daking

Hallo,

 

das port sec Feature ist ein ingress Featute am Switchport (non trunk). Wenn du nun den .Q Trunk zwischen den Switches absteckst und dein notebook ansteckst, wirst du in VLAN 1 landen. In der defaultconfig wird das native vlan, dass nicht getagged geführt wird VLAN 1 sein ==> du kannst alles in VLAN 1 erreichen. Falls eine Routinginstanz konfiguriert ist, kannst du natürlich auch alles aus VLAN 2 erreichen.

 

Best Practise ist hier:

 

a. Native Vlan

VLAN 1 nicht verwenden und unterschiedliche dummy native vlans auf den trunks verwenden. Vlan 1 wird nur für die interswitch kommunikation genutzt (CDP, ...)

!

interfa x/y

switchport trun encap dot1q

switchport mode trunk

switchport trunk allowed vl <A>,<B>,<DUMMY>

switchport trunk native vlan <DUMMY>

switchport nonegotiate

!

A und B sind deine "Nutzvlans"

 

b. All VLAN tagged

 

Variante a ist mit konfigurationsaufwand verbunden. Ein nicht 802.1q getaggtes VLAN gibt es nur aus backwardscompability Gründen im IEEE Standard. Generell bringt das native vlan keinerlei vorteile. Fall nun in einem [shared medium] segment bridges, die kein 802.1q unterstützen, vorhanden wären, wären diese über das native vlan erreichbar. Desshalb gibt es das native vlan. Derartige Switches sollte es nicht mehr geben (Falls vorhanden sollte eine migration auf "state of the art" Switches angestrebt werden (;-)).

Es gibt auf Catalyst Switches die Möglichkeit auch das native VLAN 802.1q tagged zu transportieren:

!

conf t

vlan dot1q tag native

!

Nun werden alle VLAN via 802.1q Header übertragen..

Bei der Implementierung sollte man natürlich Downtime kalkulieren.

 

Falls man nun eine 802.1q fähige karte hätte, könnte man natürlich wieder auf die VLANS zugreifen. Switches sind jedoch in gesicherten Räumen installiert, um physikalischen Zugriff zu vermeiden.

 

hope this helps

 

brgds and have a great day

Hallo Werner,

 

du musst das vlan erst global erzeugen bevor du es auf einem 1q trunk verwenden kannst. Wenn du einen switchport in ein nicht vorhandenes vlan legst, erzeugt IOS automatisch das vlan global (siehe log und config danach).

Falls du VTP verwendest wirst du vlan 15 nicht in der konfiguration sehen. VTP wird generell nicht benötigt..

Wenn du ein VLAN auf einen Trunk nimmst wird das Vlan nicht global erzeugt.

 

Also bevor du VLANs auf 1q verwenden willst musst du immer das vlan global anlegen:

 

conf t

vlan 100

name TEST

exit

[jetzt wird das vlan angelegt]

 

==> sobald du aus der vlan config ebene gehst, wird das vlan angelegt.

 

 

hope this helps

brgds and have a great day

Hi,

 

//

hoffen wir, es sollte ja schon ende September kommen.

Wir brauchen die Software für unser neues RZ.

\\

 

mal sehen. Hoffe ihr plant das erste "Service Modul fähige" Release nicht in einem neuen RZ. Das wär dann eher schon ein gewagter Spießrutenlauf..

 

(:-)

Hallo,

 

die pps Angabe basiert auf 64Byte CBR Streams.. Trotzdem wird mit dem 1721 nicht mehr als 10 Mbit/s gehen..

//

hat jemand einen guten Vorschlag

//

==> Router tauschen

 

brgds

Part B: some BUS fun (nicht ATM LANe Broadacst and Unknown Server)

 

Am Beispiel der 7200 PCI Hardware kann man einen kleinen Einblick in die Kalkulation von PCI BUS Übertragungsraten haben. Das modulare 72er System unterstützt mehre Slots mit verschienen Einschüben.... Das Limit sind die Bandwith Points. Beispiel 600 Bandwith Points = 600Mbit/s - Warum 600?

 

Bandwith = PCI Bus width x PCI Bus Clock Frequency x PCI Bus x Usage Efficiency

 

32 Bit Bus x 50MHz clock x 0.5 (hier Half Duplex -> Read und Write auf dem gleichen BUS) ==> 600Mhz

 

 

Part C: some Ethernet FUN

 

Hier nur eine kurze Anmerkung. Das Übertragen eines "Bits" über ein Medium sollte IMHO ein konstantes Delay / eine konstante Zeit haben. Diese Delay wird Propagationdelay genannt und ist abhängig von der Länge des verwendeten Mediums.

 

Prop Delay = Länge des Mediums / (3.0 * 10^8) (Geschwindigkeit des Lichts im luftleeren Raum)

 

Die Frage ist nun wie das Medium genutzt werden kann. Dies wird einerseits von der Art der Modulation, der bestehenden Regeln für Übertragung der Nutztdaten definiert und den verfügbaren parallel nutzbaren Wegen. Um eine gesicherte Übertragung zu realisieren wird ein Overhead an Signalisierungsdaten entstehen...

 

Hope this helps.....

 

Man könnte somit sagen, dass im Gegensatz zu 10Mbit/s Daten im 1G Bereich effizienter und auf mehreren Verbindungen übertragen wird (:-). na ja. bla bla

 

Anmerkung: http://en.wikipedia.org/wiki/Data_Center_Ethernet

==> optimize delivery not speed!? (:-)

==> sorry for typos ==> no time!

Hallo,

 

vielleicht kann ich hier auch noch ein paar Infos geben:

 

Part A:

 

Bsp. am Dell PowerConenct 5424:

 

48 Ports

Switch-Fabric-Kapazität: 48,0 Gbit/s

Weiterleitungsrate: 35,6 Mpps

Bis zu 8.000 MAC-Adressen

 

Die Bandbreite der Fabric ist 48 Gbit/s. 48 Gbit Ports sollten somit gleichzeitig Daten übertragen können ohne sich gegenseitig zu beeinflussen.Scheinbar handelt es sich somit um einen nicht überbuchten Switch;sprich keiner der Ports muss sich theo. Bandbreite mit den anderen teilen. Um ein Paket vom Source Port zum Destination Port zu switchen muss ein Lookup im CAM Table des Switches durchgeführt werden. Der CAM table besteht aus MAC + OIF (Outgoing Interface). Für jedes Paket muss diese Entscheidung getroffen werden. Die Geschwindigkeit in der dieses Lookup durchgeführt werden kann hängt von der verwendeten Hardware ab. Bei aktueller Hardware sollte dies durch auf die gewünschte "Suchfunktion" optimierte Hardware Bausteine; sprich ASICs ; durchgeführt werden. Hier sollte im optimal Fall ein Baustein der parallele Anfragen unterstützt (in Cisco logic TCAM = teuer) verwendet werden. Der Baustein wird jedoch ein Limit für parallele Anfragen haben.

In diesem Fall können max 35,6 Millionen Packets per Second übertragen werden. Man könnte hier auch sagen das dies der Anzahl an Lookups entspricht.

Die Frage ist nun nur noch mit welcher Paketgröße getestet wurde?

 

64Byte ==> 512Bit * 35600000 /1000/1000/1000 = 18,227 Gbit/s

128Byte ==> 1024Bit * 35600000 /1000/1000/1000 = 36,454 Gbit/s

1514Byte ==> 12112Bit * 35600000 /1000/1000/1000 = 431,187Gbit/s

 

Der Switch wird somit durch das Lookup Limit bei sehr kleinen Paketen nicht die Fabric voll nutzen können, da das Lookup Limit des ASICs erreicht wird.

Im Normalfall wird jedoch die Kommunikation der angeschlossenen Komponenten niemals 64 oder 128 Byte CBR Traffic generieren. Bei IMIX Traffic (simulation von User Traffic aus verschiedenen PKT Größen) sollte die Fabric und der für die Lookups verantwortliche ASIC die 48 Gbit/s der Fabric nutzen können....

Falls andere Features als "Switching" aktiviert werden kann dies natürlich die Forwardingleistung weiter nach unten drücken. Im Extremfall könnte ein Feature, wie z.B. das analysieren von L4 Optionen für ACLs das Forwarding der Pakete von der Dataplane (den ASIC Teil) zur Controlplane verlagern. Die maximale Forwardingrate wird dann vom integrierten Prozessor (hier wird auch Telnet angenommen) verarbeitet..

 

Die integrierte Hardware kann maximal 8.000 MAC Adressen im CAM speichern und für Lookups (wo muss das Pkt raus) "optimieren". Falls mehr als 8.000 MAC Adressen vorhanden sind können diese nicht für ein Lookup gespeichert werden. Diese sind somit dem Switch nicht bekannt (da verworfen). Genrell werden unbekannte MAC Adresen wie Broadcast oder Multicast (ohne aktivierte Features) behandelt; sprich auf allen Ports die STP auf forwarding sind repliziert.

 

Bei der Auswahl des Switches sollten ebenfalls minimal folgende Punkte beachtet werden:

 

- maximal VLANs und Spanningtree Instanzen.

- Features für MGMT und Logging.

- Sicherheitsfeatures.

- QOS Features.

- Switchingfeatures.

- Service.

- Zukunftssicherheit.

- ...

Hallo,

 

sollte eigentlich am 31.10 kommen..

 

ciao

Hallo,

 

da habe ich noch ein Problem mit intel karten und carrier delay im hinterkopf. Setzt das carrier-delay auf dem Interface mal höher..

 

 

P.S. hier der Link

 

http://www.cisco.com/en/US/products/hw/switches/ps700/products_tech_note09186a00800a7af0.shtml

 

==> vielleicht klappts..

 

ciao

Hallo,

 

wie testest du das loadbalancing?

wie ist das channel loadbalancing konfiguriert (sh etherchannel load-ba)?

 

ciao

Hallo,

 

klar, dass es mit zwei vlans funzt...

 

ciao

Hallo,

 

errdisable:

 

detection:

errdisable detect cause all

 

oder

 

no errdisable detect cause xx

 

recovery:

errdisable recovery cause all

errdisable recovery interval <Sekunden>

 

 

Hast du es nun mal mit speed nonegotiate im Wartungsfenster getestet?

Das aktivieren der recovery funktion wird das problem nicht lösen... ein ausfall von mindestens 2-4 sekunden sollte da immer passieren..

 

ciao

Hallo,

 

warum benutzt du zwei virt temps? der Sinn eines virt temps ist dieses x mal zu klonen. Wie soll der Router auch wissen, dass er das zweite hernehmen soll. Die virt temps werden sequentiell überprüft. Das virt temp 1 wird also immer an erster stelle sein (:-). Das virt temp 2 ist gleich konfiguriert (ausser die ip un numbered --> die existiert beim aufbau der pppoe session noch nicht).

 

Denke, dass du mit einem Template eine BRAS funktionalität realisieren kannst. Würde mich eher mal an local AAA für BRAS Parameter versuchen (:-).

Hallo,

 

komisch das ein 1000BASE-LX Port half duplex sein kann. Das sollte eigentlich nicht möglich sein.. Der einzige Anpassungspunkt sollte dann speed nonegotiate sein. Hierbei wird die autonegotiation deaktiviert..

 

Zeigt das interface auf dem C4k wirklich mit sh interface GigabitEthernet1/1 status oder capabilities, dass der Link auf Half Duplex steht oder sie unterstützt..

 

ciao

Hola,

 

nach sh invetory handelt es sich um eine 1 Port Multiflex Karte...

Cisco One and Two Port T1/E1 Multiflex Voice/WAN Interface Card  [Cisco 2600 Series Multiservice Platforms] - Cisco Systems

Diese unterstützt E1 oder T1 aber kein BRI.

Falls du hier kein interface serial x/x:15 siehst. Musst du denke ich noch via card type E1 oder T1 auswählen (in D dann E1).

 

card type {t1 | e1} <slot> <subslot>

card type {t1 | e1} 3 0

 

Falls das keine Multiflex Karte sein sollte sondern eine 2 Port BRI Karte wäre das sehr komisch (:-)

 

ciao

Hallo,

 

ist auf einer der seiten speed nonegotiate eingeschaltet/ausgeschaltet?

 

optimaler weise sollte speed nonegotiate auf beiden seiten ausgeschalten sein.

 

auf beiden seiten mal.

 

no speed nonegotiate

switchport nonegotiate

 

-------------oder----------------------

speed nonegotiate

switchport nonegotiate

 

Beide seiten müssen gleich sein. Vorsicht - normalerweise sollte bei unterschiedlichen einstellungen der Link nicht hoch kommen (:-)

 

ciao

Hola,

 

besteht das Problem erst seit dem update?

was sagt sh fabric?

was sagt remote command mod x sh ver

was sagt sh diagnostic results mod x (kann sein das die syntax hier nicht passt)

was sagt sh mod?

 

habe da noch was im Hinterkopf mit der LC FW...

mal sehen

 

ciao

Hallo,

 

das FWSM wird ab Withney II (nächstes REL) supported.

das VPN Modul wird nicht supported (vielleicht mal später ?!)

 

ciao

Hallo Glady,

 

denke (IMHO) da gibt es keine IOS Version die mehr als 255 Dialer Interfaces unterstüzt. Falls mehr Dialer benötigt werden kannst du via virtual-templates + Radius Attribute arbeiten. Warum willst du mehr als 255 Dialer Interfaces?

 

ciao

Hallo bernd,

 

coole sache. Plant ihr auch den Einsatz von Service Modulen im VSS?

 

ciao

 

Thomas

Hola,

 

vielleicht hilft das:

 

ip nat pool net-208 171.69.233.208 171.69.233.223 prefix-length 28

ip nat inside source list 1 pool net-208

!

interface ethernet 0

ip address 171.69.232.182 255.255.255.240

ip nat outside

!

interface ethernet 1

ip address 192.168.1.94 255.255.255.0

ip nat inside

!

access-list 1 permit 192.168.1.0 0.0.0.255

access-list 1 permit 192.168.2.0 0.0.0.255

The following example translates only traffic local to the provider edge device running NAT (NAT-PE):

ip nat inside source list 1 interface e 0 vrf shop overload

ip nat inside source list 1 interface e 0 vrf bank overload

!

ip route vrf shop 0.0.0.0 0.0.0.0 192.1.1.1

ip route vrf bank 0.0.0.0 0.0.0.0 192.1.1.1

!

access-list 1 permit 10.1.1.1.0 0.0.0.255

!

Configuring NAT for IP Address Conservation

Configuration Examples for Configuring NAT for IP Address Conservation

43

ip nat inside source list 1 interface e 1 vrf shop overload

ip nat inside source list 1 interface e 1 vrf bank overload

!

ip route vrf shop 0.0.0.0 0.0.0.0 172.1.1.1 global

ip route vrf bank 0.0.0.0 0.0.0.0 172.1.1.1 global

access-list 1 permit 10.1.1.0 0.0.0.255

 

 

Configuring NAT for IP Address Conservation  [Cisco IOS Software] - Cisco Systems

ciao

Hallo,

 

@pastors

 

zu1.

 

die prio auf den cat ist asic basierend und somit komplett anders zu konfigurieren. hier geht es um die qeueueing architektur des prort asics. Diese wird im [xp]xqxtr

==>

p ==> wie viele prio queues (normal 1 oder keine)

q ==> wie viele "normale" Queues (beim 3560 ==> srr queues)

t ==> wie viele wred thresholds innerhalb einer queue

 

z.B. 1p3q4t

 

Die class-maps kannst du eigentlich nur für Klassifizierung ingress seitig oder policing INGRESS seitig verwenden.

 

Kannst auf einem port ja mal das auto-qos makro ausführen und dir die config dann ansehen. Die ist auf 8 Klassen gestrickt (bei 4 Queues). Auf einem etherchannel kannst du auch noch das loadbalancing anpassen (port-channel loadba ..). Vielleicht kannst du diese auf diese HW (habe ich nicht im kopp - denke geht jedoch nur auf 65xx 45xx 76xx) auf src-dst-port stellen. Dann sollte es eine bessere Auslastung geben (muss zu deinem Trafficpattern passen)

 

2. ja haben qos in vielen NW realisiert.. Qos ist nicht nur ein Feature um VoIP zu realisieren, sondern auch ein Sicherheitsfeature. Falls es Probleme im NW gibt sollten bestimmte Dienste auch im Extremfall weiterleben..

 

ciao

Hola,

 

1.

-------------------------------------------------------------

Only use QOS to make good Situations better

 

Never use QOS hoping to improve poor or marginal

situations to good enough

-------------------------------------------------------------

 

2.

 

policy-map CitrixFast

class citrix

bandwidth percent 65

priority 80

compress header ip

set precedence 5

shape average 1500000

 

==> du kannst priority und bandwidth nicht in einer Klasse mischen

==> 80 + 65 > als 100% des Interfaces ?!

==> wenn du eine 1 Mbit/s Verbindung hast ist ein 1,5 Mbit/s Shaper obsolete

==> du kannst unter einer Klasse kein shaping machen

==> welche HW (H-QOS ist nur auf "performanter" HW möglich)

==> Header Kompression kickt den Switching Pfad zu Process Switching

==> hohe CPU Last auf kleinen Routern = kein Benefit

==> lieber ohne

==> in der class class-default fair-queueing aktivieren.

==> Precedence is over = use DSCP! set dscp af31 (fa21) ..

==> benötigst du das Marking im Transitnetzwerk oder just for fun?

==> save cpu ressources..

==> kannst citrix auch via nbar klassifizieren

==> match protocol citrix

==> kostet cpu ist aber "zuverlässig" (;-)

 

ein Ansatz sollte so aussehen:

 

class-map Citrix

match proto citrix #(oder ohne Nbar wie oben)

!

policy-map QOS

class Citrix

bandwith xxx

class class-default

fair-queue

!

Falls der Router vor einem DSL Modem steckt dann:

 

policy-map Shape-1M

class class-default

shape average 900000 # (Shaping auf 90% der intf bandw)

service-policy QOS

!

Falls du mehr als 70% der intf Bandbreite reservieren willst dann

!

intf xxxxx (outgoing intf)

max-band 100

!

 

Hope this helps

 

brgds and have a great weekend!

 

 

 

brgds

Hallo,

 

@bookweb: wo ist denn da PPPoE konfiguriert. Mit PPPoE wärs interessant so ist es standard...

 

brgds

Hallo,

 

schalt mal proxy-arp unter dem SVI ein in das du via vpn rein willst.

 

ciao

Hallo,

 

was sagt ping 192.53.103.108 source vlan4

 

und

 

ntp logging.