Freerk Terpstra

Stel je hebt aan jouw zijde een Cisco 3560 switch met daarbij een 1000Mbit link naar klantapparatuur en je wilt deze link op de interface van de switch “knijpen” tot 5Mbit aan bandbreedte.

Cisco 3560 switches ondersteunen geen service-policy output, in plaats daarvan moet er met srr-queue bandwidth limit x gewerkt worden. Dit commando werkt met een percentage van de actuele fysieke snelheid van de interface, met als ondergrens 10%. Er wordt echt gekeken naar de fysieke snelheid, het bandwidth x commando heeft hier dus geen invloed op. Dit houdt in dat je op een 1000Mbit link niet lager kunt “knijpen” dan 100Mbit.

Nou zou je natuurlijk de interfacesnelheid vast op 10Mbit Full Duplex kunnen zetten en de klant vriendelijk verzoeken hetzelfde te doen. Echter is dat in mijn opzicht vragen om problemen.

De oplossing

Op Cisco Catalyst switches is het mogelijk om te specificeren welke snelheden er tijdens het auto-negotiation proces geadverteerd moeten worden. Wanneer de klantapparatuur ook op auto/auto staat,  zal deze gaan onderhandelen met de Cisco switch.  Deze zal op zijn beurt aangeven bijvoorbeeld alleen maar 10Mbit te ondersteunen. De klantapparatuur weet niet beter en zal die snelheid dan ook accepteren.   Zie ook hieronder:

c3560(config-if)#speed auto ?
10    Include 10 Mbps in auto-negotiation advertisement
100   Include 100 Mbps in auto-negotiation advertisement
1000  Include 1000 Mbps in auto-negotiation advertisement
<cr>

c3560#show run | b 0/1
interface GigabitEthernet0/1
switchport mode access
speed auto 10
srr-queue bandwidth limit 50
!
C3560#sh int status

Port      Name               Status       Vlan       Duplex  Speed Type
Gi0/1                        connected    1          a-full   a-10 10/100/1000BaseTX

Het srr-queue bandwidth limit 50 is nu 50% van 10Mbit en zodoende dus de gewenste 5Mbit. Op deze manier kan er dus toch op 5Mbit “geknepen” worden, terwijl de Hakketoekietec™ apparatuur mooi op auto/auto blijft staan. Vergeet het globale mls qos commando overings niet op te nemen in je configuratie voor het “aanzetten” van QoS.

Cisco IOS kent de mogelijkheid om een alias aan te maken voor een commando. Hiermee kun je je veel gebuikte commando’s afkorten, zodat je niet iedere keer het gehele commando in hoeft te voeren.

De volgende aliassen kent een Cisco Catalyst 2960 standaard:

alias exec h help
alias exec lo logout
alias exec p ping
alias exec r resume
alias exec s show
alias exec u undebug
alias exec un undebug
alias exec w where

Het aanmaken van een eigen alias gaat als volgt:

c2960# conf t
c2960(config)#alias exec SID show interfaces description
c2960(config)#^Z
c2960#SID
Interface Status Protocol Description
Vl1 up up
Vl254 up up
Gi0/1 up up
Gi0/2 down down

Standaard doet een ASA niets met de TTL waarde van een IP packet waardoor deze niet zichtbaar is in een traceroute. Met het oog op troubleshooting kan dit nog wel eens vervelend zijn. Wanneer de standaard global_policy niet verwijdert is, is de volgende configuratie toevoegen al voldoende:

FW01(config)# policy-map global_policy
FW01(config-pmap)# class class-default
FW01(config-pmap-c)# set connection decrement-ttl

Cisco routers en switches bieden de mogelijkheid om als DHCP server te functioneren. De algemene configuratie hiervan is prima gedocumenteerd m.u.v. het configureren van DHCP reservations. Doormiddel van deze blogpost zal ik proberen wat duidelijkheid te geven over het configureren van DHCP reservations.

Bij een DHCP reservation gebruikt de client nog steeds DHCP maar is deze ervan verzekerd dat hij altijd hetzelfde IP adres krijgt van de DHCP server. De DHCP server bepaald dit aan de hand van het Client-ID.

Allereerst zal het Client-ID achterhaald moeten worden van de client waarvoor er een reservation aangemaakt dient te worden. De gemakkelijkste manier om dit te doen is door een algemene DHCP pool/scope te configureren en de client daar een IP adres uit te laten opvragen. Zie onderstaand voorbeeld voor de configuratie van zo’n pool.

R1(config)#ip dhcp pool VLAN10
R1(dhcp-config)#network 172.16.10.0 255.255.255.0
R1(dhcp-config)#default-router 172.16.10.254
R1(dhcp-config)#lease 0 8 0

Wanneer de client eenmaal een IP adres “geclaimed” heeft is deze lease terug te vinden in de DHCP bindings.

R1#show ip dhcp binding
Bindings from all pools not associated with VRF:

IP address	Client-ID/	Lease expiration	Type
	Hardware address/
	User name
172.16.10.1	0063.6973.636f.2d63.	Mar 01 2002	Automatic
	6330.312e.3065.3434.
	2e30.3030.302d.566c.
	3130

Nu het Client-ID bekend is kan er een pool aangemaakt worden speciaal voor deze client.

R1(config)#ip dhcp pool VLAN10-CLIENT1
R1(dhcp-config)#host 172.16.10.1
R1(dhcp-config)#client-identifier 0063.6973.636f.2d63.6330.312e.3065.3434.2e30.3030.302d.566c.3130
R1(dhcp-config)#default-router 172.16.10.254

Het IP adres is nu gereserveerd voor de client, wat ook zichtbaar is in de DHCP bindings van de router.

R1#show ip dhcp binding
Bindings from all pools not associated with VRF:

IP address	Client-ID/	Lease expiration	Type
	Hardware address/
	User name
172.16.10.1	0063.6973.636f.2d63.	Infinite	Manual
	6330.312e.3065.3434.
	2e30.3030.302d.566c.
	3130

Stel; je bent via ssh ingelogd op een switch welke in een datacenter hangt en je hebt geen out-of-band management tot je beschikking. I.v.m. een autosensing probleem wil je een change doorvoeren aan de uplink interface van deze switch. Dus pas je de duplex instelling van de desbetreffende interface aan…… en toen bevroor je putty scherm… de switch is onbereikbaar geworden!

Het probleem is dat wanneer je de duplex instelling aanpast, de link in zijn geheel niet terugkeert omdat de speed nog niet vast geconfigureerd is. Natuurlijk heb je voor je de change gebruik gemaakt van het “reload in 5″ commando, dus keert de switch na 5 minuten weer terug online met de oude instellingen (Zo niet, een tip voor de volgende keer ).

Echter is de geplande change nog steeds niet uitgevoerd en om hier nou speciaal voor naar het datacenter toe te rijden…

De sleutel tot succes is het schrijven van een macro, hiermee kun je namelijk een hele reeks configuratie aan een stuk op de achtergrond laten doorvoeren. Dat je ssh sessie bij het uitvoeren van de macro wegvalt maakt dan niet uit, de macro loopt wel door . Om bovenstaand voorbeeld te nemen zou je de volgende configuratie kunnen gebruiken:

c3560#copy run start
Destination filename [startup-config]?
Building configuration…
[OK]
c3560#reload in 5
Reload scheduled in 4 minutes and 56 seconds
Proceed with reload? [confirm]
c3560(config)#macro name CHANGE
Enter macro commands one per line. End with the character ‘@’.
interface fastethernet 0/1
shutdown
speed 100
duplex full
no shut
@
c3560(config)#macro global apply CHANGE

Mocht bovenstaande alsnog onsuccesvol zijn zal de geplande reload niet geannuleerd worden en zal de switch dus opnieuw opstarten met de recent opgeslagen configuratie .

Update
In IOS 12.2-55 wordt het macro name commando niet meer weergegeven via IOS help, echter is dit nog wel steeds de manier om een macro te definiëren!

c3560(config)#macro ?
auto Macro autoexecution settings
global Enter global macro configuration
c3560(config)#macro name ?
% Unrecognized command
c3560(config)#macro name TEST
Enter macro commands one per line. End with the character ‘@’.

Doel: het opzetten van een gebridged WAN i.c.m. een LAN waarvan het verkeer genat dient te worden naar een IP adres uit het WAN. De gemakkelijkste manier om dit te realiseren is door twee VLANS te creëren; een WAN VLAN waarop het routeerbare adres geconfigureerd wordt en een LAN VLAN welke als default gateway gebruikt gaat worden. In dit voorbeeld is de WAN verbinding een PPPoE variant welke opgezet wordt met een dialer interface.

Bovenstaand kan gerealiseerd worden door het WAN IP adres, wat anders direct op de dialer interface gezet zou worden, op de interface van het WAN VLAN te configureren. Door vervolgens het adres met ip unnumbered ook weer op de Dialer te zetten hoeft er geen apart IP netwerk gemaakt te worden.  Op zich is hier niets spannends aan, maar wat als er geen machine aangesloten is op het WAN VLAN? Read the rest of this entry »

De nieuwere apparatuur van Cisco is voortaan naast de traditionele rj45 console poort ook voorzien van een USB aansluiting waarmee deze geconfigureerd kan worden