daking
-
Gesamte Inhalte
595 -
Registriert seit
-
Letzter Besuch
Beiträge erstellt von daking
-
-
Hallo Lars,
du kannst natürlich ansatzweise [via microflow policing und ] strom-control diese Probleme zähmen, jedoch ist das gesamt design (sehr layer2 lastig) nicht optimal. Besser ist hier einen L3 routed campus zu definieren. Hier kannst du dann kleine "Terrorzellen" bilden. Falls ein L3 routed Design zu teuer ist gibt es auch andere Möglichkeiten den Kopf aus der Schlinge zu bekommen.
Wenn schon Probleme bekannt sind sollte man nicht versuchen die schlechte Situation "irgendwie" besser zu machen sondern eine optimales Umfeld zu schaffen. pure L2 Designs are dead!
brgds
TS
-
Mit Shutdown = Graceful Shutdown... HSRP Leave Group. Versuchs mal mit phy abstecken und die Umschaltzeit wird sich ändern. In eine Richtung solltest du für ein paar Sekunden (kommt auf die timer an) ein Blackhole haben bis das tracking + hold zieht (das kannst du schlecht mit ping messen).
-
Ein STRG+V macht vor dem Fragezeichen sinn (:-).
-
Fall VoIP im Einsatz ist sollte man noch das Delay durch folgende Tunings anpassen:
Step 1: tx-ring (in particles)
int atm0
pvc 1/32
tx-ring-limit 3
!
==> nun fängt der Router schneller zu Q an.
Step 2: adjust-mss (das ist nicht gerade defensiv)
Oft gibt es keine Möglichkeit LFI bei PPPoA (E) zu verwenden. PPP Multilink kostet eben Rechenleistung und ist Konfigurationsaufwand seitens des Prov.
Dann gibts nur eine Möglichkeit. Kleinere TCP Segmente = weniger Delay.
Diese Optimierung ermöglicht VoIP und bremst TCP (= wie gesagt nicht gerade defensiv). Jedoch ist die TCP (SMB) Performance bei Links kleiner 786Kbit/s durch das Bandwidth Delay Product (BDP) eh nicht toll. Ein paar ms bis s Delay sollten da nicht stören (:-). Falls man diesen Weg gehen will muss man eines wissen ==> ATM Cell Padding kostet ebenfalls meßbar Zeit. Die MSS sollte so definiert sein, dass das entstehende IP Paket ohne Cell Padding in n ATM Zellen passt. (Anmerkung: wenn hier UDP Anwendungen im Einsatz sind hat man eh verloren).
Berechnung:
Step 1: Overhead ermitteln(hier ohne VPN)
AAL5 Header = 10 Byte
AAL5 Trailer = 8 Byte
PPPOE Header = 8 Byte
Ethernet Header = 14 Byte
IP Header = 20 Byte
TCP Header = 20 Byte
= 80 Byte Overhead
Step 2: What MSS?
minimal kann hier ein Wert von 500 Byte gesetzt werden.
Die Frage nun wieviel ATM Zellen + Overhead sind minimal möglich?!
==> Eine ATM Zelle hat 48 Byte Nutzdaten (53 Byte Gesamt mit ATM Link Overhead ==> der ist hier uninteressant)
==> 12 ATM Zellen * 48 Byte können somit 576 Byte Daten ohne padding aufnehmen.
==> wir haben einen Overhead von 80 Byte = 576 - 80 Byte = 496 Byte TCP MSS ==> klappt nicht da min 500 (;-(
==> 13 ATM Zellen * 48 Byte = 624 Byte Nutzdaten = ANS - 80 Byte Overhead = 544 Byte MSS !!! das klappt und sit in dieser Konstellation (agressiv) optimal.
Na ja. Mit IXIA Chariot kann man den benefit durch eingespartes Cell Padding nachmessen..
Ciao
–
Hola,
@Wordo:
ja mit Dialern wird das nicht sauber klappen (mit VTI schon). Aber ein physikalisches Inteface sollte dann doch für QOS vorhanden sein.
ciao
-
Hola,
sorry for the delay...
@all n DocZenith :
shaping wird hier nicht klappen und wird nicht benötigt. der pvc weiß durch die vrb-nrt Konfiguration seine Bandbreite und muss nicht über diese aufgeklärt werden (= no shaping here)
Okay. nun ein paar details:
==> es macht Sinn am Eingangsport die verschiedenen Klassen zu markieren.
==> Falls Nat und IPSEC am Ausgangsport konfiguriert sind passiert dies vor QOS!
==> DSCP Werte werden bei IPSEC in den nächsten Header übernommen ( like tunnel mode == gleiches bei GRE)
==> Falls IPSEC im Einsatz ist sollte man sich Gedanken über Anti Replay Tuning machen (die Pakete kommen in der "falschen" priorisierten Reihenfolge auf der Gegenseite an)
==>VoIP: Bei Bandbreiten kleiner 786kbit/s hat man ein generelles Delay Problem (Serialization Delay). Mit PPP Multilink LFI kann dies optimiert werden.Provider werden dies nicht machen und die "kleinen" Router unterstützen dies nicht auf der ATM Schnittstelle
==> Falls nur TCP gibt es die Möglichkeit via tcp adjust-mss die Pakete kleiner zu machen.
Hier die Configdetails:
–
class-map match-any VoIP
match dscp ef
match protocol skype
class-map match-all p2p
match dscp cs1
class-map match-any Surf
match protocol HTTPS
class-map match-all VPN
match qos-group 111
class-map match-all mark_VPN
match access-group 111
class-map match-any mark_MULE
match protocol edonkey
match protocol fasttrack
match protocol kazaa2
match protocol gnutella
!
!
policy-map MARKER
class mark_VPN
set qos-group 111
class mark_MULE
set dscp cs1
!
policy-map QOS
description CE QOS Policy
class VoIP
priority 300
set dscp ef
class VPN
bandwidth 400
set dscp af31
class p2p
police rate 400000
conform-action transmit
exceed-action drop
set dscp cs1
class class-default
fair-queue
set dscp default
!
interface ATM0
bandwidth 923
no ip address
no ip redirects
no ip unreachables
no ip proxy-arp
load-interval 30
no snmp trap link-status
atm vc-per-vp 64
no atm ilmi-keepalive
pvc 1/32
vbr-nrt 923 923
no oam-pvc manage
encapsulation aal5snap
service-policy output QOS
max-reserved-bandwidth 100
pppoe-client dial-pool-number 1
!
dsl operating-mode auto
dsl lom 200
hold-queue 200 in
end
–
R-01-#sh queueing int atm 0
Interface ATM0 VC 1/32
Queueing strategy: weighted fair
Output queue: 0/512/64/0 (size/max total/threshold/drops)
Conversations 0/29/64 (active/max active/max total)
Reserved Conversations 1/1 (allocated/max allocated)
Available Bandwidth 223 kilobits/sec
R-01-#
==> CBWFQ per VC is enabled!
R-01-MUC#sh policy-map int
ATM0: VC 1/32 -
Service-policy output: QOS
Class-map: VoIP (match-any)
11761 packets, 1042994 bytes
30 second offered rate 0 bps, drop rate 0 bps
Match: dscp ef (46)
0 packets, 0 bytes
30 second rate 0 bps
Match: protocol skype
11761 packets, 1042994 bytes
30 second rate 0 bps
Queueing
Strict Priority
Output Queue: Conversation 72
Bandwidth 300 (kbps) Burst 7500 (Bytes)
(pkts matched/bytes matched) 0/0
(total drops/bytes drops) 0/0
QoS Set
dscp ef
Packets marked 11761
----snip
==> its working. In diesem Fall jedoch noch kein Queueing benötigt = keine Überlast. Sonst sollten hier Pakete im Q Part sein..
==> Ob VPN oder was auch immer = wurst ==> queueing nach DSCP per VC!
-
Hola,
schau mal ob im bootflash ein carshinfo liegt. wenn nein solltest du mal aufs flash loggen (falls supported). Dann siehst du die Meldungen vor dem Crash.
==> logging persistent (Logging to Local Nonvolatile Storage (ATA Disk) - Cisco Systems)
==> Releasenotes!
brgds
-
Hallo,
mit einem atm interface kannst du service policy niemals auf dem nicht überlast erkennenden dialer interface binden (sh queueing int atm0 wird das bestätigen). ausserdem ist die upstream QOS funktion stark von der bandbreite abhängig. Ab 786kbit/s kbit/s stellt das serialization delay eine falle für VoIP (Walky Talky Effeckt). Diese Falle ist nur mit ppp lfi oder aggressiven adjust-mss tuning (manche Applikation vertragen dies nicht - falls udp streaming im einsatz = verloren)
Generell ist es jedoch möglich auf dieser Hardware queueing sauber zu konfigurieren:
interface ATM0
pvc 1/32
vbr-nrt <dsl upload> <dsl-upload>
no oam-pvc manage
encapsulation aal5snap
service-policy output QOS
tx-ring-limit
max-reserved-bandwidth 100
pppoe-client dial-pool-number 1
!
Die tcp mss sollte optimaler weise kein atm cell padding erzeugen (delay).
Auf der LAN Seite muss, falls trunk ein dscp to cos mapping durchgeführt werden.
......
hope this helps.
-
-
Hallo,
der Catalyst 3560 unterstützt egress ein 4Q3T (optional 1P3Q3T) Queueing [und ingress ein 1P1Q3T Queuing]. Wichtig für die VoIP Installation ist:
1. ==> RTP / RTCP in die Priority Queue (1P)
2. ==> richtige Remappings bei L3 Interfaces
!!egress ist Q1 die Priority Queue
[!!ingress ist Q2 die Priority Queue]
folgendes sollte für den Anfang für VoIP reichen:
//COS 6 in die PQ, COS 7 =! Video sondern NC
mls qos srr-queue output cos-map queue 1 threshold 3 6
mls qos srr-queue output dscp-map queue 1 threshold 3 48
mls qos
inteface xxxx0/0
srr-queue bandwidth shape 0 0 0 0
srr-queue bandwidth share 10 10 60 20
priority-queue out
mls qos trust cos
!
// wie wird das signalling markiert?
hope this helps
ciao
-
Hallo,
wie lautet die genau Fehlermeldung?
Habt ihr Server Interface Teaming im Einsatz (welche MAC?).
wie sieht die Port Config aus?
was ist der Unterschied zwischen den Thin/Fat-Clients?
Welche Clients/Supplicants (Hersteller)?
==> zwischen 12.2(25)EW und 12.2(31)SGA sind einige neue 1x Features hinzugekommen.
ciao
-
Hallo,
denke das passt so (du kannst dir die frei transform sets sparen da reicht eins==> definiert nur die Methode ==> src/dst unabhängig)
welche IP terminiert in deiner config lokal das VPN? (auf welche IP sind die keys auf der gegenseite eingetragen? oder verwendest du dynamische cr maps?)
Mit crypto map <name> local-address kannst du diese Adresse definieren. Dies ist interessant, wenn du z.B. ein aktives Interface und ein BKUP interface hast (via z.B. dyn Routing) ==> dann kannst du den Tunnel z.B. auf ein Loopback Interface terminieren (auf der Gegenseite wird dann crypto isakmp key <key> address <local-address wie definiert auf dieser Seite> definiert.
ciao
-
Hallo,
==> webwasher != IOS FW
Ciao
-
Hallo
crypto isakmp key <key> address <Site 1 IP extern>
crypto isakmp key <key> address <Site 2 IP extern>
crypto isakmp key <key> address <Site 3 IP extern>
!
!
crypto map <name> local-address Loopback0 ==> wer soll lokal terminieren
crypto map <name> 101 ipsec-isakmp
set peer <Site 1 IP extern>
set transform-set mySet
match address 101
crypto map <name> 102 ipsec-isakmp
set peer <Site 2 IP extern>
set transform-set mySet
match address 102
crypto map <name> 103 ipsec-isakmp
set peer <Site n IP extern>
set transform-set mySet
match address 103
!
....
Ciao
-
Hallo,
nein macht kein Problem, da Standarddesign. Du mußt nur aufpassen, dass die primäre Routinginstanz auch Rootbridge ist. Die wird über die bridge priorität definiert. Die redundanten Links werden dann in Richtung secondary Rootbridge (zweiter Coreswitch ==> ebenfalls definieren via prio) am AccessSwitch für jedes VLAN geblockt (sollten geblockt werden, wenn die HPs keinen Flat STP machen).
Ciao
-
Hallo,
denke du kannst die (DDNS) IOS Config mit den SDM auslesen und posten. da wird wohl wieder das übliche ? Problem vorhanden sein.
so sollte das dann aussehen:
ip ddns update method dynHome
HTTP
add http://<user>:<pass>@members.dyndns.org/nic/update?system=dyndns&hostname=<h>&myip=<a>
interval maximum 0 1 0 0
!
interface Dialer1
ip ddns update hostname <host>
ip ddns update dynHome host <host>
!
Ciao
-
Hallo
----
VLAN 1
Spanning tree disabled
----
siehst du BPDUs wenn du eine Sniffer an den Switch aktivierst?
==> denke nein
Ciao
-
Hallo,
wenn du einen Loop forcieren willst solltest du ein Broadcastpaket schicken...
...falls spt und channel ausgeschaltet sind
Ciao
-
Hallo,
das muß nicht unbeding an portsecurity liegen:
Folgende errdisable Gründe gibt es:
errdisable recovery cause udld
errdisable recovery cause bpduguard
errdisable recovery cause security-violation
errdisable recovery cause channel-misconfig
errdisable recovery cause pagp-flap
errdisable recovery cause dtp-flap
errdisable recovery cause link-flap
errdisable recovery cause l2ptguard
errdisable recovery cause psecure-violation
errdisable recovery cause gbic-invalid
errdisable recovery cause dhcp-rate-limit
errdisable recovery cause mac-limit
errdisable recovery cause unicast-flood
errdisable recovery cause arp-inspection
solltest denke ich auch mit dieser HW den Grund mit dem Befehl
show errdisable recovery
sehen:
cat6knative#show errdisable recovery
ErrDisable Reason Timer Status
----------------- --------------
udld Enabled
bpduguard Enabled
security-violatio Enabled
channel-misconfig Enabled
pagp-flap Enabled
dtp-flap Enabled
link-flap Enabled
l2ptguard Enabled
psecure-violation Enabled
Timer interval: 300 seconds
Interfaces that will be enabled at the next timeout:
Interface Errdisable reason Time left(sec)
--------- ----------------- --------------
Gi4/1 bpduguard 270 ==> bpdus empfangen an bpdug port..
edit: Errdisable Port State Recovery on the Cisco IOS Platforms [spanning Tree Protocol] - Cisco Systems
Ciao
-
Hallo,
beim start Breack --> confreg --> baudrate anpassen (+ ohne config) -->..
oder ==> austesten per hand. soviele Möglichkeiten gibts da nicht..
Ciao
-
könnte denke ich an einem Duplexmismatch liegen (das DSL Modem wird Half Duplex sein).
mal schauen..
(interf fa x/y
duplex half
speed auto
)
-
Hola,
poste mal
sh controllers ethernet-controller fas xx
sh int xy counters err
sh int fas xx
sh run int fas xx
cisco
-
Hola,
vielleicht mußt du noch global den controller typ definieren, dann erscheint das ser interface.
Denke das war entweder:
r-01#(conf)ontroller [t1 | e1] slot/port
oder
r-01#(conf)card type ...
(das sollte dann eigentlich in der config stehen :
! card type command needed for slot 1)
Hoffe das hilft.
-
Hola fu,
kannst dir erst mal 30 Tage Zeit nehmen.
Ciao
-
Hola Fu,
die ***** bei der Prüfung ist die richtigen Befehle zu benutzen. Du kannst bestimmte Features (z.B. Dial mit dialer profiles, dialer map... usw. ist ISDN eigentlich weggefallen? ) verschieden konfigurieren. Da das TR Lab wegegefallen ist, und die Auswertung via Script läuft, kann man da sauber daneben langen... Da macht dann doch ein Bootkamp sinn.. Na ja. was sind für 12.4er spec Features drangekommen?
Viel werfolg beim nächsten Run!
brgds
TS
876 Router
in Cisco Forum — Allgemein
Geschrieben
Hallo ,
wenn du mehrere Aussenstellen via VTI angebunden hast, wird du die VTIs verwenden müssen. ist jedoch dann Process Switching Pfad (mit dem 876 nicht ganz toll). Wenn du nur eine VPN Verbindung hast solltest du die config auf dem ATM Interface machen. Falls du die Config auf dem VTI machst musst du shapen, da das Interface die phy Interface Bandbreite nicht kennt.
(Falls du ein Ethernet Interface hast solltest du ebenfalls shapen, um die INET Bandbreite zu auf dem ETH Interface zu legen. Der Shaper sollte dann ein maximales delay von 10 - 20ms haben. Dies muss ebenfalls konfiguriert werden...)
==> easy going.
ciao