Cisco
Термины
- CEF (Cisco Express Forwarding)
Примеры конфигураций
Routing 2ISP
Ссылки по теме:
В конфигурации с двумя провайдерами есть проблема маршрутизации. Если Default GW настроен на ISP1, то адрес выданный вам ISP2 не будет пинговаться из интернета, потому что ответы будут уходить на ISP1 с src-ip от ISP2. Для решения этой проблемы можно включить локальную политику маршрутизации в которой прописать маршрутизацию по источнику. Если источник ваш адрес от ISP2, то отправлять на ISP2.
! ISP1: ваш IP 1.1.1.2, GW 1.1.1.1 ! ISP2: ваш IP 2.2.2.2, GW 2.2.2.1 ip access-list extended AL-ISP1-IP permit ip host 1.1.1.2 any route-map RM-LocalPolicy permit 10 match ip address AL-ISP1-IP set ip next-hop 1.1.1.1 ip access-list extended AL-ISP2-IP permit ip host 2.2.2.2 any route-map RM-LocalPolicy permit 20 match ip address AL-ISP2-IP set ip next-hop 2.2.2.1 ip local policy route-map RM-LocalPolicy
arp proxy
Отключение arp proxy глобально на всех интерфейсах
configure terminal ip arp proxy disable
Отключение arp proxy конкретном интерфейсе (записал по памяти, точно не помню, нужно уточнить форму записи команды)
configure terminal interface fa4 no ip arp proxy
Мониторинг трафика
IP accounting, мониторинг трафика на интерфейсе
# включение счетчиков на интерфейсе conf t interface <interface_name> ip accounting output-packets # на уровне выполнения # очистить статистику clear ip accounting # показать статистику show ip accounting #на уровне глобального конфига ip accounting accounting-list ip accounting accounting-threshold ip accounting accounting-transits # команды ниже не собрали у меня никакой статистики ip accounting access-violations ip accounting mac-address input ip accounting mac-address output ip accounting precedence input ip accounting precedence output
VPN
подключается то к Термины
- VPDN (Virtual Private Dialup Network)
Особенности
- Cisco 870
- VPDN поддерживает только l2tp (?)
DHCP
Вывод всех резервирований
show ip dhcp binding
Вывод резервирования для конкретного IP
show ip dhcp binding 1.2.3.4
Удаление динамического резервирования для конкретного IP
clear ip dhcp binding 1.2.3.4
7-байтовый формат идентификатора клиента (client-identifier)
xxaa.aabb.bbcc.cc xx - Media Type 01 - Ethernet aaaa.bbbb.cccc - MAC адрес
Создание постоянного резервирования для хоста
ip dhcp pool <RECORD_NAME> host 1.2.3.4 255.255.255.0 client-identifier 01aa.aabb.bbcc.cc default-router 1.2.3.254 dns-server 8.8.8.8 8.8.4.4 domain-name domain.ru !
Справочник команд
SLA
- RTT (Round-Trip Time) - время между отправкой пакета и получением ответа
- MOS (Mean OperationScore) - средний бал операции
Создание объекта SLA
! создать объект SLA с номером 101 ! каждые 60 секунд (frequency), отправлять 6 ICMP пакетов (num-packets) с интервалом 500 миллисекунд (interval) ip sla 101 icmp-jitter 8.8.8.8 source-ip 10.0.1.2 num-packets 6 interval 500 frequency 60 treshold 300
Значения по умолчанию
frequency 60 treshold 5000
Запуск SLA с номером 101
ip sla schedule 101 life forever start-time now
Назначение реакции на SLA с номером 101
ip sla reaction-configuration 101 react packetLoss threshold-value 450 250 threshold-type consecutive action-type triggerOnly
Квоты, очереди
object-group network ISPRING-SRV 62.76.112.0 255.255.254.0 178.57.78.0 255.255.255.0 ! # access-list 125 permit tcp object-group ISPRING-SRV any access-list 125 permit tcp any object-group ISPRING-SRV # настройка квоты на vlan 1 intarface vlan 1 rate-limit input access-group 125 640000 12000 24000 conform-action transmit exceed-action drop rate-limit output access-group 125 640000 12000 24000 conform-action transmit exceed-action drop # просмотреть квоту на интерфейсе vlan 1 sh int vlan 1 rate-limit
OSPF
Для настройки OSPF в CISCO необходимо
- создать экземпляр
- настроить в нем область, указав метод аутентификации и сетевые диапазоны
- определить на каких портах OSPF должен быть активным, а на каких пассивным
- в конфигурации соответствующих портов указать с каким экземпляром и областью OSPF они связаны, а также задать пароль
! создаем экземпляр обработчика OSPF с номером 1 и переходим в его контекст router ospf 1 ! назначаем роутеру уникальный идентификатор (обычно используют один из его IP) router-id 2.1.0.1 ! задаем метод аутентификации между узлами OSPF в области с номером 0 area 0 authentication message-digest ! задаем сетевые диапазоны, маршруты к которым будут распространяться через OSPF в области с номером 0 network 1.0.0.0 0.255.255.255 area 0 ! указываем, что по умолчанию OSPF выключен на всех портах passive-interface default ! включаем OSPF на нужных портах no passive-interface GigabitEthernet0/1 ! включаем OSPF на интерфейсе и задаем пароль для аутентификации OSPF interface GigabitEthernet0/1 ip ospf message-digest-key 1 md5 ***** ip ospf 1 area 0
BGP
Ссылки по теме
Настройка сервера BGP
enable
configure terminal
router bgp <AS_NUM>
neighbor {ipv4-address | ipv6-address } remote-as <AS_NUM_REMOTE>
address-family {ipv4 | ipv6 } { unicast | multicast}
neighbor {ipv4-address | ipv6-address } activate
neighbor {ipv4-address | ipv6-address } route-server-client
end
Настройка клиента BGP
enable
configure terminal
router bgp <AS_NUM>
no bgp enforce-first-as
neighbor {ipv4-address | ipv6-address } remote-as <AS_NUM_REMOTE>
address-family {ipv4 | ipv6 } { unicast | multicast}
neighbor {ipv4-address | ipv6-address } activate
exit-address-family
Решение проблем
Безопасность
Прошивка
Прошивка по сети
1. Выложите файл прошивки на TFTP
2. Загрузитесь в ROMMON
Для этого при старте в Putty нужно нажать (Ctrl+Pause/Break), в других терминалах могут быть другие варианты
3. Если необходимо, отформатируйте flash раздел
В режиме ROMMON format flash: # проверка файловой системы fsck flash:
4. Загрузите прошивку
В режиме ROMMON # задайте параметры подключения IP_ADDRESS=192.168.0.150 IP_SUBNET_MASK=255.255.255.0 DEFAULT_GATEWAY=192.168.0.254 TFTP_SERVER=192.168.0.50 TFTP_FILE=c870-advipservicesk9-mz.124-24.T3.bin # проверьте состояние переменных set # загрузите прошивку tftpdnld
5. Загрузите маршрутизатор
В режиме ROMMON boot