
> Пробовали и ip urlfilter exclusive-domain deny www.yahoo.com
> ip urlfilter exclusive-domain deny www.cisco.com
> ip inspect name WEBFILTER http urlfilter то же не принимается.
> Подскажите как быть .... уж сил нет ....в наличии ISR4321/K9  Cisco
> 4320 она вообще может что-то??

ISR не является NGFW. Используйте Cisco FPR или FTD.
Или других вендоров посмотрите.

> Здравствуйте,  есть большой список сайтов которые необходимо заблокировать NBAR с ним
> не справляется т.к. ограничения на 24 условия.
> CBAC не приниматься команда  ругается на inspect в ip inspect name
> webfilter http urlfilter.
> Пробовали и ip urlfilter exclusive-domain deny www.yahoo.com
> ip urlfilter exclusive-domain deny www.cisco.com
> ip inspect name WEBFILTER http urlfilter то же не принимается.
> Подскажите как быть .... уж сил нет ....в наличии ISR4321/K9  Cisco
> 4320 она вообще может что-то??

Здравствуйте, ты пробовал зональный брандмауэр (Zone Based Firewall) ?

К сожалению, только межсетевые экраны имеют группы объектов, подобные группам Cisco. Ты можешь использовать инструмент Command Query, чтобы узнать, какие команды поддерживает ваше оборудование (ссылка ниже).  

https://info.support.huawei.com/info-finder/tool/en/enterpri...

>[оверквотинг удален]
> *ipbaselm*
> *ipbaselmk9*
> *ipbasek9*
> *ipbasek9-mz*
> *i9-mz*
> *i5*
> *i5-mz*
> *advipservicek9*
> *advipservicek9-mz*
> Что всё это значит?

Разный набор возможностей прошивок (k9-например поддержка расширенного шифрования)

> Основной шлюз живет на Cisco 3850
> Если я убираю настройки прокси сервера в системе и включаю снифер на
> 10.3.0.130, то никаких пакетов в принципе не приходит.
> Сейчас у юзеров прописан адрес прокси сервера 10.3.0.244
> Мне нужно, чтобы никаких настроек прокси в системе у юзеров не было.

Если надо "как сейчас, но через другой VDOM", то пишите 10.3.0.130 в прокси и тестируйте, если не заработает то тыкайте палкой саппорт Фортигейта.

Если же вам надо избавиться от прокси вообще, то надо как-то сказать Cisco 3850 что
если src_ip == 10.43.79.2/24
то 0.0.0.0/0 via 10.3.0.130

Гуглите как делать "policy based routing" конкретно для Cisco. По моему надо создать route-map с условием какой IP у отправителя и next-hop желаемого шлюза.

В FortiGate100D никаких спец. маршрутов не надо, если каждый VDOM к своему провайдеру подключён.

Смею предположить что на коммутаторе нет DHCP и на компьютере в настройках адаптера стоит прописать 192.168.0.2
255.255.255.0

Вы используете старый вариант VSA SSG судя по всему.
Пробуйте для сервиса BNG'шный subscriber:sa=<service-name>
Честно скажу, у меня BNG нет, но этот VSA описан
https://www.cisco.com/c/en/us/td/docs/routers/asr9000/softwa...

Ещё я смотрю у вас там 26/250 и 26/1.
BNG почти везде хочет 26/9/1 (Cisco-AVPair)

А вот здесь ты попал.

HP известные сволочи на предмет whitelisting. Так что ХЗ. На будущее избегай HP, ибо известные сволочи.