tom12
-
Gesamte Inhalte
294 -
Registriert seit
-
Letzter Besuch
Beiträge erstellt von tom12
-
-
Hallo an alle!
Ich möchte heuer noch den Kurs CCIET besuchen.
Leider hat aktuell Globalknowledge keine Anfragen im Deutschsprachigen Raum, Fastlane hat 1ne Anfrage für Berlin.
Hat jemand vor den Kurs zu besuchen?? Dann wären wir schon 2 bzw. 3 in Berlin bei Fastlane.
Location und Anbieter sind für mich relativ egal.
Ab 3-4 Personen findet der Kurs statt...
Grüsse,
Thomas
-
Hi!
Ist klar dass du output drops am Interface hast. Die 17 pakete kommen von den drops in der default-class
queue limit 64 packets
(queue depth/total drops/no-buffer drops) 0/17/0 <-----
(pkts output/bytes output) 919259/193374682
Ohne QOS am Interface hast du keine drops, da das Interface nie ans limit kommt (100 Mbit)! In dem falle wird dein Provider droppen.
Also: Das passt so.
Output am Interface ist einfach einmal ganz kurz das Limit von ca. 50 Mbit überschritten worden. Ich würde auch nicht undbedingt am BC, BE drehen..
Was du generell machen könntest:
random-detect und fair-queue in der default class aktivieren.
Grüsse,
Thomas
-
Hi,
also mit dem globalen command "mls qos" passiert folgendes:
Auf allen ports werden die COS und DSCP werte (in INPUT) auf 0 überschrieben.
Um auf den einzelnen ports zu "trusten" gibt es die if-commands "mls qos trust cos" und "mls qos trust dscp".
Also wenn du am Router DSCP Werte erwartest, musst du "mls qos trust dscp" auf den dementsprechenden ports aktivieren.
ODER global "no mls qos". Somit werden die werde nicht verändert.
Grüsse,
THomas
-
Hallo,
vielleicht geht es mit einem sog. BVI Interface.
bridge 1 irb
!
int fa 0/0
bridge-group 1
int fa 0/1
bridge-group 1
interface bvi 1
ip address 192.168.100.4 255.55.255.0
!
bridge 1 protocol ieee
bridge 1 route ip
Finde ich nicht so toll... Ich würde auf dem 3750er die ports als "no switchport" konfigurieren. Somit hast du 2 Layer 3 Interface zu Router.
Dann noch ospf oder eigrp einschalten.
Somit hast du auch per default ein CEF load-balancing (cef muss aktiviert sein).
Grüsse,
Thomas
-
Hi,
Hast du eine PPPoE Verbindung am Router? Dann setz als erstes am Dialer Interface die MTU auf 1492
Dann noch am LAN Interface "ip tcp adjust-mss 1460".
Falls es noch nicht kunktioniert, noch niedriger.
Das Problem ist folgendes:
Die clients senden (oder ein Server antowortet) 1500 byte packete. Meist ist das "DF Bit" (Don´t Fragment) im IP Header gesetzt. Der Router kann aber am Wan interface nur Pakete mit 1492 byte senden, da 8 Byte dur den PPPoE Header verloren gehen (bei IPSec, GRE noch mehr).
Die Pakete sollten fragmentiert werden, aber DF-Bit ist gesetzt und somit werden diese verworfen.
ODER:
Es ist das DF-Bit NICHT gesetzt, die PAkete werden also gesendet. Aber die Firewall vor dem Server blockiert fragmentierte Pakete.
ip tcp adjust-mss 1460:
IM TCP Header wird beim Verbindungsaufbau (SYN-PAket) die MSS (Maximum Segment Size) gesendet und dann mit der Gegenstelle negotiated (niedrigste wird verwendet).
Mit dem Commando wird der Wert einfach überschrieben.
Also nur für TCP Pakete gültig.
Grüsse,
Thomas
-
Hi,
bei Bandbreiten über un die 100 Mbit/s musst du die 64-Bit counter verwenden.
Warum?
Ganz einfach: der 32-bit counter läuft sonst über und beginnt von vorne. Somit sind die Werte nicht korrekt.
Grüsse,
Thomas
-
Hi,
interessant zu wissen ist auch wieviele Interface (physische/logische) ein Router verwalten kann:
show idb
ein 2811er kommt max auf 8000
Grüsse,
Thomas
-
Hi,
scheint klar zu sein:
der 192.168.5.1 hat keine Retourroute.
Entweder du machst dort OSPF un machst ein dort "default-originate" um die defaultroute ins ospf anzukündigen.
Oder du machst statische einträge fürs 192.168.2.0 und 192.168.5.0 netz.
Grüsse,
Thomas
-
Hi,
Der 3560er hat ene Backplane von 32Gbps. Reine Switching Performance.
L3 Performance ist geringer:
Cisco Catalyst 3560 Series Switches Data Sheet [Cisco Catalyst 3560 Series Switches] - Cisco Systems
3560G Serie: 38.7 Mpps
3560-24TS: 6.5 Mpps
wenn du das umrechnest (mit 64 byte paketen):
Kommt der 3560-TS auf ca. 3,4 Gbit/s
Beachte das dies auf 64byte Paketen berechnet ist! Ich vermute, bei normalem Traffic, sollten 5-10 Gbit machbar sein. Aber bei einem solchen Volumen an traffic ist es dann eher Zeit auf einen 4500er oder 6500er zu wechseln...
Grüsse,
Thomas
-
Hi!
Mach am dialer interface folgendes:
no ppp authentication ms-chap-v2
Falls es nicht klappt, poste ein:
debug ppp authentication
deb ppp negotia
Grüsse,
Thomas
-
Hi!
Bei Cisco gibt es 3 Möglichkeiten:
- PVSTP
- Rapid PVSTP (RPVSTP)
- MST (Multiple Spanning Tree)
PVSTP scheidet aus. Zu alt.
Was du verwenden solltest hängt von der Hardware und Vlan Anzahl ab. Ev. auch von der Netztopologie.
2950: unterstützt 64 STP instanzen
3550/3750: 128 STP instanzen
6500er: denke 512 oder 1024
Also "nur aus Spass" würde ich nicht auf MST wechseln, wenn deine Hardware kein Problem mit der Anzahl der Vlans hat..
Tune das Netz wenn du viele VLANs hast mit features wie: UDLD, loopguard (achtung: nur unterstützt wenn kein root-guard aktiviert ist), storm-control, bpdu-guard.
Uplinkfast, Backbonefast brauchst du nicht, wenn du RSTP verwendest.
Und nicht vergessen: Deine Root-Bridge und Backup-root definieren.
Grüsse
Thomas
-
-
Hallo,
also der Server ist mit 2 NIC´s auf den beiden Stack-Switches über einen Etherchannel (LACP oder PAgP) verbunden. Kein Problem.
Der Router ist das "Problem". Wenn du 2 Ports verwenden willst, der 7200er kann Etherchannels machen.
Ansonsten, könntest du versuchen mit BVI´s 2 ports in eine Bridge-group zu konfigurieren (weisss nicht ob das auch klappt..).
Grüsse,
Thomas
-
Hi,
um den Unterschied zu erläutern:
Policing: der Traffic, welcher die bestimmte Bandbreite überschreitet, wird einfach gedropped (kann auch remarked werden..). Belastet CPU kaum.
Shaping: Falls Traffic das Limit überschreitet, werden Pakete gebuffert.
Somit hat man nicht so den "Stop-and-Go" Effekt wie beim policing. Die Bandbreite wird optimiert. Nur in outbound möglich!
Ev. CPU lastig.
Soviel ich weiss, kann man auf Switches NUR policing in"input" machen (bei gewissen Modellen auch in "outbound" oder per Vlan).
In deinem Falle ist ein Router angebracht. Ein 1841er müsste reichen (throughput bei 64byte paketet ca. 40-50 Mbit/s; allerdings ohne QoS), 2800er würe sicherlich performanter.
Dann kannst du policing/shapen wie es dir passt :)
Grüsse,
Thomas
-
Hi,
also du hast zum Kunden 2 PPPoE sessions, über beide machst du BGP. Dazu möchtest du QoS machen und Load-Balancing ??
Zu Qos:
Per-Session Qos ist das Stichwort. Unterstützt von 7200,7300, 10000 Routern (IOS 12.2SB) soviel ich weiss. Ich habs auf 7200ern getestet. Du kannst über Radius die Service-Policy zuweisen (Diese muss lokal konfiguriert sein).
Am besten das "Parent - Child konzept". Also ein traffic-shape auf der default-lass, darin ein LLQ oder CBWFQ.
bsp:
class-map PREC5
match ip precedence 5
policy-map MAP_PREC5
class PREC5
priority percent 20
policy-map SHAPE_2048
class-class default
shape average 2048000
service-policy MAP_PREC5
Zo Load-Balancing:
Lass das von CEF erledigen. Dein Problem wird vermutlich sein, dass BGP per default nur dei beste Route in die Routingtable aufnimmt. Somit auch nur 1 CEF Eintrag.
Unter dem BGP Prozess "maximum-paths 2" lässt 2 gleichwertige Einträge zu.
Wernn du in der Rrouting Table 2 gleichwertige Routen hast, und CEF aktiv ist, sollte per-destination Load Balancing (default; per-packet konfigurierbar) gemacht werden.
Kann das funktionieren??!
Grüsse,
Thomas
-
Hi,
also hab ich das richtig verstanden:
Das PAT von port 80 auf den server klappt aus dem Internet, aber nicht vom remote "VPN LAN"?
Mach folgendes:
access-list 151 permit ip host 192.168.0.1 (=Webserver) 192.168.1.0 0.0.0.255 (=remotes LAN)
route-map STATIC permit 10
match ip address 151
set interface Loopback199
interface Loopback199
ip address 1.1.1.1 255.255.255.255
interface Fastethernet0 (=internes LAN wo Webserver steht)
ip address 192.168.0.254 255.255.255.0
ip nat inside
ip policy route-map STATIC
So sollte es klappen!
Grüsse,
THomas
-
Hi,
versuch als helper-address die Broadcastadresse des anderen LANs einzugeben.
Grüsse,
Thomas
-
Hi,
ein paar Bemerkungen:
aus eigener Erfahrung kann ich sagen: Finger weg von VTP-Pruning!
Ich hatte ziemlich Probleme. Am besten alle Switches als transparent konfigurieren.
Zur eigentlichen Frage:
Am 6509 kannst du auf VLANs Policing machen, d.h. die Bandbreite limitieren (in in und out am interface). Mit älteren SUPs nur incoming am Interface...
Ansonsten kannst du ACLs setzen.
Auf optischen Interfacen kannst du das sog. storm control (broadcast suppression) aktivieren.
Grüsse,
Thomas
-
Hi,
Rapid-STP konvergiert schnell (ca. 1sec), falls der Link physisch down geht, also z.b. der Kabel gekappt wird.
Ich denke, dass du ein best. VLAN von einem Trunk genommen hast, und dann das Netz nach 30 sec. konvergiert war..
In diesem Falle müssen die timer ablaufen, etc.
Grüsse,
Thomas
-
Hi,
kontrolliere das wan interface, ob du kollisionen oder so hast.
Laut Datasheet schafft die 870er Reiher bei 64 byte paketen 12.8 Mbit/s.
Ich denke dass ein 1841er eher geeignet ist, der schafft knapp 40 Mbit/s.
Grüsse,
Thomas
-
Hi,
wir hatten verschiedene VPNs zwischen Checkpoint un Cisco. Ohne Probleme.
Leider kenne ich Checkpoint zu wenig.
Kann es vielleicht nur am PFS liegen? Versuche PFS auf beiden Seiten abzuschelten.
Grüsse,
THomas
-
Hi,
bis zur IOS 12.3 musst du einen GRE Tunnel machen.
In IOS 12.4 geht es etwas einfacher:
crypto isakmp policy 100
encr 3des
hash md5
authentication pre-share
group 2
lifetime 3600
crypto isakmp key PRESHARED_KEY_PEER_1 address <IP PEER_1>
crypto isakmp nat keepalive 3600
crypto isakmp keepalive 10
!
crypto ipsec security-association lifetime seconds 28800
!
crypto ipsec transform-set SET_1 esp-3des esp-md5-hmac
!
crypto ipsec profile PROFILE_1
set transform-set SET_1
!
interface Tunnel1
ip address 172.16.0.6 255.255.255.252
ip ospf mtu-ignore
load-interval 30
tunnel source <IP_WAN>
tunnel destination <IP_PEER_1>
tunnel mode ipsec ipv4
tunnel protection ipsec profile PROFILE_1
zum Thema Qos:
Wenn ich mich recht erinnere:
qos pre-classify auf tunnel Interface und dann service-policy auf den physischem Interface binden.
Oder KEIN qos pre-classify und service-policy auf Tunnel Interface binden.
Mit "show policy-map interface" kannst du auf alle Fälle kontrollieren, ob du "matches" hast..
Grüsse,
Thomas
-
hi,
.. welche ports sind denn effektiv in blocking?
Grüsse,
Thomas
-
Hi an alle!
ich habe gerade einen Traffic Generator von Sunrise Telecom zum Testen im Büro.
Metropolitan Area Network Testing/Fiber Channel Testing
HAt jemand mit ähnlichen Geräten Erfahrungen gemacht. Was könnt ihr mir empfehlen?
Das Gerät muss einen Display haben und tragber sein. Keine reine Softwarelösung..
Danke und Grüsse,
Thomas
LAN Port auf Router shapen
in Cisco Forum — Allgemein
Geschrieben
Hi!
Willst du das interface in IN und OUT limitieren?
INPUT kannst du nur policing machen (ausser auf grösseren Boxen..)
OUTPUT policing (striktes droppen bei Überschreiten der BW) oder shaping (software queuing; pakete werden bei Überschreiten der BW gebuffered; cpu intersiver ab höheren Bandbreiten)
Meine Empfehlung:
policy-map LAN_OUT
class class-default
shape average 4096000
policy-map LAN_IN
class class-default
police 4096000 conform-acion transmit exceed-action drop
int fast 0/0
service-policy in LAN_IN
service-policy out LAN_OUT
mit "show policy-map interface" siehst du die statistiken.
vielleicht stimmt die syntax vom policing bei LAN_IN nicht ganz, mit "?" kommst du sicher weiter.. :)
Grüsse,
Thomas