2009-12-06

Question of the day

вопрос:

может ли VTP передавать информацию о private-vlan map?

ответ:
да, в версии VTP 3

кстати, эта версия таки реализована на IOS (ранее она была только на CatOS):
кроме того третья версия поддерживает:
* распространение vlan-instance map для MST
* private-vlan
* extended vlan range
* множество других функций по контролю и управлению самим VTP

2009-12-03

Question of the day

вопрос:

всегда ли bpdufilter работает одинаково?

ответ:
нет. конечно, bpdufilter должен приводить к одному результату: прекращению отправки и обработки bpdu на порту. но. есть два варианта настройки:
* (config)# spanning-tree portfast bpdufilter default
* (config-if)# spanning-tree bpdufilter enable
первый включает bpdufilter по-умолчанию на всех portfast портах
второй - принудительно на интерфейсе.
так вот, первый вариант работает следующим образом: сначала отправляются 11 (одинадцать, не больше и не меньше) bpdu, и только затем, если не были обнаружены ответы, включается фильтр :)


SW1#sh span int fa0/1 de
Port 3 (FastEthernet0/1) of VLAN0146 is designated forwarding
Port path cost 19, Port priority 128, Port Identifier 128.3.
Designated root has priority 32914, address 000f.90fd.a280
Designated bridge has priority 32914, address 001d.4614.cc80
Designated port id is 128.3, designated path cost 19
Timers: message age 0, forward delay 0, hold 0
Number of transitions to forwarding state: 1
The port is in the portfast mode
Link type is point-to-point by default
Bpdu filter is enabled by default
BPDU: sent 0, received 0
SW1#
%LINK-3-UPDOWN: Interface FastEthernet0/1, changed state to up
%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/1, changed state to up
SW1#sh span int fa0/1 de
Port 3 (FastEthernet0/1) of VLAN0146 is designated forwarding
Port path cost 19, Port priority 128, Port Identifier 128.3.
Designated root has priority 32914, address 000f.90fd.a280
Designated bridge has priority 32914, address 001d.4614.cc80
Designated port id is 128.3, designated path cost 19
Timers: message age 0, forward delay 0, hold 0
Number of transitions to forwarding state: 1
The port is in the portfast mode
Link type is point-to-point by default
Bpdu filter is enabled by default
BPDU: sent 3, received 0
SW1#sh span int fa0/1 de
Port 3 (FastEthernet0/1) of VLAN0146 is designated forwarding
Port path cost 19, Port priority 128, Port Identifier 128.3.
Designated root has priority 32914, address 000f.90fd.a280
Designated bridge has priority 32914, address 001d.4614.cc80
Designated port id is 128.3, designated path cost 19
Timers: message age 0, forward delay 0, hold 0
Number of transitions to forwarding state: 1
The port is in the portfast mode
Link type is point-to-point by default
Bpdu filter is enabled by default
BPDU: sent 11, received 0
SW1#sh span int fa0/1 de
Port 3 (FastEthernet0/1) of VLAN0146 is designated forwarding
Port path cost 19, Port priority 128, Port Identifier 128.3.
Designated root has priority 32914, address 000f.90fd.a280
Designated bridge has priority 32914, address 001d.4614.cc80
Designated port id is 128.3, designated path cost 19
Timers: message age 0, forward delay 0, hold 0
Number of transitions to forwarding state: 1
The port is in the portfast mode
Link type is point-to-point by default
Bpdu filter is enabled by default
BPDU: sent 11, received 0

как мы видим, несмотря на то что "Bpdu filter is enabled by default" счетчик отправленных bpdu растет, и замирает на отметке 11.

2009-11-30

Question of the day

вопрос:


SW2#sh span int fa0/2 detail
no spanning tree info available for FastEthernet0/2

SW2#sh run int fa0/2
Building configuration...

Current configuration : 128 bytes
!
interface FastEthernet0/2
description to R2
switchport access vlan 100
switchport mode access
spanning-tree portfast
end

SW2#sh vlan brief | in N100
1000 VLAN1000 active

SW2#sh run | in switchport backup
SW2#


как удалось отключить spanning-tree?

ответ: см. private-vlan

SW2#sh vla id 100

VLAN Name Status Ports
---- -------------------------------- --------- -------------------------------
100 VLAN0100 active Fa0/2, Fa0/19, Fa0/20, Fa0/21
Fa0/24, Po1

VLAN Type SAID MTU Parent RingNo BridgeNo Stp BrdgMode Trans1 Trans2
---- ----- ---------- ----- ------ ------ -------- ---- -------- ------ ------
100 enet 100100 1500 - - - - - 0 0

Remote SPAN VLAN
----------------
Disabled

Primary Secondary Type Ports
------- --------- ----------------- ------------------------------------------
100 1000 community
100 2000 community Fa0/4
100 3000 isolated Fa0/6

SW2#

2009-11-27

Question of the day

вопрос:

что из нижеперечисленного пропускается в прозрачном режиме файрвола (при настройках по-умолчанию, из inside на outside):
dhcp, eigrp, ospf, rip, icmp, multicast, arp, stp, cdp, is-is?

ответ: icmp.
l2-протоколы такие как stp, cdp, is-is необходимо явно разрешать с помощью ethertype acl;
l3-протоколы маршрутизации и dhcp тоже по-умолчанию запрещены.

2009-11-22

Question of the day

вопрос:

сколько есть вариантов реагирование на превышение лимита mac-адресов port-security?

ответ: приблизительно 4-5:
* shutdown (при нарушении - err-disable port)
* protect(игнорирует все кадры с mac-адресов отличных от зафиксированных)
* restrict(
игнорирует все кадры с mac-адресов отличных от зафиксированных, и кроме того отправляет trap/syslog и увеличивает violation counter)
* shutdown vlan(err-disable только того vlan в котором появился mac нарушителя, например только voice vlan :))
* и конечно же no switchport port-security :))

2009-11-21

Questions of the day

вопрос 1:

топология sw1==sw2, оба свича - клиенты vtp домена cisco, в базе - 15 вланов, ревизия 21.
a) переводим sw1 в домен linksys. как изменится на нем номер ревизии vtp?
b) переводим sw1 обратно в домен cisco. как изменится на нем номер ревизии vtp?
c) почему?

ответ:
a) станет равной нулю
b) станет равной 21
c) потому что клиенты vtp ОТПРАВЛЯЮТ АПДЕЙТЫ VTP НИЧУТЬ НЕ ХУЖЕ СЕРВЕРОВ :)


вопрос 2:

топология sw1==sw2, оба свича - клиенты vtp домена cisco. свичпорт sw1 административно является dynamic desirable, порт sw2 - dynamic auto.
a) какое будет операционное состояние свичпортов линка между sw1 и sw2?
b) теперь переводим sw1 в домен vtp linksys. изменится ли состояние свичпортов?
с) почему?
d) а что было бы если б административный режим свичпорта был trunk?

ответ:
a) trunk
b) trunk (до перезапуска переговоров dtp)
c) переговоры dtp рестартуют к примеру при смене down/up свичпорта, и до этих пор порт останется trunk
d) в любом случае был бы trunk

2009-11-20

Зачем нужен сислог, если есть твиттер?

на цискокоме в коллекции скриптов для Embeded Event Manager'а появился скрипт для twitter'а
(пример использования указан там же).
рассмотрим как им пользоваться :)

1) качаем и загружаем на роутер

# copy tftp://10.1.1.1/tweet-policy.tcl flash:/tweet-policy.tcl


2) регистрируем политику EEM

(config)# event manager directory user policy "flash:/"
(config)# event manager policy tweet-policy.tcl type user


3) заполняем переменные окружения

$ dig +short twitter.com
168.143.162.52
$ echo login:password | base64 -
bG9naW46cGFzc3dvcmQK

(config)# event manager environment _tweet_ip 168.143.162.52
(config)# event manager environment _tweet_b64 bG9naW46cGFzc3dvcmQK


3a) выполняем политику вручную

# event manager run tweet-policy.tcl


3b) выполняем политику периодически каждые 5 минут

(config)#event manager applet tweetme
(config-applet)# event timer watchdog time 300
(config-applet)# action 1 policy tweet-policy.tcl


домашнее задание: разобраться с формированием статуса, научится постить в твиттер сислог...

2009-11-08

Question of the day

вопрос:
какими способами можно запретить привилегированому пользователю перезагружать роутер? :)

ответы:

1) сделав alias команды reload:
conf t
alias exec relo sh ver
alias exec reloa sh ver
alias exec reload sh ver
^Z
wr mem
2) Role-Based CLI, поместив пользователя в вид в котором команда reload запрещена:
conf t
aaa new
ena pass cisco123
^Z
enable view
cisco123
conf t
parser view reload
secret cisco123-super-secret
commands exec include-exclusive all reload
parser view normal
secret cisco123
username test nopassword priv 15 view normal
aaa authentication login default local
aaa authorization exec default local
aaa authorization console
^Z
wr mem
logout
3) Embedded Event Manager - при вводе команды reload писать в сислог сообщение, а команду - игнорировать :)
conf t
event manager applet noReload
event cli pattern "relo.*" sync no skip yes
action 10 syslog msg "Reload not permitted"

буду рад услышать ваши остроумные способы :)

2009-11-06

Question of the day

Вопрос:

можно ли использовать time-based acl совместно с политиками бгп?
например в светлое время суток для префиксов 10.1.0.0/16 ставить локал преференс выше?

time-range DAY
periodic daily 9:00 to 18:00

access-list 101 permit 10.1.0.0 0.0.255.255 any time-range DAY

route-map SET_LPREF 10
match ip address 101
set local-preference 150
!
route-map SET_LPREF 20
set local-preference 50
router bgp 65001
neighbor 192.168.1.2 remote-as 65002
neighbor 192.168.1.2 route-map SET_LPREF in


ответ:
да. то есть нет. на новых иосах bgp не обратит внимание на смену времени по time-based acl без другого внешнего события (падения/изменения маршрута на 10.1.0.0/16).
так же смотрите обратный пример (модификация анонсируемого по bgp префикса) - http://blog.internetworkexpert.com/2008/01/25/bgp-time-based-policy-routing/

2009-11-04

Question of the day

вопрос:

какие значения соответствуют "стандартным" коммюнити no-export, no-advertise, local-as, internet?

ответ:
no-export=0xFFFFFF01
no-advertise=0xFFFFFF02
local-as=0xFFFFFF03
internet=0

2009-10-26

EIGRP hidden commands

случайно нашел еще одну "скрытую" команду связанную с eigrp:


BBR1#sh ip ei eve
Event information for AS 1:
1 11:22:36.267 Poison squashed: 10.97.97.0/24 reverse
2 11:22:34.259 Poison squashed: 172.31.1.0/24 reverse
3 11:22:34.243 Change queue emptied, entries: 1
4 11:22:34.243 Metric set: 10.97.97.0/24 281600
5 11:22:34.243 Update reason, delay: new if 4294967295
6 11:22:34.243 Update sent, RD: 10.97.97.0/24 4294967295
7 11:22:34.243 Update reason, delay: metric chg 4294967295
8 11:22:34.243 Update sent, RD: 10.97.97.0/24 4294967295
9 11:22:34.243 Route install: 10.97.97.0/24 10.254.0.3

2009-10-22

ASA: change https/ASDM certificate

по-умолчанию, аса использует самоподписанный сертификат при подключении по https/asdm. краткая инструкция как это исправить.

1) получаем законный сертификат
а) добавляем центр сертификации:


(config)# crypto ca trustpoint CorpCA
(config-ca-trustpoint)# enrollment url http://172.26.26.50/certsrv/mscep/mscep.dll


b) подтверждаем сертификат CorpCA


crypto ca authenticate CorpCA
Do you accept this certificate? [yes/no]: yes


c) указываем атрибуты для своего будущего сертификата


(config)# crypto ca trustpoint CorpCA
(config-ca-trustpoint)# subject-name cn=CORP-ASA


d) запрашиваем сертификат


(config)# crypto ca enroll CorpCA
%
% Start certificate enrollment ..
% Create a challenge password. You will need to verbally provide this
password to the CA Administrator in order to revoke your certificate.
For security reasons your password will not be saved in the configuration.
Please make a note of it.
Password:
Re-enter password:

% The subject name in the certificate will be: cn=CORP-ASA

% The fully-qualified domain name in the certificate will be: CORP-ASA

% Include the device serial number in the subject name? [yes/no]: no

Request certificate from CA? [yes/no]: yes
% Certificate request sent to Certificate Authority


2) привязываем свой сертификат к интерфейсу


(config)# ssl trust-point ASA inside

2009-10-20

ASA QoS

проводя курс на асе с прошивкой 8.2, заметил некоторые изменения в списке доступных действий MPF layer3/4 policy-map:

ASA-CO2(config)# policy-map test
ASA-CO2(config-pmap)# class class-default
ASA-CO2(config-pmap-c)# ?

MPF policy-map class configuration commands:
csc Content Security and Control service module
exit Exit from MPF class action configuration mode
flow-export Configure filters for NetFlow events
help Help for MPF policy-map class/match submode commands
inspect Protocol inspection services
ips Intrusion prevention services
no Negate or set default values of a command
police Rate limit traffic for this class
priority Strict scheduling priority for this class
quit Exit from MPF class action configuration mode
service-policy Configure QoS Service Policy
set Set connection values
shape Traffic Shaping
ASA-CO2(config-pmap-c)# shape ?

mpf-policy-map-class mode commands/options:
average configure token bucket: CIR (bps) [Bc (bits)], send out Bc only per
interval
ASA-CO2(config-pmap-c)# shape average ?

mpf-policy-map-class mode commands/options:
<64000-154400000> Target Bit Rate (bits per second), the value needs to be
multiple of 8000
ASA-CO2(config-pmap-c)# shape average 200000 ?

mpf-policy-map-class mode commands/options:
<2048-154400000> bits per interval, sustained. Needs to be multiple of 128.
Recommend not to configure it, the algorithm will find out
the best value

ASA-CO2(config-pmap-c)# shape average 200000
ASA-CO2(config-pmap-c)#

на асах наконец-то появился шейпинг! :)

2009-09-13

ASA configuration

забавные замечания о настройке cisco asa.
как ни странно, но раньше не замечал/не использовал:

1) очистка конфига
то что я делал с помощью переключения в транспарент режим и обратно :)

(config)# clear configure all

кроме того, вместо all можно указать отдельный раздел конфига, который хотим обнулить

2) загрузка конфига
а) дефолтного:

(config)# configure factory-default

b) из сети:

(config)# configure https://server/config
(config)# configure net tftp-server:config

2009-08-02

Question of the day

вопрос:
можно ли в паролях введенных в ios cli использовать знак вопроса?
ответ: да :)

вопрос два:
как?

R4(config)#ena pass cisco?
R4(config)#^Z
R4#sh run | in ena
enable password cisco?


ответ:
если рассматривать посимвольно, то перед "?" была посылка символа ^V (ctrl-v) :)

Question of the day

вопрос:
дано два сценария, ответить, будут ли проходить пинги с R1 на R2?

топология R1===R2

сценарий 1
конфиги:
R1:

interface fa0/0
description to R2
ip address 10.0.0.1 255.255.255.0
ip access-list PING out
ip access-list extended PING
deny icmp any any
permit ip any any

R2:

interface fa0/0
description to R1
ip address 10.0.0.2 255.255.255.0


сценарий 2
конфиги:
R1:

interface fa0/0
description to R2
ip address 10.0.0.1 255.255.255.0

R2:

interface fa0/0
description to R1
ip address 10.0.0.2 255.255.255.0
ip access-list PING in
ip access-list extended PING
deny icmp any any
permit ip any any


ответы:
1 - будут. ИСХОДЯЩИЙ с роутера трафик не блокируется исходящими списками доступа. icmp пакеты проходят.
2 - не будут. входящие icmp пакеты блокируются списком доступа.

2009-07-31

Question of the day

сценарий:

R1===R2

конфиг:
R1:

system {
host-name R1;
}
interfaces {
em0 {
unit 0 {
family inet {
address 192.168.100.1/24;
}
}
}
lo0 {
unit 0 {
family inet {
address 192.168.255.1/32;
}
}
}
}
routing-options {
autonomous-system 1;
}
protocols {
ospf {
reference-bandwidth 10g;
area 0.0.0.0 {
interface all;
}
}
}


R2:

system {
host-name R2;
}
interfaces {
em0 {
unit 0 {
family inet {
address 192.168.100.2/24;
}
}
}
lo0 {
unit 0 {
family inet {
address 192.168.255.2/32;
}
}
}
}
routing-options {
autonomous-system 1;
}
protocols {
ospf {
reference-bandwidth 10g;
area 0.0.0.0 {
interface all;
}
}
}


вопрос:
что будет, если на машрутизаторах настроить bgp следующим образом:

R1:

protocols {
bgp {
local-address 192.168.255.2;
group internal {
peer-as 1;
neighbor 192.168.255.2;
}
}
}


R2:

protocols {
bgp {
local-address 192.168.255.1;
group internal {
peer-as 1;
neighbor 192.168.255.1;
}
}
}


то есть:
1) примется ли такая конфигурация? почему?
2) подымется ли соединение бгп?
3) как такую проблему можно траблшутить?

ответы:
1) да, жунос не проверяет аргумент local-address кроме как на синтаксис (формат адреса)
2) нет, роутеры не смогут даже отправить tcp syn, т.к. адрес отправителя не доступен локальному маршрутизатору
3) логика или логи или трейсопшнс :)

root@R1# run show bgp summary
Groups: 1 Peers: 1 Down peers: 1
Table Tot Paths Act Paths Suppressed History Damp State Pending
inet.0 0 0 0 0 0 0
Peer AS InPkt OutPkt OutQ Flaps Last Up/Dwn State|#Active/Received/Accepted/Damped...
192.168.255.2 1 0 0 0 0 6:49 Idle
root@R1# run show log messages
.................
Jul 31 09:24:00 R1 mgd[4549]: UI_COMMIT: User 'root' requested 'commit' operation (comment: none)
Jul 31 09:25:34 R1 rpd[4400]: bgp_peer_init: BGP peer 192.168.255.2 (Internal AS 1)
local address 192.168.255.2 not found. Leaving peer idled


[edit]
root@R1# set protocols bgp traceoptions file bgp.log

[edit]
root@R1# set protocols bgp traceoptions flag normal

[edit]
root@R1# commit
root@R1# run monitor start /var/log/bgp.log
*** /var/log/bgp.log ***
Jul 31 09:25:34.965378 bgp_conf_compile: Processing node 8ade020
Jul 31 09:25:34.965480 bgp_conf_compile: Processing dependent 8de4000. Next thread: 8ade028 8ade028
Jul 31 09:25:34.965488 bgp_conf_compile: Node 8de4000 dependency: 8de4800 8de4800
Jul 31 09:25:34.965492 bgp_conf_compile: Processing node 8de4000
Jul 31 09:25:34.965495 bgp_conf_compile: Processing dependent 8de4800. Next thread: 8de4008 8de4008
Jul 31 09:25:34.965499 bgp_conf_compile: Node 8de4800 addr 192.168.255.2 Next 8de4008
Jul 31 09:25:34.965531 bgp_conf_group_add: Allocating new group 8cb8000
Jul 31 09:25:34.965602 bgp_conf_peer_add: Creating new peer for 192.168.255.2
Jul 31 09:25:34.969756 bgp_group_init: initializing group internal type Internal
Jul 31 09:25:34.969782 bgp_peer_init: BGP peer 192.168.255.2 (Internal AS 1)
local address 192.168.255.2 not found. Leaving peer idled

[edit]

2009-07-30

Clearing cisco asa

вопрос: какой самый быстрый способ потереть конфиг на асе?

ответ:

ASA1(config)# firewall transparent
WARNING: Removing all contexts in the system
Removing context 'admin' (1)... Done
ciscoasa(config)# no firewall transparent
WARNING: Removing all contexts in the system
WARNING: Unable to delete admin context because it doesn't exist.
ciscoasa(config)#


если кто-то знает ответ более логичный, быстрый, удобный - не стесняйтесь, пишите :)
p.s. и да, этот способ не переводит асу в сингл-мод

2009-07-29

Question of the day

вопрос 1: сколько минимум маршрутизаторов может быть в stub area ospf?

вопрос 2: сколько максимум маршрутизаторов может быть в stub area eigrp?


ответ 1:
для того что б это имело смысл - минимум два. почему?
потому что граница области проходит по маршрутизатору. если в стаб области только один маршрутизатор, то он является и граничным, то он вне зависимости от типа области хранит lsdb магистральной области и lsdb тупиковой.

ответ 2:
для того что б это работало (без чрезмерных ухищрений) ровно один.
механизм тупиковой области eigrp таков что тупиковым маршрутизатор будут считать ВСЕ соседи. то есть несколько стабовых маршрутизаторов не будут друг с другом корректно взаимодействовать, т.е. не будут передавать маршруты друг друга в ядро сети.

ios config defaults

вопрос: сколько возможных "значений по-умолчанию" может существовать для опции конфига cisco ios?
ответ: много. ниже рассмотрены три.

подробнее:

1) значение по-умолчанию которое примет опция если конфигурация отсутствует (например после write erase & reload)
это значение для каждой опции(и версии ios) можно найти на doccd.
пример: ip cef по-умолчанию включен, для интерфейсов применен по-умолчанию shutdown.

2) значение которое будет принято при выполнении сброса в умолчание с помощью команды default.
например:

(config)# do sh run | in ip cef
ip cef
(config)# default ip cef
(config)# do sh run | in ip cef
no ip cef

или:

(config-if)# do sh run int fa0/0| in shutdown
shutdown
(config-if)# default shutdown
(config-if)# do sh run int fa0/0| in shutdown
shutdown

как мы видим, это значение по-умолчанию может и совпадать и отличатся.

3) умолчание скрываемое в конфиге.
например:

(config-if)# do sh run int fa0/0| in shutdown
shutdown
(config-if)# no shutdown
(config-if)# do sh run int fa0/0| in shutdown
(config-if)#


будьте внимательны и осторожны!
конфиг сохраненный с маршрутизатора при применении через консоль или copy file run будет лишен опций который имеют значение которое не отображается в конфиге (shutdown).
конфиг перезаписанный с помощью configure replace потеряет опции у которых значение по-умолчанию отличается для factory-default и для сброса командой default.

2009-07-28

Question of the day

сценарий MPLS VPN:

(site A)--R1--R2--(site B)

настройки:
R1

hostname R1
!
ip vrf vpn1
rd 1:1
!
interface fa0/0
description site A
ip vrf forwarding vpn1
ip address 10.0.1.1 255.255.255.0
!
interface fa0/1
descrtipion MPLS BBone
ip address 192.168.12.1 255.255.255.0
!
interface lo0
ip address 192.168.255.1 255.255.255.255
!
router bgp 1
no default bgp ipv4
neighbor 192.168.255.2 remote-as 1
address-family vpnv4
neighbor 192.168.255.2 activate
neighbor 192.168.255.2 send-community both
exit-address-family
address-family ipv4 vrf vpn1
network 10.0.1.0 mask 255.255.255.0
exit-address-family
!
ip route 192.168.255.2 255.255.255.255 192.168.12.2

R2

hostname R2
!
ip vrf vpn2
rd 1:1
!
interface fa0/0
description site B
ip vrf forwarding vpn2
ip address 10.0.2.1 255.255.255.0
!
interface fa0/1
descrtipion MPLS BBone
ip address 192.168.12.2 255.255.255.0
!
interface lo0
ip address 192.168.255.2 255.255.255.255
!
router bgp 1
no default bgp ipv4
neighbor 192.168.255.1 remote-as 1
address-family vpnv4
neighbor 192.168.255.1 activate
neighbor 192.168.255.1 send-community both
exit-address-family
address-family ipv4 vrf vpn1
network 10.0.1.0 mask 255.255.255.0
exit-address-family
!
ip route 192.168.255.1 255.255.255.255 192.168.12.2


вопрос 1: попадут ли маршруты 10.0.x.0/24 в таблицы маршрутов vrf'ов соседних маршрутизаторов?
ответ 1: нет. на апдейтах нет коммюнити route-target, и они будут проигнорированы.

вопрос 2: а если на обоих маршрутизаторах в настройках vrf добавить route-target both 1:1?
ответ 2: пожалуй, да. все формальные требования выполнены.

вопрос 3: а будет ли при этом работать mpls vpn?
ответ 3: пожалуй, нет. для него не хватает mpls :)

c871

вчера замечательно провел день занимаясь траблшутингом л2тп соединения между 2811й и 871й цисками.
необходим был л2тп туннель через который шел бы транк между двумя коммутаторами.

кратко перечислю особенно радостные моменты:

1) на 871 только 1 полноценный маршрутизируемый интерфейс (он же ван),
остальные 4 - это свичпорты. без права на л3.
и ван интерфейс всегда занят. через него на устройство приходит внешняя сеть. и моя сессия ссш.

2) на 871 свич-модуль моддерживат ДВА ВЛАНА с базовым иосом, и АЖ ЧЕТЫРЕ с advipservices.
причем угадайте, учитывается ли в этих двух влан 1, который нельзя удалить?

3) на SVI интерфейсах комманды xconnect нету (по крайней мере на иосах раньше 12.4(20)Т)
зато эта комманда есть на свичпорт интерфейсах.

4) при создании второго интерфейса SVI (помните, я могу создать еще АЖ ОДИН ВЛАН кроме 1го), он остается в состоянии is up, line protocol is down. несмотря на то что влан активен, и влану принадлежат активные порты и транк сверху.

4) судя по цискокому комманды xconnect на свичпорт интерфейсах БЫТЬ НЕ ДОЛЖНО.
но она есть. но четко сказано что л2тп поддерживается только на л3 интерфейсах (на ван и на сви). но она есть.

5) более того, она работает.
то есть после ее указания создается сессия л2тп, и сессия подымается с обоих концов туннеля, и по соединению БЕГАЮТ ПАКЕТИКИ.

6) но трафик между свичами не ходит. хотя л2тп и типа "работает".
если тщательно поработать снифером и играть с настройками портов получим следующее, через туннель:
а) проходит cdp
b) проходит stp
с) проходит arp, но не всегда, т.к. на неслужебном трафике наблюдается какая-то фигня с тегом влана, и арп проходит только если его влан сделать нативным.
d) НЕ проходит айпи.

итог неутешителен. сегодня будем заниматся траблшутингом другой железки.

2009-07-23

пасхальные яйца junos'а

придумал способ одновременно и похвастатся собранной оливкой, и продемонстрировать найденное пасхальное яйцо, подтверждающие что творцы junos'a шутники и лирики:


root@R1> show version and haiku
Hostname: J1
Model: olive
JUNOS Base OS boot [9.3R1.7]
JUNOS Base OS Software Suite [9.3R1.7]
JUNOS Kernel Software Suite [9.3R1.7]
JUNOS Crypto Software Suite [9.3R1.7]
JUNOS Packet Forwarding Engine Support (M/T Common ) [9.3R1.7]
JUNOS Packet Forwarding Engine Support (M20/M40) [9.3R1.7]
JUNOS Online Documentation [9.3R1.7]
JUNOS Routing Software Suite [9.3R1.7]


A fine spray of snow
Try to make that perfect stop
Hey! Didn't fall down!

root@R1>


если долго читать хайку, можно встретить в нем подсказку на еще одну недокументированную команду show version, правда понять зачем она не смог :):

root@J1> show version and blame
Hostname: J1
Model: olive
JUNOS Base OS boot [9.3R1.7]
JUNOS Base OS Software Suite [9.3R1.7]
JUNOS Kernel Software Suite [9.3R1.7]
JUNOS Crypto Software Suite [9.3R1.7]
JUNOS Packet Forwarding Engine Support (M/T Common) [9.3R1.7]
JUNOS Packet Forwarding Engine Support (M20/M40) [9.3R1.7]
JUNOS Online Documentation [9.3R1.7]
JUNOS Routing Software Suite [9.3R1.7]

root@J1>

2009-07-16

Questiong of the day (update)

повторный вопрос:
сколько типов сетей существует в ospf на маршрутизаторах cisco?

ответ: не меньше чем 8 :))

объяснение:
loopback, rfc2178
point-to-point, rfc2178
broadcast, rfc2178
non-broadcast, rfc2178
multipoint, rfc2178
multipoint non-broadcast, cisco proprietary
virtual-link, rfc2178
sham-link, rfc4577


Router# show ip ospf interface | in line| Network
OSPF_VL0 is down, line protocol is down
Process ID 1, Router ID 1.1.1.1, Network Type VIRTUAL_LINK, Cost: 65535
OSPF_SL0 is down, line protocol is down
Process ID 1, Router ID 1.1.1.1, Network Type SHAM_LINK, Cost: 1
Loopback0 is up, line protocol is up
Process ID 1, Router ID 1.1.1.1, Network Type LOOPBACK, Cost: 1
Serial0/0/0 is down, line protocol is down
Process ID 1, Router ID 1.1.1.1, Network Type POINT_TO_MULTIPOINT, Cost: 64
FastEthernet0/1 is up, line protocol is up
Process ID 1, Router ID 1.1.1.1, Network Type BROADCAST, Cost: 1
Serial0/0/1 is down, line protocol is down
Process ID 1, Router ID 1.1.1.1, Network Type POINT_TO_POINT, Cost: 64
Serial1/0 is down, line protocol is down
Process ID 1, Router ID 1.1.1.1, Network Type POINT_TO_MULTIPOINT, Cost: 781
Serial1/1 is down, line protocol is down
Process ID 1, Router ID 1.1.1.1, Network Type NON_BROADCAST, Cost: 781

2009-06-23

Question of the day

вопрос:
при использовании mpls vpn, вторая метка (метка vpn'а) создается:
а) для каждого vrf
б) для каждого rt
в) для каждого pe
г) для каждого префикса

ответ: г) для каждого vpn-префикса создается своя персональная метка


вопрос: можно ли сделать что б метка была общая для всего vrf?

ответ: говорят на джуниперах можно, а на цисках нет. говорят это для пущей эфективности реализации перекрывающихся впн-ов, но я не проверял :)

2009-06-21

Question of the day

вопрос: какой порт использует протокол ldp? а tdp?
вопрос: а какой протокол используется, tcp или udp?

ответ: порт ldp - 646, tdp - 711. используются и tcp и udp, для хелло пакетов используется udp, для обмена метками - соединение tcp.

вопрос: на какой адрес отправляются собщения хелло ldp?
ответ: на all-routers, 224.0.0.2

2009-06-05

Question of the day

вопрос:

сколько типов PDU есть в протоколе IS-IS?

ответ: приблизительно 9 (3 hello: L1 LAN hello, L2 LAN hello, p2p hello; 2 LSP: L1 LSP, L2 LSP; 4 SNP: L1 CSNP, L2 CSNP, L1 PSNP, L2 PSNP)

2009-06-04

Question of the day

вопрос:
какой мак адрес используется в качестве адреса отправителя bpdu?

ответ: адрес порта с которого отправлялся. т.е. не base chassis mac address, а именно порта.


вопрос:
на какой порт подключен компьютер:


root@remotehost ~ # tcpdump -i eth1 -n stp -e
09:41:38.586780 00:09:7c:03:15:97 > 01:80:c2:00:00:00, 802.3, length 60: LLC, dsap STP (0x42) Individual, ssap STP (0x42) Command, ctrl 0x03: STP 802.1d, Config, Flags [none], bridge-id 8001.00:09:7c:03:15:80.8017, length 43
09:41:40.590713 00:09:7c:03:15:97 > 01:80:c2:00:00:00, 802.3, length 60: LLC, dsap STP (0x42) Individual, ssap STP (0x42) Command, ctrl 0x03: STP 802.1d, Config, Flags [none], bridge-id 8001.00:09:7c:03:15:80.8017, length 43


ответ: если предположить что компьютер подключен к свичу фиксированной конфигурации, то мы видим: chassis base mac address=00:09:7c:03:15:80 (из bridge-id), мак адрес порта 00:09:7c:03:15:97 (адрес отправителя). так как свичу выделяется блок последовательных мак-адресов, и base адрес из них самый младший, то взяв между ними разницу получим 97-80=23. если на коммутаторе есть гигабитные аплинки, то их количество тоже нужно вычесть (сначали идут их мак-адреса потом адреса фаст-езернет интерфейсов). в модульных шасси о последовательности мак-адресов шасси и модулей речь как правило не идет, потому в этом случае можно только гадать :)

2009-06-02

Question of the day

вопросы на эрудицию ;)

вопрос 1: как звали основателей компании Cisco?
ответ: Leonard Bosack & Sandra Lerner. вопрос 2: а кто сейчас не полез в гугл а/ знал? :)

вопрос 3: как звали человека, изобревшего маршрутизатор:
ответ: William Yeager

вопрос 4: как называлась первая сетевая ОС (см. вопрос 3)?
ответ: Internetwork Operating System (IOS) (см. вопрос 1 :))

2009-05-31

Animated explanations

забавный ресурс: флеш-презентации на разные темы - animated explanations.
подкупает наличие през объясняющих ipv6 и vpls всреди первых в начале существования ресурса :)
ждем от авторов продолжения :)

Question of the day

Вопрос:

какой революционный стек протоколов определен в RFC 2795?

ответ: The Infinite Monkey Protocol Suite (IMPS)

(C) cciepursuit

2009-05-29

Question of the day

вопрос:

сценарий:
R1===R2
R1:

hostname R1
int lo0
ip add 1.1.1.1 255.255.255.255
int fa0/0
description to R2
ip add 10.0.0.1 255.255.255.0
ip ospf 1 area 0
ip ospf dead-interval minimum hello-multiplier 20
router ospf 1


R2:

hostname R1
int lo0
ip add 2.2.2.2 255.255.255.255
int fa0/0
description to R1
ip add 10.0.0.2 255.255.255.0
ip ospf 1 area 0
ip ospf dead-interval minimum hello-multiplier 3
router ospf 1


вопрос: подымется ли соседство оспф?

ответ: ну да, а почему бы и нет? :)


вопрос: а какое значение будет передаваться в поле hello-interval?

ответ: 0 :)

2009-05-24

Question of the day

вопрос:

сценарий:
R1===R2
R1:

hostn R1
int fa0/0
description to R2
ip add 10.0.0.1 255.255.255.0
ip summary-address eigrp 1 192.168.0.0 255.255.0.0
int lo0
ip add 1.1.1.1 255.255.255.255
router eigrp 1
no auto-summary
passive-interface loopback0
network 0.0.0.0


R1:

hostn R2
int fa0/0
description to R1
ip add 10.0.0.2 255.255.255.0
int lo0
ip add 2.2.2.2 255.255.255.255
router eigrp 1
no auto-summary
passive-interface loopback0
network 0.0.0.0


вопрос1: сколько маршрутов будет на маршрутизаторе R2?

ответ: 3 - два коннектед, один еигрп(лупбек роутера R1):

R2#sh ip ro
1.0.0.0/32 is subnetted, 1 subnets
D 1.1.1.1 [90/409600] via 10.0.0.1, 00:05:12, FastEthernet0/0
2.0.0.0/32 is subnetted, 1 subnets
C 2.2.2.2 is directly connected, Loopback0
10.0.0.0/24 is subnetted, 1 subnets
C 10.0.0.0 is directly connected, FastEthernet0/0


вопрос 2: сколько маршрутов на R1?

ответ: тоже 3: два коннектед и лупбек соседа:

R1#s ip ro
1.0.0.0/32 is subnetted, 1 subnets
C 1.1.1.1 is directly connected, Loopback0
2.0.0.0/32 is subnetted, 1 subnets
D 2.2.2.2 [90/409600] via 10.0.0.2, 00:04:56, FastEthernet0/0
10.0.0.0/24 is subnetted, 1 subnets
C 10.0.0.0 is directly connected, FastEthernet0/0
192.168.1.0/32 is subnetted, 1 subnets
C 192.168.1.1 is directly connected, Loopback1


вопрос 3: где суммарный маршрут? :)

ответ: нет более конкретного маршрута подсети 192.168.0.0/16, потому нет и суммарного :)

вопрос 4: меняем конфиг R1:

R1(config)#int lo1
R1(config-if)#ip add 192.168.1.1 255.255.255.255

сколько теперь маршрутов на R1 и R2?

ответ: теперь на R1 5 маршрутов: 3 коннектед, лупбек соседа, и суммарный, на R2 4 маршрута: 2 коннектед, лупбек соседа и суммарный

R1#sh ip ro
1.0.0.0/32 is subnetted, 1 subnets
C 1.1.1.1 is directly connected, Loopback0
2.0.0.0/32 is subnetted, 1 subnets
D 2.2.2.2 [90/409600] via 10.0.0.2, 00:07:50, FastEthernet0/0
10.0.0.0/24 is subnetted, 1 subnets
C 10.0.0.0 is directly connected, FastEthernet0/0
192.168.1.0/32 is subnetted, 1 subnets
C 192.168.1.1 is directly connected, Loopback1
D 192.168.0.0/16 is a summary, 00:00:00, Null0

R2#s ip ro
1.0.0.0/32 is subnetted, 1 subnets
D 1.1.1.1 [90/409600] via 10.0.0.1, 00:09:29, FastEthernet0/0
2.0.0.0/32 is subnetted, 1 subnets
C 2.2.2.2 is directly connected, Loopback0
10.0.0.0/24 is subnetted, 1 subnets
C 10.0.0.0 is directly connected, FastEthernet0/0
D 192.168.0.0/16 [90/409600] via 10.0.0.1, 00:00:20, FastEthernet0/0


вопрос 5: как избавится от суммарного маршрута на R1? например для того что б трафик в подсети 192.168.0.0/16 мог следовать по маршруту по умолчанию?

ответ: указать AD 255 для суммарного маршрута, это предотвратит его установку в таблицу маршрутов:

R1(config)#int fa0/0
R1(config-if)# ip summary-address eigrp 1 192.168.0.0 255.255.0.0 255
R1(config-if)#^Z
*Mar 2 00:47:46.517: %DUAL-5-NBRCHANGE: IP-EIGRP(0) 1: Neighbor 10.0.0.2 (FastEthernet0/0) is resync: summary configured
*Mar 2 00:47:46.761: %SYS-5-CONFIG_I: Configured from console by console
R1#sh ip ro | in Null
D 192.168.0.0/16 is a summary, 00:01:57, Null0
R1#clear ip ro *
R1#sh ip ro | in Null
R1#

на R2 при этом ничего не изменится(кроме graceful-resync соседа :))

2009-05-23

Question of the day

вопрос:

сценарий
R1===R2
R1:

int lo0
ip add 1.1.1.1 255.255.255.255
int fa0/0
ip add 10.0.0.1 255.255.255.0
router eigrp 1
passive-interface default
network 0.0.0.0
neighbor 10.0.0.2


R2:

int lo0
ip add 2.2.2.2 255.255.255.255
int fa0/0
ip add 10.0.0.2 255.255.255.0
router eigrp 1
passive-interface default
network 0.0.0.0
neighbor 10.0.0.1


будет ли установлено соседство?

ответ: нет:

R1#sh ip ei int
IP-EIGRP interfaces for process 1

Xmit Queue Mean Pacing Time Multicast Pending
Interface Peers Un/Reliable SRTT Un/Reliable Flow Timer Routes
R1#sh ip ei topo
IP-EIGRP Topology Table for AS(1)/ID(1.1.1.1)

Codes: P - Passive, A - Active, U - Update, Q - Query, R - Reply,
r - reply Status, s - sia Status

P 1.1.1.1/32, 1 successors, FD is 128256
via Connected, Loopback0
P 10.0.0.0/24, 1 successors, FD is 281600
via Connected, FastEthernet0/0

интерфейс фа0/0 включен в еигрп, но еигрп этот интерфейс не использует (и не отправляет с него хелло-пакеты)

Question of the day

вопрос:

сценарий
R1===R2
R1:

hostname R1
int lo0
ip add 1.1.1.1 255.255.255.255
int fa0/0
ip add 10.0.0.1 255.255.255.0
router ospf 1
passive-interface default
network 0.0.0.0 255.255.255.255 area 0
neighbor 10.0.0.2
log-adjacency-changes


R1:

hostname R2
int lo0
ip add 2.2.2.2 255.255.255.255
int fa0/0
ip add 10.0.0.2 255.255.255.0
router ospf 2
passive-interface default
network 0.0.0.0 255.255.255.255 area 0
neighbor 10.0.0.1
log-adjacency-changes


будет ли установлено соседство?

ответ: к сожелению нет.

R1#sh ip ospf
Routing Process "ospf 1" with ID 1.1.1.1
Start time: 00:42:34.872, Time elapsed: 00:12:48.568
.....
R1#sh ip os tr

OSPF statistics:
Rcvd: 0 total, 0 checksum errors
0 hello, 0 database desc, 0 link state req
0 link state updates, 0 link state acks

Sent: 0 total
0 hello, 0 database desc, 0 link state req
0 link state updates, 0 link state acks
.....
R1#sh ip os int fa0/0
FastEthernet0/0 is up, line protocol is up
Internet Address 10.0.0.1/24, Area 0
Process ID 1, Router ID 1.1.1.1, Network Type BROADCAST, Cost: 10
Transmit Delay is 1 sec, State DR, Priority 1
Designated Router (ID) 1.1.1.1, Interface address 10.0.0.1
No backup designated router on this network
Timer intervals configured, Hello 10, Dead 40, Wait 40, Retransmit 5
oob-resync timeout 40
No Hellos (Passive interface)
Supports Link-local Signaling (LLS)
Cisco NSF helper support enabled
IETF NSF helper support enabled
Index 1/1, flood queue length 0
Next 0x0(0)/0x0(0)
Last flood scan length is 0, maximum is 0
Last flood scan time is 0 msec, maximum is 0 msec
Neighbor Count is 0, Adjacent neighbor count is 0
Suppress hello for 0 neighbor(s)

т.е. пасив-интерфейс блокирует абсолютно все хелло-пакеты.

вопрос2: предложите другие методы устанавливать соседство уникаст-пакетами только с одним соседом на бродкаст-интерфейсе с несколькими корректно сконфигурированными роутерами оспф.

Question of the day

вопрос:

сценарий:
R1===R2
R1:

int fa0/0
ip add 10.0.0.1 255.255.255.0
int lo0
ip add 1.1.1.1 255.255.255.255
router rip
passive-interface default
network 0.0.0.0
neighbor 10.0.0.2


R2:

int fa0/0
ip add 10.0.0.2 255.255.255.0
int lo0
ip add 2.2.2.2 255.255.255.255
router rip
passive-interface default
network 0.0.0.0


будут ли R1 и R2 обмениватся маршрутами:

ответ: только в одном направлении, R1 будет отправлять апдейты уникастом:

R1#debug ip rip ev
RIP event debugging is on
*Mar 1 00:37:22.371: RIP: sending v1 update to 10.0.0.2 via FastEthernet0/0 (10.0.0.1)
*Mar 1 00:37:22.371: RIP: Update contains 1 routes
*Mar 1 00:37:22.371: RIP: Update queued
*Mar 1 00:37:22.375: RIP: Update sent via FastEthernet0/0

R2 будет получать, но не будет отправлять(на нем нет комманды нейбор)

и еще раз рип! :)

о причудах рипа первой версии речь уже шла
тем не менее, есть несколько уточнений о распространении лупбеков.

сценарий:
R1===R2
R1:
fa0/0 10.0.0.1/24
lo0 10.1.1.1/32
R2:
fa0/0 10.0.0.1/24

1) лупбеки распознаются по наличию ненулевых бит в хостовой части.
т.е. это может выглядеть так:

*Mar 1 00:20:15.403: RIP: build update entries
*Mar 1 00:20:15.403: subnet 10.1.1.1 metric 1

и, если на входящем для апдейта интерфейса маска такова что 10.1.1.1 содержит 1 в хостовой части, будет автоматически взята маска /32

2) лупбеки отправляются только если они содержат 1 в хостовой части для исходящего интерфейса:

R1(config)#int lo0
R1(config-if)#ip add 10.1.0.0 255.255.255.255
Mar 1 00:23:03.083: RIP-DB: route to 10.1.1.1/32 via 0.0.0.0 metric changed from 0 to Infinity
*Mar 1 00:23:03.087: RIP-DB: Remove 10.1.1.1/32, (metric 4294967295) via 0.0.0.0, Loopback0
*Mar 1 00:23:03.099: RIP-DB: adding 10.1.1.1/32 (metric 4294967295) via 0.0.0.0 on Loopback0 to RIP database
*Mar 1 00:23:03.103: RIP: add Loopback0 to RIP idb list
*Mar 1 00:23:03.111: RIP-DB: redist 10.1.0.0/32(metric 0, last interface Loopback0) to RIP
*Mar 1 00:24:27.979: RIP: sending v1 update to 255.255.255.255 via FastEthernet0/0 (10.0.0.1)
*Mar 1 00:24:27.979: RIP: build update entries - suppressing null update

т.е. маршрут 10.1.1.1/32 удален, добавлен 10.1.0.0/32, но маршрут НЕ отправляется, потому как при маске исходящего интерфейса /24 его хостовая часть нулевая

3) лупбеки не отправляются если роутеры соединены разными классовыми сетями:

R1(config)#int lo0
R1(config-if)#ip add 1.1.1.1 255.255.255.255
*Mar 1 00:28:30.987: RIP-DB: route to 10.1.0.0/32 via 0.0.0.0 metric changed from 0 to Infinity
*Mar 1 00:28:30.987: RIP-DB: Remove 10.1.0.0/32, (metric 4294967295) via 0.0.0.0, Loopback0
*Mar 1 00:28:30.999: RIP-DB: adding 10.1.0.0/32 (metric 4294967295) via 0.0.0.0 on Loopback0 to RIP database
*Mar 1 00:28:31.015: RIP-DB: adding 1.1.1.1/32 (metric 0) via 0.0.0.0 on Loopback0 to RIP database
*Mar 1 00:28:31.011: RIP-DB: redist 1.0.0.0/32(metric 0, last interface Loopback0) to RIP
*Mar 1 00:28:39.071: RIP: build update entries
*Mar 1 00:28:39.071: network 1.0.0.0 metric 1

обратите внимание, добавлена сеть /32, но отправка идет с округлением до классовой черты.
подчеркну, это НЕ ЗАВИСИТ от авто-самаризации:

R1(config-if)#router rip
R1(config-router)#no auto-summary
*Mar 1 00:30:58.519: RIP: sending v1 update to 255.255.255.255 via FastEthernet0/0 (10.0.0.1)
*Mar 1 00:30:58.519: RIP: build update entries
*Mar 1 00:30:58.519: network 1.0.0.0 metric 1

2009-05-18

IS-IS

часто про IS-IS сталкиваюсь с мнением что "это конечно крутой протокол, но никто его нынче не использует".
приведу контр-примеры:
1) IS-IS универсален, умеет в одном процессе строить таблицы маршрутов IPv4, IPv6, CLNS, и передавать информацию для ТE
2) он более безопасен - полагается непосредственно на канальный уровень, никак не связан с ARP, не разрывает отношения при ошибках(как EIGRP)
3) то что он не зависит от топологии IPv4 или IPv6 (только от CLNS) позволяет выполнять меньше пересчетов дерева кратчайших маршрутов
4) он _проще_ чем оспф. честное слово! :) в нем нет множества "лишних" понятий, например типов областей(stub, nssa, totally stub nssa, и т.д.)

примеры использования IS-IS в нынешнем тысячелетии:

2009-05-17

Question of the day

вопрос:
назовите опции STP являющиеся частью Cisco Spanning-tree Toolkit'a

ответ: portfast, uplinkfast, backbonefast, loopguard, rootguard, bpduguard, bpdufilter


вопрос:
какие из вышеперечисленных опций STP Toolkit'a совместимы с RSTP?

ответ: все кроме uplinkfast и backbonefast

Open-ended questions

с 15 мая теоретические вопросы добавлены в лабу ccie security. т.е. перед выполнением собственно лабы каждый кандидат должен за 30 минут дать краткий развернутый ответ на 4 вопроса.
не ответивший на 75% вопросов правильно кандидат автоматически заваливает лабу.
ждем появления таких вопросов в остальных треках :(

2009-05-14

Question of the day

вопрос: какой MAC адрес используется для отправки STP BPDU?

ответ: 01-80-2c-00-00-0x (обычно х=0, но зарезервированы все значения тетрады)



вопрос: какой протокол использует MAC адрес 01-00-0C-CC-CC-CC?

ответ: CDP



вопрос:какие MAC адреса используются протоколом HSRP?

ответ: смотря какая версия протокола. вопрос: для 1й версии?

ответ: 00-00-0с-07-AC-xx, где хх-номер группы(256 групп). вопрос: а для 2й версии:

ответ: 00-00-0с-9А-xx-хх, где хх-хх - номер группы(4096 групп).

2009-05-12

Question of the day

тема: router-id

топология: R3===R1===R2
стартовые конфиги:

R1

bridge irb
!
interface Loopback0
ip address 10.255.255.1 255.255.255.255
!
interface FastEthernet0/0
description to R2
no ip address
bridge-group 1
!
interface FastEthernet0/1
description to R3
no ip address
bridge-group 1
!
interface BVI1
ip address 10.0.0.1 255.255.255.0
!
router eigrp 1
network 0.0.0.0
no auto-summary
!
bridge 1 protocol ieee
bridge 1 route ip


R2

interface Loopback0
ip address 10.255.255.1 255.255.255.255
!
interface FastEthernet0/0
ip address 10.0.0.2 255.255.255.0
!
router eigrp 1
network 0.0.0.0
no auto-summary


R3

interface Loopback0
ip address 10.255.255.1 255.255.255.255
!
interface FastEthernet0/0
ip address 10.0.0.3 255.255.255.0
!
router eigrp 1
network 0.0.0.0
no auto-summary


проверим что проблема создана:

R1#sh ip ei top | in ID| 10.255.255.1
IP-EIGRP Topology Table for AS(1)/ID(10.255.255.1)
P 10.255.255.1/32, 1 successors, FD is 128256
R2#sh ip ei top | in ID| 10.255.255.1
IP-EIGRP Topology Table for AS(1)/ID(10.255.255.1)
P 10.255.255.1/32, 1 successors, FD is 128256
R3#sh ip ei top | in ID| 10.255.255.1
IP-EIGRP Topology Table for AS(1)/ID(10.255.255.1)
P 10.255.255.1/32, 1 successors, FD is 128256

естественно, одинаковые адреса гарантируют что чужой лупбек не появится в топологии еигрп и тем более в таблице маршрутов на каждом роутере (т.е. в топологии только 1 локальный маршрут).

вопрос: если отключить интерфейс lo0 на R1, что изменится?

ответ: появится два маршрута, через R2 и R3:

R1#sh ip ro 10.255.255.1
Routing entry for 10.255.255.1/32
Known via "eigrp 1", distance 90, metric 512000, type internal
Redistributing via eigrp 1
Last update from 10.0.0.3 on BVI1, 00:00:04 ago
Routing Descriptor Blocks:
10.0.0.3, from 10.0.0.3, 00:00:04 ago, via BVI1
Route metric is 512000, traffic share count is 1
Total delay is 10000 microseconds, minimum bandwidth is 10000 Kbit
Reliability 255/255, minimum MTU 1500 bytes
Loading 1/255, Hops 1
* 10.0.0.2, from 10.0.0.2, 00:00:04 ago, via BVI1
Route metric is 512000, traffic share count is 1
Total delay is 10000 microseconds, minimum bandwidth is 10000 Kbit
Reliability 255/255, minimum MTU 1500 bytes
Loading 1/255, Hops 1


вопрос, перефразированный: принимает ли eigrp маршрут с router-id равным router-id текущего маршрутизатора?
ответ: получается что да :)

вопрос: как выбирается router-id eigrp?
ответ: наибольший айпи

вопрос: как задать router-id eigrp вручную?
ответ: (config-router)# eigrp router-id

вопрос, домашнее задание: для чего eigrp использует router-id?

2009-05-10

Question of the day

вопрос:
дана топология:


конфиг роутеров:
R1

hostname R1
int fa0/0
descr to R2
no shu
int fa0/0.10
enca dot 10
ip add 10.0.10.1 255.255.255.0
ip ospf 1 area 0
router ospf 1


R2

hostname R2
int fa0/0
descr to R1
no shu
int fa0/0.10
enca dot 10
ip add 10.0.10.2 255.255.255.0
ip ospf 1 area 0
router ospf 1
redistribute static
ip route 192.168.0.0 255.255.0.0 null0


вопрос: какая метрика будет у маршрута в сеть 192.168.0.0/16 на роутере R1?

ответ: приблизительно 20, тип 2 (умолчания ospf)

вопрос: конфиг изменен следующим образом:
R1

int fa0/0.20
enca dot 20
ip add 10.0.20.1 255.255.255.0
ip ospf 2 area 0
router ospf 2


R2

int fa0/0.20
enca dot 20
ip add 10.0.20.2 255.255.255.0
ip ospf 2 area 0
router ospf 2
redistribute static


на R1, маршрут в сеть 192.168.0.0/16 будет пренадлежать какому процессу ospf?

ответ: ospf 1

вопрос: если отключить процесс 1, что изменится?
ответ: в таблицу маршрутов попадет маршрут от ospf 2

вопрос: если включить процесс 1 обратно, что изменится?
ответ: в таблицу маршрутов по-прежнему будет маршрут от ospf 2

выводы: в отличии от eigrp, в котором используется маршрут от процесса с меньшим номером автономной системы, в ospf используется тот маршрут, которые попадает в таблицу маршрутов раньше

2009-05-08

Question of the day

вопрос:
дана топология:


конфиг роутеров:
R1

hostname R1
int fa0/0
descr to R2
no shu
int fa0/0.10
enca dot 10
ip add 10.0.10.1 255.255.255.0
router eigrp 1
network 10.0.10.0 255.255.255.0


R2

hostname R2
int fa0/0
descr to R1
no shu
int fa0/0.10
enca dot 10
ip add 10.0.10.2 255.255.255.0
router eigrp 1
network 10.0.10.0 255.255.255.0
redistribute static metric 1000 2500 255 1 1500
ip route 10.255.255.0 255.255.255.0 null0


вопрос: какой FD будет у маршрута в сеть 10.255.255.0/24 на R1?

ответ: приблизительно 921600

R1#sh ip ro 10.255.255.0
Routing entry for 10.255.255.0/24
Known via "eigrp 2", distance 170, metric 921600, type external
Redistributing via eigrp 2
Last update from 10.0.20.2 on FastEthernet0/0.20, 00:00:30 ago
Routing Descriptor Blocks:
* 10.0.20.2, from 10.0.20.2, 00:00:30 ago, via FastEthernet0/0.20
Route metric is 921600, traffic share count is 1
Total delay is 26000 microseconds, minimum bandwidth is 10000 Kbit
Reliability 255/255, minimum MTU 1500 bytes
Loading 1/255, Hops 1



усложним задачу, добавим в конфиг роутеров:
R1

int fa0/0.20
enca dot 20
ip add 10.0.20.1 255.255.255.0
router eigrp 2
network 10.0.20.0 255.255.255.0


R2

int fa0/0.20
enca dot 20
ip add 10.0.20.2 255.255.255.0
router eigrp 2
network 10.0.20.0 255.255.255.0
redistribute static metric 100000 2500 255 1 1500


вопрос: какой теперь будет FD маршрута в сеть 10.255.255.0/24 на R1?

ответ: все тот же

R1#sh ip ro 10.255.255.0
Routing entry for 10.255.255.0/24
Known via "eigrp 1", distance 170, metric 921600, type external
Redistributing via eigrp 1
Last update from 10.0.10.2 on FastEthernet0/0.10, 00:00:58 ago
Routing Descriptor Blocks:
* 10.0.10.2, from 10.0.10.2, 00:00:58 ago, via FastEthernet0/0.10
Route metric is 921600, traffic share count is 1
Total delay is 26000 microseconds, minimum bandwidth is 10000 Kbit
Reliability 255/255, minimum MTU 1500 bytes
Loading 1/255, Hops 1
R1#sh ip ei topo 1 10.255.255.0 255.255.255.0
IP-EIGRP (AS 1): Topology entry for 10.255.255.0/24
State is Passive, Query origin flag is 1, 1 Successor(s), FD is 921600
Routing Descriptor Blocks:
10.0.10.2 (FastEthernet0/0.10), from 10.0.10.2, Send flag is 0x0
Composite metric is (921600/896000), Route is External
Vector metric:
Minimum bandwidth is 10000 Kbit
Total delay is 26000 microseconds
Reliability is 255/255
Load is 1/255
Minimum MTU is 1500
Hop count is 1
External data:
Originating router is 10.0.10.2
AS number of route is 0
External protocol is Static, external metric is 0
Administrator tag is 0 (0x00000000)
R1#sh ip ei topo 2 10.255.255.0 255.255.255.0
IP-EIGRP (AS 2): Topology entry for 10.255.255.0/24
State is Passive, Query origin flag is 1, 0 Successor(s), FD is 4294967295
Routing Descriptor Blocks:
10.0.20.2 (FastEthernet0/0.20), from 10.0.20.2, Send flag is 0x0
Composite metric is (921600/665600), Route is External
Vector metric:
Minimum bandwidth is 10000 Kbit
Total delay is 26000 microseconds
Reliability is 255/255
Load is 1/255
Minimum MTU is 1500
Hop count is 1
External data:
Originating router is 10.0.10.2
AS number of route is 0
External protocol is Static, external metric is 0
Administrator tag is 0 (0x00000000)


продолжим эксперимент :)
отключим на R2 подынтерфейс принадлежащий eigrp1:

R2(config)#int fa0/0.10
R2(config-subif)#shu

через буквально 10-15 секунд R1 обнаружит потерю соседа, и сменит маршрут в сеть 10.255.255.0/24:

*Mar 1 00:23:10.699: %DUAL-5-NBRCHANGE: IP-EIGRP(0) 1: Neighbor 10.0.10.2 (FastEthernet0/0.10) is down: holding time expired
R1#sh ip ro 10.255.255.0
Routing entry for 10.255.255.0/24
Known via "eigrp 2", distance 170, metric 921600, type external
Redistributing via eigrp 2
Last update from 10.0.20.2 on FastEthernet0/0.20, 00:00:30 ago
Routing Descriptor Blocks:
* 10.0.20.2, from 10.0.20.2, 00:00:30 ago, via FastEthernet0/0.20
Route metric is 921600, traffic share count is 1
Total delay is 26000 microseconds, minimum bandwidth is 10000 Kbit
Reliability 255/255, minimum MTU 1500 bytes
Loading 1/255, Hops 1


вопрос: какой маршрут будет активным на R1, если на R2 поднять подынтерфейс fa0/0.10?
ответ: вернется маршрут процесса eigrp1:

R2(config)#int fa0/0.10
R2(config-subif)#no shu
*Mar 1 00:25:03.815: %DUAL-5-NBRCHANGE: IP-EIGRP(0) 1: Neighbor 10.0.10.2 (FastEthernet0/0.10) is up: new adjacency
R1#sh ip ro 10.255.255.0
Routing entry for 10.255.255.0/24
Known via "eigrp 1", distance 170, metric 921600, type external
Redistributing via eigrp 1
Last update from 10.0.10.2 on FastEthernet0/0.10, 00:00:58 ago
Routing Descriptor Blocks:
* 10.0.10.2, from 10.0.10.2, 00:00:58 ago, via FastEthernet0/0.10
Route metric is 921600, traffic share count is 1
Total delay is 26000 microseconds, minimum bandwidth is 10000 Kbit
Reliability 255/255, minimum MTU 1500 bytes
Loading 1/255, Hops 1

2009-05-07

Question of the day

вопрос:
может ли работать qos при использовании коммутации cut-through?

ответ: нет. (или скорее всего нет:)). qos обычно подразумевает: 1) анализ пакета глубже заголовков ethernet; 2) очереди и буфферы. а для этого нужно пакет сначала сохранить в память. см. также предыдущий вопрос :)

Question of the day

вопрос:
какой способ коммутации используют коммутаторы cisco catalyst?

примечание: вопрос связан с тем что в многих своих курсах cisco рассказывает о методах коммутации store-and-forward, cut-through, fragment-free, и т.д. именно об этих методах идет речь.
свои варианты ответов оставляйте в комментариях

ответ: на catalysy switches используется метод store-and-forward

CCIE RS 4.0

наконец-то свершился аннонс изменений в ccie rs. изменения вступят в силу 18 октября.
суть изменений: добавлена 2х часовая секция troubleshooting, добавлен базовый mpls и mpls-vpn, pppoe, OER, и обновлено оборудование(убрали 3550, 3600, добавили 1800, 3800), обновленый IOS.
в сети идет много обсуждений, но я свои 5 копеек всовывать не буду :)

что это изменение меняет для меня? да почти ничего :)

  • шансов сдать лабу до изменений все равно нет

  • подготовку к лабе я и не начинал

  • кроме неизвестной добротности секции troubleshooting меня ничего не пугает

  • новый письменный тоже ничего принципиально нового не содержит, хотя тщательно пересмотреть все темы не помешает

  • зато, будет бета ccie written, которой я собираюсь воспользоваться :)



подробнее о письменном:

  • фаза беты будет проходить в июле-августе

  • бета 351-001 будет стоить 50у.е.

  • сдавать можно только один раз, да и результаты будут только через месяц после окончания беты

  • скорее всего будет очень много вопросов, и пониженный проходной бал

  • written blueprint

2009-05-06

Question of the day

вопрос:
нужен ли для NBAR CEF?

ответ: нет, не нужен








для проверки - простой эксперимент:
1) выключаем CEF:

BBR2(config)#no ip cef
BBR2#sh ip cef
%CEF not running
Prefix Next Hop Interface

2) включим nbar, например через protocol-discovery

BBR2(config)#int fa0/0
BBR2(config-if)#ip nbar protocol-discovery

3) пронаблюдаем рост статистики protocol-discovery

BBR2#sh ip nbar protocol-discovery

FastEthernet0/0
Input Output
----- ------
Protocol Packet Count Packet Count
Byte Count Byte Count
5min Bit Rate (bps) 5min Bit Rate (bps)
5min Max Bit Rate (bps) 5min Max Bit Rate (bps)
------------------------ ------------------------ ------------------------
eigrp 36 18
2664 1332
0 0
0 0
bgp 6 6
399 399
0 0
0 0
bittorrent 0 0
0 0
0 0
0 0
citrix 0 0
0 0

BBR2#sh ip nbar protocol-discovery

FastEthernet0/0
Input Output
----- ------
Protocol Packet Count Packet Count
Byte Count Byte Count
5min Bit Rate (bps) 5min Bit Rate (bps)
5min Max Bit Rate (bps) 5min Max Bit Rate (bps)
------------------------ ------------------------ ------------------------
eigrp 40 20
2960 1480
0 0
0 0
bgp 6 6
399 399
0 0
0 0
bittorrent 0 0
0 0
0 0
0 0
citrix 0 0
0 0


можно сделать вывод, что nbar работает, хотя cef полностью выключен.

п.с. очень часто встречается тверждение что cef строго необходим, это связано с соображениями производительности.

2009-05-05

Question of the day

вопрос:
дано два маршрутизатора R1 и R2, соединенные друг с другом через интерфейс fa0/0, их частичный конфиг:

R1:
hostname R1
int fa0/0
  ip address 10.0.0.1 255.255.255.0
  ip ospf 1 area 0
  ip ospf authentication message-digest
  ip ospf authentication-key cisco

R2:
hostname R2
int fa0/0
  ip address 10.0.0.2 255.255.255.0
  ip ospf 1 area 0
  ip ospf authentication message-digest
  ip ospf authentication-key password

подымется ли соседство между R1 и R2 при данной конфигурации?

ответ: да :) authentication-key задает пароль для автенификации с открым ключем, а не для мд5. потому будет использоваться ключ 0 (ключ мд5 по умолчанию), и он совпадет, автентификация будет пройдена.

2009-05-04

Question of the day

вопрос:

что за интерфейс eobc0 и где его можно встретить?

Interface IP-Address OK? Method Status Protocol
GigabitEthernet0 unassigned YES unset up up
GigabitEthernet1 unassigned YES unset up up
Vlan10 10.1.10.2 YES unset up up
Vlan100 10.1.10.2 YES unset up up
EOBC0 127.0.0.21 YES CONFIG up up
BVI1 unassigned YES unset up up



ответ: менеджмент интерфейс, ethernet out-of-band channel, встречающийся например в 6500/7600, служащий для внутреннего управления модулями подключенными к шине.
пример использования - используется для менеджмент доступа на fwsm, idsm, wism, ace из msfc с помощью telnet

router rip

пояснение к первым 3м вопрос

чем проблема задания: rip по-умолчанию отправляет апдейты 1й версии, то есть не указывает маску. при получении же, он использует маску указанную на интерфейсе с которого пришел апдейт. в качестве контроля, он не отправляет сети, маска которых отличается от маски исходящего интерфейса.

таким образом, ответ на первый вопрос должен был бы быть следующим:
у R1 маска исходящего интерфейса /30, отправится сеть Lo0 у которой маска /30
у R2 маска исходящего интерфейса /24, отправится сеть Lo2 у которой маска /24
но это не правильный ответ :)
дополнительно к этим маршрутам каждый роутер пришлет маршруты сетей с маской /32.
итого - по два маршрута на каждом.

пояснение к вопросу 4

по-идее, каждый маршрутизатор при получении маршрута берет маску с входящего интерфейса для апдейта, тогда на R1 у всех полученных сетей маска дожна быть /30 а на R2 - /24 (что в принцепе полностью не соответствует начальным маскам сетей, но это другой вопрос :))
но это не правильный ответ :)
что не так в этот раз?
опять-таки сети с маской /32. так как рип всегда отправляет такие сети, он пытается их отловить. но как?
по установленному в 1 битам хостовой части адреса в апдейте:
  • при отправке примененяется маска исходящего интерфейса на адрес с маской /32(адрес интерфейса), и хостовая часть должна оставаться не нулевой! (иначе сеть отправлятся не будет)
  • при приеме примененяется маска входящего интерфейса,и если хостовая часть отлична от нуля - принимается маска /32.
вот такой простой протокол рип :)
замечания и возражения оставляйте в комментариях

2009-05-03

Question of the day

вопрос:
топология следующая : R1 --- R2

конфиги:
R1:

hostname R1
!
interface loopback0
ip address 10.1.1.1 255.255.255.252
!
interface loopback1
ip address 10.0.0.1 255.255.255.255
!
interface loopback2
ip address 10.1.2.1 255.255.255.0
!
interface loopback3
ip address 10.1.129.1 255.255.128.0
!
interface fa0/0
description to R2
ip add 10.255.12.1 255.255.255.252
!
router rip
network 0.0.0.0
no auto-summary


и R2:

hostname R2
!
interface loopback0
ip address 10.2.1.1 255.255.255.255
!
interface loopback1
ip address 10.0.0.2 255.255.255.248
!
interface loopback2
ip address 10.2.2.1 255.255.255.0
!
interface loopback3
ip address 10.2.129.1 255.255.128.0
!
interface fa0/0
description to R1
ip add 10.255.12.2 255.255.255.0
!
router rip
network 0.0.0.0
no auto-summary


сколько маршрутов RIP будет в таблице маршрутизации каждого маршрутизатора?

ответ: по два :)

вопрос2: каких ? :))
ответ2: R1 отправит маршруты о сети своего интерфейса Lo0 (совпала маска с маской исходящего интерфейса), и Lo1
R2 соответственно отправит инфу о Lo2(потому что маска), и L00

вопрос3: почему отправились маршруты о R1 Lo1, R2 Lo0, ведь у них маска отличалась от маски исходящего интерфейса?

вопрос4: какая маска была присвоена этим маршрутам при получении?

2009-05-02

Question of the day

вопрос:
назовите отличия в работе физического frame-relay интерфейса, и мультипойнт подынтерфейса

ответ: одно из отличий - на физическом автоматически отключается сплит-хорайзон. если вы знаете другие отличия - пишите комментарии

Question of the day

вопрос:
сколько протоколов маршрутизации умеют unequal-cost multipath?

ответ: два
(eigrp, bgp)

Question of the day

вопрос:
бывает ли per-packet cef?

ответ: см. (config-if)# ip load-sharing на любом software-based маршрутизаторе (например 28хх).

2009-05-01

mac access-list

к предыдущему вопросу.
сценарий:
sw1===sw2===sw3

sw1:
int vlan 1
  ip add 10.0.0.1 255.255.255.0

sw2:
int vlan 1
  ip add 10.0.0.2 255.255.255.0

sw3:
int vlan 1
  ipa add 10.0.0.3 255.255.255.0

проверка:
SW1>ping 10.0.0.3

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.0.0.3, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/5/9 ms
SW1>ping 10.0.0.3

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.0.0.3, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/3/8 ms

теперь список доступа:

SW1>sh ip arp
Protocol  Address          Age (min)  Hardware Addr   Type   Interface
Internet  10.0.0.2              125   001d.4614.2040  ARPA   Vlan1
Internet  10.0.0.3                -   001d.4614.dcc0  ARPA
Internet  10.0.0.1                -   0016.9d94.9c40  ARPA   Vlan1
SW2#
SW2#conf t
Enter configuration commands, one per line.  End with CNTL/Z.
SW2(config)#mac access-list sw1-to-sw2
SW2(config-ext-macl)#permit host 0016.9d94.9c40 host 001d.4614.dcc0
SW2(config-ext-macl)#permit host 001d.4614.dcc0 host 0016.9d94.9c40
SW2(config-ext-mac)#exi
SW2(config)#vlan access-map sw1-to-sw2 10
SW2(config-access-map)#match mac add sw1-to-sw2
SW2(config-access-map)#action drop
SW2(config-access-map)#vlan access-map sw1-to-sw2 20
SW2(config-access-map)#action forward
SW2(config-access-map)#exi
SW2(config)#vlan filter sw1-to-sw2 vlan-list 1


то есть теперь любой трафик с мак-адреса SW1 на мак-адрес SW2 должен блокироваться?
проверим:

SW1#ping 10.0.0.3

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.0.0.3, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/4/9 ms
SW1#sh ip arp
Protocol  Address          Age (min)  Hardware Addr   Type   Interface
Internet  10.0.0.2                0   001d.4614.2040  ARPA   Vlan1
Internet  10.0.0.3                0   001d.4614.dcc0  ARPA   Vlan1
Internet  10.0.0.1                -   0016.9d94.9c40  ARPA   Vlan1
что ж это такое? не правильно настроен список доступа?
смотрим дальше.
SW1#clear ip arp 10.0.0.3
SW1#ping 10.0.0.3

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.0.0.3, timeout is 2 seconds:
.....
Success rate is 0 percent (0/5)
SW1#conf t
Enter configuration commands, one per line.  End with CNTL/Z.
SW1(config)#arp 10.0.0.3 001d.4614.dcc0 arpa
SW1(config)#^Z
SW1#ping 10.0.0.3

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.0.0.3, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/4/9 ms
 
то есть, как только арп устаревает, обмен данными между SW1 и SW2 прекращается: как только на SW1 сбрасываем арп - пинги перестают ходить. если добавляем статический арп - все становиться ок :)

вопрос 1: почему не надо обновлять арп на SW3? 
вопрос 2: обновиться ли арп  полученным от SW1 пакетом?

ответ 1: потому что арп-таймаут составляет около 14400 секунд (4 часа)
ответ 2: нет см. пример:
SW3#clear ip ar
3d23h: %SYS-5-CONFIG_I: Configured from console by consolep 10.0.0.1
SW3#sh ip arp
Protocol  Address          Age (min)  Hardware Addr   Type   Interface
Internet  10.0.0.3                -   001d.4614.dcc0  ARPA   Vlan1
SW1#ping 10.0.0.3

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.0.0.3, timeout is 2 seconds:
.....
Success rate is 0 percent (0/5)
SW3#sh ip arp
Protocol  Address          Age (min)  Hardware Addr   Type   Interface
Internet  10.0.0.3                -   001d.4614.dcc0  ARPA   Vlan1
Internet  10.0.0.1                0   Incomplete      ARPA
 
как мы видим, адрес 10.0.0.1 ждет разрешения арп, и пинг не проходит.