В документе
Cisco Product Quick Reference Guide
представлена информация о важных функциях, технической спецификации, партийных номерах и прочем для многих cisco устройств.
Информация в документе по состоянию на Октябрь 2011 года.
Взято с http://www.cisco.com/en/US/prod/collateral/netmgtsw/cpqrg.pdf
В документе:
представлены сравнительные характеристики производительности (Мбит/c и Пакетов/с) для различных моделей маршрутизаторов cisco.
Информация обновлена в документе 3 Ноября 2009 года
Взято с http://www.cisco.com/web/partners/downloads/765/tools/quickreference/routerperformance.pdf
Многие модели коммутаторов Cisco ( например Cisco Ctalyst 2960G, 2960S, 3560E, 3560X, 3750G, 3750E, 3750X и другие) поддерживают на сетевых портах TDR. TDR — Time Domain Reflectometry позволяет диагностировать медный кабель, подключенный к порту (в данном случая витая пара UTP).
С помощью данного теста можно определить приблизительную длину кабеля, обрыв кабеля, неправильную распиновку кабеля, короткое замыкание в кабеле и прочее.
Для выполнения данного теста необходимо в привилегированном EXEC режиме ввести команду:
«test cable-diagnostics tdr interface if_name if_num» — включает тест TDR на интерфейсе с именем if_name и номером if_num
На некоторых медных интерфейсах (например, которые можно заменить SFP модулями), перед выполнением команды «test cable-diagnostics tdr …» требуется указать явно тип интерфейса — RJ45.
Тип интерфейса указывается в режиме конфигурации интерфейса командой:
«media-type rj45» — Указывает тип интерфейса. Если у вас SFP модуль и оптический кабель к нему подключен, то так делать не следует. TDR диагностирует только медные кабеля.
Посмотреть результат TDR можно командой:
«show cable-diagnostics tdr interface if_name if_num» — показывает результат выполнения теста TDR на интерфейсе if_name с номером if_num
Пример использования:
Пусть необходимо посмотреть состояние медного кабеля (UTP) на 24-м порту коммутатора. Читать далее
Назначение привилегий для пользователей Cisco уже описывалось в статье Cisco privilege — Настройка привилегий пользователя CISCO. В статье говорилось, что пользователю назначается уровень привилегий, а для определенного уровня привилегий назначаются команды, которые можно выполнять. Такой подход разграничения прав не очень гибок. Что бы задействовать распределение прав по ролям можно воспользоваться возможностью «Role-Based CLI Access» или по другому называется «CLI Views».
Поддерживает ли ваш IOS «CLI Views» можно посмотреть в Cisco Feature Navigator. «Фича» (Feature) так и называется — CLI Views.
Основные понятия «Role-Based CLI Access»
В «Role-Based CLI Access» для разграничения прав используются элементы, которые называются «Views», они определяют какие команды можно выполнять в EXEC режиме или конфигурационном режиме (config), а так же, какая информация доступна для просмотра.
Эти элементы, по желанию, можно объединять в один большой элемент, который называется «Superview».
Администратор, который настраивает «View», а так же добавляет или удаляет «View» в «Superview», должен иметь роль «Root View». Отличие роли «Root View» от просто привилегированного 15-го режима в том, что «Root View» пользователь может конфигурировать новый «View», а так же удалять или добавлять в него команды.
Существуют специальные «View» для «законного перехвата», называются они «Lawful Intercept Views», которые предоставляют доступ к специфичным командам для настройки функции «Законного перехвата» (Lawful Intercept). Применяется для взаимодействия с СОРМ — Система Оперативно Розыскных Мероприятий.
Настройка Cisco CLI Access
Перед настройкой Views необходимо активировать AAA (authentication, authorization, and accounting) командой «aaa new-model» в режиме глобального конфигурирования. После включения aaa new-model, не забываем, так же, указать нужные вам параметры для аутентификации (команда «aaa authentication …«), задать Enable пароль и если нужно завести локального пользователя, как это сделать написано в статье Маршрутизатор Cisco — начальная настройка. Иначе может возникнуть такая ситуация, что невозможно будет залогиниться на устройство.
Создание View:
1. Находясь в EXEC режиме, активировать «Root View» командой «enable view«. Запросит Enable пароль — его нужно задать ранее, знать и ввести. После чего вы окажитесь в «root view». Проверить можно командой «show parser view«, она должна вывести строку: «Current view is ‘root'» Читать далее
Рассмотрев настройку резервирования маршрутизаторов Cisco по протоколу HSRP и VRRP, закончим данную тему протоколом GLBP (Gateway Load Balancing Protocol). Отличительной особенностью данного протокола от HSRP и VRRP является то, что он позволяет балансировать нагрузку между роутерами, участвующими в резервировании. Балансировка достигается путём использования одного виртуального IP адреса и нескольких виртуальных MAC адресов, позволяя тем самым участвовать в процессе передачи пакетов всем маршрутизаторам в группе. Каждому роутеру присваивается свой виртуальный MAC адрес и общий виртуальный IP адрес.
Ограничения протокола GLBP
— Так же как HSRP и VRRP, протокол GLBP используется в Ethernet сетях (IEEE 802.3)
— Маршрутизатор должен поддерживать множественные MAC адреса на одном физическом интерфейсе
— Enhanced Object Tracking (EOT) не может быть использован совместно с протоколом GLBP, если активирован режим SSO (Stateful switchover)
— GLBP поддерживает до 1024 виртуальных роутеров (GLBP групп) на каждом физическом интерфейсе. И до 4-х виртуальных форвардеров в одной группе (то есть, если я правильно понимаю, балансировку нагрузки одновременно могут выполнять максимум 4 маршрутизатора)
— Если GLBP используется на VLAN интерфейсе, то номер GLBP группы должен быть отличен от номера VLAN
Основные понятия протокола GLBP
Active Virtual Gateway (AVG) — активный виртуальный шлюз. Члены GLBP группы выбирают один маршрутизатор, который будет выполняет роль AVG, остальные будут работать в режиме резерва, что бы в случае выхода из строя AVG, заменить его. AVG назначает виртуальные MAC адреса для каждого члена GLBP группы. Каждый маршрутизатор с виртуальным MAC адресом имеет возможность отвечать на пакеты, пришедшие на этот MAC. Active Virtual Gateway отвечает на ARP запросы, приходящие на виртуальный IP адрес, и в ARP ответах отдает разные виртуальные MAC адреса для одного виртуального IP.
Active Virtual Forwarders (AVF) — активные виртуальные форвардеры. Это маршрутизаторы в GLPB группе, которым AVG назначил виртуальный MAC адрес и которые участвуют в передаче пакетов.
GLBP gateway priority — приоритет, который определяет, какой из резервных маршрутизаторов станет выполнять роль AVG, если текущий AVG станет не доступен. Значение приоритета может быть от 1 до 255. Если включен «glbp preempt», то маршрутизатор с наивысшим приоритетом станет выполнять роль AVG, даже если текущий AVG в нормальном состоянии.
GLBP Gateway Weighting — вес маршрутизатора, определяет пропорциональность нагрузки на маршрутизатор. Вес может автоматически изменяться, в зависимости от состояния каналов, используя механизм Object Tracking.
Продолжая тему резервирования маршрутизаторов cisco, рассмотрим настройку резервирования по протоколу VRRP. В прошлой статье, была рассмотрена настройка протокола HSRP.
Плюсом VRRP перед HSRP является то, что протокол VRRP открытый стандарт, и с помощью него можно резервировать маршрутизаторы от разных производителей, которые поддерживают данный протокол. А так же в VRRP можно использовать виртуальный IP адрес, который уже назначен на интерфейсе маршрутизатора. Здесь рассмотрим настройку на примере маршрутизаторов cisco.
Ограничения протокола VRRP
— VRRP спроектирован для работы в среде множественного доступа, multicast или broadcast совместимых Ethernet сетях.
— VRRP не предназначен для замены существующих протоколов динамической маршрутизаци
— VRRP поддерживает следующие типы интерфейсов: Ethernet, Fast Ethernet, Gigabit Ethernet, Bridge Group Virtual Interface (BVI), VLAN (SVI) интерфейсы, может работать на MPLS VPN и на VRF MPLS VPN.
— Если VRRP используется на интерфейсе BVI, то необходимо таймер «VRRP advertise» установить равным или большим, чем значение «forwarding delay» на интерфейсе BVI (значение «forwarding delay» для BVI интерфейса можно установить командой «bridge forward-time«, значение «VRRP advertise» для протокола VRRP можно установить командой «vrrp timers advertise» )
— Enhanced Object Tracking (EOT) не может быть использован совместно с протоколом VRRP, если активирован режим SSO (Stateful switchover)
Основные понятия протокола VRRP
Virtual Router — виртуальный роутер, представляет собой группу маршрутизаторов, подлежащих резервированию (VRRP group). В группу входят интерфейсы маршрутизаторов принадлежащие одной сети. Эти маршрутизаторы разделяют между собой один и тот же виртуальный IP адрес и виртуальный идентификатор роутера (VRID).
Virtual Router Master — маршрутизатор, который в данный момент является активным и осуществляет пересылку пакетов. Он управляет виртуальным IP адресом Virtual Router-а и отвечает за передачу пакетов, отправленных на этот виртуальный IP адрес.
В статье Cisco — резервирование маршрутизаторов были перечислены протоколы, с помощью которых можно осуществить резервирование маршрутизаторов или коммутаторов третьего уровня. Здесь рассмотрим настройку резервирования по протоколу HSRP (Hot Standby Router Protocol).
Основные понятия протокола HSRP
— Активный маршрутизатор (Active Router) — роутер, который выполняет функции маршрутизации в данный момент
— Резервный маршрутизатор (Standby Router) — роутер, который работает в режиме резерва, ожидая отказа активного маршрутизатора, что бы перенять его функцию. Состоит в той же HSRP группе, что и актиыный
— HSRP группа — группа маршрутизаторов, участвующих в одном и том же резервировании, образуя как бы виртуальный роутер. На одном физическом маршрутизаторе можно использовать несколько таких групп.
— Приоритет маршрутизатора (priority) — величина, которая влияет на выбор активного маршрутизатора. Может иметь значение от 1 до 255, по умолчанию значение 100. Чем выше значение — тем выше приоритет маршрутизатора быть активным. Можно настроить динамическое изменение приоритета при помощи отслеживания состояния определенного интерфейса (track).
— Аутентификация — парольная строка, если используется, то нужно задать одинаковую парольную строку для всех маршрутизаторов, принадлежащих одной HSRP группе. Пароль передаётся в открытом (не зашифрованном) виде.
— Таймеры (hellotime и holdtime) — Hellotime это интервал времени, в течении которого роутер ожидает от активного маршрутизатора hello пакеты, по умолчанию 3 секунды, может задаваться в интервале от 1 до 255. Holdtime — это интервал времени по истечении которого активный или резервный маршрутизатор объявляется упавшим (недоступным), по умолчанию 10 секунд, может задаваться в интервале от 1 до 255. Обычно значение Holdtime берется равным трём значениям Hellotime.
Для резервирование маршрутизатора Cisco (или коммутатора 3-го уровня) можно воспользоваться одним из следующих протоколов: HSRP, VRRP, GLBP.
Протокол HSRP (Hot Standby Router Protocol или Hot Standby Redundancy Protocol) проприетарный протокол Cisco, выполняет резервирование путём использования на двух или более маршрутизаторах одного виртуального IP и MAC адреса. Маршрутизаторы объединяются в HSRP группу в ней и задаются параметры (виртуальный IP адрес, имя группы, тайминги для переключения с резервного на активный и прочее). Таких групп может быть несколько (в первой версии HSRP протокола групп может быть 255, во второй — 4096) . Виртуальный IP адрес должен быть из той же сети, в которой находится маршрутизатор и не может совпадать с уже использованными IP адресами. В HSRP группе один роутер является активным (active), который осуществляет передачу пакетов, и только один резервным (standby). Остальные роутеры могут быть только слушателями.
Маршрутизаторам можно задавать приоритет, активным роутером становится маршрутизатор с наивысшим приоритетом, если приоритет одинаковый, то активным становится маршрутизатором с большим IP адресом.
Протокол VRRP (Virtual Router Redundancy Protocol) создан на основе протокола HSRP. Принцип работы протокола похож на работу HSRP. Группа маршрутизаторов объединяется в один виртуальный роутер, и им назначается один общий IP адрес. Как и в протоколе HSRP можно использовать несколько HSRP групп, здесь один маршрутизатор может так же одновременно находиться в нескольких виртуальных роутерах. Только один из физических маршрутизаторов становится главным (VRRP Master router), который выполняет маршрутизацию, остальные будут резервными (VRRP Backup router). В отличии от HSRP протокола в VRRP может быть несколько резервных маршрутизаторов а не один.
Плюсом VRRP является то, что в качестве виртуального IP адреса можно использовать уже назначенный IP адрес на интерфейсе маршрутизатора, что нельзя делать в протоколе HSRP.
К то му же протокол VRRP это открытый стандарт, а HSRP проприетарный протокол Cisco. Поэтому если используется оборудование от разных вендоров, то лучше использовать протокол VRRP.
Протокол GLBP (Gateway Load Balancing Protocol) проприетарный протокол Cisco, предназначен для резервирования маршрутизаторов Cisco а так же балансировки их нагрузки. Балансировка нагрузки осуществляется за счёт использования одного общего IP адреса и нескольких MAC адресов. В отличии от HSRP и VRRP, здесь в маршрутизации участвуют все роутеры виртуальной группы.
Поддерживается четыре режима работы GLBP:
1. None — режим, в котором не используется балансировка. В этом случае активный виртуальный шлюз отвечает на ARP запросы только своим MAC адресом. Работа в этом режиме аналогична работе протокола HSRP. Второй маршрутизатор начинает работу, если первый станет не доступен.
2. Weighted Load Balancing — балансировка нагрузки происходит пропорционально весу маршрутизатора. Вес маршрутизатора может задаваться администратором.
3. Host Dependant Load Balancing — определённый хост будет всегда передавать через один и тот же маршрутизатор в группе. Удобно при использовании NAT.
4. Round Robin Load Balancing — виртуальный MAC адрес каждого маршрутизатора будет подставляться в ответ на ARP запрос для виртуального IP по очереди.
Настройку каждого из протоколов рассмотрим в следующих статьях.
Общие сведения.
VTP — VLAN Trunking Protocol, позволяет облегчить администрирование коммутаторов, а именно управление VLAN-ами на коммутаторах Cisco. С VTP можно создавать, изменять или удалять VLAN-ы на VTP сервере и все эти изменения автоматически перенесутся на все коммутаторы в одном домене VTP. Что избавляет администратора от конфигурирования VLAN на каждом коммутаторе.
Существует три режима работы VTP (VTP mode):
1. VTP Server — серверный режим.В этом режиме можно создавать, удалять и изменять VLAN-ы, а так же задавать различные параметры, такие как версию протокола (vtp version), vtp фильтрацию (vtp pruning) для всего VTP домена. VTP сервер извещает о своей конфигурации VLAN-ов другие коммутаторы, находящиеся в том же VTP домене, и синхронизирует их конфигурацию VLAN. Так же VTP сервер может синхронизировать свою конфигурацию с конфигурацией VTP клиента, если у клиента выше номер ревизии конфигурации. Обмен VTP информацией проиcходит через ТРАНКВЫЕ порты.
2. VTP Client — режим клиента. На коммутаторе с режимом VTP Client нельзя создавать, удалять или изменять VLAN-ы. Всю настройку VLAN-ов коммутатор берёт от VTP сервера.
3. VTP Transparent — прозрачный режим. В этом режиме коммутатор не применяет себе конфигурацию VLAN от VTP сервера и не извещает о своей конфигурации другие коммутаторы, но позволяет пропускать через свои транковые порты VTP извещения от других коммутаторов.
Перед настройкой VTP нужно знать:
— Все коммутаторы в сети должны иметь одно и тоже имя домена VTP (VTP domain)
— Все коммутаторы в одном VTP домене должны использовать одну и туже версию протокола VTP (VTP version)
— Все коммутаторы в одном VTP домене должны использовать один и тот же VTP пароль, если он установлен (VTP password)
— Все VTP сервера, должны иметь одинаковый номер ревизии конфигурации, и этот номер должн быть наибольшим в VTP домене (VTP revision number)
— При смене режима Transparent на Server, VLAN-ы которые были на коммутаторе в прозрачном режиме должны существовать на VTP сервере.
— В версии протокола 1 и 2 анонсируются VLAN-ы только из основного ( VLAN 1-1005) диапазона, если нужен расширенный диапазон (VLAN 1006-4094), то следует использовать версию VTP 3.
Настройка Cisco VTP.
Конфигурирование VTP, в зависимости от устройства и версии IOS, осуществляется либо в режиме VLAN database либо в режиме глобального конфигурирования.
Технология VLAN позволяет разделять сеть на логические сегменты. Каждый такой логический сегмент имеет свой широковещательный домен. Уникастовый, бродкастовый и мультикастовый трафик передается только между устройствами входящими в один VLAN. VLAN часто используется для разделения IP сегментов сети, с последующей маршрутизацией и фильтрацией трафика между разными VLAN на маршрутизаторе или на L3 коммутаторе.
Как настраивать VLAN на Cisco роутере можно посмотреть в статье Cisco VLAN — настройка vlan на маршрутизаторе Cisco. Здесь речь пойдёт о настройке VLAN на коммутаторах Cisco Catalyst.
Перед настройкой VLAN на коммутаторе, необходимо определиться будет ли в сети использоваться протокол VTP (VLAN Trunking Protocol) или нет. Использование VTP облегчает управление (создание, удаление, переименовывание) VLAN-ами в сети. В случае с VTP изменение (информацию о VLAN) можно внести централизованно, на одном коммутаторе, и эти изменения распространятся на другие коммутаторы в сети. Если не использовать VTP, то изменения нужно вносить на каждом коммутаторе.
VTP накладывает свои ограничения: протокол VTP версии 1 и 2 поддерживает только базовый диапазон VLAN (c 1 по 1005), поддержка расширенного диапазона (с 1006 по 4094) возможна только в версии протокола 3. Поддержка протокола VTP 3 версии начинается с Cisco IOS версии 12.2(52)SE и выше. Настройку протокола VTP рассмотрим в другой статье, а в этой будем подразумевать, что не используем VTP.
Настройку VLAN на коммутаторе можно выделить в три этапа: создание VLAN, настройка портов, проверка.
1. Создание VLAN на Cisco Catalyst
Номера VLAN (VLAN ID) могут быть в диапазоне от 1 до 4094:
1 — 1005 базовый диапазон (normal-range)
1002 — 1005 зарезервированы для Token Ring и FDDI VLAN
1006 — 4094 расширенный диапазон (extended-range)