Tomasz Wendlandt » Cisco

Unicast mac flooding on Catalyst 6500

juggler — Fri, 08 Oct 2010 21:42:28 +0000

W architekturze 6500 przy zastosowaniu DFC nast�puje rozproszone przetwarzanie ramek (distributed switching). W takiej kofiguracji ka�da karta liniowa ma w�asn� tablice CAM. Co w praktyce oznacza, �e ka�da karta z DFC uczy si� MAC�w niezale�nie i przechowuje je w tablicy przez okre�lony czas (aging time). Naturalne jest w�wczas, �e Supervisor nie widzi ruchu dla danego MAC adresu, poniewa� ruch ten zostanie wys�any z pomini�ciem Supervisora (bezpo�rednio przez kart� liniow�), a poniewa� przez d�u�szy czas Supervisor nie b�dzie widzia� ruchu do danego MACa, zostanie on usuni�ty z jego tablicy CAM.

Co si� dzieje dalej? Ponownie przychodzi ruch dla danego MACa, ale poniewa� inne karty w chassis nie maj� go w CAMie ruch ten jest wysy�any do wszystkich kart. W efekcie widzimy unicast flooding w ramach jednego vlanu. Jak mo�na rozwi�za� taki problem? Nale�y w��czy� synchronizacj� tablic MAC adres�w DFC z PFC Supervisora oraz opcjonalnie wyd�u�y� czas aging-time:

(config)#mac-address-table synchronize
(config)#mac-address-table aging-time 900

#sh mac address-table address 0014.0000.aabb all
Legend: * - primary entry
        age - seconds since last seen
        n/a - not available

  vlan   mac address     type    learn     age              ports
------+----------------+--------+-----+----------+--------------------------
Module 2[FE 1]:
   10  0014.0000.aabb   dynamic  Yes        180   Gi9/21
Module 2[FE 2]:
   10  0014.0000.aabb   dynamic  Yes        180   Gi9/21
Module 3[FE 1]:
   10  0014.0000.aabb   dynamic  Yes        145   Gi9/21
Module 3[FE 2]:
   10  0014.0000.aabb   dynamic  Yes        145   Gi9/21
Module 4[FE 1]:
   10  0014.0000.aabb   dynamic  Yes        180   Gi9/21
Module 4[FE 2]:
   10  0014.0000.aabb   dynamic  Yes        180   Gi9/21
Active Supervisor:
   10  0014.0000.aabb   dynamic  Yes         15   Gi9/21
Module 7[FE 1]:
   10  0014.0000.aabb   dynamic  Yes         20   Gi9/21
Module 7[FE 2]:
   10  0014.0000.aabb   dynamic  Yes         20   Gi9/21
Module 8[FE 1]:
   10  0014.0000.aabb   dynamic  Yes        170   Gi9/21
Module 8[FE 2]:
   10  0014.0000.aabb   dynamic  Yes        170   Gi9/21
Module 9[FE 1]:
*  10  0014.0000.aabb   dynamic  Yes         15   Gi9/21
Module 9[FE 2]:
*  10  0014.0000.aabb   dynamic  Yes        180   Gi9/21


#sh mac address-table synchronize statistics

MAC Entry Out-of-band Synchronization Feature Statistics:
---------------------------------------------------------

    Module [2]
    -----------

    Module Status:
Statistics collected from module                    :  2
Number of L2 asics in this module                   :  2

    Global Status:
Status of feature enabled on the switch             :  on
Default activity time                               :  160
Configured current activity time                    :  160

    Statistics from ASIC 0 when last activity timer expired:
Age value in seconds from age byte register         :  0x3D
Current activity interval start time for seconds    :  0x20
Current activity interval end time for seconds      :  0x40
Current inactive interval start time for seconds    :  0x0
Current inactive interval end time for seconds      :  0x20
Age value in minutes from age byte register         :  0x2F
Current activity interval start time for minutes    :  0x2C
Current activity interval end time for minutes      :  0x2F
Current inactive interval start time for minutes    :  0x29
Current inactive interval end time for minutes      :  0x2C
Age value in hours from age byte register           :  0x27
Current activity interval start time for hours      :  0x26
Current activity interval end time for hours        :  0x27
Current inactive interval start time for hours      :  0x26
Current inactive interval end time for hours        :  0x26
Age value in days from age byte register            :  0x16
Current activity interval start time for days       :  0x15
Current activity interval end time for days         :  0x16
Current inactive interval start time for days       :  0x15
Current inactive interval end time for days         :  0x15
Number of active entries read                       :  1372435
Number of entries ignored with update to age byte   :  3812323
Number of entries updated with age byte             :  1781719
Number of entries created new                       :  4194

    Statistics from ASIC 1 when last activity timer expired:
Age value in seconds from age byte register         :  0x3D
Current activity interval start time for seconds    :  0x20
Current activity interval end time for seconds      :  0x40
Current inactive interval start time for seconds    :  0x0
Current inactive interval end time for seconds      :  0x20
Age value in minutes from age byte register         :  0x2F
Current activity interval start time for minutes    :  0x2C
Current activity interval end time for minutes      :  0x2F
Current inactive interval start time for minutes    :  0x29
Current inactive interval end time for minutes      :  0x2C
Age value in hours from age byte register           :  0x27
Current activity interval start time for hours      :  0x26
Current activity interval end time for hours        :  0x27
Current inactive interval start time for hours      :  0x26
Current inactive interval end time for hours        :  0x26
Age value in days from age byte register            :  0x16
Current activity interval start time for days       :  0x15
Current activity interval end time for days         :  0x16
Current inactive interval start time for days       :  0x15
Current inactive interval end time for days         :  0x15
Number of active entries read                       :  2043307
Number of entries ignored with update to age byte   :  3928935
Number of entries updated with age byte             :  993682
Number of entries created new                       :  0

�r�d�o:
http://www.cisco.com/en/US/products/hw/switches/ps708/products_tech_note09186a00807347ab.shtml

Cisco search bar

juggler — Tue, 28 Sep 2010 20:44:28 +0000

Ma�a rzecz, kt�rej u�ywam od dawna i jest przydatna w codziennej pracy – plugin do FF, IE oraz Google Chrome umo�liwiaj�cy szybkie przeszukiwanie strony Cisco.com, a dok�adniej obszar�w:

Tools

* BugID Lookup Tool
* Command Lookup Tool for IOS Commands
* Error Message Decoder Tool
* RMA/Service Order Status Tool
* TAC Service Request Query

Searches

* Search Cisco
* Search Cisco Brazil
* Search Cisco Japan
* Search Cisco Latin America
* Search Cisco Russia
* Search Forums, Blogs, and Wikis
* Search Software Downloads

http://www.cisco.com/web/tsweb/searchplugins/plugin_homepage.html#

Cisco ASA SSL VPN plugins

juggler — Mon, 03 May 2010 11:48:39 +0000

Przydatna sprawa dla tych, kt�rzy u�ywaj� Cisco ASA i dost�pu VPNowego po SSLu. Pluginy klient�w dla SSH, RDP, VNC do dost�pu via SSL VPN. Nie wiadomo dlaczego g��boko zakopane na stronie Cisco.

http://www.cisco.com/cgi-bin/Software/Tablebuild/doftp.pl?ftpfile=/cisco/crypto/3DES/ciscosecure/asa/customer/vnc-plugin.jar
http://www.cisco.com/cgi-bin/Software/Tablebuild/doftp.pl?ftpfile=/cisco/crypto/3DES/ciscosecure/asa/customer/ica-plugin.zip
http://www.cisco.com/cgi-bin/Software/Tablebuild/doftp.pl?ftpfile=/cisco/crypto/3DES/ciscosecure/asa/customer/ssh-plugin.jar
http://www.cisco.com/cgi-bin/Software/Tablebuild/doftp.pl?ftpfile=/cisco/crypto/3DES/ciscosecure/asa/customer/rdp-plugin.jar
http://www.cisco.com/cgi-bin/Software/Tablebuild/doftp.pl?ftpfile=/cisco/crypto/3DES/ciscosecure/asa/customer/citrix_plugin_howto.doc

Cisco IPSec VPN Client for 64-bit Windows

juggler — Mon, 22 Feb 2010 09:17:08 +0000

Cisco w ko�cu wypu�ci�o IPSec’owego klienta VPN dla Windowsa w wersji 64bitowej.

Do pobrania z tego miejsca.

Cisco StackWise Technology

juggler — Sun, 10 Jan 2010 22:16:45 +0000

Kr�tkie wprowadzenie do stackowania switchy 3750. Na pocz�tek ��czymy wszystkie switche na krzy� kablami CAB-STACK. Mamy do wyboru trzy d�ugo�ci: 1m, 3m i 50cm.

Sprawdzamy czy pod��czone kable s� widziane w IOSie:

Switch#sh switch stack-ports
  Switch #    Port 1       Port 2
  --------    ------       ------
    1           Ok           Ok
    2           Ok           Ok

I czy ring, kt�ry w�a�nie stworzyli�my ma pe�n� pr�dko�� czyli 32Gbps. Co oznacza, �e w modelu C3750 24-portowym osi�gniemy pe�n� pr�dko�� jednocze�nie na wszystkich portach. Jednak w C3750 48-portowym ju� nie. Pr�dko�� ringu jest dzielona pomi�dzy urz�dzenia w stacku. Ponadto ka�dy port ASIC ma po��czenie do obu ring�w.


Switch#sh switch stack-ring speed

Stack Ring Speed        : 32G
Stack Ring Configuration: Full
Stack Ring Protocol     : StackWisePlus

Powy�ej wida�, �e protok� u�yty w ringu to StackWise Plus dost�pny w nowszych switchach 3750-E. Dla StackWise w wersji Plus je�eli ramka ma src i dst na tym samym switchu wchodz�cym w sk�ad stacka to nie jest ona rozg�aszana na ringu, w�wczas w ruchu bierze udzia� jedynie wewn�trzny fabric. Z kolei dla zwyk�ego StackWise, kt�ry jest dost�pny na zwyk�ych prze��cznikach 3750 ka�da ramka rozg�aszana jest na ringu. Ponadto dla ramek Unicast StackWise Plus u�ywa Destination Stripping co powoduje usuni�cie ramki z ringu w momencie, gdy dotrze ona do prze��cznika, na kt�rym jest odbiorca. Dzi�ki temu pozostaje wi�cej pasma na ruch mi�dzy pozosta�ymi switchami. W zwyk�ym StackWise dost�pny jest jedynie Source Stripping co powoduje, �e ramka zawsze musi przej�� przez ca�y ring.

W �atwy spos�b mo�emy sprawdzi� ile ramek zosta�o wys�anych przez ring.

Switch#sh switch stack-ring activity

Sw  Frames sent to stack ring (approximate)
------------------------------------------------
1           82425
2           53761

Total frames sent to stack ring : 136186


Note: these counts do not include frames sent to the ring
by certain output features, such as output SPAN and output
ACLs.

Mo�na te� zweryfikowa� kt�ry kabel stackuj�cy jest pod��czony do kt�rego portu w s�siednim switchu.


Switch#sh switch neighbors

  Switch #    Port 1       Port 2
  --------    ------       ------
      1         2            3
      2         3            1
      3         1            2

Trzeba pamieta�, �e przy dodawaniu nowego prze��cznika do stacku urz�dzenie zrebootuje si�, a jego konfiguracja zostanie nadpisana przez konfiguracj� obowi�zuj�c� w stacku. Mo�na oczywi�cie doda� nowy prze��cznik jako mastera, przez nadanie mu odpowiednio wysokiego priorytetu. W�wczas nowy master zostanie do��czony, a pozosta�e switche w stacku zrebootuj� si� z now� konfiguracj�.

Switch#switch stack-member-number priority new-priority-value

I jeszcze jedna wa�na sprawa. Przy budowaniu stacku warto ustawi� stack-mac persistent timer na 0.

Switch#sh run | i stack
stack-mac persistent timer 0

Zapobiega to zmianie MAC adresu stacku, w przypadku pojawienia si� nowego mastera, np. przez dodanie nowego switcha z wy�szym prio ni� obecny master lub uszkodzeniu obecnego mastera.

Na koniec przydatne linki: Creation and Management of Catalyst 3750 Switch Stacks, Cisco StackWise Technology White Paper.

BGP ORF

juggler — Wed, 25 Nov 2009 17:11:28 +0000

Filtrowanie prefix�w w BGP bywa uci��liwe. Szczeg�lnie w przypadku, gdy nie chcemy otrzymywa� ca�ej tablicy od naszego ISP i filtrowa� j� u siebie na wej�ciu, a jedynie otrzymywa� prefixy kt�re nas interesuj�. Trzeba w�wczas dogadywa� si� z naszym ISP i prosi� go o aktualizacj� filtr�w po jego stronie. Po kilku takich pro�bach mo�emy zosta� zakwalifikowani przez naszego dostawc� do kategorii meczybu�a;). Dlatego idealnym rozwi�zaniem w takim przypadku jest u�ycie ORF�w. Wystarczy, �e na routerze ISP zostanie wprowadzone:

(config-router)# neighbor NASZE_IP capability orf prefix-list recive

A my po swojej stronie dodamy do konfiguracji:

(config-router)# neighbor IP_ISP capability orf prefix-list send
(config-router)# neighbor IP_ISP prefix-list DENY_PREFIXES in

Powiedzmy, �e nie chcemy otrzymywa� prefixu 1.1.1.0/24 i 2.1.1.0/24. Natomiast interesuj� nas wszystkie pozosta�e.

(config)# ip prefix-list DENY_PREFIXES seq 5 deny 1.1.1.0/24
(config)# ip prefix-list DENY_PREFIXES seq 10 deny 2.1.1.0/24
(config)# ip prefix-list DENY_PREFIXES seq 15 permit 0.0.0.0/0 le 32

Trzeba tylko pamieta�, �e w trakcie konfiguracji ORF rezwie si� sesja BGP z naszym ISP, ale od tego momentu wszystkie zmiany w filtrowanych prefiksach mo�emy robi� ju� po stronie ISP. Daje to du�o wi�ksz� elastyczno�� i wygod� w filtrowaniu tras.

Je�eli chcemy zmodyfikowa� prefix-listy to po jej modyfikacji trzeba wykona�:

# clear ip bgp neighbor in [prefix-list]

Przy wykonywaniu tego polecenia dla ORF�w trzeba poda� w�a�nie tak� sk�adnie z in i prefix-list NAZWA

Cisco Unified Computing System – czyli Blade’y Cisco

juggler — Sun, 22 Mar 2009 01:15:29 +0000

Cisco Unified Computing System czyli Blade’y wed�ug Cisco:). Ju� od kilku miesi�cy pojawia�y si� informacje o tym, �e Cisco chce wej�� na rynek serwer�w Blade. W ko�cu 16 marca mia�a miejsce oficjalna prezentacja. Wida� po niej, �e du�y nacisk b�dzie k�adziony na Fiber Channel over Ethernet. W obr�bie Blade’�w Cisco, SAN jest realizowany wy��cznie przy pomocy FCoE. Oczywi�cie chassis Blade’owe mo�na pod��czy� do istniej�cego Fabrica w tradycyjny spos�b, ale dostarczenie zasob�w z SANa do Blade’�w na samej ko�c�wce dzieje si� po FCoE i nie ma innej mo�liwo�ci. Oczywi�cie, aby by�o to mo�liwe Ethernet w Blade’ach musi by� 10Gb i tak te� jest. Jak wygl�da chassis Blade’owe w wykonaniu Cisco?

Zestaw sk�ada si� z prze��cznika Cisco UCS 6100 Series Fabric Interconnects, kt�ry je�eli si� nie myl� tak naprawd� jest przerobionym Nexusem 5000. Obudowy Cisco UCS 5100 Series Blade Server w kt�rej zmie�ci si� do o�miu “ma�ych” serwer�w Blade lub czterech “podw�jnych” Blade’�w (podobne rozwi�zanie do HP BL480) i do dw�ch prze��cznik�w Cisco UCS 2100 Series Fabric Extender oraz z urz�dze� UCS Network Adapters. Serwery b�d� wyposa�one w najnowszy modele procesor�w Intela – Xeon Nehalem. Zar�wno SAN, Ethernet jak i Management jest zamkni�ty w jednym pudle (UCS 6100) i przy jego pomocy obs�ugiwany. Czyli nie mam osobnego switcha FC, switcha ethernetowego i osobnego modu�u zarz�dzaj�cego per chassis. S� dwa (dla redundancji) UCS 6100 i z ich poziomu obs�ugujemy ca�o��. Cisco posz�o nawet dalej z tym pomys�em i dzi�ki dw�m UCS 6100 jeste�my w stanie zarz�dza� do 40 chassis! My�l�, �e mo�e to by� szczeg�lnie przydatne dla �rodowisk z du�a ilo�ci� Blade’�w. Sporo wygody, �atwiejsze zarz�dzanie i szybsza instalacja nowego chassis. Brakuje nam mocy w naszym �rodowisku? Dok�adamy now� pu�k� Blade’ow� i podpinamy jej Fabric Extendery do naszych dw�ch UCS 6100 i gotowe.

Z ciekawych informacji Blade’y te b�d� mia�y do 48 slot�w na RAM. Do ka�dego slotu b�dzie mo�na wsadzi� ko�� 8GB co da 384GB RAMu per Blade! Dzi�ki du�ej ilo�ci RAMu i wbudowanej nowej technologii VN-Link, Blade’y Cisco mog� si� okaza� idealn� platform� sprz�tow� pod wirtualizacj�, a zw�aszcza pod VMware’a, kt�rego Cisco jest po cz�ci w�a�cicielem. Ponadto Blade’y Cisco maj� mie� jeszcze kilka innych ciekawych ficzer�w, kt�rych nie ma konkurencja, ale poniewa� nie znam do ko�ca szczeg��w nie chce o nich pisa�.

Ca�o�� moim zdaniem wygl�da ciekawie. Pomys� nieco inny ni� u najwi�kszych konkurent�w czyli HP i IBMa. Je�eli nie spartol� wykonania mog� zamiesza� na rynku serwer�w Blade. Niestety na t� chwil� nie zosta�y podane �adne daty dost�pno�ci tego sprz�tu, ceny czy dok�adniejsze szczeg�y techniczne. Pozostaje cierpliwie czeka� i obserwowa�.

Cisco Unified Computing System

UPDATE: Pojawi�a si� ju� ksi��ka o Unified Computing System.

BGP order of preference of attributes

juggler — Mon, 29 Sep 2008 13:55:50 +0000

Kolejno�� wg. kt�rej BGP bierze pod uwag� atrybuty dla neighbor’a.

Dla outbound updates:
1. prefix-list, lub distribute-list
2. filter-list
3. route-map

Dla inbound updates:
1. route-map
2. filter-list
3. prefix-list, lub distribute-list

�r�d�o.

new software on FWSM

juggler — Sat, 31 May 2008 21:58:57 +0000

Pojawi�a sie nowa wersja software’u do FWSMa, Version 4. Pe�en release notes dost�pny na stronie Cisco. Jedn� z ciekawszych rzeczy jest:

The most obvious additions are in using the power of the supervisor to accelerate flows in hardware. There are two implementations of this:

Trusted Flow Acceleration – the FWSM programs a “cut-through” on the PFC so that trusted flows get forwarded in hardware without hitting the FWSM after the first packet. This is for a Sup720 or Sup32 in the same chassis. Targeted performance is 20 – 50+ Gbps Aggregate Throughput and 10+ Gbps Throughput per Flow, but your mileage may vary. Nothing is free, and this takes entries away from the NetFlow TCAM.

PISA Integration – a Sup32-PISA can tag packets, so that a FWSM elsewhere in the network can detect them. For example, an edge PISA can do deep packet inspection of the data and determine that it is safe based on the application layer; the packet is then tagged so that when it arrives at the Datacentre the FWSM does not inspect it again.

Note that both features rely on new versions of supervisor code that are currently expected in an Autumn release.

cable diagnostics

juggler — Tue, 08 Apr 2008 15:22:21 +0000

Bardzo przydatnym featurem dost�pnym w Catalystach 3560/3750, 4500, i 6500 jest TDR dost�pny na portach miedzianych 10/100/1000. Oczywi�cie nie dotyczy to port�w 10/100 i SFP. Ma�o jednak os�b wie, �e zwyk�e Cat2960 r�wnie� posiadaj� t� funkcjonalno��. Dzi�ki TDR mo�na sprawdzi�, czy kabel miedziany wpi�ty do portu switcha nie jest uszkodzony. �atwo wykona� zdalny troubleshooting bez odchodzenia od biurka.

sw#test cable-diagnostics tdr interface gi0/48 
TDR test started on interface Gi0/48
A TDR test can take a few seconds to run on an interface
Use 'show cable-diagnostics tdr' to read the TDR results.

a nast�pnie

sw#show cable-diagnostics tdr interface gi0/48
TDR test last run on: March 01 02:09:30

Interface Speed Local pair Pair length        Remote pair Pair status
--------- ----- ---------- ------------------ ----------- --------------------
Gi0/48    auto  Pair A     0    +/- 2  meters Pair A      Open                
                    Pair B     N/A                Pair B      Normal              
                    Pair C     N/A                Pair C      Normal              
                    Pair D     N/A                Pair D      Normal