» Настройка Cisco оборудования

gbcfkf
для анализатора span - самое оно, вот только "общения" не будет, а будет просто анализ поступающего на порт трафика. Т.е. порт в этом режиме как бы "слушает" трафик с прописанных портов.

slut
Ясно.. а чем тогда собственно анализировать траффик?
А, все, гоню. Подключаю комп к этому порту, запускаю какой-нибудь comm view и все будет работать, сниффер будет все получать
вроде бы..

slut
Спасибо

А вот еще такое дело..
Что может стать причиной перехода интерфейса на 2960 в режим err-disabled?
Сразу оговорюсь, port-security не настроен и никогда не был настроен, свитч практически с дефолтными настройками.. И тем не менее 3 интерфейса перешли в err-disabled(правда не знаю за какой срок - может за месяц, а может еще пол года назад)

Вот, к примеру, статистика по одному такому интерфейсу: вошло 1,5 миллиона кадров(на 3 GB), передано 3млн. кадров на 2Gb
Из ошибок только 72 input errors, все остальное по нулям

gbcfkf
1. Что подключено к этим портам?
2. Покажите на что реагирует err-disabled:
show errdisable detect
3. Покажите sh interfaces status err-disabled

Если секьюрность не настраивали, то, скорее всего, речь идет о петле. STP включен? Как настроен? Если будете дебажить траблу, то перед тем, как административно включить порты, обнулите счетчики (cle count int fa0/xx)

slut
1. Обычные рабочие станции с виндой, ничего более
2. блин.. ведь читал же вчера мануал, там была эта команда.. завтра буду на рабочем месте, обязательно попробую её
3. ок, завтра

STP включен.. но какие петли, порты ведь к рабочим станциям ведут.. да и нету в данном стеке свитчей ни петель, ни резервных связей. Уверен процентов на 95
Из трех портов я уже включил два порта (третий оставил "для опытов"), а счетчики не обнулял. Чем это грозит?

Как вариант... Если на портах включен bpduguard, то в случае попадания bpdu-пакета порт тоже перейдёт в err-disabled.

slut
[more=show err-disabled detect]
Catalyst2960P24#sh err detect
ErrDisable Reason Detection status
----------------- ----------------
udld Enabled
bpduguard Enabled
security-violatio Enabled
channel-misconfig Enabled
psecure-violation Enabled
vmps Enabled
loopback Enabled
unicast-flood Enabled
pagp-flap Enabled
dtp-flap Enabled
link-flap Enabled
sfp-config-mismat Enabled
gbic-invalid Enabled
dhcp-rate-limit Enabled
storm-control Enabled
community-limit Enabled
invalid-policy Enabled
[/more]
[more=show interdaces status err-disabled]
Catalyst2960P24#sh int status err
Port Name Status Reason
Fa0/9 err-disabled link-flap
[/more]
Ясно, значит причиной стало некая link-flap. Пойду читать, что сие означает

upd
Ну в принципе, понятно. Видать причиной стал дефективный кабель или сетевая карта..
slut
Снова Спасибо

Есть потребность поднять тунель между двумя цисками (3845 + 857) на 857 циске динамика, поднял на ней dyndns если скормить циске 3845 конфиг вида

interface Tunnel1
description AMuHb
ip address 1.1.1.9 255.255.255.252
tunnel source 123.456.789.101
tunnel destination host.dyndns.org

при конфигурировании циска резольвит имя и по sh run мы уже видим айпи адрес в конфиге, при смене айпишника на удалённом хосте в описании тунеля адрес не меняется.

Какие есть решения?

Помогите соеденить две 2950 и 2950T вместе через 3 порта чтобы все сети с двух сторон видели друг друга.
вернее они у меня соединяються вместе (пока через 2 порта) через портчанел, но на 2950T перестаёт быть виден один сегмент локальной сети. в чём может быть дело?
конфигурация сети примерно такая:
интернет<-->ПС_роутер<-->с1_2950<-->два_зюкселя_791r<-->
<-->2_прямых_провода_на_3_км<-->два_зюкселя_791r<-->
<-->с2_2950T<-->сеть_1_10.10.100.xxx,сеть_2_10.10.0.xxx

так вот, оба линка подняты, трафик ходит по обоим портам, со стороны первой циски "с1" я вижу первую сеть "сеть_1" на стороне "с2", но не вижу вторую сеть "сеть_2" на стороне "с2".
а если вхожу на любой из серверов на стороне "с2", то я спокойно вижу все раб станции и сервера находящиеся на стороне "с2" в "сеть_2". с любой рабочей станции в "сеть_2" со стороны "с2", я вижу всю "сеть_1" на стороне "с2", но не вижу удалённую циску а так же сеть со стороны "с1", т.е. нет вообще инета, ничего нет!
стоит мне убрать по одному порту(например 22й на обоих 2950 а 23й порт вобще загасить) с портчанела, как все сетки с двух сторон прекрасно видяться!
что не так?

вот конфиги для портчанел:
1й цисак:

interface Port-channel2
switchport access vlan 100
switchport mode trunk
flowcontrol send off
end
!
interface FastEthernet0/22
description aggr_link_233_234_1
switchport access vlan 100
switchport mode trunk
channel-group 2 mode on
end
!
interface FastEthernet0/23
description aggr_link_233_234_2
switchport access vlan 100
switchport mode trunk
channel-group 2 mode on
end
!
interface FastEthernet0/24
description aggr_link_233_234_3
switchport access vlan 100
switchport mode trunk
channel-group 2 mode on
end

2й цисак:

!
interface Port-channel1
switchport access vlan 100
switchport mode trunk
flowcontrol send off
end
!
interface FastEthernet0/22
description aggr_link_233_234_1
switchport access vlan 100
switchport mode trunk
channel-group 1 mode on
end
!
interface FastEthernet0/23
description aggr_link_233_234_2
switchport access vlan 100
switchport mode trunk
channel-group 1 mode on
end
!
interface FastEthernet0/24
description aggr_link_233_234_3
switchport access vlan 100
switchport mode trunk
channel-group 1 mode on
end


порты на 1-ом цисаке для серверов и ПС_роутера:
!
interface FastEthernet0/1
description wax_router
switchport access vlan 100
switchport mode access
end
!
interface FastEthernet0/13
description uzpak_link
switchport access vlan 100
switchport mode access
end
!
interface FastEthernet0/6
description max6000
switchport access vlan 100
switchport mode access
end

порты на 2-ом цисаке для "серверов сеть_1" и для "сети_2":
!
interface FastEthernet0/3
description web_stat_server
switchport access vlan 100
switchport mode access
end
!
interface FastEthernet0/12
description office_link
switchport access vlan 100
switchport mode access
end
!
interface GigabitEthernet0/1
description main_router_giga
switchport access vlan 100
switchport trunk allowed vlan 100,137
switchport mode trunk
end

cdp ru включен с двух сторон.
что не хватает ещё?

hda0
Не совсем всё понятно...
Вообще на 2950 обычно делается вариант типа:
interface Port-channel1
switchport mode trunk
и на нужных интерфейсах:
switchport mode trunk
channel-group 1 mode desirable
А уж дальше на L3 роутятся сами подсети.
ПОсмотрите sh eth port-c, какого состояние портчанелла?
Если всё ОК и не видно некоторых сетей, то проблема L3, надо смотреть маршрутизацию.

Модемы работают в режиме моста? Какое значение MTU и MSS на модемах?

Скорей всего модемы не пропускают пакеты большого размера, т.к. использование 802.1q увеличивает размер MTU.



Цитата:

System MTU
The default system MTU for traffic on the Catalyst 3550 switch is 1500 bytes. You can configure the switch to support frames larger than 1500 bytes by using the system mtu global configuration command. Because the 802.1Q tunneling feature increases the frame size by 4 bytes when the metro tag is added, you must configure all switches in the service-provider network to be able to process maximum frames by increasing the switch system MTU size to at least 1504 bytes. The maximum allowable system MTU for Catalyst 3550 Gigabit Ethernet switches is 2000 bytes; the maximum system MTU for Fast Ethernet switches is 1546 bytes.

Цитата:

Модемы работают в режиме моста? Какое значение MTU и MSS на модемах?

да, зюхи работают в режиме моста.

и что мне теперь делать?
я просто новичёк в цисках
изучаю потихоньку...

Добавлено:

Цитата:

Не совсем всё понятно...

Вот схема сети где стоят циски:

две циски связаны по двум прямым проводам через модемы зюксель. порты включены в порт-чанел. зюхи в режиме бриджей. все порты имеют вилан 100 вместо дефолтного 1.

1. АТС А видит АТС В кроме офиса
2. АТС В видит и офис и АТС А
3. офис не видит ни чего, т.к. дефоулт роутинг находиться аж на стороне АТС А на самом PC-Router.
из мира конечно же не видно офис (в офисе пара серверов имеют реалки).
примечание: т.к. SDSL модемы "нетопиа" в режиме рутеров, на PC router используеться транспортная сеть для "нетопий" на алиасе.


Цитата:

channel-group 1 mode desirable

что даёт эта команда?
в доке от циско по порт-чанелу скзано что надо сделать только:
switchport mode trunk
channel-group 1 mode on


Цитата:

Если всё ОК и не видно некоторых сетей, то проблема L3, надо смотреть маршрутизацию.

тут такая штука, что если я выкидываю из портов чанел-груп, то сразу то что не виделось начинает прекрасно видеться.

что же может быть не то?
может связано с загадочным MTU?

Hi

My friend has been able to log me in to this forum. So apologies that Russian is not my native tongue.

I would like to request (apologies for asking this straight away) for the ftp://212.48.153.19/pub/cisco access especially the ciscoworks lic file as I would like to get familiar with ciscoworks during my training

if you could send me and email to francocos@gmail.com i would be very grateful

many thanks

Подскажите плззз....имеется Cisco 7206 которая не сохраняет конфиг, вернее я ей подсунул startup-config в nvram, а она один фиг загружается чистой!
Сохраняю командой WR.

Bonifaci
посмотри по sh ver значение config-register. Он должен быть 2102 либо бывает еще 3922.
Если не совпадает, то выстави из режима конфигурации config-register 0x2102

у меня выдало Configuration register is 0x142

Добавлено:
сменил на 0x2102, перезагрузил, а он ругнулся:
%SYS-4-CONFIG_NEWER: Configuration from version 12.4 may not be correctly understood
%SYS-6-BOOT_MESSAGES: Messages above this line are from the boot loader
У меня System Bootstrap, Version 12.1, а основная Version 12.4(22)T

никто получаеться не знает почему у меня сетка при порт-чанел не видиться? аууу, спецы! отзовитесь!

з.ы. а что, в каталисте 2950 не работает bandwith ?
поставил ba 900 на оди н из портов, железка как хавала на всю дурь так и хавает...

2 hda0

bandwith команда описательная и на скорость порта никоим образом не влияет. На маршрутизаторах, если я правильно понимаю, она ещё может влиять на цену пути (cost) в динамических протоколах маршрутизации.

Bonifaci
Ну это уже другие события, не мешало бы проапгрейдить загрузчик (c7200-boot).
А конфиг теперь сохраняется? Что теперь показывает по sh ver ?

0х142 - в вашем случае важен третий бит, который "4" (causes system software to ignore NVRAM contents). Соответственно, пока в третьем октете "4" - игнорируется NVRAM, т.е. фактически присутствующий в нем конфиг.

Добавлено:
hda0
Еще раз:
вопрос "port-channel" - коммутация.
вопрос "сеть Х не видит сеть Y" - маршрутизация.

Соотвественно,
по первому вопросу: Что по sh eth port-c видно?
по второму вопросу: адресация сетей, настройки маршрутизатора.

всё работает...спасибо!!!

Может кто подскажет.
После прошивки IOS с 12.4(15)Т5 на 12.4(22)Т на 2821 циске перестал работать IPSEC на туннелях и vpn клиенты Cisco не подключаются. Ошибок много пишет, разбираемся. Может кто уже сталкивался с такой проблемой?

Странно, я менял 12.4(15)Т5 на 12.4(22)Т на 3625, IPSEC и vpn клиенты работают как работали.

возвращаясь к написанному выше - по поводу порт-чанел (см. схему выше)
заменил в сторону офиса модемы нетопиа на shdsl бриджи. офисная сторона увиделась, порт транк поднялся между двумя 2950, но мне не нравиться что он работает как то коряво. если передавать файло в качестве теста, то на мртг графиках видно что работает один из портов, второй порт как бы и не передаёт инфу. передавал с АТС А на АТС В киношки. Так же тестировал нагрузкой диалапщиков.
на порту 23 нагрузка максимум составила: 1367.2 kb/s приём, 401.0 kb/s передача, а на 22 порту: 1288.0 b/s приём, и 102.6 kb/s пеередача. по мртг графику "порт чанела" суммарная максимальная загрузка составила: 1368.1 kb/s приём, 433.2 kb/s передача.
почему нагрузка не распределяеться поровну по обоим портам в порт-чанеле? может надо что нибудь ещё донастроить? ведь у меня скорость должна была подняться до 3 мегабит!? или не так? если не так, поясните принцип работы порт-чанела.

вот с железок:
2950:
sw234-1#sh cdp ne
Capability Codes: R - Router, T - Trans Bridge, B - Source Route Bridge
S - Switch, H - Host, I - IGMP, r - Repeater, P - Phone

Device ID Local Intrfce Holdtme Capability Platform Port ID
sw233-1.ххх.uz
Fas 0/23 170 S I WS-C2950T-Fas 0/23
sw233-1.ххх.uz
Fas 0/22 170 S I WS-C2950T-Fas 0/22

sw234-1#sh eth port-c
Group: 2
----------
Port-channels in the group:
---------------------------

Port-channel: Po2
------------

Age of the Port-channel = 14d:20h:19m:12s
Logical slot/port = 1/1 Number of ports = 2
GC = 0x00000000 HotStandBy port = null
Port state = Port-channel Ag-Inuse
Protocol = -

Ports in the Port-channel:

Index Load Port EC state No of bits
------+------+------+------------------+-----------
0 00 Fa0/22 On/FEC 0
0 00 Fa0/23 On/FEC 0

Time since last port bundled: 1d:20h:42m:46s Fa0/23
Time since last port Un-bundled: 6d:02h:48m:51s Fa0/24

2950Т:
sw233-1#sh cdp ne
Capability Codes: R - Router, T - Trans Bridge, B - Source Route Bridge
S - Switch, H - Host, I - IGMP, r - Repeater, P - Phone

Device ID Local Intrfce Holdtme Capability Platform Port ID
sw234-1.ххх.uz
Fas 0/23 142 S I WS-C2950-2Fas 0/23
sw234-1.ххх.uz
Fas 0/22 142 S I WS-C2950-2Fas 0/22

sw233-1#sh eth port-c
Channel-group listing:
----------------------

Group: 1
----------
Port-channels in the group:
---------------------------

Port-channel: Po1
------------

Age of the Port-channel = 48d:19h:52m:21s
Logical slot/port = 1/0 Number of ports = 2
GC = 0x00000000 HotStandBy port = null
Port state = Port-channel Ag-Inuse
Protocol = -

Ports in the Port-channel:

Index Load Port EC state No of bits
------+------+------+------------------+-----------
0 00 Fa0/22 On/FEC 0
0 00 Fa0/23 On/FEC 0

Time since last port bundled: 1d:21h:11m:03s Fa0/23
Time since last port Un-bundled: 14d:19h:35m:26s Fa0/23

Нашёл много инфы насчёт обновления ИОС. единственно что не ясно - можно ли накатывать новую версию на ЛЮБУЮ старую? есть 2 свича 3750. на них версия 12.1(19)EA1d. нашёл 122-46.SE. вроде на сайте циски пишут, что надо обновлятся до промежуточных версий или я не так понял...

hda0
В 2950 канал EtherChannel балансирует нагрузку трафика в физических каналах логического канала путем произвольного связывания нового МАС-адреса с одним из физических каналов в канале EtherChannel. Для балансировки нагрузки в канале EtherChannel можно использовать пересылку на MAC-адрес источника или назначения.
Делается это командой port-channel load-balance {dst-mac | src-mac}

PhilipPMorris

Цитата:

Нашёл много инфы насчёт обновления ИОС. единственно что не ясно - можно ли накатывать новую версию на ЛЮБУЮ старую? есть 2 свича 3750. на них версия 12.1(19)EA1d. нашёл 122-46.SE. вроде на сайте циски пишут, что надо обновлятся до промежуточных версий или я не так понял...

если данная прошивка идет для данной кошки - то в принципе не обязательно обновлять до промежуточных...

slut
можно поподробнее?
мне эту команду надо применить к порт-чанел1 или на порты 22 и 23 соотвественно? и надо делать на обоих цисках или достаточно на одной?

hda0
это делается в глобальном режиме

PhilipPMorris
смело обновляйтесь, главное - соответствие flash/dram. Еще есть особенность, касающаяся E-серий 3560/3750 - там введено лицензирование фич. Например, на них вы не сможете обновить ipbase до ipservices без покупки лицензии. Для остальных каталистов проблем не будет.

Спасибо всем за помощь!

slut
сделал я в глобальном режиме:
port-channel load-balance dst-mac на обоих цисаках, теперь как то странно эзерчаннел работает. со стороны атс Б качаю(т) - один сервер гоняет данные по 22 порту, а всё остальное железо гоняет данные по 23 порту. но скорость там не резиновая и конечно же в один прекрасный момент линк на 23 порту забивается. как заставить скажем удалённый офис со стороны атс Б ходить через 22й порт а не 23й который всегда забит?