Как хорошо вы знаете конфигурации своих Cisco?

  • Cisco
Попробуйте распечатать всю конфигурацию с устройства, любое устройство, с которым вы знакомы. Сядьте с печатными страницами вне компьютера и попытайтесь прокомментировать построчно цель каждой строки конфигурации. Звучит просто? А на самом деле, вы узнаете много нового из конфигурации, несмотря на то, что хорошо ее знаете. Отделите список линий, которые вы не можете объяснить и разберитесь для чего они.

Я обнаружил, что несколько лет назад, настраивая cisco я брал примерные конфигурации и по ним собирал свой конфиг. Несмотря на то, что конфиг мне хорошо знаком, имеется ряд строк, в назначение которых я просто никогда не вдавался.

Это упражнение может служить несколько целей:
— Определится с конфигурацией для нового устройства.
— Отметка посторонних или устаревших элементов конфигурации для удаления.
— Тестирование уровня квалификации нового сотрудника.

79 комментариев

rtty
Вопрос к знатокам Cisco: почему может не подниматься линк на гигабитном порте циски? Имеем каталист 2950 и сетевка реалтековская в сервере. Заводской патчкорд (пробывал разные). С длинком — все нормально — гигабит держит, с циской не хочет. Линк поднимается только если 100мбит принудительно на порту поставить.
admin
Бывает такое, иногда действительно нужно вручную выставлять скорость и дуплекс. Я думаю дело не в циске, а в кривых сетевках. Были еще проблемы с некоторыми провайдерами, сетевка не поднималась пока spanning-tree не отключишь. Не помню уже почему, с 2мя провайдерами встречал
rtty
spanning-tree отключен, видмимо не дружит циска с этой сетевкой. Длинк 3526 сразу заводится норм.
admin
длинк бээээ…
rtty
Пробывал сейчас залочить сетевку и порт на циске на 1000baseTX fullduplex — не подниматся линк.
Ноутбук в этот же порт втыкаю — поднимается.
admin
sh log
admin
или даже sh log | i spanning
rtty
sh log | i spanning — результат пустой
sh log — ничего интересного:

sh log
Syslog logging: enabled (0 messages dropped, 0 messages rate-limited, 0 flushes, 0 overruns)
Console logging: level debugging, 30 messages logged
Monitor logging: level debugging, 0 messages logged
Buffer logging: level debugging, 30 messages logged
Exception Logging: size (4096 bytes)
File logging: disabled
Trap logging: level informational, 34 message lines logged
Log Buffer (4096 bytes):
00:00:14: %SPANTREE-5-EXTENDED_SYSID: Extended SysId enabled for type vlan
00:00:19: %SYS-5-CONFIG_I: Configured from memory by console
00:00:19: %SYS-5-RESTART: System restarted — Cisco Internetwork Operating System Software
IOS (tm) C2950 Software (C2950-I6Q4L2-M), Version 12.1(22)EA4, RELEASE SOFTWARE (fc1)
Copyright © 1986-2005 by cisco Systems, Inc.
Compiled Wed 23-Mar-05 15:33 by yenanh
00:00:19: %SNMP-5-COLDSTART: SNMP agent on host cisco.sw.mse is undergoing a cold start
00:00:20: %LINK-5-CHANGED: Interface Vlan101, changed state to administratively down

admin
Interface Vlan101, changed state to administratively down
Это что?
Мож нужный интерфейс вообще в шате? :)
rtty
vlan101 это 801.q fa0/24 — trunk gi0/1
нужный интерфейс не в шате) ноутбук туда втыкаю — работает
admin
была такая трабла с spanning tree
rtty
И как решилась?
admin
было
%SPANTREE-7-BLOCK_PORT_TYPE: Blocking FastEthernet0/1/2 on VLAN30. 
Inconsistent port type.

решается
no spanning-tree vlan 30

Не есть хорошо, но если админы у провайдера не знают, что делать, то хоть так :)
d_kalinin
Она слишком крута, чтоб дружить с каким-то там реалтеком :)
Могу посоветовать отключить циску и положить ее в какое-нибудь уютненькое местечко, типа recycle bin :)
admin
и поставить комп с фрей :)
d_kalinin
… который спокойно на винтах держит 6Тб :)

PS: Кстати, как там icmp-redirect в аса/пиксах починили? а то 2011 год уже :)
admin
а что с ним не так? :)
d_kalinin
Note: ASA/PIX supports ICMP redirects from version 8.2(1) and later. ICMP redirects is not supported in ASA versions prior to 8.2(1) because these versions do not support asymmetric routing.
www.cisco.com/en/US/products/hw/vpndevc/ps2030/products_tech_note09186a0080094e8a.shtml

Q. When will the Cisco ASA Software Release 8.2 be orderable?
A. The target order date for Cisco ASA Software Release 8.2 is May 2009.
www.cisco.com/en/US/products/hw/vpndevc/ps2030/products_tech_note09186a0080094e8a.shtml

Ваша правда, с мая 2009 года таки это стало возможно:)
admin
Не знал про эту проблему, потому что мне оно до лампочки :)
rtty
Где то я уже это слышал ;)
Друг на ноут линупс поставил. Спрашиваю у него
— А чего вафля не работает
— Мне это не нужно
— А чо заряд батареи не показвает
— Мне это не нужно
admin
Ну все работает, что надо :) А искать, что там не работает нафига? Например в 7.0 версии не работает PPPOE. О ужас, даже длинки это поддержваиют, пойду выкину свою пиксу и поставлю наконец фрю или линух :)
Линух у нас кстати на проксе, вполне нормально работает. Для разных фукнций, разные девайсы :)
rtty
Note: ASA/PIX supports ICMP redirects from version 8.2(1) and later. ICMP redirects is not supported in ASA versions prior to 8.2(1) because these versions do not support asymmetric routing.
hatman
не показатель, так как эта инфа ему действительно была не нужна. Ибо первая же ссылка, которую мне выдал гугль (http://digitizor.com/2009/10/14/get-laptops-battery-health-status-linux/) предельно четко объясняла как получить инфу по батарейки. А печеньки в клеточку может Ваш друг действительно не употребляет.
admin
а зачем мне 6Тб на роутере? или на свиче? :) файлопомойку я на любом куске говна железе соберу
d_kalinin
Ну все люди взрослые, надо понимать, что коммутационное оборудование существует только для того, чтоб предоставлять сервисы, работающие на любом куске говна железе :) Или у Вас сферическая сеть только из свичей и роутеров? :)
admin
У нас много чего :) Например под файло SX80 от фуджи на 6Тб. А там где важна сохранность данных и не один :)
И, о ужас, фри там ВАПЩЕ нет! :)
rtty
или с линупсом ;)
doctor
на циске добавь
spanning-tree uplinkfast
и выставь принудительно скорость и режим на гигабитном порту
duplex full
speed 1000
rtty
Пробывал сейчас, к сожалению не помогло.
rtty
Почему это бэээ? У длинка «бэээ» это рутеры за тысячу рублей и тому подобное. 3526 отличный свич. В данном случае длинк работает, а циска нет. Еще порты у циски стартуют аж полминуты — тоже не айс.
admin
настраиваю полсотни цисок, до 3800 серии, у всех порты стартуют не больше полсекунды. Смотрите логи на циске и дебаг
rtty
После холодного старта?
admin
Не замечал 30 секунд, грузится да долго, ну и что если аптайм от года и выше :)
admin
длинк не знаю… может и работают те что подороже, я больше телесинам доверяю, ну и цискам разумеется :) но свичи от циски это дороговато :)
akkerman
>Тестирование уровня квалификации нового сотрудника.
Эммм… любого сотрудника?
admin
Да пожалуй любого, да и самого себя не помешает проверить :)
admin
Помоему циски не нравятся тем, у кого на них нет денег или они их не умеют настраивать :)
rtty
Я думаю что если крупному провайдеру нужно облуживать несколько сотен сетей с кучей внеших шлюзов и разграничениями прав, нужна мощная поддержка — тут да, выбор циски даже поможет сэкономить денег. В других случая это абсолютно неоправданная трата денег, и на локалку с несколькими каналами в интернет устанавливать циску не очень разумно.
А вообще циско ни чем не лучше, чем теже аллойду, 3ком, планеты и тд отличие — стикер циско.
admin
Именно. Хотя про планет не факт, у нас были проблемы с vdsl плАнетами, меняли на аллиед и все нормально работает.
Сеть построена на аллиедах, конфигурится довольно гибко, но циски имхо легче конфигурить
rtty
Кстати можно пример настройки динамической маршрутизации для нескольких таблиц маршрутизации на циске?
admin
У нас с весами маршрутов сделано :) Пример адаптировать надо, попозже статейку думаю напишу
doctor
По поводу поддержки icmp-redirect, не только Cisco но и многие создатели брандмауэров экранируют пакеты icmp-redirect, не пропуская их в сети, поскольку это ограничивает возможности извне проверять хосты или изменять их таблицы маршрутизации. Надобности в даной фиче я не вижу на таком железе как ASA или PIX.
d_kalinin
Проблема не в том, что «создатели брандмауэров экранируют пакеты icmp-redirect», а в том — «because these versions do not support asymmetric routing.»
Например, у Вас есть сеть 10.1.1.0/24, в сети находятся два маршрутизатора, 10.1.1.254 и 10.1.1.253. Есть рабочая станция — 10.1.1.1. Пусть на ней в качестве шлюза по умолчанию прописан 10.1.1.254. Так же есть некая сеть, 10.2.2.0/24, как в которую попадать знает 10.1.1.253.
Т.е., как должно работать:
1. Клиент (10.1.1.1) отсылает пакет на 10.1.1.254.
2. 10.1.1.254 перекидывает пакет на 10.1.1.253, попутно сообщая клиенту — что ходить надо через 10.1.1.253 (именно этот злополучный icmp-redirect)
3. Клиент обрабатывает этот редирект и дальше ходит через 10.1.1.253

Что было до версии 8.2 (2009 год):
Маршрут до узла назначения:
10.1.1.1 -> 10.1.1.254 -> 10.1.1.253 -> 10.2.2.0/24
Обратный маршрут:
10.2.2.0/24 -> 10.1.1.253 -> 10.1.1.1
Т.е. видно, что один хоп выпадает, со всеми вытекающими последствиями.
rtty
Убогие роутеры d-link имеет такой функциона, с какой стати тогда приобретать эти необоснованные по цене ASA если они не умеют базовых аспектов маршрутизации?
admin
Д-линк умеет фильтровать на уровне приложений? :) И уже объяснили, что icmp-redirect нафик не надо :)
rtty
Несовсем понял что вы имеете ввиду под «на уровне приложений». мб inspection в asa/pix? о да, очень нужный функционад, в ответах smtp-сервера проставляет звездочки :) По поводу icmp-redirect — «не надо» кому? Мб мне как раз надо, в длинке этот функционал я могу получить.
admin
А причем здесь icmp-redirect и inspection? Это разные вещи. Успокойтесь уже со своим редиректом, не нужен уже, читайте ниже :)
doctor
Кстати а зачем вам использовать несколько таблиц маршрутизации и какой фунционал вы хоте получить?
d_kalinin
Ну для примера: подключены несколько провайдеров.
Ряду пользователей Интернет раздается от одного провайдера, другим — от другого провайдера.
Ну и гибкие схемы маршрутизации — например третьей группе пользователей — доступны только пиринговые подсети провайдеров.
admin
Вообще все нормальные пацаны это делают через route-map, а хрень во фрибсд это школьные лабы собранные на коленке :)
d_kalinin
Ну я не сомневаюсь в реальных пацанах, просто интересно посмотреть на конфиг для такой простой задачи :)
Поясню еще раз:
В сети есть несколько маршрутизаторов, который завязаны в один сегмент. Каждый из них обменивается между собой маршрутами, пусть будет OSPF.
Необходимо:
1. Группе компьютеров A обеспечить доступ только к локальным сетям всех подключенный провайдеров
2. Остальным — балансировать трафик между маршрутизаторами, но локальный отправлять к ближайшему.

PS: Linux/*BSD это проблему решают на раз
admin
d_kalinin
но это же никакого отношения не имеет к заданному вопросу…
admin
А ты разберись :)
d_kalinin
Но по ссылке статическая маршрутизация на одном из узлов без балансировки…
rtty
Ну это почти одно и тоже, в том случае тоже есть сети и маршрутизаторы :) А OSPF — он не нужен)
комментарий был удален
admin
А, не прочитал про ospf. Я уже говорил что накалякаю статью как это решается весами маршрутов, будет и ваша любимая ospf :) И на cisco лучше eigrp использовать :) Тем более если маршрутизируешь не только IP
rtty
Пологаю что весами маршрутов это не решается.
admin
Тогда я выкину все свои циски поставлю фрю :)
rtty
Циска в \recycle bin/, ето пичалька…
Что же делать теперь нам друзья?
Неужели ее вам не жалко?
Даже show proc mem теперь сделать нельзя…

Не порадует нас своим логом,
Не заговорит больше с нами
Эротишно моргая диодом
Словно ангел шурша кулерами…

лирическое отступление ^ ))
admin
И стихоплет так себе… :)
rtty
Нынче модно делать то что не умеешь и писать то о чем не знаешь)
admin
Главное как все быть уверенным, что только твой путь верен. :)
doctor
Очень хорошо это рашается с помощью eigrp позволяющая осуществлять балансировку нагрузки даже если у каналов разные косты, с ospf это сделать сложнее.
d_kalinin
Сложнее чем? Чем OSPF :)
rtty
Интересно, как с помощью eigrp расчитываете мультифибы сделать? Пример задачи d.kalinin — это не только балансировка трафика.
doctor
Если вы внимательно прочитали мое сообщение, я лишь говорил о том что с помощью eigrp удобно делать балансировку. А почему лучше использовать EIGRP нежели OSPF на оборудовании cisco я думаю вы и без меня знаете: 1. Гораздо более быстрая сходимость в больших сетях. Например протокол EIGRP если можно так сказать заранее задумывается о том, что будет если основной канал упадет и активирует резервный маршрут почти мгновенно, а OSPF для этого нужно пересчитать всю топологию сети и построить новое дерево. Отсюда 2. Значительно меньшая загрузка каналов и CPU при работе протокола(даже если в OSPF конфигурить многозонную иерархическую схему сети). 3. Возможность балансировки трафика по неэквивалентным каналам.
А что касается задач решаемых операторами связи, все делается явно не на FreeBSD.
Назови мне хотя бы несколько серьезных операторов связи у которых хотя бы половина сетевых сервисов построены на бесплатном FreeBSD, а не оборудовании именитых производителях таких как Cisco, Juneper, Check point и т.д. И против применения FreeBSD я ничего против не имею, оно имеет свое сугубо локальное применения лишь от безденежья. А ее применение в серьезной организации недопустимо даже потому что в случае серьезного отказа вы можете только кусать ногти и в суд вы можете подать только на себя.
rtty
А с чего вы взяли что я агитирую сетевые сервисы ставить на FreeBSD? Я вообще считаю что сравнивать ОС и узкоспециализированную железку некорректно. По поводу безденьжья: Cisco устанавливают вообщето не где попало если есть лишние деньги, а туда, где ее применение позволит вообщем сэкономить. Потому как по мимо стоимости оборудования есть еще куча аспектов, таких как стоимость внедрения, поддержки, как вы уже сказали, потери в случае отказа и так далее. А в некоторых случаях это просто неоправданная трата денег.

PS. Циска это не круто, это лишь инструмент для решения определенного круга задач.
admin
Ну уважаемый вами d.kalinin считает, что циска не достойна, потому что есть комп с фрей "… который спокойно на винтах держит 6Тб :)"
О чем вы говорите, спорите о таблицах маршрутизации, сетевых сервисах, теперь пишете, что «А с чего вы взяли что я агитирую сетевые сервисы ставить на FreeBSD?» :)
d_kalinin
После недолго лирического отступления, почему все OS говно в общем, и FreeBSD в частности, весьма аргументированного и доказательного, продолжаем ждать пример конфига для балансировки трафика и множественных таблиц маршрутизации, не больше-ни меньше, а как на самой огого циске :)
admin
Я между прочим уже писал «Линух у нас кстати на проксе, вполне нормально работает. Для разных фукнций, разные девайсы :)»
А у тебя фанатичная любовь к фре и ничего другого ты знать не хочешь, ну или так пишешь. Уже даже твой дружок признал «Циска это инструмент для решения определенного круга задач.»
Я с ним согласен :) Фря у нас тоже кстати есть, на почтаре например :)
admin
Мне вот интересно, ты всю эту ересь пишешь, потому что тебя в свое время к нам на работу не взяли? :)
rtty
Имеено так, ув. d.kalinin меня опередил с ответом)
admin
Забавная тема