Переодически обращаю внимание, что запустив traceroute или ping на оборудовании Cisco человек сидит и ждет, когда дорисуются все *, на отсутствующих хопах. Я имею ввиду вот такой случай:

traceroute 192.168.0.1
 
Type escape sequence to abort.
Tracing the route to 192.168.0.1 (192.168.0.1)
 
  1  *  *  *
  2  *  *  *
  3  *  *  *
  4  *  *  *
  5  *  *  *
  6  *  *  *
  7  *  *  *
  8  *  *  *
  9  *  *  *
 10  *  *  *
 11  *  *  *
 12  *  *  *
 13  *  *  *
 14  *  *  *
 15  *  *  *
 16  *  *  *
 17  *  *  *
 18  *  *  *
 19  *  *  *

Ждут потому что не знают escape sequence to abort, встречаю я это очень часто.
Ответ прост escape sequence это Ctrl+Shift+6.
Не знаю, учат ли этим комбинациям где либо, но я в свое время нарыл в гугле.

Графики загрузки вообще то вещь очень интересная и полезная. Можно отследить динамику изменеий и проанализировать к чему может или могло привести это изменение.
Оборудование Cisco, впрочем как и много других апаратных решений имеют ограниченные ресурсы. Этих ресурсов хватает ровно на выполнение тех задач, которые описаны в спецификации.
Read more »

Свитчи производства Cisco всем хороши, работают стабильно, обеспечивают работу узла на 100 %. Вот дорогие – это да.
Помимо работы как свичт, модели 35XX, 37XX могут выступать как маршрутизаторы. При этом, если в конце стоит буковка E, имеется ввиду к примеру модель WS-C3560E-24TD-E, то у нее IPS IOS с поддержкой BGP. Модель же WS-C3560E-24TD-S содержит базовый IOS(IPB) и в нем нет BGP.
Read more »

800-я серия маршрутизаторов Cisco предназначена для небольших офисов. Недавно пришлось с ней разбираться. Задача была пробросить 80-й порт внутрь сети, на адрес 192.168.0.5. При этом у клиента на внешний интерфейс была заведена целая сеть, а маршрутизировать белую сетку внутрь своей сети он отказывался. Аргументировал это тем, что так небезопасно.
Read more »

В статье Q-in-Q настройка в Cisco Catalyst 3750 я описывал схему построения туннеля 802.1q с использованием целых 4-х коммутаторов класом никак не ниже Cisco Catalyst 35XX серии. Не всегда приходится строить такие схемы для подключения сразу 10-ти и более бизнес клиентов. Иногда приходится строить тунель для 2-х, максимум 3-х клиентов с неясными перспективами на подключение новых клиентов. Поэтому приходится экономить, и тут можно съэкономить кардинально, убрав из этой классической схемы 2 свитча. Схема упростится за счет того, что мы с тегируемого порта свича, поставим кабель идущий в порт, находящийся в режиме dot1q-tunnel. Таким образом мы соорудим так называемый QinQ Loop. Схема коммутации будет выглядеть так:

Read more »

Q-in-Q, так же это называют dot1q tunneling, это система двойного тегирования вланов. То есть, допустим у нас есть канал на некую техплощадку, на которой подключены клиенты, клиенты должны быть изолированы друг от друга с помощью vlan, но транспорт не позволяет обеспечить нужное количество вланов на каждого клиента, а владельцы транспорта дают один влан и как говорится крутись как хочешь. Вот для таких случаев замечательно подходит dot1q тунелирование, когда внутрь одного влана на входе упаковываются вланы, а на выходе транспорта распаковываются. Остается добавить, что не все виды коммутаторов поддерживают Q-in-Q, среди коммутаторов Cisco поддерживают Q-in-Q 35хх, 37xx, 45xx. Среди продуктов D-Link поддерживает Des-3825, тут Q-in-Q называется Double Vlan. И все коммутаторы производства ExtremeNetworks, они называют эту технологию vMan.
Read more »

Иногда выпадают такие нетривиальные задачи. Если вы обеспечиваете клиентам транспорт по второму уровню, объеденение оффисов и тому подобное, то мониторить работоспособность можно только с помощью подсчета маков во влане. Метод достаточно неточный, поскольку авария может уже случится, а мак еще может хранится в таблице. Но тем не менее, бывают такие клиенты, которых нужно хоть как то мониторить.
Я использую такую команду:

/usr/local/bin/snmpwalk -Os -c netstat@501 -v 1 192.168.5.5 .1.3.6.1.2.1.17.4.3.1.1

Здесь 192.168.5.5 – адрес свитча,
501 – номер влана который мониторится, а .1.3.6.1.2.1.17.4.3.1.1 – MiB котрый выводит маки которые присутствуют в этом влане.
Результат будет такой:

mib-2.17.4.3.1.1.0.20.169.37.168.40 = Hex-STRING: 00 A4 C9 25 D8 38 
mib-2.17.4.3.1.1.0.30.122.229.194.156 = Hex-STRING: 00 1F 7C E5 C5 9C

Как есть два мака, по одному с каждой стороны транспорта.
На свитчах отличных от catalyst 3750 этот MiB я не проверял, гарантировать что будет работать не могу.

Централизованная авторизация через radius server имеет ряд неоспоримых достоинств. Если у вас обслуживанием оборудования занимается несколько человек и штат сотрудников время от времени меняется, а не меняться он не может, то правильней всего завести один источник авторизации на котором можно завести пользователя или заблокировать одним движением, а не обходя оборудование по кругу и блокируя аккаунты. Во вторых источником авторизации может служить все что угодно, радиус сервера могут обращаться к SQL базам, к хранилищу в виде простого файла, и наконец к PAM, как мы сегодня и настроим.
Почему я выбрал авторизацию через PAM? Да просто потому что так исторически сложилось. И система мониторинга авторизуется через апачевский mod_auth_pam.
Read more »