FIDO RU.CISCO FAQ



Можно ли через radius задать пользователям, подключающимся по pptp ограничение скорости?

Как сделать так, чтобы CISCO на мой звонок, перезванивала мне по тому же телефону,
или Cisco CallBack

Cisco PPTP server and Win clients MTU

НАСТРОЙКА ИНТЕРФЕЙСОВ , МОДЕМОВ

ОСОБЕННОСТИ IOSов


Никто не занимался вопросами улучшения работы сильно забитой сети ? Порядка 500 активно работающих клиентов на канал в 256 килобит ...

Dmitri E. Kalintsev
custom queueing - ваш друг, товарищ и брат. Товарищу же priority queueing - отказать.
Читайте на www.cisco.com про congestion management и cisco QoS solutions.


> Господа, а какие решения у Cisco есть в плане распределения нагрузки на кластер скажем из web серверов?

From: jen@comp.chem.msu.su
Поищи на www.cisco.com по словам "IOS SLB" (это IOS Server Load Balancing").
Hа 6000 и 7200 серии работает.
Умеет балансировать трафик предназначенный для заданного IP/port/protocol, раскидывая его по набору
реальных серверов, причем как в режиме nat - с подменой IP address'а, так и в т.н. dispatch mode - с подменой только L2 заголовка. Умеет определять (не самым интеллектуальным, но более-менее эффективным в реальной жизни) способом, что один из серверов в down'e и перекидывать нагрузку на другие. Обратную ситуацию тоже отслеживает..
Время реакции на такие события - настраивается.

Я, правда, так и не поняла, как нормальным путем сделать именно резервирование - то есть включение в работу запасного сервера только при падении основного - как предельный случай load balancing'a.

Hасколько я могу судить, как и почти всегда с кошками - надо удачно подобрать IOS ;-) Дабы в нем были баги только в неиспользуемых фичах ;-)
В общем, субьективное мнение - мне нравится...Облегчает жизнь ;-)
(Я оставлю, правда, за кадром стоимость столь милого решения ;-)

Еще есть баоансировка с использованием Local Director'а - но этого я вблизи не видела, ничего говорить не буду..

Cisco LocalDirector? о цена конечно красивая, ~10K$ для младшей модели, хотя и она сильна
8000 virtual and real IP addresses
700,000 simultaneous TCP connections
90 Mbps throughput
http://www.cisco.com/warp/public/cc/pd/cxsr/400/index.shtml


Приветствую Вас!

Столкнулся с мистикой, которую сам обьяснить/исправить не в состоянии.

Основной наш канал сейчас работает через ip tunnel. Существуют проблемы с доступом ко многим сайтам (ftp.hp.com, www.chipinfo.ru,...). Коннекты закрываются по истечению timeout. Мне сказали, что это проблемы, связанные с MTU на tunnel. Изменить MTU невозможно

arachne(config-if)#mtu 1500
% Interface Tunnel1 does not support adjustable maximum datagram size

Причем это справедливо как для сконфигурированного tunnel, так и для вновь созданного.

Ну, допустим, ошибка в IOS и надо предпринимать шаги по удалению туннелей, что жутко не хочется, поскольку на канале между двумя CISCO (нашим и UkrNET) аж три FreeBSD routera.

Но мистика заключается в следующем:
На находящемся рядом в тех же условиях, в той же сети RS/6000 под управлением AIX 3.2.5 этой проблемы не существует. С нее я попадаю куда угодно.

Вот этого я понять не могу и прошу помочь, если кто сталкивался или понимает суть проблемы.

С уважением,
Вадим Чепков
Харьковский политех

#sh ver

IOS (tm) 3600 Software (C3640-I-M), Version 12.0(6), RELEASE SOFTWARE
(fc1)
Copyright (c) 1986-1999 by cisco Systems, Inc.
Compiled Wed 11-Aug-99 13:26 by phanguye
Image text-base: 0x60008918, data-base: 0x60674000
ROM: System Bootstrap, Version 11.1(19)AA, EARLY DEPLOYMENT RELEASE
SOFTWARE (fc
1)
arachne uptime is 2 days, 50 minutes
System restarted by power-on at 22:32:20 EET Sat Feb 26 2000
System image file is "flash:c3640-i-mz.120-6.bin"
cisco 3640 (R4700) processor (revision 0x00) with 36864K/12288K bytes of
memory.
Processor board ID 09301359
R4700 processor, Implementation 33, Revision 1.0
Bridging software.
X.25 software, Version 3.0.0.
1 Ethernet/IEEE 802.3 interface(s)
1 Serial network interface(s)
8 Low-speed serial(sync/async) network interface(s)
DRAM configuration is 64 bits wide with parity disabled.
125K bytes of non-volatile configuration memory.
8192K bytes of processor board System flash (Read/Write)

# sh int tun 1

Tunnel1 is up, line protocol is up
Hardware is Tunnel
Description: -= UKRNET tunnel =-
Internet address is 194.44.156.209/30
MTU 1476 bytes, BW 10000 Kbit, DLY 500000 usec, rely 255/255, load 1/255
Encapsulation TUNNEL, loopback not set, keepalive set (10 sec)
Tunnel source 194.44.156.4 (Loopback3), destination 194.44.156.9
Tunnel protocol/transport GRE/IP, key disabled, sequencing disabled
Checksumming of packets disabled, fast tunneling enabled
Last input 00:00:13, output 00:00:00, output hang never
Last clearing of "show interface" counters 00:07:46
Queueing strategy: fifo
Output queue 0/0, 0 drops; input queue 0/75, 0 drops
5 minute input rate 109000 bits/sec, 29 packets/sec
5 minute output rate 20000 bits/sec, 28 packets/sec
12030 packets input, 5887290 bytes, 0 no buffer
Received 0 broadcasts, 0 runts, 0 giants, 0 throttles
0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored, 0 abort
12913 packets output, 1149132 bytes, 0 underruns
0 output errors, 0 collisions, 0 interface resets
0 output buffer failures, 0 output buffers swapped out

> с MTU на tunnel. Изменить MTU невозможно

мне удалось при помощи плясок с бубном:
тунель вешается на адрес, который на Serial'е на сереале ставится MTU=1500+x сколько x не помню, но не много, после этого на тунеле становится приемлимый MTU >= 1500 при этом, правда при отправке этого дела энкапсулировные пакеты могут фрагментироватся, но fbsd их отлично собирает, точно также как и отдает фрагментированные

TSB Russian Express, Moscow
Vladimir B. Grebenschikov, vova@express.ru

У меня tunnel работает через ethernet, не через сериал.

еще раз, для тех кто на бронепоезде, мне удалось сделать MTU=1500 в тунеле, только если cisco'вский конец финиширует на interface-адресе serial'а
у меня тоже тунель смотрел в сторону ethernet'а но это не мешает приземлять его на serial'ный адрес может можно как-то по другому - но у меня не получилось

> > На находящемся рядом в тех же условиях, в той же сети RS/6000 под
> > управлением AIX 3.2.5 этой проблемы не существует. С нее я попадаю куда
> > угодно.
>
> ... а какой у нее MTU ?

те же 1500. FreeBSD не одинока в своем горе - Windows (сейчас с него пишу) тоже не может достучаться.
Но почему AIX работает великолепно ????

 

Может, пpосто поставить на тунеле ip mtu >1500?;)
--
Best regards, -- Alex Bakhtin.
AMT Group, Cisco Systems Gold Partner, http://www.amt.ru

kiska#conf t
Enter configuration commands, one per line. End with CNTL/Z.
kiska(config)#in tun0
kiska(config-if)#ip mtu 1600
%Warning: MTU set 1600 is greater than default 1476, fragments will happen
kiska(config-if)#

kiska#sh ip in tun0
Tunnel0 is up, line protocol is down
Interface is unnumbered. Using address of Loopback0 (x.x.x.x)
Broadcast address is 255.255.255.255
MTU is 1600 bytes
....

sh ver

System image file is "flash:c3640-i-mz.120-7.bin"


Еще pаз - для тех, кто в танке. Hе MTU, а IP MTU, что есть pазные вещи. MTU - это для пpотоколов втоpого уpовня, а IP MTU - для тpетьего.
--
Best regards, -- Alex Bakhtin.
AMT Group, Cisco Systems Gold Partner, http://www.amt.ru

Для тех кто в нем же... Изменение ip mtu на туннельных интерфейсах сломано в большинстве версий, которые находятся в эксплуатации.
> AMT Group, Cisco Systems Gold Partner, http://www.amt.ru
Поиск BugIDs оставляю в качестве самостоятельного упражнения :)

Ну ладно, проделаю домашнюю работу ;-))

CSCdm54169

You cannot change the MTU size of a tunnel interface using software after Cisco IOS Release 11.3(9.2).

Workarounds:

Use images between Release 11.3(5.1)T and Release 11.3(9.3) or Release 12.0(0.16) and
Release 12.0(4.2). Configure ip mtu on the tunnel interface before you configure tunnel
destination. If tunnel destination is already configured, then unconfigure the destination,
configure ip mtu, and then reconfigure the destination. You need to wait five seconds
after removing the tunnel destination before issuing the ip mtu command. Once the workaround is issued, there should be no problems in the event of a router reboot as the ip mtu command is parsed before the tunnel destination.

суровая, однако, получилась дискуссия, так вот для решения подобных проблем есть слово VPN, когда поднимается L2 и он корректно делает фрагментацию на 2-ом уровне, так, что на 3-ем никто ничего не замечает... ну, а приложения,
которые используют DF-бит есть на свете и они через тоннель не пролезут...


> No vot pochemu AIX rabotal - ponyat' poka vse ravno ne mogu, budem iskat'.
aix ne prostavlyaet flajka DF. provereno electronikoi :)
poslushai segment tcpdumpom, on tebe o vseh tvoih problemah rasskajet.


> > Столкнулся с мистикой, которую сам обьяснить/исправить не в состоянии.
Это не мистика, просто многие тупые сетевые админы фильтруют _весь_ ICMP. Таким образом до WWW сервера не доходит ICMP 3.4, который посылает роутер с туннелем. Следовательно на киске надо ставить на туннеле MTU 1500 + размер заголовка туннеля.


IZ> Есть проблема следующего плана, которую хотелось бы а) понять и б) вылечить:
IZ> - Cisco2620 - IOS ver. 12.0.7T, IP plus
IZ> - порты WIC-2T, кабели Smart Serial V.35 DTE
IZ> - к ним подцеплены модемы Watson 4MS (DCE, соответственно)
IZ> - общее количество ошибок на Serial минимально, т.е. Serial'ы работают почти с идеальным качеством.
IZ> - проблема в том, что на счетчиках интерфейсов потихоньку увеличиваются
IZ> abort счетчики -- в результате они составляют больше половины (upto 2/3) от всех input errors.

Абоpты пpоисходят тогда, когда киска получает кpивой flag.

IZ> Т.е. они даже прощелкивают тогда, когда стоят на месте a) errored blocks в G826 test на самих модемах (что-то типа
IZ> BER-теста -- т.е. нет ошибок в линии) b) CRC/frame c) overrun/ignore.

Hу и что?

IZ> Но тогда откуда подкапывают эти abort'ы?

Из линии.

IZ> Про abort на киске удалось найти лишь что-то типа "possible clock errors",
IZ> на "show controllers" говорит, мол, "DTE V.35 TX and RX clocks detected."

Это не говоpит о пpавильности синхpонизации никоим обpазом. Поставь bert. Hоpмальный беpт, по-возможности не тот, что засунут в модем и на обоих концах одновpеменно.

--
Best regards, -- Alex Bakhtin.
AMT Group, Cisco Systems Gold Partner, http://www.amt.ru


Буду чрезвычайно благодарен тем, кто поможет объяснить, что обозначает параметр Advertisement interval при конфигурировании HSRP, а конкретнее - standby timers. Эта хреновина не документирована нигде!!!
Появилась лишь в 12-м софте. Для чего?

afair, документирована в RFC:
2281 Cisco Hot Standby Router Protocol (HSRP). T. Li, B. Cole, P. Morton, D. Li. March 1998. (Format: TXT=35161 bytes) (Status: INFORMATIONAL)

Alexandre Snarskii 2:5020/400


Прошу прощения что беспокою по пустякам, но в данный момент нет возможности проверить такую ситуацию - Есть 2 зеркальных Linux сервера с установленным heartbeat (софт для обнаружения падения master сервера и подключения slave к обработке запросов к сервису (в данном случае web), который ранее обслуживался master'ом) Делается это простой настройкой дополнительного IP адреса eth0:1, который первоначально поднимается на master, в случае падения master'а, дополнительный IP поднимается на slave и тот продолжает обслуживать запросы к этому доп. IP адресу.
Так вот, вопрос в следующем - при поднятии этого самого дополнительного IP на slave, Linux роутер на это соответствующе реагирует, т.е. меняет запись в своем ARP кэше, Win2000 это игнорирует, т.е без arp -d * никак. Мне интересно как поведет себя Cisco.

Поведет в соответствии с arp timeout, который достаточно большой (по умолчанию час). Соответственно надо либо уменьшать это значение коммандой arp timeout на интерфейсе, либо clear arp-cache
"Svyatoslav Kiselevsky" <slawa@skfgvc.elektra.ru>

Я ответ пpо arp timeout пpочитал, хочется сказать, во-пеpвых, что там таймаут 4 часа, а во втоpых, запись из ARP кеша вылетит достаточно быстpо в случае, если линух несколько pаз себя аpпом пpоанонсиpует. Точное значение, боюсь, можно опpеделить только экспеpиментально:) Сделаешь - pасскажи:)
Alex Bakhtin <bakhtin@amt.ru>

Была необходимость - несколько раз менял местами, перетыкая туда-сюда патч-корд, две кошки. Кроме нее, участниками трафика были NT 4.0, ФрееБСД 3.1 и Линух не-знаю-какой - в отдельном девайсе, я туда не лезу. Так вот, реакция у них всех была очень похожей - ждать можно до-о-о-олго и тщательно. Первый раз после 10 минут ожидания я все-таки решил пропинговать с вновь подключенной киски их все, и это сразу помогло. Первый пинг обязательно теряется, дальше проблем нет. Опять же, реакция у ВСЕХ была одинаковой. При следующих переключениях я уже пинги пинал сразу, с тем же эффектом потери первого пакета. Свича там не было, был тупой хаб, так что побочные эффекты исключены.
"Igor V. Koncevih" <root@sakhalin.su>

IVK> не лезу. Так вот, реакция у них всех была очень похожей - ждать можно до-о-о-олго и > IVK>тщательно.
> Ждать чего???
Ага, непонятки :-)
Hачала процесса.
Hа киске - туннель, и до тех пор, пока на нее ничего не доходит, с нее тоже ничего не валится. А до нее ничего не дойдет, пока не обновятся таблицы ARP. А обновятся они х.з. когда, поскольку с нее ничего не летит - я же ее только что подключил. Вот. Пингуешь все по очереди, и процесс пошел...
"Igor V. Koncevih" <root@sakhalin.su>


Что надо сделать перед насторйкой BGP?
Сначала получить в RIPE статус LIR, потом 32 сети класса C, заплатить за все это кругленькую сумму в "euro", получить номер AS. Потом поднять BGP c провайдером. (элементарно). Потом поднять BGP c партнером (он тоже должен быть AS) и анонсировать ему то, что ближе через вас.

Aleksey Y Romanenko 2:5020/400


А есть причины, по которым использование CEF нежелательно?

Есть конечно...

1) Памяти на FIB он жрет неимоверно...
Не у всех ее достаточно много, чтобы выдержать дополнительное потребление...

2) Мало-мальски сложные операции с пакетами сильно глюкают при ходьбе по cef-path, поэтому часто приходится делать "no ip cef", чтобы оно хоть как-то но работало.


> есть вопрос по Catalyst 2924M :) Один из них не так давно обсуждался, но
> решения так и не появилось - на некоторых портах наблюдается колоссальное
> количество ошибок deferred:
>
Deferred - это не ошибка. Это штатное состояние, в которое может впадать полудуплексный интерфейс Ethernet. Означает, что при попытке передачи пакета были коллизии, причем стандартным сдвигом начала передачи по времени преодолеть коллизию не удалось и передача пакета была отложена (deferred).


> Есть ли где-то сети построенные на EIGRP?

Несомненно. У тех, кому нужен unequal cost load balancing и НЕ нужен MPLS и межвендорная совместимость.

> Какие подводные камни могут возникнуть при его использовании?

Cisco-proprietary, со всеми вытекающими.


ВОПРОС:
Подскажите, какой канал потянет используемый в качестве файервола1605 с Firewall future set. А тут меня пуганули, что только 64к или максимум 128. Тогда что ставить на 512к - 1М? Про PIX я в курсе. Дороговато.
ОТВЕТ:
3640 с c3640-io-mz.120-3.T3.bin
С уважением, Василий Иванов
http://vasya.opsb.ru/


Date: Wed, 04 Apr 01 04:20:26 +0400
Subject: CISCO иMAC-адрес

Ситуация такая: есть Cisco 2600 и локальная сеть, которая через нее ходит в интернет. Hа циске прописаны IP и MAC-адреса юзеров, некоторым запрещено ходить дальше своей сети. Hо особо продвинутые меняют на карте mac-адрес и ip на соседский (который выключен) и лазят в инет. Можно ли как-то отследить смену mac-адресов? И вообще как эта проблема решается?

1) свич с отдельным портом каждому и фиксация маков на портах
2) РРТР
3) РРРоЕ
4) L2TP
итд.

> Почему с отдельным-то?
Это обеспечивает фиксацию MAC адреса на порту коммутатора. В итоге на этом
порту не смогут работать станции с другими MAC адресами. Таким образом при
изменении MAC адреса на станции не будет доступа к сети вообще


Любых два устройства можно свизать через синхронные порты либо через асинхронные, а синхронный порт к асинхронному привизать нельзя, впрочем как и наоборот, ПРИHЦИП ПЕРЕДАЧИ ИHФОРМАЦИИ СОВСЕМ РАЗHЫЕ.

Frizen Oleg 2:5020/40


Вопрос на засыпку: Подскажите кто-нибуть, если на Cisco 2600 установлен WAN Module 4-port BRI(U) w/NT1 и подключен к 4-ем ISDN портам местной тлф. станции (Meridian), то в качестве access servera сможент 2600-ая по этим портам обслужить клиентов Dial-Up по протоколу V.90 или X2. Все тлф. станции через которые выходят клиенты на 2611 - цифровые. Нигде в докухе не нашел иформацию о том что модули ISDN BRI (NM-4B-U) поддерживают V.90. Есть описание V.90 только для n-port Integrated Digital Modems network module для Cisco 3600 и 5300. Может поддержка V.90 для ISDN BRI (NM-4B-U) в 2600 или 3600 предпологается по умолчанию? Заранее благодарен тому кто поможет разобратся

Нет не сможет. Для того чтобы приянть звонок с модема нужен другой модем, например живущий на n-port Integrated Digital Modems network module, а BRI'ные, серийные, Ethernet'ные и прочие порты тут не причем.

Sergey Nedosekin

Не будет , т.к. ISDN BRI модуль может приинмать либо голосовые звонки,и перенаправлять их на внутренний цифровой модемный модуль (которого тут нету и засовывать некуда - надо Cisco3600 - и который поддерживает V.90), либо принимать звонки с данными с ISDN terminal adapter или других ISDN портов другого роутера, и обслуживать их как данные (т.е. поднять там PPP и IP и т.д.)

Alik


А можно совмещать на физическом интерфейсе bridge-group и ip routing ?

Нет. Протокол либо роутится, либо бриджится на интерфейсе. Если нужно и то и то, используй IRB (т.е. необходим IOS с поддержкой IRB и, соответственно, BVI)


Будет ли работать такая конфигурация?

Четыре C2924XL-EN (IOS 12.0(5.2)XU) последовательно соединены ISL транком и замыкающий в цепочке посредством того же ISL связан с C2611 (IOS 12.0-5 IP Plus)

Читал:
http://www.cisco.com/warp/public/473/43.html
http://www.cisco.com/warp/public/473/50.shtml

Там содержится все что мне нужно, но будет ли это трудиться в связке?
Сейчас существует такая схема сети: Сервер FreeBSD с тремя интерфейсами: Ethernet1 директом соединен с C2611, Ethernet2 -> catalyst1 -> catalyst2, Ethernet3 -> catalyst3 -> catalyst4

Hет, ISL не будет. Ибо ISL существует только на 100 мегабитных Ethernet'ах, а в 2611 только 10base-T.
Будет работать 802.1q.

YY> У кого есть практика использования 802.1q на 2611 ?
YY> Как оно живет?
никак. надо 262x c ip+.

YY> У кого есть пpактика использования 802.1q на 2611 ?
YY> Kак оно живет?
Hоpмально живет:

Сиська 2610:

Cisco Internetwork Operating System Software
IOS (tm) C2600 Software (C2600-IS-M), Version 12.1(2), RELEASE SOFTWARE (fc1)

cisco 2610 (MPC860) processor (revision 0x203) with 53248K/12288K bytes of
memory.

1 Ethernet/IEEE 802.3 interface(s)
1 Serial network interface(s)
32K bytes of non-volatile configuration memory.
8192K bytes of processor board System flash (Read/Write)


В Ethernet 0/0 воткнут коммутатоp BayStack-310T поpтом 10/100

Hа pоутеpе настpоено 25 сабинтеpфейсов - 24 - по одному на поpт коммутатоpа, и
25-й - для самого коммутатоpа:

--------------------------------------
interface Ethernet0/0
description Link to Switch
no ip address
ip route-cache flow
!
interface Ethernet0/0.1
encapsulation dot1Q 1
!
interface Ethernet0/0.701
description Client 1
encapsulation dot1Q 701
ip address 10.11.12.13 255.255.255.0
--------------------------------------

и т.д.

А вот NetFlow на этом интеpфейсе почему-то не pаботает :(((
А когда не было этих сабинтеpфейсов - pаботало ноpмально

> А вот NetFlow на этом интеpфейсе почему-то не pаботает :(((
> А когда не было этих сабинтеpфейсов - pаботало ноpмально
>

12.1(7) попробуй, ip route-cache flow на e0/0


Перерыл документацию на CD - не нашел ни слова про port-based NAT (a-la natd во FreeBSD, когда-то я слышал название PAT - port address translation). Все, что нашел - только с использованием адресных пулов. Самое интересное, что порывшись по rfc, тоже не смог найти описание этой технологии, тоже только address-based translation (rfc 1631). Подскажите, можно-ли такое на киске соорудить и если можно - то как?

В Cisco NAT это называется overload.
Судя по платформе версия не ниже 11.2P, там этого FetureSet хватит.

Rule of thumb: не ставьте IOS с бОльшим количеством фич, чем реально нужно (я редко встречал ситуации, когда реально был нужен Enterprise Plus)

Можно вы все-таки будете делать RTFM до, а не после написания писем в лист?
www.cisco.com, в поле Search набираем NAT, нажимаем "Go" и...через пару минут в перечне ссылок находим эту...
http://www.cisco.com/univercd/cc/td/doc/product/software/ios113ed/113ed_cr/dial_c/dcprt11/dcnat.htm
Причем эта ссылка там не единственная, которую стоит почитать. Это на тот случай, если уж и по диску с документацией самому искать лень.


> Таки нельзя управлять свичами (29xx, 35xx) по telnet-у с машины, которая включена в trunk порт? Если
> подцепить через обычный порт (sw ac mo vl 1), то все замечательно. Hо хочется с транка.

Все нормально работает.

Скорее-всего, у тебя проблемы с VLAN 1 на транке. Каталист 2950 в dot1q тут у нас почему-то считал, что VLAN 1 - это native vlan.

Собственно, он правильно считал :)

Manul#sh interfaces fastEthernet 0/12 switchport
Name: Fa0/12
Switchport: Enabled
Administrative mode: trunk
Operational Mode: trunk
Administrative Trunking Encapsulation: dot1q
Operational Trunking Encapsulation: dot1q
Negotiation of Trunking: Disabled
Access Mode VLAN: 0 ((Inactive))
>> Trunking Native Mode VLAN: 1 (default)
Trunking VLANs Enabled: ALL
Trunking VLANs Active: 1,10
Pruning VLANs Enabled: 2-1001
Priority for untagged frames: 0
Override vlan tag priority: FALSE
Voice VLAN: none
Appliance trust: none

AFAIK в dot1q один VLAN всегда untagged по определению.

Т.е., что пакетики в транк для vlan1 надо слать не маркированными.

Лечится либо прописыванием ip address на рутере, куда приходит транк не на сабинтерфейсе с encapsulation dot1q 1, а на главном интерфейсе (fasteth 0/0, или как там у тебя). Либо прописыванием на транке на свитче native vlan 1000 какой-нить (любой не используемый).

Или, как вариант, "encapsulation dot1Q 1 native" на одном из
субинтерфейсов. У меня именно так работает.