Cisco route-map
https://forum.nag.ru/index.php?/topic/159325-cisco-route-map/&do=findComment&comment=1632742
Разбираюсь в конфиге циски, который делался в разное время разными людьми.
И вот такая странность. Есть ACL-и:
ASR1002_core# sh access-lists
Extended IP access list 100
10 permit ip 172.21.40.0 0.0.0.255 any (3 matches)
20 permit ip 172.21.41.0 0.0.0.255 any
30 permit ip 172.21.39.0 0.0.0.255 any
Extended IP access list 101
10 permit ip 172.21.30.0 0.0.0.255 any (1216 matches)
Extended IP access list 102
10 permit ip 172.21.43.0 0.0.0.255 any (339 matches)
20 permit ip 172.21.42.0 0.0.0.255 any (21 matches)
30 permit ip 172.21.44.0 0.0.0.255 any
Extended IP access list 111
10 permit ip 10.10.10.0 0.0.0.255 any (3176 matches)
20 deny ip any any (2184 matches)
которые потом используются в route-map:
ASR1002_core#show route-map
route-map nat_to_sovintel, permit, sequence 10
Match clauses:
ip address (access-lists): 100
Set clauses:
ip next-hop 62.141.99.89
Policy routing matches: 4466231 packets, 266390612 bytes
route-map nat_to_sovintel, permit, sequence 40
Match clauses:
ip address (access-lists): 111
Set clauses:
ip next-hop 172.21.36.2
Policy routing matches: 242783 packets, 29274957 bytes
route-map nat_to_sovintel, permit, sequence 50
Match clauses:
ip address (access-lists): 102
Set clauses:
ip next-hop 188.130.171.33
Policy routing matches: 54401645 packets, 15359060812 bytes
route-map nat_to_sovintel, permit, sequence 51
Match clauses:
ip address (access-lists): 101
Set clauses:
ip next-hop 188.130.171.65
Policy routing matches: 60564028 packets, 13084390720 bytes
route-map nat_to_sovintel, permit, sequence 52
Match clauses:
ip address (access-lists): 104
Set clauses:
ip next-hop 188.130.171.33
Policy routing matches: 15193892 packets, 5863386698 bytes
и тут видно acl 104, которого нет в списке acl-ей, который я привел выше. Причем пакеты этим acl-ем матчатся! Циску перегружал (думал, что где-то залипли ранее удаленные acl), но все осталось без изменений.
Как так?
https://forum.nag.ru/index.php?/topic/159325-cisco-route-map/&do=findComment&comment=1632742
Разбираюсь в конфиге циски, который делался в разное время разными людьми.
И вот такая странность. Есть ACL-и:
ASR1002_core# sh access-lists
Extended IP access list 100
10 permit ip 172.21.40.0 0.0.0.255 any (3 matches)
20 permit ip 172.21.41.0 0.0.0.255 any
30 permit ip 172.21.39.0 0.0.0.255 any
Extended IP access list 101
10 permit ip 172.21.30.0 0.0.0.255 any (1216 matches)
Extended IP access list 102
10 permit ip 172.21.43.0 0.0.0.255 any (339 matches)
20 permit ip 172.21.42.0 0.0.0.255 any (21 matches)
30 permit ip 172.21.44.0 0.0.0.255 any
Extended IP access list 111
10 permit ip 10.10.10.0 0.0.0.255 any (3176 matches)
20 deny ip any any (2184 matches)
которые потом используются в route-map:
ASR1002_core#show route-map
route-map nat_to_sovintel, permit, sequence 10
Match clauses:
ip address (access-lists): 100
Set clauses:
ip next-hop 62.141.99.89
Policy routing matches: 4466231 packets, 266390612 bytes
route-map nat_to_sovintel, permit, sequence 40
Match clauses:
ip address (access-lists): 111
Set clauses:
ip next-hop 172.21.36.2
Policy routing matches: 242783 packets, 29274957 bytes
route-map nat_to_sovintel, permit, sequence 50
Match clauses:
ip address (access-lists): 102
Set clauses:
ip next-hop 188.130.171.33
Policy routing matches: 54401645 packets, 15359060812 bytes
route-map nat_to_sovintel, permit, sequence 51
Match clauses:
ip address (access-lists): 101
Set clauses:
ip next-hop 188.130.171.65
Policy routing matches: 60564028 packets, 13084390720 bytes
route-map nat_to_sovintel, permit, sequence 52
Match clauses:
ip address (access-lists): 104
Set clauses:
ip next-hop 188.130.171.33
Policy routing matches: 15193892 packets, 5863386698 bytes
и тут видно acl 104, которого нет в списке acl-ей, который я привел выше. Причем пакеты этим acl-ем матчатся! Циску перегружал (думал, что где-то залипли ранее удаленные acl), но все осталось без изменений.
Как так?
ip verify source port-security
https://forum.nag.ru/index.php?/topic/159594-ip-verify-source-port-security/&do=findComment&comment=1635013
Подскажите, пожалуйста, в чём может быть проблема?
При включении на access портах ip verify source port-security
Получаю вот такую картину:
2960G_K10#show ip verify source
Interface Filter-type Filter-mode IP-address Mac-address Vlan
--------- ----------- ----------- --------------- ----------------- ----
Gi0/1 ip-mac inactive-no-snooping-vlan
Gi0/2 ip-mac inactive-no-snooping-vlan
Gi0/3 ip-mac active deny-all deny-all 100
Gi0/4 ip-mac inactive-no-snooping-vlan
Gi0/5 ip-mac active deny-all deny-all 100
Gi0/6 ip-mac active deny-all deny-all 100
Gi0/7 ip-mac active deny-all deny-all 100
Gi0/8 ip-mac inactive-no-snooping-vlan
Gi0/9 ip-mac inactive-no-snooping-vlan
Gi0/10 ip-mac inactive-no-snooping-vlan
Gi0/11 ip-mac inactive-no-snooping-vlan
Gi0/12 ip-mac inactive-no-snooping-vlan
Gi0/13 ip-mac inactive-no-snooping-vlan
Gi0/14 ip-mac inactive-no-snooping-vlan
Gi0/15 ip-mac inactive-no-snooping-vlan
Gi0/16 ip-mac inactive-no-snooping-vlan
Gi0/17 ip-mac inactive-no-snooping-vlan
Gi0/18 ip-mac inactive-no-snooping-vlan
Gi0/19 ip-mac inactive-no-snooping-vlan
Gi0/20 ip-mac active deny-all deny-all 100
Конфиг коммутатора cisco 2960G:
https://forum.nag.ru/index.php?/topic/159594-ip-verify-source-port-security/&do=findComment&comment=1635013
Подскажите, пожалуйста, в чём может быть проблема?
При включении на access портах ip verify source port-security
Получаю вот такую картину:
2960G_K10#show ip verify source
Interface Filter-type Filter-mode IP-address Mac-address Vlan
--------- ----------- ----------- --------------- ----------------- ----
Gi0/1 ip-mac inactive-no-snooping-vlan
Gi0/2 ip-mac inactive-no-snooping-vlan
Gi0/3 ip-mac active deny-all deny-all 100
Gi0/4 ip-mac inactive-no-snooping-vlan
Gi0/5 ip-mac active deny-all deny-all 100
Gi0/6 ip-mac active deny-all deny-all 100
Gi0/7 ip-mac active deny-all deny-all 100
Gi0/8 ip-mac inactive-no-snooping-vlan
Gi0/9 ip-mac inactive-no-snooping-vlan
Gi0/10 ip-mac inactive-no-snooping-vlan
Gi0/11 ip-mac inactive-no-snooping-vlan
Gi0/12 ip-mac inactive-no-snooping-vlan
Gi0/13 ip-mac inactive-no-snooping-vlan
Gi0/14 ip-mac inactive-no-snooping-vlan
Gi0/15 ip-mac inactive-no-snooping-vlan
Gi0/16 ip-mac inactive-no-snooping-vlan
Gi0/17 ip-mac inactive-no-snooping-vlan
Gi0/18 ip-mac inactive-no-snooping-vlan
Gi0/19 ip-mac inactive-no-snooping-vlan
Gi0/20 ip-mac active deny-all deny-all 100
Конфиг коммутатора cisco 2960G:
cisco C9200L-24P и STP
https://forum.nag.ru/index.php?/topic/161410-cisco-c9200l-24p-i-stp/&do=findComment&comment=1647885
Добрый день.
Имею:
cisco C9200L-24P-4X
Cisco IOS XE Software, Version 16.12.03a
Суть вопроса:
Тестирую коммутатор 9200L и столкнулся с непонятным поведением STP.
К порту gi 1/0/7 подключен обычный неуправляемый коммутатор, на котором делаю петлю.
На gi 1/0/7 включен bpduguard.
interface GigabitEthernet1/0/7
switchport access vlan 600
switchport mode access
spanning-tree bpduguard enable
end
При появлении петли bpduguard срабатывает и отключает порт. Светодиод порта
тухнет и вывод команды show spanning-tree выглядит следующим образом:
Switch#show spanning-tree
No spanning tree instance exists.
Проблема в том, что в этот момент появляется приличная нагрузка на CPU коммутатора и остается до тех пор,
пока не снимешь петлю.
Switch#show proc cpu sort
CPU utilization for five seconds: 32%/25%; one minute: 22%; five minutes: 15%
PID Runtime(ms) Invoked uSecs 5Sec 1Min 5Min TTY Process
215 67092 963530 69 9.59% 4.48% 2.31% 0 Spanning Tree
108 5524 1518 3638 0.15% 0.18% 0.17% 0 Crimson flush tr
151 1612 787 2048 0.07% 0.06% 0.06% 0 Thermal backgrou
3 0 1 0 0.00% 0.00% 0.00% 0 PKI Trustpool
4 64 15 4266 0.00% 0.00% 0.00% 0 RF Slave Main Th
5 0 1 0 0.00% 0.00% 0.00% 0 Retransmission o
2 8 630 12 0.00% 0.00% 0.00% 0 Load Meter
6 0 1 0 0.00% 0.00% 0.00% 0 IPC ISSU Dispatc
9 1768 474 3729 0.00% 0.04% 0.05% 0 Check heaps
8 0 106 0 0.00% 0.00% 0.00% 0 VIDB BACKGD MGR
11 0 1 0 0.00% 0.00% 0.00% 0 DiscardQ Backgro
Подскажите, в какую сторону копать?
https://forum.nag.ru/index.php?/topic/161410-cisco-c9200l-24p-i-stp/&do=findComment&comment=1647885
Добрый день.
Имею:
cisco C9200L-24P-4X
Cisco IOS XE Software, Version 16.12.03a
Суть вопроса:
Тестирую коммутатор 9200L и столкнулся с непонятным поведением STP.
К порту gi 1/0/7 подключен обычный неуправляемый коммутатор, на котором делаю петлю.
На gi 1/0/7 включен bpduguard.
interface GigabitEthernet1/0/7
switchport access vlan 600
switchport mode access
spanning-tree bpduguard enable
end
При появлении петли bpduguard срабатывает и отключает порт. Светодиод порта
тухнет и вывод команды show spanning-tree выглядит следующим образом:
Switch#show spanning-tree
No spanning tree instance exists.
Проблема в том, что в этот момент появляется приличная нагрузка на CPU коммутатора и остается до тех пор,
пока не снимешь петлю.
Switch#show proc cpu sort
CPU utilization for five seconds: 32%/25%; one minute: 22%; five minutes: 15%
PID Runtime(ms) Invoked uSecs 5Sec 1Min 5Min TTY Process
215 67092 963530 69 9.59% 4.48% 2.31% 0 Spanning Tree
108 5524 1518 3638 0.15% 0.18% 0.17% 0 Crimson flush tr
151 1612 787 2048 0.07% 0.06% 0.06% 0 Thermal backgrou
3 0 1 0 0.00% 0.00% 0.00% 0 PKI Trustpool
4 64 15 4266 0.00% 0.00% 0.00% 0 RF Slave Main Th
5 0 1 0 0.00% 0.00% 0.00% 0 Retransmission o
2 8 630 12 0.00% 0.00% 0.00% 0 Load Meter
6 0 1 0 0.00% 0.00% 0.00% 0 IPC ISSU Dispatc
9 1768 474 3729 0.00% 0.04% 0.05% 0 Check heaps
8 0 106 0 0.00% 0.00% 0.00% 0 VIDB BACKGD MGR
11 0 1 0 0.00% 0.00% 0.00% 0 DiscardQ Backgro
Подскажите, в какую сторону копать?
Cisco ME-4924 - Insufficient TCAM resources
https://forum.nag.ru/index.php?/topic/163645-cisco-me-4924-insufficient-tcam-resources/&do=findComment&comment=1655967
требуется консультация/совет уже прошедших по граблям )
есть циска из темы, cat4500-entservicesk9-mz.150-2.SG11.bin
есть 45 vlan-интерфейсов на ней, на каждом висит сетка /24, в каждой сетке до 30 активных arp-записей.
все интерфейсы засунуты в один vrf (в дальнейшем планируется еще один vrf, поэтому так).
после полутора часов работы с момента поднятия 45-го интерфейса получаю в логе такое:
%C4K_L3HWFORWARDING-4-FWDCAMOUTOFSPACEFORVRFROUTINGTABLE: Insufficient TCAM resources to load VRF MY routing table. Switching to software forwarding for this VRF.
ну и софт-роутинг во всей красе, у всех мега-потери пакетов.
выключаю последние два интерфейса, в логе всплывает
%C4K_L3HWFORWARDING-6-SUCCEEDEDTOLOADVRFROUTINGTABLETOFWDCAM: Successfully loaded VRF MY routing table to TCAM. Switching to hardware forwarding for this VRF.
ну то есть всё вернулось в железо и стало всё хорошо.
смотрю инфу по роутам. ну да, TCAM заканчивается. но с какого перепугу?
гугл подсказывает, что в 12.2 ветке были проблемы с TCAM'ом в vrf, и советовали лить более свежий IOS. попробовать поменять 15.0 на 12.2 последний?
или я чего-то очевидного не вижу?
избавиться от vrf можно, но это крайняя мера. хотелось бы, всё же, с vrf жить.
блин, как эту простыню под спойлер засунуть?
#show platform hardware ip route detail
block utilization by region:
Region Name eu first last total used free util N
Special routes 0 0 7 8 8 0 100.00% 0
ICMP Flow Cache 0 0 0 0 0 0 0.00% 1
TCP w/ flags Flow Cache 0 0 0 0 0 0 0.00% 2
TCP/UDP Flow Cache 0 0 0 0 0 0 0.00% 3
L4 Flow Cache 0 0 0 0 0 0 0.00% 4
L3 Flow Cache 0 0 0 0 0 0 0.00% 5
Fastdrops 0 0 0 0 0 0 0.00% 6
MC S,G routes 0 0 0 0 0 0 0.00% 7
MC link local routes 0 0 0 0 0 0 0.00% 8
MC S/32,224/4 routes 0 0 0 0 0 0 0.00% 9
MC S/31,224/4 routes 0 0 0 0 0 0 0.00% 10
MC S/30,224/4 routes 0 0 0 0 0 0 0.00% 11
MC S/29,224/4 routes 0 0 0 0 0 0 0.00% 12
MC S/28,224/4 routes 0 0 0 0 0 0 0.00% 13
MC S/27,224/4 routes 0 0 0 0 0 0 0.00% 14
MC S/26,224/4 routes 0 0 0 0 0 0 0.00% 15
MC S/25,224/4 routes 0 0 0 0 0 0 0.00% 16
MC S/24,224/4 routes 0 0 0 0 0 0 0.00% 17
MC S/23,224/4 routes 0 0 0 0 0 0 0.00% 18
MC S/22,224/4 routes 0 0 0 0 0 0 0.00% 19
MC S/21,224/4 routes 0 0 0 0 0 0 0.00% 20
MC S/20,224/4 routes 0 0 0 0 0 0 0.00% 21
MC S/19,224/4 routes 0 0 0 0 0 0 0.00% 22
MC S/18,224/4 routes 0 0 0 0 0 0 0.00% 23
MC S/17,224/4 routes 0 0 0 0 0 0 0.00% 24
MC S/16,224/4 routes 0 0 0 0 0 0 0.00% 25
MC S/15,224/4 routes 0 0 0 0 0 0 0.00% 26
MC S/14,224/4 routes 0 0 0 0 0 0 0.00% 27
MC S/13,224/4 routes 0 0 0 0 0 0 0.00% 28
MC S/12,224/4 routes 0 0 0 0 0 0 0.00% 29
https://forum.nag.ru/index.php?/topic/163645-cisco-me-4924-insufficient-tcam-resources/&do=findComment&comment=1655967
требуется консультация/совет уже прошедших по граблям )
есть циска из темы, cat4500-entservicesk9-mz.150-2.SG11.bin
есть 45 vlan-интерфейсов на ней, на каждом висит сетка /24, в каждой сетке до 30 активных arp-записей.
все интерфейсы засунуты в один vrf (в дальнейшем планируется еще один vrf, поэтому так).
после полутора часов работы с момента поднятия 45-го интерфейса получаю в логе такое:
%C4K_L3HWFORWARDING-4-FWDCAMOUTOFSPACEFORVRFROUTINGTABLE: Insufficient TCAM resources to load VRF MY routing table. Switching to software forwarding for this VRF.
ну и софт-роутинг во всей красе, у всех мега-потери пакетов.
выключаю последние два интерфейса, в логе всплывает
%C4K_L3HWFORWARDING-6-SUCCEEDEDTOLOADVRFROUTINGTABLETOFWDCAM: Successfully loaded VRF MY routing table to TCAM. Switching to hardware forwarding for this VRF.
ну то есть всё вернулось в железо и стало всё хорошо.
смотрю инфу по роутам. ну да, TCAM заканчивается. но с какого перепугу?
гугл подсказывает, что в 12.2 ветке были проблемы с TCAM'ом в vrf, и советовали лить более свежий IOS. попробовать поменять 15.0 на 12.2 последний?
или я чего-то очевидного не вижу?
избавиться от vrf можно, но это крайняя мера. хотелось бы, всё же, с vrf жить.
блин, как эту простыню под спойлер засунуть?
#show platform hardware ip route detail
block utilization by region:
Region Name eu first last total used free util N
Special routes 0 0 7 8 8 0 100.00% 0
ICMP Flow Cache 0 0 0 0 0 0 0.00% 1
TCP w/ flags Flow Cache 0 0 0 0 0 0 0.00% 2
TCP/UDP Flow Cache 0 0 0 0 0 0 0.00% 3
L4 Flow Cache 0 0 0 0 0 0 0.00% 4
L3 Flow Cache 0 0 0 0 0 0 0.00% 5
Fastdrops 0 0 0 0 0 0 0.00% 6
MC S,G routes 0 0 0 0 0 0 0.00% 7
MC link local routes 0 0 0 0 0 0 0.00% 8
MC S/32,224/4 routes 0 0 0 0 0 0 0.00% 9
MC S/31,224/4 routes 0 0 0 0 0 0 0.00% 10
MC S/30,224/4 routes 0 0 0 0 0 0 0.00% 11
MC S/29,224/4 routes 0 0 0 0 0 0 0.00% 12
MC S/28,224/4 routes 0 0 0 0 0 0 0.00% 13
MC S/27,224/4 routes 0 0 0 0 0 0 0.00% 14
MC S/26,224/4 routes 0 0 0 0 0 0 0.00% 15
MC S/25,224/4 routes 0 0 0 0 0 0 0.00% 16
MC S/24,224/4 routes 0 0 0 0 0 0 0.00% 17
MC S/23,224/4 routes 0 0 0 0 0 0 0.00% 18
MC S/22,224/4 routes 0 0 0 0 0 0 0.00% 19
MC S/21,224/4 routes 0 0 0 0 0 0 0.00% 20
MC S/20,224/4 routes 0 0 0 0 0 0 0.00% 21
MC S/19,224/4 routes 0 0 0 0 0 0 0.00% 22
MC S/18,224/4 routes 0 0 0 0 0 0 0.00% 23
MC S/17,224/4 routes 0 0 0 0 0 0 0.00% 24
MC S/16,224/4 routes 0 0 0 0 0 0 0.00% 25
MC S/15,224/4 routes 0 0 0 0 0 0 0.00% 26
MC S/14,224/4 routes 0 0 0 0 0 0 0.00% 27
MC S/13,224/4 routes 0 0 0 0 0 0 0.00% 28
MC S/12,224/4 routes 0 0 0 0 0 0 0.00% 29