Jump to content

daking

Members
  • Gesamte Inhalte

    595
  • Registriert seit

  • Letzter Besuch

Alle erstellten Inhalte von daking

  1. daking

    876 Router

    Hallo , wenn du mehrere Aussenstellen via VTI angebunden hast, wird du die VTIs verwenden müssen. ist jedoch dann Process Switching Pfad (mit dem 876 nicht ganz toll). Wenn du nur eine VPN Verbindung hast solltest du die config auf dem ATM Interface machen. Falls du die Config auf dem VTI machst musst du shapen, da das Interface die phy Interface Bandbreite nicht kennt. (Falls du ein Ethernet Interface hast solltest du ebenfalls shapen, um die INET Bandbreite zu auf dem ETH Interface zu legen. Der Shaper sollte dann ein maximales delay von 10 - 20ms haben. Dies muss ebenfalls konfiguriert werden...) ==> easy going. ciao
  2. Hallo Lars, du kannst natürlich ansatzweise [via microflow policing und ] strom-control diese Probleme zähmen, jedoch ist das gesamt design (sehr layer2 lastig) nicht optimal. Besser ist hier einen L3 routed campus zu definieren. Hier kannst du dann kleine "Terrorzellen" bilden. Falls ein L3 routed Design zu teuer ist gibt es auch andere Möglichkeiten den Kopf aus der Schlinge zu bekommen. Wenn schon Probleme bekannt sind sollte man nicht versuchen die schlechte Situation "irgendwie" besser zu machen sondern eine optimales Umfeld zu schaffen. pure L2 Designs are dead! brgds TS
  3. Mit Shutdown = Graceful Shutdown... HSRP Leave Group. Versuchs mal mit phy abstecken und die Umschaltzeit wird sich ändern. In eine Richtung solltest du für ein paar Sekunden (kommt auf die timer an) ein Blackhole haben bis das tracking + hold zieht (das kannst du schlecht mit ping messen).
  4. Ein STRG+V macht vor dem Fragezeichen sinn (:-).
  5. daking

    876 Router

    Fall VoIP im Einsatz ist sollte man noch das Delay durch folgende Tunings anpassen: Step 1: tx-ring (in particles) int atm0 pvc 1/32 tx-ring-limit 3 ! ==> nun fängt der Router schneller zu Q an. Step 2: adjust-mss (das ist nicht gerade defensiv) Oft gibt es keine Möglichkeit LFI bei PPPoA (E) zu verwenden. PPP Multilink kostet eben Rechenleistung und ist Konfigurationsaufwand seitens des Prov. Dann gibts nur eine Möglichkeit. Kleinere TCP Segmente = weniger Delay. Diese Optimierung ermöglicht VoIP und bremst TCP (= wie gesagt nicht gerade defensiv). Jedoch ist die TCP (SMB) Performance bei Links kleiner 786Kbit/s durch das Bandwidth Delay Product (BDP) eh nicht toll. Ein paar ms bis s Delay sollten da nicht stören (:-). Falls man diesen Weg gehen will muss man eines wissen ==> ATM Cell Padding kostet ebenfalls meßbar Zeit. Die MSS sollte so definiert sein, dass das entstehende IP Paket ohne Cell Padding in n ATM Zellen passt. (Anmerkung: wenn hier UDP Anwendungen im Einsatz sind hat man eh verloren). Berechnung: Step 1: Overhead ermitteln(hier ohne VPN) AAL5 Header = 10 Byte AAL5 Trailer = 8 Byte PPPOE Header = 8 Byte Ethernet Header = 14 Byte IP Header = 20 Byte TCP Header = 20 Byte = 80 Byte Overhead Step 2: What MSS? minimal kann hier ein Wert von 500 Byte gesetzt werden. Die Frage nun wieviel ATM Zellen + Overhead sind minimal möglich?! ==> Eine ATM Zelle hat 48 Byte Nutzdaten (53 Byte Gesamt mit ATM Link Overhead ==> der ist hier uninteressant) ==> 12 ATM Zellen * 48 Byte können somit 576 Byte Daten ohne padding aufnehmen. ==> wir haben einen Overhead von 80 Byte = 576 - 80 Byte = 496 Byte TCP MSS ==> klappt nicht da min 500 (;-( ==> 13 ATM Zellen * 48 Byte = 624 Byte Nutzdaten = ANS - 80 Byte Overhead = 544 Byte MSS !!! das klappt und sit in dieser Konstellation (agressiv) optimal. Na ja. Mit IXIA Chariot kann man den benefit durch eingespartes Cell Padding nachmessen.. Ciao – Hola, @Wordo: ja mit Dialern wird das nicht sauber klappen (mit VTI schon). Aber ein physikalisches Inteface sollte dann doch für QOS vorhanden sein. ciao
  6. daking

    876 Router

    Hola, sorry for the delay... @all n DocZenith : shaping wird hier nicht klappen und wird nicht benötigt. der pvc weiß durch die vrb-nrt Konfiguration seine Bandbreite und muss nicht über diese aufgeklärt werden (= no shaping here) Okay. nun ein paar details: ==> es macht Sinn am Eingangsport die verschiedenen Klassen zu markieren. ==> Falls Nat und IPSEC am Ausgangsport konfiguriert sind passiert dies vor QOS! ==> DSCP Werte werden bei IPSEC in den nächsten Header übernommen ( like tunnel mode == gleiches bei GRE) ==> Falls IPSEC im Einsatz ist sollte man sich Gedanken über Anti Replay Tuning machen (die Pakete kommen in der "falschen" priorisierten Reihenfolge auf der Gegenseite an) ==>VoIP: Bei Bandbreiten kleiner 786kbit/s hat man ein generelles Delay Problem (Serialization Delay). Mit PPP Multilink LFI kann dies optimiert werden.Provider werden dies nicht machen und die "kleinen" Router unterstützen dies nicht auf der ATM Schnittstelle ==> Falls nur TCP gibt es die Möglichkeit via tcp adjust-mss die Pakete kleiner zu machen. Hier die Configdetails: – class-map match-any VoIP match dscp ef match protocol skype class-map match-all p2p match dscp cs1 class-map match-any Surf match protocol HTTPS class-map match-all VPN match qos-group 111 class-map match-all mark_VPN match access-group 111 class-map match-any mark_MULE match protocol edonkey match protocol fasttrack match protocol kazaa2 match protocol gnutella ! ! policy-map MARKER class mark_VPN set qos-group 111 class mark_MULE set dscp cs1 ! policy-map QOS description CE QOS Policy class VoIP priority 300 set dscp ef class VPN bandwidth 400 set dscp af31 class p2p police rate 400000 conform-action transmit exceed-action drop set dscp cs1 class class-default fair-queue set dscp default ! interface ATM0 bandwidth 923 no ip address no ip redirects no ip unreachables no ip proxy-arp load-interval 30 no snmp trap link-status atm vc-per-vp 64 no atm ilmi-keepalive pvc 1/32 vbr-nrt 923 923 no oam-pvc manage encapsulation aal5snap service-policy output QOS max-reserved-bandwidth 100 pppoe-client dial-pool-number 1 ! dsl operating-mode auto dsl lom 200 hold-queue 200 in end – R-01-#sh queueing int atm 0 Interface ATM0 VC 1/32 Queueing strategy: weighted fair Output queue: 0/512/64/0 (size/max total/threshold/drops) Conversations 0/29/64 (active/max active/max total) Reserved Conversations 1/1 (allocated/max allocated) Available Bandwidth 223 kilobits/sec R-01-# ==> CBWFQ per VC is enabled! R-01-MUC#sh policy-map int ATM0: VC 1/32 - Service-policy output: QOS Class-map: VoIP (match-any) 11761 packets, 1042994 bytes 30 second offered rate 0 bps, drop rate 0 bps Match: dscp ef (46) 0 packets, 0 bytes 30 second rate 0 bps Match: protocol skype 11761 packets, 1042994 bytes 30 second rate 0 bps Queueing Strict Priority Output Queue: Conversation 72 Bandwidth 300 (kbps) Burst 7500 (Bytes) (pkts matched/bytes matched) 0/0 (total drops/bytes drops) 0/0 QoS Set dscp ef Packets marked 11761 ----snip ==> its working. In diesem Fall jedoch noch kein Queueing benötigt = keine Überlast. Sonst sollten hier Pakete im Q Part sein.. ==> Ob VPN oder was auch immer = wurst ==> queueing nach DSCP per VC!
  7. Hola, schau mal ob im bootflash ein carshinfo liegt. wenn nein solltest du mal aufs flash loggen (falls supported). Dann siehst du die Meldungen vor dem Crash. ==> logging persistent (Logging to Local Nonvolatile Storage (ATA Disk) - Cisco Systems) ==> Releasenotes! brgds
  8. daking

    876 Router

    Hallo, mit einem atm interface kannst du service policy niemals auf dem nicht überlast erkennenden dialer interface binden (sh queueing int atm0 wird das bestätigen). ausserdem ist die upstream QOS funktion stark von der bandbreite abhängig. Ab 786kbit/s kbit/s stellt das serialization delay eine falle für VoIP (Walky Talky Effeckt). Diese Falle ist nur mit ppp lfi oder aggressiven adjust-mss tuning (manche Applikation vertragen dies nicht - falls udp streaming im einsatz = verloren) Generell ist es jedoch möglich auf dieser Hardware queueing sauber zu konfigurieren: interface ATM0 pvc 1/32 vbr-nrt <dsl upload> <dsl-upload> no oam-pvc manage encapsulation aal5snap service-policy output QOS tx-ring-limit max-reserved-bandwidth 100 pppoe-client dial-pool-number 1 ! Die tcp mss sollte optimaler weise kein atm cell padding erzeugen (delay). Auf der LAN Seite muss, falls trunk ein dscp to cos mapping durchgeführt werden. ...... hope this helps.
  9. Hallo, meinst du vielleicht ethernet oam? Cisco ME 3400 Switch Software Configuration Guide, Rel. 12.2(37)SE - Configuring Ethernet CFM, E-LMI, and OAM [Cisco ME 3400 Series Ethernet Access Switches] - Cisco Systems ciao
  10. Hallo, der Catalyst 3560 unterstützt egress ein 4Q3T (optional 1P3Q3T) Queueing [und ingress ein 1P1Q3T Queuing]. Wichtig für die VoIP Installation ist: 1. ==> RTP / RTCP in die Priority Queue (1P) 2. ==> richtige Remappings bei L3 Interfaces !!egress ist Q1 die Priority Queue [!!ingress ist Q2 die Priority Queue] folgendes sollte für den Anfang für VoIP reichen: //COS 6 in die PQ, COS 7 =! Video sondern NC mls qos srr-queue output cos-map queue 1 threshold 3 6 mls qos srr-queue output dscp-map queue 1 threshold 3 48 mls qos inteface xxxx0/0 srr-queue bandwidth shape 0 0 0 0 srr-queue bandwidth share 10 10 60 20 priority-queue out mls qos trust cos ! // wie wird das signalling markiert? hope this helps ciao
  11. daking

    802.1x

    Hallo, wie lautet die genau Fehlermeldung? Habt ihr Server Interface Teaming im Einsatz (welche MAC?). wie sieht die Port Config aus? was ist der Unterschied zwischen den Thin/Fat-Clients? Welche Clients/Supplicants (Hersteller)? ==> zwischen 12.2(25)EW und 12.2(31)SGA sind einige neue 1x Features hinzugekommen. ciao
  12. Hallo, denke das passt so (du kannst dir die frei transform sets sparen da reicht eins==> definiert nur die Methode ==> src/dst unabhängig) welche IP terminiert in deiner config lokal das VPN? (auf welche IP sind die keys auf der gegenseite eingetragen? oder verwendest du dynamische cr maps?) Mit crypto map <name> local-address kannst du diese Adresse definieren. Dies ist interessant, wenn du z.B. ein aktives Interface und ein BKUP interface hast (via z.B. dyn Routing) ==> dann kannst du den Tunnel z.B. auf ein Loopback Interface terminieren (auf der Gegenseite wird dann crypto isakmp key <key> address <local-address wie definiert auf dieser Seite> definiert. ciao
  13. Hallo, ==> webwasher != IOS FW Ciao
  14. Hallo crypto isakmp key <key> address <Site 1 IP extern> crypto isakmp key <key> address <Site 2 IP extern> crypto isakmp key <key> address <Site 3 IP extern> ! ! crypto map <name> local-address Loopback0 ==> wer soll lokal terminieren crypto map <name> 101 ipsec-isakmp set peer <Site 1 IP extern> set transform-set mySet match address 101 crypto map <name> 102 ipsec-isakmp set peer <Site 2 IP extern> set transform-set mySet match address 102 crypto map <name> 103 ipsec-isakmp set peer <Site n IP extern> set transform-set mySet match address 103 ! .... Ciao
  15. Hallo, nein macht kein Problem, da Standarddesign. Du mußt nur aufpassen, dass die primäre Routinginstanz auch Rootbridge ist. Die wird über die bridge priorität definiert. Die redundanten Links werden dann in Richtung secondary Rootbridge (zweiter Coreswitch ==> ebenfalls definieren via prio) am AccessSwitch für jedes VLAN geblockt (sollten geblockt werden, wenn die HPs keinen Flat STP machen). Ciao
  16. Hallo, denke du kannst die (DDNS) IOS Config mit den SDM auslesen und posten. da wird wohl wieder das übliche ? Problem vorhanden sein. so sollte das dann aussehen: ip ddns update method dynHome HTTP add http://<user>:<pass>@members.dyndns.org/nic/update?system=dyndns&hostname=<h>&myip=<a> interval maximum 0 1 0 0 ! interface Dialer1 ip ddns update hostname <host> ip ddns update dynHome host <host> ! Ciao
  17. Hallo ---- VLAN 1 Spanning tree disabled ---- siehst du BPDUs wenn du eine Sniffer an den Switch aktivierst? ==> denke nein Ciao
  18. Hallo, wenn du einen Loop forcieren willst solltest du ein Broadcastpaket schicken... ...falls spt und channel ausgeschaltet sind Ciao
  19. Hallo, das muß nicht unbeding an portsecurity liegen: Folgende errdisable Gründe gibt es: errdisable recovery cause udld errdisable recovery cause bpduguard errdisable recovery cause security-violation errdisable recovery cause channel-misconfig errdisable recovery cause pagp-flap errdisable recovery cause dtp-flap errdisable recovery cause link-flap errdisable recovery cause l2ptguard errdisable recovery cause psecure-violation errdisable recovery cause gbic-invalid errdisable recovery cause dhcp-rate-limit errdisable recovery cause mac-limit errdisable recovery cause unicast-flood errdisable recovery cause arp-inspection solltest denke ich auch mit dieser HW den Grund mit dem Befehl show errdisable recovery sehen: cat6knative#show errdisable recovery ErrDisable Reason Timer Status ----------------- -------------- udld Enabled bpduguard Enabled security-violatio Enabled channel-misconfig Enabled pagp-flap Enabled dtp-flap Enabled link-flap Enabled l2ptguard Enabled psecure-violation Enabled Timer interval: 300 seconds Interfaces that will be enabled at the next timeout: Interface Errdisable reason Time left(sec) --------- ----------------- -------------- Gi4/1 bpduguard 270 ==> bpdus empfangen an bpdug port.. edit: Errdisable Port State Recovery on the Cisco IOS Platforms [spanning Tree Protocol] - Cisco Systems Ciao
  20. Hallo, beim start Breack --> confreg --> baudrate anpassen (+ ohne config) -->.. oder ==> austesten per hand. soviele Möglichkeiten gibts da nicht.. Ciao
  21. könnte denke ich an einem Duplexmismatch liegen (das DSL Modem wird Half Duplex sein). mal schauen.. (interf fa x/y duplex half speed auto )
  22. Hola, poste mal sh controllers ethernet-controller fas xx sh int xy counters err sh int fas xx sh run int fas xx cisco
  23. Hola, vielleicht mußt du noch global den controller typ definieren, dann erscheint das ser interface. Denke das war entweder: r-01#(conf)ontroller [t1 | e1] slot/port oder r-01#(conf)card type ... (das sollte dann eigentlich in der config stehen : ! card type command needed for slot 1) Hoffe das hilft.
  24. daking

    Lab Test

    Hola fu, kannst dir erst mal 30 Tage Zeit nehmen. Ciao
  25. daking

    Lab Test

    Hola Fu, die ***** bei der Prüfung ist die richtigen Befehle zu benutzen. Du kannst bestimmte Features (z.B. Dial mit dialer profiles, dialer map... usw. ist ISDN eigentlich weggefallen? ) verschieden konfigurieren. Da das TR Lab wegegefallen ist, und die Auswertung via Script läuft, kann man da sauber daneben langen... Da macht dann doch ein Bootkamp sinn.. Na ja. was sind für 12.4er spec Features drangekommen? Viel werfolg beim nächsten Run! brgds TS
×
×
  • Neu erstellen...