jpzueri

Hallo zusammen,

ich habe da noch eine Frage zu Port-Security.

Zwar ist folgendes Eingestellt:

sh port int gig2/0/45

Port Security : Enabled

Port Status : Secure-up

Violation Mode : Shutdown

Aging Time : 10 mins

Aging Type : Absolute

SecureStatic Address Aging : Disabled

Maximum MAC Addresses : 1

Total MAC Addresses : 1

Configured MAC Addresses : 0

Sticky MAC Addresses : 1

Last Source Address:Vlan : 0000.1111.222.3333:444

Security Violation Count : 0

Die Aging Time ist auf 10 min., aber warum versucht der Switch nach 3 min. den Port wieder in Betrieb zunehmen.

Ist das ein Default-Wert von Cisco?

Gruß

JP

Hi,

802.1X hört sich sehr gut an. Wir habe ca 3000 Port´s, auf 21 3750g-Cluster.

Hast du ein gutes Beispie an config?

Lg

JP

Hi,

schau Dir den Link mal an:

https://www.cisco.com/en/US/products/prod_end_of_life.html

Gruß

JP

den parameter habe ich nur im forum auf 2.

in der config ist der default auf 1.

der fehlende Parameter war: switchport port-security mac-address sticky :)))

danke Otaku19

und es klappt

Danke für eure hilfe, habe es jetzt auch in einer Doku von cisco gefunden

http://www.cisco.com/en/US/docs/switches/lan/catalyst4500/12.2/25ew/configuration/guide/port_sec.pdf

Gruß

JP

der Port wird nicht deakiviert. Ich habe ein Rechner abgezogen und mein Laptop angehängt.

aber ich glaube ein Paramter fehlt.

Hallo zusammen,

wir habe alle Etagen-Switche ausgetauscht und habe jetzt die WS-C3750G-48PS mit der IOS-Version c3750-ipbasek9-mz.122-52.SE im Ensatz.

Ich habe die port-security auf den Ports configuriert, aber die funktioniert nicht.

Laut Cisco sollte es aber. Anbei die Porteinstellung:

switchport access vlan ....

switchport mode access

switchport port-security maximum 2

switchport port-security violation shutdown

switchport port-security aging time 30

switchport port-security aging type absolute

switchport port-security

srr-queue bandwidth share 20 90 11 11

priority-queue out

no snmp trap link-status

spanning-tree portfast

spanning-tree bpdufilter enable

spanning-tree bpduguard enable

Gemäss Cisco, sollte man nur switchport port-security eingeben und folgende Parameter sind danach default:

switchport port-security maximum 1

switchport port-security violation shutdown

Hat jemand eine Idee?

Gruß

JP

Hi Leute,

hat keiner eine Idee an was es liegen könnte?

LG

JP

Hi,

die haben nur den Desktop auf ein Server ausgelagert. Also kein Terminal-Services, Thin Client.

Die Servertruppe zuckt nur mit den Schultern wie immer. Sie können mir auch nicht sagen, auf welchem Port (TCP oder UDP) der Rechner mit dem Server (Desktop) kommunizieren.

LG

JP

Hi Leute,

vielleicht kann mir jemand weiterhelfen.

Die Servertruppe hat den Desktop auf ein Server ausgelagert und ist nicht mehr lokal auf dem Rechner. Da fingen die Probleme an.

Für kurze Zeit friert der Desktop ein und durch F5 geht es weiter.

Hat jemand eine Idee, wie wir dies lösen können?

LG

JP

Hi,

mal ne ****e Frage von mir: Bringt der BGP Scanner was?

Ich verstehe den Sinn nicht dahinter. Next-Hope Adresse ist doch meistens einer der Provider. Fällt einer aus geht alles über den oder die nächsten Provider. Dauert halt ein bisschen.

LG

JP

Hi Poison Nuke

du kannst auch mehrere Routen setzen. Wir haben zwei Provider und haben es so gelöst:

ip sla monitor 1

type echo protocol ipIcmpEcho 1.1.1.1

timeout 2

frequency 5

ip sla monitor schedule 1 life forever start-time now

ip sla monitor 2

type echo protocol ipIcmpEcho 2.2.2.2

timeout 2

frequency 5

ip sla monitor schedule 2 life forever start-time now

!

track 1 rtr 1

delay down 30 up 30

!

track 2 rtr 2

delay down 30 up 30

ip route 0.0.0.0 0.0.0.0 Vlanxxxx 1.1.1.1 name Provider1 track 1

ip route 0.0.0.0 0.0.0.0 Vlanxxxx 2.2.2.2 name Provider2 track 2

Entlastet die TCAM sehr, zur Zeit sind wir auf 70%.

LG

JP

Hi

@daking: nein habe wir nicht gemacht und hatte ich auch noch nie das Vergnügen. Ist dies nei heikle Angelegenheit?

Ja, dieser output (sh prc cpu | exc 0.00%) ist auch sehr wichtig.

Noch was zu GLBP und HSRP.

GLBP ist ne schöne Sache, aber ich bevorzuge HSRP. Man hat zwar keine Lastverteilung, aber in der Fehlersuche ist es einfacher.

LG

JP

Hi,

ich kann mir dies auch nicht vorstellen, dass die CPU-Auslastung vom BGP kommt.

Wir haben auch zwei c6500 mit sup720 und die sind bei 3-5% CPU-Auslastung und wir hatten früher sämtliche BGP-Routingeinträge.

Das Problem bei uns war die TCAM, würde ich auch kontrollieren:

sh platform hardware capacity | beg L3 Forwarding

Hier hatten wir eine Auslastung von 99-100%.

Deswegen haben wir die Routingtabelle kleiner gemacht.

ip as-path access-list 1 permit ^xxxx$

ip as-path access-list 1 permit ^xxxx_[0-9]+$

ip as-path access-list 1 permit ^xxxx_[0-9]+_[0-9]+$

route-map ..........

match as-path 1

router bgp xxxxxxxx

neighbor a.b.c.d route-map ......... in

also Prefixe mit 1,2 oder 3 AS einträgen in der Path-List, alles anderen Einträge über eine default-route zum Provider.

LG

JP

Hi R.Wolff

für den etherchannel würde ich folgende load-balance einstellen:

src-dst-mixed-ip-port

die Defaulteinstellung ist auf src-mac

vss(config)#port-channel load-balance ?

..........

src-dst-mixed-ip-port Src XOR Dst IP Addr and TCP/UDP Port

..........

Auf den Switchen (3560G und 3750G) etherchannel auf src-dst-ip

So habe wir es bei uns eingestellt um eine Lastverteilung im Channel zu machen. Mit scr-mac wird hauptsächlich nur ein Verbindung im Channel genutzt.

Gruß

JP

Hi Wolff,

du solltest die Switche immer mit einem Port-Channel anbinden und mindestens ein Uplink auf sw1 und einen auf sw2.

Failovertrst haben wir auch durchgeführt.

Ihr solltet auch verschiedene Ausfallzenarien durchspielen.

LG

JP

Hallo zusammen,

unsere VSS Lösung läuft seit: uptime is 1 year, 3 weeks, 1 day, 13 hours, 23 minutes

und wir hatten bis jetzt keine Probleme.

Habe ich gerade im Internet gefunden.

http://www.kapsch.net/de/kbc/downloads/files/Events/Business%20Breakfast/080722_BB_Catalyst_6500_VSSWorkshop.pdf

Gruß

JP

Hi,

ist wahrscheinlich die beste Lösung, wenn die Packete schon vom Tel priorisiert werden.

Aber warum einfach, wenn es kompliziert auch geht :)

LG

JP

Hallo,

so wie ich dich verstanden habe, möchtest du im ein Bladecenter mit zwei Swichten auf den 4507 anbinden.

Für jeden Switch im Bladecenter musst du einen dedizierten Port-channel auf den 4507 konfigurieren. Dann baut sich auch der Channel auf.

blade123#sh lacp nei

LACP port Admin Oper Port Port

Port Flags Priority Dev ID Age key Key Number State

Gi0/xx SA 32768 0200.0000.0064 6s 0x0 0x18 0x1227 0x3D

Gi0/xx SA 32768 0200.0000.0064 21s 0x0 0x18 0x1327 0x3D

Wichtig ist, dass der Port State auf 0x3D steht. Dan hat sich der channel sauber aufgebaut.

Gruß

JP

Hallo,

ich weiss nicht ob dir dies weiterhilft!

Wir makieren die Packete auf dem Switch, egal mit welcher makierung sie ankommen.

conf t:

mls qos

mls qos map cos-dscp 0 8 16 24 32 46 48 56

mls qos map ip-prec-dscp 0 8 16 24 32 46 48 56

ip access-list extended ANY-LIST

remark ANY IP TRAFFIC

permit ip any any

ip access-list extended VOIP-LIST

remark VOIP PRIO

permit ip x.x.x.x 0.0.0.255 y.y.y.y 0.0.0.255

class-map match-all ANY-CLASS

description ANY IP TRAFFIC

match access-group name ANY-LIST

class-map match-all VOIP-CLASS

description VOIP PRIO

match access-group name VOIP-LIST

policy-map MARKING

class VOIP-CLASS

set dscp ef

class ANY-CLASS

set dscp default

interface xx

srr-queue bandwidth share 20 90 11 11

priority-queue out

service-policy input MARKING

Auf dem Uplink:

srr-queue bandwidth share 20 90 11 11

priority-queue out

mls qos trust dscp

Gruß

JP

Hi zusammen,

danke für eure Hilfe und Tipps. Jetzt liegt es an mir, welche Software wir bei uns einsetzten.

Es sind ja genügend zur Auswahl :) , jetzt nur noch die passende finden.

Danke an alle und Gruß

JP

Hi blackbox,

ja, wir haben Cati mit weathermap, aber da sehe ich nicht wen ein Leitung ausfällt.

OpenView ist ne schöne Sache, aber es kostet Geld und muss gleich zu einem Projekt gemacht werden. Ich bin Techniker und kein Projekleiter und daher suche ich eine kostengüstige Lösung.

Von meiner letzte Firma kenne ich OpenView, da wurde das Netzwerk auch als wichtig gesehen. Aber hier in dieser Firma, naja. Man ist hier halt der Kabelzieher.

LG

JP

Hi,

wir haben nur Cisco im Einsatz.

LG

JP

Hallo zusammen,

leider hatte ich frei und konnte nicht reinschauen. Danke für eure Antworten.

Die Alarmierung bei Nagios ist gut. Das stimmt, aber wir Überwachen damit Server, viele Dienste und auch Netzwerk. Der Timer ist auf 5 min. gesetzt und mehr bringt bei uns de Server nicht. Insgesamt werden 5000 Services 500 Hosts überwacht. Würden wir den Timer kleiner stellen, wäre der Server nicht mehr administrierbar.

Ich möchte aber das Netzwerk, mit allen Verbindungen auf eine graphische Oberfläche bringen wie bei HP OpenView und nicht erst im Outlook nachschauen ob neue Ausfälle gemeldet wurde.

Mit welcher Software habt ihr gute Erfahrung gemacht?

Gruß

JP

Hi Leute,

wir suchen eine aktive Netzwerküberwachung. Wer hat gute Tipps für uns.

Zur Zeit haben wir Nagios und Solarwinds im Test. Aber es sind keine aktiven Überwachungstools.

Gruß

JP

Hi,

ich würde klare Prio auf den Switchen setzen. Bspl. Master 15 Secondary 10 etc.

switch 1 prio 15

switch 2 prio 10

Jeder neue Switch der in den Stack eingebunden wird, kommt mit Prio 1 rein.

Wie blackbox erwähnt hat, sollten die IOS Version gelich sein. Ansonst übernimmt der Switch mit der ältesten Version die Masterfunktion.

Gruß

JP