tom12

Hi!

Willst du das interface in IN und OUT limitieren?

INPUT kannst du nur policing machen (ausser auf grösseren Boxen..)

OUTPUT policing (striktes droppen bei Überschreiten der BW) oder shaping (software queuing; pakete werden bei Überschreiten der BW gebuffered; cpu intersiver ab höheren Bandbreiten)

Meine Empfehlung:

policy-map LAN_OUT

class class-default

shape average 4096000

policy-map LAN_IN

class class-default

police 4096000 conform-acion transmit exceed-action drop

int fast 0/0

service-policy in LAN_IN

service-policy out LAN_OUT

mit "show policy-map interface" siehst du die statistiken.

vielleicht stimmt die syntax vom policing bei LAN_IN nicht ganz, mit "?" kommst du sicher weiter.. :)

Grüsse,

Thomas

Hallo an alle!

Ich möchte heuer noch den Kurs CCIET besuchen.

Leider hat aktuell Globalknowledge keine Anfragen im Deutschsprachigen Raum, Fastlane hat 1ne Anfrage für Berlin.

Hat jemand vor den Kurs zu besuchen?? Dann wären wir schon 2 bzw. 3 in Berlin bei Fastlane.

Location und Anbieter sind für mich relativ egal.

Ab 3-4 Personen findet der Kurs statt...

Grüsse,

Thomas

Hi!

Ist klar dass du output drops am Interface hast. Die 17 pakete kommen von den drops in der default-class

queue limit 64 packets

(queue depth/total drops/no-buffer drops) 0/17/0 <-----

(pkts output/bytes output) 919259/193374682

Ohne QOS am Interface hast du keine drops, da das Interface nie ans limit kommt (100 Mbit)! In dem falle wird dein Provider droppen.

Also: Das passt so.

Output am Interface ist einfach einmal ganz kurz das Limit von ca. 50 Mbit überschritten worden. Ich würde auch nicht undbedingt am BC, BE drehen..

Was du generell machen könntest:

random-detect und fair-queue in der default class aktivieren.

Grüsse,

Thomas

Hi,

also mit dem globalen command "mls qos" passiert folgendes:

Auf allen ports werden die COS und DSCP werte (in INPUT) auf 0 überschrieben.

Um auf den einzelnen ports zu "trusten" gibt es die if-commands "mls qos trust cos" und "mls qos trust dscp".

Also wenn du am Router DSCP Werte erwartest, musst du "mls qos trust dscp" auf den dementsprechenden ports aktivieren.

ODER global "no mls qos". Somit werden die werde nicht verändert.

Grüsse,

THomas

Hallo,

vielleicht geht es mit einem sog. BVI Interface.

bridge 1 irb

!

int fa 0/0

bridge-group 1

int fa 0/1

bridge-group 1

interface bvi 1

ip address 192.168.100.4 255.55.255.0

!

bridge 1 protocol ieee

bridge 1 route ip

Finde ich nicht so toll... Ich würde auf dem 3750er die ports als "no switchport" konfigurieren. Somit hast du 2 Layer 3 Interface zu Router.

Dann noch ospf oder eigrp einschalten.

Somit hast du auch per default ein CEF load-balancing (cef muss aktiviert sein).

Grüsse,

Thomas

Hi,

Hast du eine PPPoE Verbindung am Router? Dann setz als erstes am Dialer Interface die MTU auf 1492

Dann noch am LAN Interface "ip tcp adjust-mss 1460".

Falls es noch nicht kunktioniert, noch niedriger.

Das Problem ist folgendes:

Die clients senden (oder ein Server antowortet) 1500 byte packete. Meist ist das "DF Bit" (Don´t Fragment) im IP Header gesetzt. Der Router kann aber am Wan interface nur Pakete mit 1492 byte senden, da 8 Byte dur den PPPoE Header verloren gehen (bei IPSec, GRE noch mehr).

Die Pakete sollten fragmentiert werden, aber DF-Bit ist gesetzt und somit werden diese verworfen.

ODER:

Es ist das DF-Bit NICHT gesetzt, die PAkete werden also gesendet. Aber die Firewall vor dem Server blockiert fragmentierte Pakete.

ip tcp adjust-mss 1460:

IM TCP Header wird beim Verbindungsaufbau (SYN-PAket) die MSS (Maximum Segment Size) gesendet und dann mit der Gegenstelle negotiated (niedrigste wird verwendet).

Mit dem Commando wird der Wert einfach überschrieben.

Also nur für TCP Pakete gültig.

Grüsse,

Thomas

Hi,

bei Bandbreiten über un die 100 Mbit/s musst du die 64-Bit counter verwenden.

Warum?

Ganz einfach: der 32-bit counter läuft sonst über und beginnt von vorne. Somit sind die Werte nicht korrekt.

Grüsse,

Thomas

Hi,

interessant zu wissen ist auch wieviele Interface (physische/logische) ein Router verwalten kann:

show idb

ein 2811er kommt max auf 8000

Grüsse,

Thomas

Hi,

scheint klar zu sein:

der 192.168.5.1 hat keine Retourroute.

Entweder du machst dort OSPF un machst ein dort "default-originate" um die defaultroute ins ospf anzukündigen.

Oder du machst statische einträge fürs 192.168.2.0 und 192.168.5.0 netz.

Grüsse,

Thomas

Hi,

Der 3560er hat ene Backplane von 32Gbps. Reine Switching Performance.

L3 Performance ist geringer:

Cisco Catalyst 3560 Series Switches Data Sheet [Cisco Catalyst 3560 Series Switches] - Cisco Systems

3560G Serie: 38.7 Mpps

3560-24TS: 6.5 Mpps

wenn du das umrechnest (mit 64 byte paketen):

Kommt der 3560-TS auf ca. 3,4 Gbit/s

Beachte das dies auf 64byte Paketen berechnet ist! Ich vermute, bei normalem Traffic, sollten 5-10 Gbit machbar sein. Aber bei einem solchen Volumen an traffic ist es dann eher Zeit auf einen 4500er oder 6500er zu wechseln...

Grüsse,

Thomas

Hi!

Mach am dialer interface folgendes:

no ppp authentication ms-chap-v2

Falls es nicht klappt, poste ein:

debug ppp authentication

deb ppp negotia

Grüsse,

Thomas

Hi!

Bei Cisco gibt es 3 Möglichkeiten:

- PVSTP

- Rapid PVSTP (RPVSTP)

- MST (Multiple Spanning Tree)

PVSTP scheidet aus. Zu alt.

Was du verwenden solltest hängt von der Hardware und Vlan Anzahl ab. Ev. auch von der Netztopologie.

2950: unterstützt 64 STP instanzen

3550/3750: 128 STP instanzen

6500er: denke 512 oder 1024

Also "nur aus Spass" würde ich nicht auf MST wechseln, wenn deine Hardware kein Problem mit der Anzahl der Vlans hat..

Tune das Netz wenn du viele VLANs hast mit features wie: UDLD, loopguard (achtung: nur unterstützt wenn kein root-guard aktiviert ist), storm-control, bpdu-guard.

Uplinkfast, Backbonefast brauchst du nicht, wenn du RSTP verwendest.

Und nicht vergessen: Deine Root-Bridge und Backup-root definieren.

Grüsse

Thomas

Hi,

dieser ist top:

..:: D-ITG, Distributed Internet Traffic Generator ::..

Grüsse,

Thomas

Hallo,

also der Server ist mit 2 NIC´s auf den beiden Stack-Switches über einen Etherchannel (LACP oder PAgP) verbunden. Kein Problem.

Der Router ist das "Problem". Wenn du 2 Ports verwenden willst, der 7200er kann Etherchannels machen.

Ansonsten, könntest du versuchen mit BVI´s 2 ports in eine Bridge-group zu konfigurieren (weisss nicht ob das auch klappt..).

Grüsse,

Thomas

Hi,

um den Unterschied zu erläutern:

Policing: der Traffic, welcher die bestimmte Bandbreite überschreitet, wird einfach gedropped (kann auch remarked werden..). Belastet CPU kaum.

Shaping: Falls Traffic das Limit überschreitet, werden Pakete gebuffert.

Somit hat man nicht so den "Stop-and-Go" Effekt wie beim policing. Die Bandbreite wird optimiert. Nur in outbound möglich!

Ev. CPU lastig.

Soviel ich weiss, kann man auf Switches NUR policing in"input" machen (bei gewissen Modellen auch in "outbound" oder per Vlan).

In deinem Falle ist ein Router angebracht. Ein 1841er müsste reichen (throughput bei 64byte paketet ca. 40-50 Mbit/s; allerdings ohne QoS), 2800er würe sicherlich performanter.

Dann kannst du policing/shapen wie es dir passt :)

Grüsse,

Thomas

Hi,

also du hast zum Kunden 2 PPPoE sessions, über beide machst du BGP. Dazu möchtest du QoS machen und Load-Balancing ??

Zu Qos:

Per-Session Qos ist das Stichwort. Unterstützt von 7200,7300, 10000 Routern (IOS 12.2SB) soviel ich weiss. Ich habs auf 7200ern getestet. Du kannst über Radius die Service-Policy zuweisen (Diese muss lokal konfiguriert sein).

Am besten das "Parent - Child konzept". Also ein traffic-shape auf der default-lass, darin ein LLQ oder CBWFQ.

bsp:

class-map PREC5

match ip precedence 5

policy-map MAP_PREC5

class PREC5

priority percent 20

policy-map SHAPE_2048

class-class default

shape average 2048000

service-policy MAP_PREC5

Zo Load-Balancing:

Lass das von CEF erledigen. Dein Problem wird vermutlich sein, dass BGP per default nur dei beste Route in die Routingtable aufnimmt. Somit auch nur 1 CEF Eintrag.

Unter dem BGP Prozess "maximum-paths 2" lässt 2 gleichwertige Einträge zu.

Wernn du in der Rrouting Table 2 gleichwertige Routen hast, und CEF aktiv ist, sollte per-destination Load Balancing (default; per-packet konfigurierbar) gemacht werden.

Kann das funktionieren??!

Grüsse,

Thomas

Hi,

also hab ich das richtig verstanden:

Das PAT von port 80 auf den server klappt aus dem Internet, aber nicht vom remote "VPN LAN"?

Mach folgendes:

access-list 151 permit ip host 192.168.0.1 (=Webserver) 192.168.1.0 0.0.0.255 (=remotes LAN)

route-map STATIC permit 10

match ip address 151

set interface Loopback199

interface Loopback199

ip address 1.1.1.1 255.255.255.255

interface Fastethernet0 (=internes LAN wo Webserver steht)

ip address 192.168.0.254 255.255.255.0

ip nat inside

ip policy route-map STATIC

So sollte es klappen!

Grüsse,

THomas

Hi,

versuch als helper-address die Broadcastadresse des anderen LANs einzugeben.

Grüsse,

Thomas

Hi,

ein paar Bemerkungen:

aus eigener Erfahrung kann ich sagen: Finger weg von VTP-Pruning!

Ich hatte ziemlich Probleme. Am besten alle Switches als transparent konfigurieren.

Zur eigentlichen Frage:

Am 6509 kannst du auf VLANs Policing machen, d.h. die Bandbreite limitieren (in in und out am interface). Mit älteren SUPs nur incoming am Interface...

Ansonsten kannst du ACLs setzen.

Auf optischen Interfacen kannst du das sog. storm control (broadcast suppression) aktivieren.

Grüsse,

Thomas

Hi,

Rapid-STP konvergiert schnell (ca. 1sec), falls der Link physisch down geht, also z.b. der Kabel gekappt wird.

Ich denke, dass du ein best. VLAN von einem Trunk genommen hast, und dann das Netz nach 30 sec. konvergiert war..

In diesem Falle müssen die timer ablaufen, etc.

Grüsse,

Thomas

Hi,

kontrolliere das wan interface, ob du kollisionen oder so hast.

Laut Datasheet schafft die 870er Reiher bei 64 byte paketen 12.8 Mbit/s.

Ich denke dass ein 1841er eher geeignet ist, der schafft knapp 40 Mbit/s.

Grüsse,

Thomas

Hi,

wir hatten verschiedene VPNs zwischen Checkpoint un Cisco. Ohne Probleme.

Leider kenne ich Checkpoint zu wenig.

Kann es vielleicht nur am PFS liegen? Versuche PFS auf beiden Seiten abzuschelten.

Grüsse,

THomas

Hi,

bis zur IOS 12.3 musst du einen GRE Tunnel machen.

In IOS 12.4 geht es etwas einfacher:

crypto isakmp policy 100

encr 3des

hash md5

authentication pre-share

group 2

lifetime 3600

crypto isakmp key PRESHARED_KEY_PEER_1 address <IP PEER_1>

crypto isakmp nat keepalive 3600

crypto isakmp keepalive 10

!

crypto ipsec security-association lifetime seconds 28800

!

crypto ipsec transform-set SET_1 esp-3des esp-md5-hmac

!

crypto ipsec profile PROFILE_1

set transform-set SET_1

!

interface Tunnel1

ip address 172.16.0.6 255.255.255.252

ip ospf mtu-ignore

load-interval 30

tunnel source <IP_WAN>

tunnel destination <IP_PEER_1>

tunnel mode ipsec ipv4

tunnel protection ipsec profile PROFILE_1

zum Thema Qos:

Wenn ich mich recht erinnere:

qos pre-classify auf tunnel Interface und dann service-policy auf den physischem Interface binden.

Oder KEIN qos pre-classify und service-policy auf Tunnel Interface binden.

Mit "show policy-map interface" kannst du auf alle Fälle kontrollieren, ob du "matches" hast..

Grüsse,

Thomas

hi,

.. welche ports sind denn effektiv in blocking?

Grüsse,

Thomas

Hi an alle!

ich habe gerade einen Traffic Generator von Sunrise Telecom zum Testen im Büro.

Metropolitan Area Network Testing/Fiber Channel Testing

HAt jemand mit ähnlichen Geräten Erfahrungen gemacht. Was könnt ihr mir empfehlen?

Das Gerät muss einen Display haben und tragber sein. Keine reine Softwarelösung..

Danke und Grüsse,

Thomas