Tomasz Wendlandt

Z cyklu dobre rady wujka odnośnie Cisco. Zamieszczam fragment posta, który około miesiąc temu pojawił się na USENETcie.

Show version pokazuje rozmiar flash’a we wszystkich -8192K. Kiedy daje show flash, to w jednym rozmiar jest 7864320, a w drugim 8388608. W trzecim nie jestem pewiem, bo jakos mi umknelo, ale na 90% przed wgraniem nowego IOS’a tez bylo 8388608, po wgraniu i wybraniu opcji “erase” jest 7864320. Siedze i jakos nie moge wpasc o co chodzi. Czy chodzi o jakies roznice w filesystemie, formacie flasha, bad sectory?? Nie byloby to moze tak wazne, ale brakuje mi pare bajtow zeby zrobic upgarde :(((

I odpowiedź Łukasza Bromirskiego:

Od 12.3(13), podsystem odpowiedzialny za flash robi sobie ‘rezerwację’
parunastu kb przestrzeni na proces porządkowania systemu plików (tzw.
squeeze). Wymazując obraz możesz dodać opcję /no-squeeze-reserve-space,
np.:erase /no-squeeze-reserve-space flash:
…i ta rezerwa nie zostanie wykonana – będziesz miał swoje pełne 8MB.

Paul Borghese wydał LiveCD z Dynamips/Dynagen oparte o Ubuntu, takiego LiveCD z Dynamips właśnie mi brakowało :). Projekt jest dostępny pod nazwą VirtualPod. Na stronie projektu można obejrzeć tutoriale, pokazujące jak załadować obraz IOSa, a później uruchomić samą aplikację. Są też gotowe pakiety do zainstalowania na działającym już Debianie/Ubuntu. Razem z VirtualPod przychodzi kilka gotowych labów, można oczywiście stworzyć własne i dorzucić do już istniejących. Założę się, że powstanie wielu nowych labów do VirtualPod, przygotowywanych przez ochotników będzie tylko kwestią czasu. :)

Mini HOWTO o BGP dampeningu, co to jest, do czego sluży i jak zaimplementować to na urządzeniach Cisco. Mówiąc najprościej route flap dampening służy do tymczasowego blokowania prefiksów, które w krótkim czasie zmieniają swój stan z osiągalnych na nieosiągalne w Internecie (flapują). Takie tymczasowe blokowanie flapujących tras zapobiega propagowaniu ich przez cały Internet, czyli zapobiega generowaniu niepotrzebnego ruchu jak i zużywania zasobów urządzeń sieciowych. Mechanizm polega na nadawaniu tymczasowych punktów karnych dla flapujących tras.

Jeżeli ilość punktów karnych przekroczy próg suppress, wówczas dany prefiks przestaje być rozgłaszany dalej. Wartość domyślna dla suppress to 2000, a zakres 1-20000.

Jeżeli z czasem ilość punktów karnych spadnie poniżej wartości reuse, wówczas dany prefiks ponownie jest rozgłaszany. Wartość domyślna dla reuse to 750, a zakres 1-20000.

Punkty karne są nadawane za każde flapnięcie oraz zmianę atrybutów.

Jeżeli dany prefiks nie flapuje przez czas określony parametrem half-time, punkty są zmniejszane o połowę. Wartość domyślna dla half-time to 15 minut, a zakres 1-45 minut.

Konfiguracja:

# conf t
(config)# router bgp ASN
(config-router)# bgp dampening [half-life reuse suppress max-suppress-time] [route-map map-name]

Max-suppress-time określa maksymalny czas blokowania danego prefiksu. Wartość domyślna to 4*half-time, a zakres 1-20000 minut

Ponadto:

# sh ip bgp dampening flap-statistics
# sh ip bgp dampened-paths

oraz możliwość usuwania prefiksów z dampeningu:

# clear ip bgp dampening [ip-address mask]
# clear ip bgp flap-statistics

Krótkie HOWTO, jak uruchomić NBAR (Network-Based Application Recognition) na Cisco. Konfigurację zaczynamy od uruchomienia NBAR na interesującym nas interfejsie, np. takim który jest naszym wyjściem na świat.

# conf t
(config)# int gi0
(config-if)# ip nbar protocol-discovery

NBAR standardowo nie rozpoznaje połączeń p2p takich jak bittorrent czy eDonkey dlatego z cisco.com (wymagany dostęp do CCO) zasysamy PDLMy (Packet Description Language Module) na serwer TFTP i wrzucamy je na router.

# copy tftp flash

Weryfikujemy czy PDLM zgrał się na urządzenie

# dir
Directory of flash:/
1 -rw- 15944820 xxx.xxx.xxx.bin
2 -rw- 3148 Aug 29 2006 15:42:55 +02:00 bittorrent.pdlm
3 -rw- 3545 Aug 29 2006 15:54:34 +02:00 eDonkey.pdlm16252928 bytes total (301220 bytes free)

Pliki PDLM pomogą rozpoznać połączenia bittorrenta i eDonkeya. Z ciekawostek od IOS Release 12.4T, BitTorrent PDLM jest natywnie w systemie. Następnie podpinamy PDLMy do IOSa

(config)# ip nbar pdlm bittorrent.pdlm
(config)# ip nbar pdlm eDonkey.pdlm

Sprawdzamy czy się zgadza

# sh ip nbar pdlm
The following PDLMs have been loaded :
bittorrent.pdlm
eDonkey.pdlm

Na koniec można dodać alias, który w prosty sposób pokaże nam 10 najbardziej “aktywnych” protokołów

(config)# alias exec traffic sh ip nbar protocol-discovery stats bit-rate top-n 10

# traffic
GigabitEthernet0
Input Output
Protocol 5 minute bit rate (bps) 5 minute bit rate (bps)
———————— ———————— ————————
http 304000 3117000
secure-http 100000 801000
ssh 36000 134000
smtp 20000 66000
secure-pop3 70000 0
dns 19000 9000
icmp 6000 7000
pop3 0 1000
ftp 0 0
napster 0 0
unknown 2850000 976000
Total 3405000 5111000

I jeszcze info ze strony Cisco http://www.cisco.com/warp/public/63/nbar_acl_codered.shtml

“NBAR is not configurable on the following logical interfaces:
- Fast EtherChannel
- Interfaces where tunneling or encryption is used
- VLANs
- Dialer interfaces
- Multilink PPP
NBAR is configurable on VLANs as of Cisco IOS Release 12.1(13)E, but supported in the software switching path only. “

Ostatnio na isptechu przewinął się krótki, ale ciekawy wątek odnośnie używania SFP (Small Form-factor Pluggable) obcych producentów, w sprzęcie Cisco. Wnioski z dyskusji są następujące: różnie w praktyce to bywa:), można używać, przeważnie działa, ale nie ma 100% gwarancji, że zadziała.
Przede wszystkim, aby móc korzystać z SFP obcych producentów, należy dodać do konfiguracji:

hostname(config)# service unsupported-transceiver
hostname(config)# no errdisable detect cause gbic-invalid

Ponadto Zbigniew Zych, podał link na stronę Cisco, gdzie czytamy:

Q. Do the Cisco Catalyst 3750 Series Switches interoperate with SFPs from other vendors?
A. Yes, starting from 12.2(25)SE release, the user has the option via CLI to
turn on the support for 3rd party SFPs. However, the Cisco TAC will not
support such 3rd party SFPs. In the event of any link error involving
such 3rd party SFPs the customer will have to replace 3rd party SFPs
with Cisco SFPs before any troubleshooting can be done by TAC.

Kiedyś trafiłem na ciekawy link na stronie Cisco. W jednym PDFie zebrana jest wydajność wszystkich routerów w PPS (Packet Per Second) i Mbps (Megabit Per Second). Więcej podobnych dokumentów, typu rozpiska featuresetów IOSa, charakterystyka Multilayer Switch Feature Cards (MSFC’s), Supervisors dla Catalyst czy opis GBICów jest dostępny tutaj.

“Cisco wprowadził na rynek najmniejszą wersję swojego najwydajniejszego routera CRS-1 (Carrier Routing System). Urządzenie, przeznaczone dla dostawców usług sieciowych, zawiera 4 gniazda i obsługuje pakiety z szybkością 320 Gb/s.
W każdym z gniazd użytkownik może zainstalować 4-portową (OC-192; 10 Gb/s) kartę liniową lub kartę zawierającą jeden port 40 Gb/s. Urządzenie wspiera szereg zaawansowanych opcji zarządzania, które pozwalają sterować przepustowością poszczególnych połączeń.
Jedna z najważniejszych opcji nosi nazwę Secure Domain Routers. Pozwala ona tworzyć bezpieczne, wirtualne routery. Istotą rozwiązania jest to, że ruch w obszarze każdego wirtualnego routera jest odseparowany od innych segmentów sieci, a administrator może nim zarządzać niezależnie od tego, jakie zasady obowiązują w innych wirtualnych routerach.
I tak np. jeden wirtualny router może obsługiwać aplikacje VOD (Video-On-Demand0, drugi wspierać protokół MPLS (Multiprotocol Label Switching), a trzeci oferować usługi IP VPN.
Rozwiązanie pojawi się oficjalnie w ofercie Cisco w listopadzie. Cena – od 160 tys. USD. “
Orginalny tekst

Release note