2009-07-31

Question of the day

сценарий:

R1===R2

конфиг:
R1:

system {
host-name R1;
}
interfaces {
em0 {
unit 0 {
family inet {
address 192.168.100.1/24;
}
}
}
lo0 {
unit 0 {
family inet {
address 192.168.255.1/32;
}
}
}
}
routing-options {
autonomous-system 1;
}
protocols {
ospf {
reference-bandwidth 10g;
area 0.0.0.0 {
interface all;
}
}
}


R2:

system {
host-name R2;
}
interfaces {
em0 {
unit 0 {
family inet {
address 192.168.100.2/24;
}
}
}
lo0 {
unit 0 {
family inet {
address 192.168.255.2/32;
}
}
}
}
routing-options {
autonomous-system 1;
}
protocols {
ospf {
reference-bandwidth 10g;
area 0.0.0.0 {
interface all;
}
}
}


вопрос:
что будет, если на машрутизаторах настроить bgp следующим образом:

R1:

protocols {
bgp {
local-address 192.168.255.2;
group internal {
peer-as 1;
neighbor 192.168.255.2;
}
}
}


R2:

protocols {
bgp {
local-address 192.168.255.1;
group internal {
peer-as 1;
neighbor 192.168.255.1;
}
}
}


то есть:
1) примется ли такая конфигурация? почему?
2) подымется ли соединение бгп?
3) как такую проблему можно траблшутить?

ответы:
1) да, жунос не проверяет аргумент local-address кроме как на синтаксис (формат адреса)
2) нет, роутеры не смогут даже отправить tcp syn, т.к. адрес отправителя не доступен локальному маршрутизатору
3) логика или логи или трейсопшнс :)

root@R1# run show bgp summary
Groups: 1 Peers: 1 Down peers: 1
Table Tot Paths Act Paths Suppressed History Damp State Pending
inet.0 0 0 0 0 0 0
Peer AS InPkt OutPkt OutQ Flaps Last Up/Dwn State|#Active/Received/Accepted/Damped...
192.168.255.2 1 0 0 0 0 6:49 Idle
root@R1# run show log messages
.................
Jul 31 09:24:00 R1 mgd[4549]: UI_COMMIT: User 'root' requested 'commit' operation (comment: none)
Jul 31 09:25:34 R1 rpd[4400]: bgp_peer_init: BGP peer 192.168.255.2 (Internal AS 1)
local address 192.168.255.2 not found. Leaving peer idled


[edit]
root@R1# set protocols bgp traceoptions file bgp.log

[edit]
root@R1# set protocols bgp traceoptions flag normal

[edit]
root@R1# commit
root@R1# run monitor start /var/log/bgp.log
*** /var/log/bgp.log ***
Jul 31 09:25:34.965378 bgp_conf_compile: Processing node 8ade020
Jul 31 09:25:34.965480 bgp_conf_compile: Processing dependent 8de4000. Next thread: 8ade028 8ade028
Jul 31 09:25:34.965488 bgp_conf_compile: Node 8de4000 dependency: 8de4800 8de4800
Jul 31 09:25:34.965492 bgp_conf_compile: Processing node 8de4000
Jul 31 09:25:34.965495 bgp_conf_compile: Processing dependent 8de4800. Next thread: 8de4008 8de4008
Jul 31 09:25:34.965499 bgp_conf_compile: Node 8de4800 addr 192.168.255.2 Next 8de4008
Jul 31 09:25:34.965531 bgp_conf_group_add: Allocating new group 8cb8000
Jul 31 09:25:34.965602 bgp_conf_peer_add: Creating new peer for 192.168.255.2
Jul 31 09:25:34.969756 bgp_group_init: initializing group internal type Internal
Jul 31 09:25:34.969782 bgp_peer_init: BGP peer 192.168.255.2 (Internal AS 1)
local address 192.168.255.2 not found. Leaving peer idled

[edit]

2009-07-30

Clearing cisco asa

вопрос: какой самый быстрый способ потереть конфиг на асе?

ответ:

ASA1(config)# firewall transparent
WARNING: Removing all contexts in the system
Removing context 'admin' (1)... Done
ciscoasa(config)# no firewall transparent
WARNING: Removing all contexts in the system
WARNING: Unable to delete admin context because it doesn't exist.
ciscoasa(config)#


если кто-то знает ответ более логичный, быстрый, удобный - не стесняйтесь, пишите :)
p.s. и да, этот способ не переводит асу в сингл-мод

2009-07-29

Question of the day

вопрос 1: сколько минимум маршрутизаторов может быть в stub area ospf?

вопрос 2: сколько максимум маршрутизаторов может быть в stub area eigrp?


ответ 1:
для того что б это имело смысл - минимум два. почему?
потому что граница области проходит по маршрутизатору. если в стаб области только один маршрутизатор, то он является и граничным, то он вне зависимости от типа области хранит lsdb магистральной области и lsdb тупиковой.

ответ 2:
для того что б это работало (без чрезмерных ухищрений) ровно один.
механизм тупиковой области eigrp таков что тупиковым маршрутизатор будут считать ВСЕ соседи. то есть несколько стабовых маршрутизаторов не будут друг с другом корректно взаимодействовать, т.е. не будут передавать маршруты друг друга в ядро сети.

ios config defaults

вопрос: сколько возможных "значений по-умолчанию" может существовать для опции конфига cisco ios?
ответ: много. ниже рассмотрены три.

подробнее:

1) значение по-умолчанию которое примет опция если конфигурация отсутствует (например после write erase & reload)
это значение для каждой опции(и версии ios) можно найти на doccd.
пример: ip cef по-умолчанию включен, для интерфейсов применен по-умолчанию shutdown.

2) значение которое будет принято при выполнении сброса в умолчание с помощью команды default.
например:

(config)# do sh run | in ip cef
ip cef
(config)# default ip cef
(config)# do sh run | in ip cef
no ip cef

или:

(config-if)# do sh run int fa0/0| in shutdown
shutdown
(config-if)# default shutdown
(config-if)# do sh run int fa0/0| in shutdown
shutdown

как мы видим, это значение по-умолчанию может и совпадать и отличатся.

3) умолчание скрываемое в конфиге.
например:

(config-if)# do sh run int fa0/0| in shutdown
shutdown
(config-if)# no shutdown
(config-if)# do sh run int fa0/0| in shutdown
(config-if)#


будьте внимательны и осторожны!
конфиг сохраненный с маршрутизатора при применении через консоль или copy file run будет лишен опций который имеют значение которое не отображается в конфиге (shutdown).
конфиг перезаписанный с помощью configure replace потеряет опции у которых значение по-умолчанию отличается для factory-default и для сброса командой default.

2009-07-28

Question of the day

сценарий MPLS VPN:

(site A)--R1--R2--(site B)

настройки:
R1

hostname R1
!
ip vrf vpn1
rd 1:1
!
interface fa0/0
description site A
ip vrf forwarding vpn1
ip address 10.0.1.1 255.255.255.0
!
interface fa0/1
descrtipion MPLS BBone
ip address 192.168.12.1 255.255.255.0
!
interface lo0
ip address 192.168.255.1 255.255.255.255
!
router bgp 1
no default bgp ipv4
neighbor 192.168.255.2 remote-as 1
address-family vpnv4
neighbor 192.168.255.2 activate
neighbor 192.168.255.2 send-community both
exit-address-family
address-family ipv4 vrf vpn1
network 10.0.1.0 mask 255.255.255.0
exit-address-family
!
ip route 192.168.255.2 255.255.255.255 192.168.12.2

R2

hostname R2
!
ip vrf vpn2
rd 1:1
!
interface fa0/0
description site B
ip vrf forwarding vpn2
ip address 10.0.2.1 255.255.255.0
!
interface fa0/1
descrtipion MPLS BBone
ip address 192.168.12.2 255.255.255.0
!
interface lo0
ip address 192.168.255.2 255.255.255.255
!
router bgp 1
no default bgp ipv4
neighbor 192.168.255.1 remote-as 1
address-family vpnv4
neighbor 192.168.255.1 activate
neighbor 192.168.255.1 send-community both
exit-address-family
address-family ipv4 vrf vpn1
network 10.0.1.0 mask 255.255.255.0
exit-address-family
!
ip route 192.168.255.1 255.255.255.255 192.168.12.2


вопрос 1: попадут ли маршруты 10.0.x.0/24 в таблицы маршрутов vrf'ов соседних маршрутизаторов?
ответ 1: нет. на апдейтах нет коммюнити route-target, и они будут проигнорированы.

вопрос 2: а если на обоих маршрутизаторах в настройках vrf добавить route-target both 1:1?
ответ 2: пожалуй, да. все формальные требования выполнены.

вопрос 3: а будет ли при этом работать mpls vpn?
ответ 3: пожалуй, нет. для него не хватает mpls :)

c871

вчера замечательно провел день занимаясь траблшутингом л2тп соединения между 2811й и 871й цисками.
необходим был л2тп туннель через который шел бы транк между двумя коммутаторами.

кратко перечислю особенно радостные моменты:

1) на 871 только 1 полноценный маршрутизируемый интерфейс (он же ван),
остальные 4 - это свичпорты. без права на л3.
и ван интерфейс всегда занят. через него на устройство приходит внешняя сеть. и моя сессия ссш.

2) на 871 свич-модуль моддерживат ДВА ВЛАНА с базовым иосом, и АЖ ЧЕТЫРЕ с advipservices.
причем угадайте, учитывается ли в этих двух влан 1, который нельзя удалить?

3) на SVI интерфейсах комманды xconnect нету (по крайней мере на иосах раньше 12.4(20)Т)
зато эта комманда есть на свичпорт интерфейсах.

4) при создании второго интерфейса SVI (помните, я могу создать еще АЖ ОДИН ВЛАН кроме 1го), он остается в состоянии is up, line protocol is down. несмотря на то что влан активен, и влану принадлежат активные порты и транк сверху.

4) судя по цискокому комманды xconnect на свичпорт интерфейсах БЫТЬ НЕ ДОЛЖНО.
но она есть. но четко сказано что л2тп поддерживается только на л3 интерфейсах (на ван и на сви). но она есть.

5) более того, она работает.
то есть после ее указания создается сессия л2тп, и сессия подымается с обоих концов туннеля, и по соединению БЕГАЮТ ПАКЕТИКИ.

6) но трафик между свичами не ходит. хотя л2тп и типа "работает".
если тщательно поработать снифером и играть с настройками портов получим следующее, через туннель:
а) проходит cdp
b) проходит stp
с) проходит arp, но не всегда, т.к. на неслужебном трафике наблюдается какая-то фигня с тегом влана, и арп проходит только если его влан сделать нативным.
d) НЕ проходит айпи.

итог неутешителен. сегодня будем заниматся траблшутингом другой железки.

2009-07-23

пасхальные яйца junos'а

придумал способ одновременно и похвастатся собранной оливкой, и продемонстрировать найденное пасхальное яйцо, подтверждающие что творцы junos'a шутники и лирики:


root@R1> show version and haiku
Hostname: J1
Model: olive
JUNOS Base OS boot [9.3R1.7]
JUNOS Base OS Software Suite [9.3R1.7]
JUNOS Kernel Software Suite [9.3R1.7]
JUNOS Crypto Software Suite [9.3R1.7]
JUNOS Packet Forwarding Engine Support (M/T Common ) [9.3R1.7]
JUNOS Packet Forwarding Engine Support (M20/M40) [9.3R1.7]
JUNOS Online Documentation [9.3R1.7]
JUNOS Routing Software Suite [9.3R1.7]


A fine spray of snow
Try to make that perfect stop
Hey! Didn't fall down!

root@R1>


если долго читать хайку, можно встретить в нем подсказку на еще одну недокументированную команду show version, правда понять зачем она не смог :):

root@J1> show version and blame
Hostname: J1
Model: olive
JUNOS Base OS boot [9.3R1.7]
JUNOS Base OS Software Suite [9.3R1.7]
JUNOS Kernel Software Suite [9.3R1.7]
JUNOS Crypto Software Suite [9.3R1.7]
JUNOS Packet Forwarding Engine Support (M/T Common) [9.3R1.7]
JUNOS Packet Forwarding Engine Support (M20/M40) [9.3R1.7]
JUNOS Online Documentation [9.3R1.7]
JUNOS Routing Software Suite [9.3R1.7]

root@J1>

2009-07-16

Questiong of the day (update)

повторный вопрос:
сколько типов сетей существует в ospf на маршрутизаторах cisco?

ответ: не меньше чем 8 :))

объяснение:
loopback, rfc2178
point-to-point, rfc2178
broadcast, rfc2178
non-broadcast, rfc2178
multipoint, rfc2178
multipoint non-broadcast, cisco proprietary
virtual-link, rfc2178
sham-link, rfc4577


Router# show ip ospf interface | in line| Network
OSPF_VL0 is down, line protocol is down
Process ID 1, Router ID 1.1.1.1, Network Type VIRTUAL_LINK, Cost: 65535
OSPF_SL0 is down, line protocol is down
Process ID 1, Router ID 1.1.1.1, Network Type SHAM_LINK, Cost: 1
Loopback0 is up, line protocol is up
Process ID 1, Router ID 1.1.1.1, Network Type LOOPBACK, Cost: 1
Serial0/0/0 is down, line protocol is down
Process ID 1, Router ID 1.1.1.1, Network Type POINT_TO_MULTIPOINT, Cost: 64
FastEthernet0/1 is up, line protocol is up
Process ID 1, Router ID 1.1.1.1, Network Type BROADCAST, Cost: 1
Serial0/0/1 is down, line protocol is down
Process ID 1, Router ID 1.1.1.1, Network Type POINT_TO_POINT, Cost: 64
Serial1/0 is down, line protocol is down
Process ID 1, Router ID 1.1.1.1, Network Type POINT_TO_MULTIPOINT, Cost: 781
Serial1/1 is down, line protocol is down
Process ID 1, Router ID 1.1.1.1, Network Type NON_BROADCAST, Cost: 781