Alguma dica para o novato do Cisco IOS no mundo Linux?

Navegue suas respostas
3

Eu sou do mundo Linux. No Linux, tenho feito firewalls, QoS, roteamento dinâmico, túneis, ipsec, ipv6 e até mesmo extensões de rede personalizadas para o kernel.

E agora eu tenho alguns Cisco 681 sob meu controle. Eu entendo o básico, mas estou constantemente com problemas, como:

  • é difícil depurar (onde é o tcpdump?!)
  • é fácil bloquear / travar a coisa (especialmente ao depurar)
  • Eu precisaria de alguns conselhos práticos sobre como gerenciar a coisa (copiar o running-config via scp e voltar falhar ...)
  • a maior parte da documentação que eu estou achando é uma porcaria corporativa da IMHO (em muitas palavras, para menos informações)

Eu tenho andado por aí e lendo coisas, mas ainda assim eu me sinto muito sem habilidade quando lidei com a coisa.

Por exemplo, estou tentando adicionar uma QoS simples baseada em classe para uma configuração funcional de um dos roteadores.

Eu preparei uma configuração simples: 

no ip access-list extended RT_PROTOCOLS                                         
ip access-list extended RT_PROTOCOLS                                            
 permit icmp any any                                                            
 permit udp any any eq 53                                                       
 permit tcp any any eq 22                                                       
!                                                                               
no ip access-list extended HIGH_PROTOCOLS                                       
ip access-list extended HIGH_PROTOCOLS                                          
 permit tcp any any eq 80                                                       
 permit tcp any any eq 443                                                      
!                                                                               
class-map match-any RT_CLASS                                                    
 match access-group name RT_PROTOCOLS                                           
class-map match-any HIGH_CLASS                                                  
 match access-group name HIGH_PROTOCOLS                                         
!                            
policy-map INTERNET_OUT_POLICY                                                  
 class RT_CLASS                                                                 
  bandwidth percent 10                                                          
  random-detect                                                                 
 class HIGH_CLASS                                                               
  bandwidth percent 40                                                          
  random-detect                                                                 
 class class-default                                                            
  fair-queue                                                                    
  bandwidth percent 40                                                          
  random-detect                                                                 
!                                                                               
policy-map INTERNET_OUT_QOS                                                     
 class class-default                                                            
  shape average 8000                                                            
  service-policy INTERNET_OUT_POLICY                                            
!                                                                               
interface FastEthernet4                                                         
 no fair-queue                                                                  
 service-policy output INTERNET_OUT_QOS                                         
!

e eu estou copiando via copy scp://source running-config . O roteador imediatamente causa um ping alto e após cerca de 20 segundos trava completamente.

Como depurar o que está errado?

Quaisquer links, documentos, conselhos e dicas serão apreciados.

    
por dpc.pw 15.09.2010 / 16:50

4 respostas

2

Como regra geral, aplique configurações do console ou via sessão telnet ou SSH ao dispositivo, em vez de tentar copiar a configuração para a configuração em execução. Ao fazer isso, você será alertado sobre quaisquer problemas com a configuração enquanto tenta configurar.

O problema específico que eu acho que você está tendo com isso é que o 681 tem uma CPU muito fraca e a correspondência em números de porta UDP / TCP é relativamente intensa, então eu suspeito que você esteja simplesmente ficando sem poder de processamento. Se você tentar fazer um par de show process cpu após aplicar a configuração, provavelmente verá o pico de uso da CPU aumentar drasticamente.

Editar : Uma coisa útil para (de certa forma) aliviar o problema de não ter o tcpdump pronto (está disponível em algumas versões mais novas do IOS, mas apenas o bit "capture", então você tem para buscar os arquivos PCAP para outro host para fazer a análise) é o que eu costumo chamar de "monitoramento de ACLs". Simplesmente defina uma ACL que corresponda ao que você deseja verificar (existência ou inexistência) e, em seguida, termine com permit ip any any para não bloquear nenhum tráfego. Se o tráfego que você está procurando especificamente está passando, os contadores na ACL (como mostrado em "show access-list nome ") serão incrementados.

    
por 15.09.2010 / 18:48
1

Aqui estão algumas dicas para restringir a saída do show run, semelhante ao grep: 

show run | begin word    : to start displaying the config at a specific line containing word
show run | include word  : to display all the lines containing the given word
show run | section word  : is a good one, too
    
por 15.09.2010 / 17:19
1

Eu gosto de fazer minha configuração em uma sessão de console serial com o PuTTy para que eu tenha um método de acesso ao IOS sem depender de uma interface (e como um colega Linux que faz isso há apenas seis meses, Muitas vezes estou mexendo e derrubando interfaces).

Juntamente com o console serial, faço todos os backups e restaurações em andamento configurando terminal length 0 para que eu possa copiar e colar toda a configuração em execução em um arquivo, fazer alterações em massa, se necessário e cole-o novamente conforme necessário.

    
por 15.09.2010 / 17:29
1
  • it's hard to debug (where is tcpdump?!)
debug ip packets

Perigoso (veja seu ponto # 2), mas existem alguns analisadores que podem gerar um arquivo .pcap de uma depuração do Cisco.

  • it's easy to hang/crash the thing (especially when debugging)

Claro. Mesmo com grandes roteadores.

  • I'd need some pracitcal advices on how to manage the thing (copying running-config via scp and back fails ...)
router#copy tftp://tftpsrv.local/conf/router-confg start
Destination filename [startup-config]? 
[OK]

router#configure replace nvram:startup-config
This will apply all necessary additions and deletions
to replace the current running configuration with the
contents of the specified configuration file, which is
assumed to be a complete configuration, not a partial
configuration. Enter Y if you are sure you want to proceed. ? [no]: y
...

Não há necessidade de reinicialização. Você também pode copiar a configuração de um servidor tftp.

  • most of the documentation I'm finding is IMHO corporate crap (to many words, to lessinformation)

Algumas boas informações podem ser encontradas nos blogs do CCIE. E se você quiser praticar em um laboratório, verifique o laboratório da comunidade packetlife!

    
por 16.09.2010 / 00:15

Tags

Que comando Unix posso usar para impor um limite de 100 arquivos em uma pasta? Usando o Truecrypt para proteger o banco de dados mySQL, quaisquer armadilhas?