2009-11-30

Question of the day

вопрос:


SW2#sh span int fa0/2 detail
no spanning tree info available for FastEthernet0/2

SW2#sh run int fa0/2
Building configuration...

Current configuration : 128 bytes
!
interface FastEthernet0/2
description to R2
switchport access vlan 100
switchport mode access
spanning-tree portfast
end

SW2#sh vlan brief | in N100
1000 VLAN1000 active

SW2#sh run | in switchport backup
SW2#


как удалось отключить spanning-tree?

ответ: см. private-vlan

SW2#sh vla id 100

VLAN Name Status Ports
---- -------------------------------- --------- -------------------------------
100 VLAN0100 active Fa0/2, Fa0/19, Fa0/20, Fa0/21
Fa0/24, Po1

VLAN Type SAID MTU Parent RingNo BridgeNo Stp BrdgMode Trans1 Trans2
---- ----- ---------- ----- ------ ------ -------- ---- -------- ------ ------
100 enet 100100 1500 - - - - - 0 0

Remote SPAN VLAN
----------------
Disabled

Primary Secondary Type Ports
------- --------- ----------------- ------------------------------------------
100 1000 community
100 2000 community Fa0/4
100 3000 isolated Fa0/6

SW2#

2009-11-27

Question of the day

вопрос:

что из нижеперечисленного пропускается в прозрачном режиме файрвола (при настройках по-умолчанию, из inside на outside):
dhcp, eigrp, ospf, rip, icmp, multicast, arp, stp, cdp, is-is?

ответ: icmp.
l2-протоколы такие как stp, cdp, is-is необходимо явно разрешать с помощью ethertype acl;
l3-протоколы маршрутизации и dhcp тоже по-умолчанию запрещены.

2009-11-22

Question of the day

вопрос:

сколько есть вариантов реагирование на превышение лимита mac-адресов port-security?

ответ: приблизительно 4-5:
* shutdown (при нарушении - err-disable port)
* protect(игнорирует все кадры с mac-адресов отличных от зафиксированных)
* restrict(
игнорирует все кадры с mac-адресов отличных от зафиксированных, и кроме того отправляет trap/syslog и увеличивает violation counter)
* shutdown vlan(err-disable только того vlan в котором появился mac нарушителя, например только voice vlan :))
* и конечно же no switchport port-security :))

2009-11-21

Questions of the day

вопрос 1:

топология sw1==sw2, оба свича - клиенты vtp домена cisco, в базе - 15 вланов, ревизия 21.
a) переводим sw1 в домен linksys. как изменится на нем номер ревизии vtp?
b) переводим sw1 обратно в домен cisco. как изменится на нем номер ревизии vtp?
c) почему?

ответ:
a) станет равной нулю
b) станет равной 21
c) потому что клиенты vtp ОТПРАВЛЯЮТ АПДЕЙТЫ VTP НИЧУТЬ НЕ ХУЖЕ СЕРВЕРОВ :)


вопрос 2:

топология sw1==sw2, оба свича - клиенты vtp домена cisco. свичпорт sw1 административно является dynamic desirable, порт sw2 - dynamic auto.
a) какое будет операционное состояние свичпортов линка между sw1 и sw2?
b) теперь переводим sw1 в домен vtp linksys. изменится ли состояние свичпортов?
с) почему?
d) а что было бы если б административный режим свичпорта был trunk?

ответ:
a) trunk
b) trunk (до перезапуска переговоров dtp)
c) переговоры dtp рестартуют к примеру при смене down/up свичпорта, и до этих пор порт останется trunk
d) в любом случае был бы trunk

2009-11-20

Зачем нужен сислог, если есть твиттер?

на цискокоме в коллекции скриптов для Embeded Event Manager'а появился скрипт для twitter'а
(пример использования указан там же).
рассмотрим как им пользоваться :)

1) качаем и загружаем на роутер

# copy tftp://10.1.1.1/tweet-policy.tcl flash:/tweet-policy.tcl


2) регистрируем политику EEM

(config)# event manager directory user policy "flash:/"
(config)# event manager policy tweet-policy.tcl type user


3) заполняем переменные окружения

$ dig +short twitter.com
168.143.162.52
$ echo login:password | base64 -
bG9naW46cGFzc3dvcmQK

(config)# event manager environment _tweet_ip 168.143.162.52
(config)# event manager environment _tweet_b64 bG9naW46cGFzc3dvcmQK


3a) выполняем политику вручную

# event manager run tweet-policy.tcl


3b) выполняем политику периодически каждые 5 минут

(config)#event manager applet tweetme
(config-applet)# event timer watchdog time 300
(config-applet)# action 1 policy tweet-policy.tcl


домашнее задание: разобраться с формированием статуса, научится постить в твиттер сислог...

2009-11-08

Question of the day

вопрос:
какими способами можно запретить привилегированому пользователю перезагружать роутер? :)

ответы:

1) сделав alias команды reload:
conf t
alias exec relo sh ver
alias exec reloa sh ver
alias exec reload sh ver
^Z
wr mem
2) Role-Based CLI, поместив пользователя в вид в котором команда reload запрещена:
conf t
aaa new
ena pass cisco123
^Z
enable view
cisco123
conf t
parser view reload
secret cisco123-super-secret
commands exec include-exclusive all reload
parser view normal
secret cisco123
username test nopassword priv 15 view normal
aaa authentication login default local
aaa authorization exec default local
aaa authorization console
^Z
wr mem
logout
3) Embedded Event Manager - при вводе команды reload писать в сислог сообщение, а команду - игнорировать :)
conf t
event manager applet noReload
event cli pattern "relo.*" sync no skip yes
action 10 syslog msg "Reload not permitted"

буду рад услышать ваши остроумные способы :)

2009-11-06

Question of the day

Вопрос:

можно ли использовать time-based acl совместно с политиками бгп?
например в светлое время суток для префиксов 10.1.0.0/16 ставить локал преференс выше?

time-range DAY
periodic daily 9:00 to 18:00

access-list 101 permit 10.1.0.0 0.0.255.255 any time-range DAY

route-map SET_LPREF 10
match ip address 101
set local-preference 150
!
route-map SET_LPREF 20
set local-preference 50
router bgp 65001
neighbor 192.168.1.2 remote-as 65002
neighbor 192.168.1.2 route-map SET_LPREF in


ответ:
да. то есть нет. на новых иосах bgp не обратит внимание на смену времени по time-based acl без другого внешнего события (падения/изменения маршрута на 10.1.0.0/16).
так же смотрите обратный пример (модификация анонсируемого по bgp префикса) - http://blog.internetworkexpert.com/2008/01/25/bgp-time-based-policy-routing/

2009-11-04

Question of the day

вопрос:

какие значения соответствуют "стандартным" коммюнити no-export, no-advertise, local-as, internet?

ответ:
no-export=0xFFFFFF01
no-advertise=0xFFFFFF02
local-as=0xFFFFFF03
internet=0