User Tools

Site Tools


qnote:cisco

Быстрые заметки по Cisco

Перенумеровать правила в ACL

router(config)#ip access-list resequence test-access 10 5

где:

  • test-access - имя расширенного списка доступа, здесь может стоять номер списка.
  • 10 - номер первого правила в списке доступа
  • 5 - шаг нумерации

Посмотеть что не попадает в CEF

#sh cef not-cef-switched
CEF Packets passed on to next switching layer
Slot  No_adj No_encap Unsupp'ted Redirect  Receive  Options   Access     Frag
RP   1552463       0           0             614954  1732554   0             0               0

no logging console

На свежем роутере в консоль высыпают информационные сообщения.

R2(config)#interface 
*Aug 20 14:14:29.492: %PLATFORM-5-SIGNATURE_VERIFIED: Image 'flash0:/vios-adventerprisek9-m' passed code signing verification
% Incomplete command.
R2(config)#
R2(config)#exit
R2# 
*Aug 20 14:14:37.811: %SYS-5-CONFIG_I: Configured from console by console 
R2# 

Что бы их отключить надо дать команду no logging console.

R2(config)#no logging console
R2(config)#exit 
R2#

no ip redirects

Настройка интерфейса no ip redirects отключает отправку маршрутизатором icmp-сообщений с информацией о наличии, в том же бродкаст домене, лучшего next-hop маршрута.

VRRP

Мультикасти адрес 224.0.0.18, номер протокола 112.

VRRP в Cisco

interface GigabitEthernet0/1.99
 description voip-linknet3
 encapsulation dot1Q 99
 ip address 10.11.16.34 255.255.255.248
 no ip redirects
 no ip proxy-arp
 ip flow ingress
 vrrp 99 description voip-linknet3-master
 vrrp 99 ip 10.11.16.33
 vrrp 99 preempt delay minimum 15
 vrrp 99 priority 110
 vrrp 99 authentication md5 key-string 7 XXXYYYXXX
 no cdp enable

VRRP в H3C

interface GigabitEthernet0/0.166
 description 1_routers_vlan
 vlan-type dot1q vid 166
 ip address 192.168.166.2 255.255.255.0
 vrrp vrid 166 virtual-ip 192.168.166.254
 vrrp vrid 166 priority 110

Номера портов в логах ACL на Cisco

В качестве дополнительно параметра к правилу ACL можно дать log или log-input.

  log         Log matches against this entry
  log-input   Log matches against this entry, including input interface

Если правило писать без номеров портов, а просто что-то ограничивать или разрешать по ip адресу, например:

10 permit ip any host 2.2.2.15 log (901 matches)

То, в логах не будет видно номер порта.

Aug 22 18:30:28.422: %SEC-6-IPACCESSLOGP: list ACL-IN permitted udp 1.1.1.78(0) -> 2.2.2.15(0), 1 packet  

Это связанно с тем, что маршрутизатор видит, что в правиле не фигурирует номер порта и не тратит время и ресурсы на изучение пакета на 4-м (транспортном) уровне.
Маршрутизатор смотрит на ip адреса, если они соответствуют правилу, то сразу делаем действие, на номер порта не смотрит.

Что бы в логах было видно номера портов, надо в правиле указать конкретный порт (eq), диапазон портов (range) или условие неравенства (gt, lt).
Пишем правило которое разшает трафик к портам больше 0.

5 permit ip any host 2.2.2.15 gt 0 log (605 matches)

Лог будет таким.

Aug 22 18:53:52.878: %SEC-6-IPACCESSLOGP: list voip-access-in permitted udp 1.1.1.78(16741) -> 2.2.2.15(61485), 1 packet  

ISL

Встречается в требованиях на вакансии сетевого инженера, по факту не используется.

Inter-Switch link (ISL) — протокол межкоммутационного канала, проприетарный протокол в коммутаторах и маршрутизаторах компании Cisco Systems, предназначенный для передачи информации о принадлежности трафика к VLAN. Был разработан до принятия стандарта IEEE 802.1Q, в настоящее время более не поддерживается (может встретиться только на старом оборудовании). Используется для стандартов Fast Ethernet (100Mb/s) и Gigabit Ethernet (1000Mb/s).

Источник - https://ru.wikipedia.org/wiki/Inter-Switch_Link


bad hop count

Увеличение счетчика bad hop count в выводе команды sh ip traff указывает на то, что маршрутизатор дропнул пакеты с нулевым ttl.

misc

R4(config-if)# vrrp 1 description VRRP-BACKUP-FOR-VLAN1-CUSTOMER-NETS
R4(config-if)# vrrp 1 ip 192.1.1.254
R4(config-if)# vrrp 1 ip 192.1.3.126 secondary
R4(config-if)# vrrp 1 preempt delay minimum 15
R4(config-if)# vrrp 1 authentication md5 key-string 0 vrrp-pass
R4(config-if)# vrrp 1 priority 110 
R4(config-if)#
*Sep  8 10:36:13.379: %VRRP-6-STATECHANGE: Gi0/3 Grp 1 state Master -> Disable
*Sep  8 10:36:14.724: %VRRP-6-STATECHANGE: Gi0/3 Grp 1 state Init -> Backup
*Sep  8 10:36:18.334: %VRRP-6-STATECHANGE: Gi0/3 Grp 1 state Backup -> Master
ISP1#write erase 
Erasing the nvram filesystem will remove all configuration files! Continue? [confirm]Set kernel IOMEM to 25 percent

[OK]
Erase of nvram: complete

Полезные ссылки:

qnote/cisco.txt · Last modified: 2021/08/12 08:35 by 127.0.0.1

Donate Powered by PHP Valid HTML5 Valid CSS Driven by DokuWiki