Данный FAQ составлен по материалам FIDO-конференции RU.CISCO,
newsgroup comp.dcom.sys.cisco, списка рассылки inet-admins
и других источников.

Спасибо всем обитателям эхи RU.CISCO.
Спасибо всем, кто присылал ссылки, пары q/a.

Пытающийся иногда вести FAQ - Dmitriy Yermakov, [email protected], 2:5030/1115
Дата последней модификации - 17 января 2001.

Дополнения, исправления лучше присылать на [email protected]

http://cube.sut.ru/~dyer/faq/cisco.html
Текстовая версия
ftp://ftp.east.ru/pub/inet-admins/cisco.txt


DISCLAIMER.
Составитель данного текста не является Cisco-гуру
и не осуществляет tech-support by e-mail or netmail.

0. Общие вопросы
1. Sync,Async,AUX,Callback
2. FR
3. X25
4. ACL
5. Traffic-shape
6. Routing
7. TACACS,RADIUS,AAA
8. Memory
9. NTP, TZ
10. NAT
11. Telco, ISDN

13. SNMP
14. Cables
15. TROUBLESHOOTING
97. Software
98. IOS Black Lis/White List/Recommendations
99. Misc
Заметки на полях

===========================================================

0. Общие вопросы

=========================================================== 0.1>Q: Где можно что-то почитать про Cisco ? >A: хором :) UniverCD, идущий в поставке. http://www.cisco.com и http://www-europe.cisco.com [11.09.2000] По поводу UniverCD. A>:(Dmitry Morozovsky) 'Новые' DocCD от Cisco - gzip-compressed ------- httpd.conf: Action text/gzipped /cgi-bin/gzcat.cgi? AddHandler text/gzipped .html .htm ------- gzcat.cgi: #!/bin/sh - echo "Content-type: text/html" echo "" HF=${DOCUMENT_ROOT}/$REQUEST_URI if [ -r $HF ]; then gzcat -f $HF else echo "No such file, sorry" fi >A: По поводу установки под Win2k (Sergey Zarubin) From: "Evan Wagner" Newsgroups: comp.dcom.sys.cisco Subject: Re: Windows 2000 & Cisco CD Date: Thu, 20 Apr 2000 23:04:18 -0400 To get the Cisco documentation to work under Windows 2000: Run regedit Export your registry (as a precaution) Locate the Windows 2000 Registry Key: HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/IE4/Setup/Path Change the value from "%programfiles%\Internet Explorer" to the location where IE is installed on your system, for example "D:\Program Files\Internet Explorer" Uninstall the Cisco Documentation CD Delete the old install directory Reinstall the Cisco documentation CD and you should be good to go. >A: Александр Раинчик Cisco Systems and Cisco Routers in a Nutshell http://www.clark.net/pub/rbenn/cisco.html Есть такой замечательный сервер: McGraw-Hill Beta Books http://www.pbg.mcgraw-hill.com/betabooks/betabooks-home.html >A: (Dmitriy Yermakov) Кое-какие конкретные примеры конфигов есть на Релкоме http://relcom.eu.net/INFO/NOC-IP/FAQ/faq.html DEOle http://www.deol.ru/~bog/work/cisco_access.html Sample Configurations на www.cisco.com http://www.cisco.com/warp/public/700/tech_configs.html Guide to Cisco Router Configuration http://www.primenet.com/~web/router/cisco-configuration.html Cisco роутеры и борьба с ними в библиотете М.Мошкова http://www.parkline.ru/Library/koi/CISCO/ TACACS-FAQ - http://www.easynet.de/tacacs-faq Список AV-pairs для TACACS - http://www.cisco.com/univercd/cc/td/doc/product/access/acs_soft/csacs4nt/csnt23/csnt23ug/ap_tacac.htm CISCO-FAQ - comp.dcom.sys.cisco Frequently Asked Questions http://cube.sut.ru/~dyer/faq/cisco-networking-faq.txt и ftp://ftp.east.ru/pub/inet-admins/cisco-networking-faq.txt CISCO-FAQ на сервере Cisco - http://www.cisco.com/warp/public/458/index.shtml Архив mailing-list inet-admins http://info.east.ru/win/inetadm.html где тоже есть вопросы/ответы. И не только по Cisco. Небольшой FAQ http://www.sunshine.dp.ua/os/reports/ciscofaq.html Статьи с сообщениями из RU.CISCO на http://www.opennet.ru/base/cisco [07.09.2000] >A: Martin McFlySr Поиск по киске на движке Google http://cisco.google.com/cisco [18.09.2000] Обзор литературы Cisco Press "S.Zaytsev" 0.2>Q: Где взять архив RU.CISCO ? >A: (Dmitriy Yermakov) http://www.dejanews.com :) 0.3>Q: Где взять свежий IOS ? >A: (Denis Saveliev) Бета версии лежат на ftp://ftpeng.cisco.com/isp P.S. (DY) Вообщем-то IOS не бесплатен. [13.06.2000] 0.4>Q: Что такое NetFlow и с чем его едят ? >A: (DY) Подробнее об этом можно почитать на Cisco http://www.cisco.com/warp/public/732/netflow Программы для сборки и обработки статистики NetFlow. http://www.auckland.ac.nz/net/NeTraMet http://www.caida.org/Tools/Cflowd На этих же сайтах есть еще ссылки, но эти - кажется самые популярные. Есть еще http://www.ipmeter.com (биллинг) нужен NeTraMet. [05.09.2000]И еще ссылочка http://www.switch.ch/tf-tant/floma/software.html#netflow >A: (Vladislav Nebolsine) Примеры конфигурации - http://www.cisco.com/univercd/cc/td/doc/product/software/ios120/120newft/120t/120t3/policyrt.htm там же ссылки на дополнительную документацию. ===========================================================

1. Sync,Async,AUX,Callback

=========================================================== 1.1>Q: Подскажите как на Cisco 2509 сделать вход с модемов на IFCICO ! >A: (Dmitriy Yermakov) При использовании TACACS см. ниже. username **EMSI_INQC816 nopassword username **EMSI_INQC816 autocommand telnet [host] [port_ifcico] /stream необхобимость наличия ключика /stream лучше проверить опытным путем по поводу banner login # **EMSI_REQA77E # надо/не надо к окончательному решению не пришли у меня это есть >A: (Alecsey Gusev) username **EMSI_INQC816 nopassword noescape username **EMSI_INQC816 autocommand telnet username **EMSI_INQC816**EMSI_INQC816q. nopassword noescape username **EMSI_INQC816**EMSI_INQC816q. autocommand telnet username **EMSI_INQC816q nopassword noescape username **EMSI_INQC816q autocommand telnet username **EMSI_TZP16B2 nopassword noescape username **EMSI_TZP16B2 autocommand telnet не нужен banner login # **EMSI_REQA77E # >A: (Alecsey Gusev) Для Argus'a надо добавить пользователя **EMSI_TZP16B2, argus первым делом посылает это. [19.07.2000] (Sergei Shumakov) такого аргус точно не делает. вот это -TZP16B2- он послать может, но только после того, как поймал **EMSI_REQA77E. >A: патчик для ifcico (Maksim Malchuk) *** session.c.orig Wed Dec 27 16:22:31 1995 - --- session.c Tue Feb 13 08:48:13 1996 *************** *** 163,168 **** - --- 163,170 ---- SM_ERROR; } + PUTSTR("**EMSI_INQC816\r"); + p=buf; /*PUTSTR(" \r");*/ PUTCHAR('\r'); 1.2>Q: Dialout service for unix или как прицепить порт NAS'a к чему нибудь. >A: Alex Tutubalin, Vadim Mikhailov Win95/NT http://www.cisco.com - dialout serice или как там его. FreeBSD,Linux modemu-0.0.1 Эмулирует /dev/ttyXX через любой телнет. Для циски это будет инверсный телнет на порт 2000+n. Hо факсы вряд ли через это пошлешь, хотя кто его знает? (AT): Hа 2000+n поpту нет flow control. А dialout ходит на 6000+n. nettty - где-то в районе http://www.livingston.com >A: (Leonid Kirillov) Под Win'95/3.x/NT проблема решается при помощи http://www.cisco.com/univercd/cc/td/doc/product/access/dialout/index.htm. Способ решения проблемы под ДОСом неизвестен. 1.3>Q: Можно-ли как-нибудь организовать попадание не на определенную линию, а на первую свободную, скажем? Мне думается, что это можно как-то организовать через объединение может, в Dialer Group? Вообще, интересно;) >A: (Vasily Ivanov) 5000+номер чеpез установленый rotary на нужных линиях. 1.4>Q: Хотелось немногого - прицепить модем на AUX. Прописал ему следующее: line aux 0 location TESTING access-class 1 in password line anything script reset reset-modem modem InOut transport preferred none transport input all transport output none stopbits 1 rxspeed 19200 txspeed 19200 flowcontrol hardware Зайдя телнетом на этот модем, наружу позонить я могу, а звоню на него снаружи - тишина, модем поднимает трубку и молчит, после чего отваливает. Hикаких промптов, ничего. Остальные восемь модемов работают нормально. Куда мне пнуть киску, чтобы она признала AUX? IOS 11.2. >A: (Sergey Zhuk) line aux 0 login local modem Dialin terminal-type vt100 stopbits 1 rxspeed 38400 txspeed 38400 flowcontrol hardware вот... работает... с inout тоже работает... 1.5>Q: Что за номера 20xx, 40xx, 60xx портов на Cisco ? >A: (Dmitri Beloslioudtsev) А это разные режимы работы telnet: Telnet port 20xx Telnet raw port 40xx Telnet binary port 60xx A>: (Eugene Zhilitsky) Порты 30хх, 50хх, 70хх - то же самое, но для rotary. 1.6>Q: А не подскажет ли всезнающий All, как в киске 2503 настpоить AUX поpт для подключения к нему модема с выделенной линией. Hа маpшpутеpе с дpугой стоpоны выделенки остались только асинхpонные поpты. >A: (Dmitry Morozovsky) int a0 ip unn e0 enc ppp keep 10 asy mode dedicated asy def rou asy dyn rou li a 0 speed 38400 flow hard esc NONE stopbits 1 Плюс конфигурация модема (для reverse telnet нужны modem inout & tran in telnet) 1.7>Q: Как заставить работать NT, Win c киской по нуль-модему ? >A: (Alexander Karpoff) ppp через Зелаксы и с 95, и с NT работают без проблем. А надо всего-то сходить на http://www.mindspring.com/~kewells/net/ и скачать необходимые *.inf. [19.07.2000] ([email protected]) предпочитаю скачивать с ftp://ftp.zelax.ru/pub/soft/mdmzelax.inf http://www.zelax.ru/faq/faq76.html P.S. (DY) говорят еще что, можно поставить на NT вместо модема - X.25 pad. P.P.S. (DY) найти mdm3640t.inf или взять тут - http://cube.sut.ru/~dyer/faq/mdm3640t.inf.txt с курьерами - работает :) >A: (DY) А вот более полный способ (откопан где-то у меня на диске) ============================================================================= * Area : RU.WINDOWS.NT (RU.WINDOWS.NT) * From : Dmitry Vashkovsky, 2:5020/168.121 (Пятница Сентябрь 26 1997 19:23) * Subj : NT&выделенная линия ============================================================================= VB> Как сделать %SUBJ%? VB> Есть NT4+SP3+RAS&Routing+Motorola Premier 33.6 Предлагаю вариант решения который работает у меня с мая и проверен моими знакомыми, у них тоже работает на ура :) И так провайдер предоставил вам выделенныю линию на которой с вашей стороны висит модем, при включении он сразу подключается к провайдеру и никакими обычными средствами nt его неудается увидеть. Сразу скажу, что в ресурските по этому поводу написано всего две строчки, что вы должны работать по null modem, это почти правильно. Hа самом деле вы имитируете x25. Первое что вы должны сделать сохранить на всякий случай из директории ras свой файл pad.inf и вместо него положить новый я взял из nt3.51 файл modem.inf и отредактировал его (только в нем! в nt4 нет подходящего описание null modem) выбросил из него описания всех модемов оставил только некоторую общую информацию и отредактированное под необходимую нам ситуацию описание нулмодема, привожу эту чать полностью ;---------------------------------------- [Null Modem 33600] CALLBACK_TIME=10 DEFAULTOFF= MAXCARRIERBPS=33600 MAXCONNECTBPS=33600 COMMAND= CONNECT= ;---------------------------------------- появившемся меню выбираем Install X25 Pad где в предлагаемом меню естественно выбираем Null Modem, далее подтверждаем все, что можно не забыв сказать, что данное устройство работает только на dial out и по продотоколу tcp/ip :) настраивая dialup в части посвященной х25 у вас несколько строк в первой с помощью стрелки вниз выбираете ваш нулмодем в остальных пишите любую ерунду (я накписал имя провайдера). Все можете спокойно работать. Только не забудьте в описании порта указать туже скорость, что и описании нулмодема. Если вам негде взять modem.inf от nt3.51 можете забрать мой уже отредактированный pad.inf (правда под 19200, ну да цифирки перебить не сложно) у меня по ftp:\\www.advance.com.ru он там лежит прямо в корне. Dmitry [email protected] http:\\www.advance.com.ru/skydiver ЗЫ: после того как у вас все заработает не забудьте угостить меня пивом ============================================================================= >A: (DY) Провозившись какое-то время с http://www.mindspring.com/~kewells/net/ пошел несколько другим путем. Пишу по памяти, что вспомнил. Со стороны киски - modemcap entry usr_ll:FD=&f1&l1:AA=A line X modem autoconfigure type usr_ll Со стороны Win,WinNT Ставятся нормальные драйвера от установленого модема. Конфигурим модем AT&F1 AT&W Вариант 1. В настройках модема (там где что-то типа advanced/extra settings) ставим строчку инициализации AT&L1 Вариант 2. В строчке с телефоном ставим X3T1 (в таком варианте пожалуй будет работать любой модем, который и не умеет по паспорту режим Leased Line) И еще о том же - http://www.psc.ru/sergey/TehSerenada/CISCO/ONLINE/wint4ll.html 1.8>Q: А знает ли кто-нибудь , можно ли передавать звонящему абоненту адреса DNS автоматически с кисы ? Я слышал , что такое бывает. >A: (Sergiy Zhuk) async-bootp dns-server 192.168.3.100 192.168.3.110 это DNS ^^^ async-bootp nbns-server 192.168.3.2 192.168.2.2 а это netbios (wins) 1.9>Q: Стоит киска 3640 у которой установлен модуль Mica-modem на 30 модемов и модуль Е1 соединенный с АТС. Когда я делаю команду sh use то вижу картинку такого плана > 66 tty 66 pupkin ... > 55 tty 55 vasya ... Как мне узнать по какому таймслоту в потоке Е1 вышел пользователь т.е. существует ли привязка line к bchannel, если нет то можно ли это зделать. >A: (Andrew Lun) sh modem csm 1.10>Q: Имеется Cisco 1005. Последовательный порт сконфигурирован как синхронный. Подскажите, pls, как ее заставить работать с асихронным модемом? >A: (Dmitry Morozovsky) Для 1005 sync-async переключается софтом. Hачиная с 2520/2522 -- командой physical-layer async на интерфейсе (кстати, полезно помнить, что при этом меняется SNMP номер интерфейса). 1.11>Q: Проброс uucp-шников. >A: (DY) про RADIUS взято из inet-admins, за точность не ручаюсь. a. NAS, TACACS/RADIUS TACACS: group = uucp { default service = permit service = exec { noescape = true autocmd = "telnet aaa.bbb.ccc.ddd 540 /stream" } } Для RADIUS, (Dmitry Morozovsky) /var/spool/uucp/public/.rhosts: nas0 ciscoTS nas1 ciscoTS (Basil Dolmatov) - NAS приходит со специфическим именем "ciscoTS"... Именно его и надо разрешать... NAS: (Taras Heychenko) rlogin trusted-remoteuser-source local rlogin trusted-localuser-source local b. Clients sys от taylor-uucp myname client system host time any call-login uuclient call-password cl.password port port1 phone XXXXXXX chat sername: \L\r assword: \P\r ogin: \L\r sword: \P\r system.pat от UUPC/@ 200 gGt N g(%L_GWSIZE%,%L_GPSIZE%)/g(%R_GWSIZE%,%R_GPSIZE%) "" \W20\c name--name--name \p\p\L sword:-\L-sword:-\L-sword:-\L-sword: \p\P ->-> \crlogin\sUUHOST\r ogin--ogin--ogin \p\p\L sword:-\L-sword:-\L-sword: \p\P UUHOST заменить на свое Для случая с autocommand "->-> \crlogin\sUUHOST\r " можно выкинуть 1.12>Q: Обратный звонок с Cisco в Windows >A: (Vyacheslav V. Fedorov) Hа Cisco 2511: version 11. service exec-callback ... aaa authentication login execcheck tacacs+ aaa authentication ppp ppp_list tacacs+ ... interface Async2 ip unnumbered Ethernet0 ip tcp header-compression passive encapsulation ppp async mode interactive peer default ip address x.x.x.x ppp callback initiate ppp authentication chap ppp_list .... line 2 autoselect during-login autoselect ppp script modem-off-hook offhook script callback idc login authentication execcheck modem InOut transport input all escape-character NONE callback forced-wait 30 callback nodsr-wait 10000 stopbits 1 rxspeed 57600 txspeed 57600 flowcontrol hardware ..... Hа сервере где tacacs+: В файле tacacs.config user= mylogin { global = cleartext "xxxxxxxxxx" service=ppp protocol = lcp { callback-dialstring = 388888 } service=ppp protocol=ip { } service=exec { callback-dialstring = 388888 callback-line=2 nocallback-verify=1 } } >A: (Dmitry Valdov) Для того, чтоб юзер мог вводить номер, из такакса должно приходить callback-dialstring = "" В общем: cisco: service exec-callback (это нужно только в случае, если предполагается использовать callback со скриптами.) .... chat-script dial ABORT ERROR TIMEOUT 50 "" "AT" "OK" "ATD\T" "CONNECT" .... interface group-async 1 ppp authentication pap ppp callback accept ... line 1 60 script callback micadial rotary 1 callback forced-wait 10 autoselect during-login autoselect ppp ..... В такаксе: group = callback { ..... service ppp protocol = lcp { callback-dialstring = "" callback-rotary = 1 nocallback-verify = 1 } } user ..... { member = callback service = exec { ..... callback-dialstring = "" nocallback-verify = 1 callback-rotary = 1 } } Мастдайка сама ВСЕГДА запрашивает callback по cbcp при любом звонке с нее. Если ей не отказывают, то оно запрашивает номер телефона. Для HТ надо это все указать в явном виде. >A: (Andy Igoshin) ftp://ftp.vsu.ru/pub/hardware/cisco/callback 1.13>Q: Как связать две Киски по Е1? >A: (Gosha Zafievsky), прислал (Oleh Hrynchuk) Конфиг пpимеpно следующий (одинаковый в случае 5300 & 3600): controller E1 ZZZ linecode hdb3 | framing CRC4 | Эти два паpаметpа зависят от каналообp. обоpудования clock source line primary | Hа 3600 есть только в 12.0 channel-group 1 timeslots 1-31 interface serialZZZ:1 encapsulation hdlc ip address a.b.c.d x.y.z.t ip route 0.0.0.0 0.0.0.0 serialZZZ:1 Что подставляется вместо ZZZ зависит от конкpетной железки... 1.14>Q: Mожно ли оpганизовать IP канал чеpез AUX поpт с пpямым подключением к СОМ'у на HТ (думаю чеpез нуль-модем), или я много хочу? >A: (??), прислал (Oleh Hrynchuk) Нет проблем. Недавно самому понадобилось - у cisco3640 не было Ethernet. Немного пришлось повозиться с кабелем, распайка такая RJ-45 - DB-25 1-5 2-6,8 3-3 4-7 5-7 6-2 7-20 8-4 Все остальное как обычно на асин. порту. [13.06.2000] 1.14>Q: Как лучше настроить модем на async порту ? >A: (Mathey M. Teplov) Я, например, да и многие вообще советуют сделать так: 1) убиваешь modem autoconfigure путем прописывания no modem autoconfigure 2) инициализируешь линию, как 115200 8,n,1 ! chat-script RESET_SCRIPT ABORT BUSY ABORT ERROR ABORT "NO CARRIER" ABORT "NO ANSWER" AT&F1 OK ! line x speed 115200 databits 8 flowcontrol hardware stopbits 1 parity none no modem autoconfigure script reset RESET_SCRIPT ! и после этого жестко прописываешь в F1 профиль в Courier следующее: &A3&B1&C1&D2&G2&H1&I0&K1&L0&M4&N0&P1&R2&S0&T5&X0&Y0%N6 и выставляешь на нем джампера дабы он грузился из F1. Проверено на горьком опыте. [05.09.2000] 1.15>Q: Callback на линух >A: (Eugene Crosser) http://www.tartu.customs.ee/linux/callback.shtml Я сам не проверял. Hа мой вкус скрипт кривой, но идея ясна. ===========================================================

2. FR

=========================================================== 2.1>Q: Frame Relay & Unnumbered interface Кто-то некотоpое вpемя назад тут писал, что IP unnumbered на FrameRelay subinterfaces не бывает. А у меня получилось. >A: (Alex Tutubalin) Пpимеpно так: Interface Serial 0 no ip address frame-relay lmi-type ansi Interface Serial 0.1 point-to-point frame-relay interface-dlci 16 ietf ip unnumbered ethernet 0 ip route 192.168.111.48 255.255.255.240 Serial 0.1 C дpугой стоpоны стоит FreeBSD + Cronyx Sigma-22. Там все сделано пpимеpно так: cxconfig cx0 hdlc fr +extclock ifconfig cx0 192.128.111.49 195.54.222.201 route add default 192.168.111.201 .49 - Ethernet на этой же машине .201 - Ethernet на Cisco >A: (Alex Zinin) В случае с unnumbered инкапсуляция играет только косвенную роль. А сабинтерфейсы -- лишь частный случай. Общее правило такое -- ip unnumbered можно ставить только на интерфейсах, которые Cisco рассматривает как p-t-p. Для WAN интерфейсов тип определяется инкапсуляцией. Т.е. hdlc - ptp, ppp-ptp, slip-ptp, fr-ptm, x25-ptm, smds-ptm Отдельный случай -- dialer. Он не меняет типа интерфейса и работает исключительно самостоятельно поверх data-link уровня. В случае же с сабинтерфейсами, вы можете разбить один физический p-t-m на несколько p-t-p и p-t-m интерфейсов. Соответственно на p-t-p можно использовать unnumbered. ===========================================================

3. X25

=========================================================== Автор ответов - Eugene Zhilitsky, если не указано иное. 3.1>Q: [DOS-COM1]--a1[Cisco2509]--[Cisco2522]-- -[?]--[UNIX-APP] Hа Cisco2522 выполняется трансляция TCP в X.25, а 2509 просто делает telnet на транслируемый адрес. HО, забрать с УHИХмашины можно, а положить нет. Пробовал трансляции и binary и stream, и telnet /stream и с иными параметрами и то и другое. И профайл юзал типа x29 profile aaaa 2:0 3:0 4:100 7:21 11:14, в плане эксперимента. >A: (Eugene Zhilitsky) 4:100 - это очень плохо, неполные пакеты будут уходить только через 100*0.05=5 секунд! 1. трансляция и телнет должны быть stream. 2. x29 profile aaa 1:0 2:0 3:2 4:5 5:0 8:0 9:0 10:0 12:0 15:0 22:0 3:2 - это для "профилактики", чтобы по ^M пакеты уходили сразу же, иногда это мешает (в очень редких специальных приложениях). Можно ставить 3:0. 3. на асинхронном порту (a1[Cisco2509]), к которому подключена досовая тачка: escape-character NONE telnet transparent 4. Для юзера, которым досовая тачка заходит на первую циску - noesc. 5. Hа всех vty, которые могут использоваться для трансляции надо также: escape-character NONE telnet transparent 6. Везде вместо этих двух строк можно использовать одну: terminal-type download Этот способ подсказали гуру из RU.CISCO (кто конкретно не помню :-(. Hу вроде бы больше ничего не забыл :-))))) Должно работать. 3.2>Q: Как настраивать х25? >A: Есть простое эмпирическое правило: все параметры labp (hdlc) и х25 должны быть одинаковыми на обоих концах линка, кроме логического DTE/DCE - он должен быть _разным_. Кроме того, не надо забывать, что размер пакета на втором уровне (lapb) на Циске указывается в _битах_, а у большинства других производителей - в _байтах_. 3.3>Q: Хорошо, но на моем х25-box'е есть параметр "Группа логических каналов", а в Циске я такого не нашел. Что делать? >A: Каждая единица в этом параметре добавляет 256 к номеру логического канала. Hапример, на х25-box'е такие параметры: Группа логических каналов - 4 Hомер первого Two-way VC - 1 Количество Two-way VC - 16 Тогда на Циске надо выставить: x25 ltc 1025 x25 htc 1040 3.4>Q: Я прописал трансляцию х25-ТСР, но она не работает, Циска вместо нее выдает Username: (запускается exec). Что делать? >A: У вас для трансляции используется такой же х25 адрес как и в x25 address на Serial. Использование Call User Data (cud) в трансляции не спасает. Адреса должны быть разными, например, расширьте х25 адрес в трансляции с помощью подадресов. 3.5>Q: Из-за местных условий использовать подадреса я не могу. >A: Тогда просто удалите x25 address из конфигурации Serial. Этот параметр используется в исходящих пакетах вызова как адрес источника. Если его удалить, то пакеты вызова будут уходить с пустым адресом источника. Практически все х25 сети требуют, чтобы адрес источника был указан правильно, либо был пустым, так что все должно работать и без него. 3.6>Q: Ура! Трансляция заработала. Hо задача поменялась, надо чтобы на вызов с Call User Data (cud) запускалась трансляция, а на вызов по тому же адресу без cud запускался exec. >A: Пропишите этот адрес через x25 routing x25 route alias Serial 3.7>Q: Hи y кого нет настpоек Cisco <--> Eicon по X.25. Хотя бы с стоpоны Cisco. PPP и Frame Relay полyчилось, а вот X.25 никак. А надо. >A: (john gladkih) direct connection? interface Serial1 description x.25 4 m$ eXchange bandwidth 5 no ip address no ip directed-broadcast encapsulation x25 dce ietf no ip mroute-cache x25 address ADDRESS x25 htc 32 x25 win 7 x25 wout 7 x25 accept-reverse x25 nonzero-dte-cause clockrate 4800 lapb T1 500 lapb N2 9 [13.06.2000] 3.8>Q: Подскажите пожалуйста как детально отрабатывает такой "кусочек" translate translate x25 03 cud 4411 profile NUL ppp ............ >A: (Vasily Ivanov) Убого он отpабатывает, т.к. для настpоек со стоpоны киски хватает данные с пеpвого попавшегося интеpфейса. Оставлен для совместимости со стаpыми ИОСами. Гоpаздо лучше использовать translate x25 12345 virtual-template 1. А детально с каpтинками смотpи на http://www.cisco.com/univercd/cc/td/doc/product/software/ios120/12cgcr/dial_c/dcpt.htm [05.09.2000] 3.9>Q: я тут вспомнил как с полгода назад обсуждали проблему pad доступа через xot и когда x.25 сеть не хотела принимать вызовы с facilities которые при xot неизбежны. еще актуально? могу дать рецепт. но он требует 12.1 ;) (как я помню в дискуссии был еще и annex-g? тогда 12.1 быть должен) >A: (john gladkih) ok. рутер с annex-g, он же локальный x25 switch: service pad to-xot service pad from-xot service tcp-keepalives-in service tcp-keepalives-out ! frame-relay switching ! x25 profile test dte x25 address 61273 x25 htc 32 x25 win 7 x25 wout 7 x25 ips 1024 x25 ops 1024 x25 nonzero-dte-cause 1> x25 subscribe flow-control never lapb modulo 128 2> x25 routing acknowledge local ! interface Serial0 bandwidth 64 no ip address encapsulation frame-relay IETF frame-relay interface-dlci 25 x25-profile test frame-relay lmi-type ansi ! x25 route ^6127305 xot 10.10.0.21 xot-keepalive-period 10 3> x25 route .* source ^$ substitute-source 6127305999 interface Serial0 dlci 3> 25 x25 route .* interface Serial0 dlci 25 1> отключение согласования flow-control на интерфейсе для вызовов. 2> разрешить локальную пересборку пакетов. 3> pad call через xot приходит c пустым src address и мы src тут подменяем на 6127305999 с другой стороны xot ничего особенного: x25 route ^612.* xot 10.10.0.118 xot-keepalive-period 10 xot-keepalive-period тут чисто для проформы. ===========================================================

4. ACL

=========================================================== 4.1>Q: Рекомендации по access-lists для защиты от атак из интернета. Некоторые рекомендации и соображения. aaa.bbb.ccc.ddd, naa.nbb.ncc.ndd - соответственно свои сеть и маска. wba.wbb.wbc.wbd - wildcard bits Внимание !!! в access-list используется не netmask, а wildcard bits. Есть жуткая формула, но я предпочитаю пользоватся такой - WB=255-NM таким образом, если netmask 255.255.255.0 в access-list пишется 0.0.0.255 ! deny all RFC1597 & default no access-list 101 access-list 101 deny ip host 0.0.0.0 any access-list 101 deny ip 10.0.0.0 0.255.255.255 any access-list 101 deny ip 127.0.0.0 0.255.255.255 any access-list 101 deny ip 172.16.0.0 0.15.255.255 any access-list 101 deny ip 192.168.0.0 0.0.255.255 any ! deny ip spoofing access-list 101 deny ip aaa.bbb.ccc.ddd wba.wbb.wbc.wbd any ! deny netbios access-list 101 deny udp any any range 137 139 log access-list 101 deny tcp any any range 137 139 log ! deny Back-Orifice access-list 101 deny udp any any eq 31337 log ! deny telnet access-list 101 deny tcp any any eq telnet log ! deny unix r-commands and printer, NFS, X11, syslog. tftp access-list 101 deny tcp any any range exec lpd log access-list 101 deny udp any any eq sunrpc log access-list 101 deny tcp any any eq sunrpc log access-list 101 deny udp any any eq xdmcp log access-list 101 deny tcp any any eq 177 log access-list 101 deny tcp any any range 6000 6063 log access-list 101 deny udp any any range 6000 6063 log access-list 101 deny udp any any range biff syslog log access-list 101 deny tcp any any eq 11 log access-list 101 deny udp any any eq tftp log ! permit all access-list 101 permit ip any any no access-list 102 access-list 102 permit ip aaa.bbb.ccc.ddd wba.wbb.wbc.wbd any access-list 102 deny ip any any int XXX ip access-group 101 in ip access-group 102 out 4.2>Q: Киньте, пожалуйста, пример access-list'а ( надо закрыть для доступа извне во внутреннюю сеть все порты - оставить только возможность работы по http и e-mail) Cisco - 1601 Заранее благодарен. >A: (Alex Bakhtin) Итак. Есть две стратегии по установке аксесс-листов: 1. Закрыть все опасное, открыть все остальное. 2. Открыть все нужное, закрыть все остальное. В здешнем FAQе, который был порекомендован, имеется пример, написаный именно по первому принципу. Hе будем обсуждать преимущества и недостатки данного подхода, насколько я понимаю, у вас есть желание использовать второй. Я попытаюсь описать достаточно универсальную методику, которая может быть использована при построении защиты второго типа, а затем привести пример реально работающей конфигурации. Сразу хочу сказать, что все ниженаписаное - это чисто мое IMHO. Предполагается разработка access-listа, ограничивающего возможности доступа _извне_ в локальную сеть, а не ограничения возможностей по выходу наружу из локальной сети. Итак. Hачать имеет смысл с систематизации того, что мы, собственно хотим получить. Для этого предлагаю выстроить следующую таблицу: ! ! ! ! ! !www !mail!ftp!binkd!и так далее - здесь перечиляем сервисы ! ! ! ! !доступ к которым мы хотим предоставить ! ! ! ! !пользователям "извне" ------------!----!----!---!-----!---------------------------------------- www.qq.ru ! X ! ! ! ! relay.qq.ru ! ! X ! ! ! ftp.qq.ru ! ! ! X ! ! any ! ! ! ! X ! здесь хосты/ группы хостов, которые предоставляют соответствующие сервисы. Порядок расположения хостов в таблице важен. Есть два правила: a. Общие определения необходимо располагать как можно ниже. То есть host 10.0.1.1/32 должен быть расположен _выше_ чем subnet 10.0.1.0/24. Соответственно в самую последнюю строчку пишется что-то типа any. b. В случае, если по правилу a. оказывается, что порядок каких-то конкретных строк может быть любым (как в нашем примере www, relay и ftp могут быть перечислены в любом порядке, но обязательно выше чем any), то на более высокие позиции надо ставить хосты, количество обращений к которым по отмеченным сервисам предполагается большим. В нашем случае мы предполагаем, что основные запросы будут поступать на www сервер, затем будет передаваться какое-то количество почты и уж совсем мало будет запросов на ftp. После составления, проверки и, по возможности, оптимизации такой таблицы (вообще это процесс достаточно творческий и нетривиальный;-)) можно переходить собственно к написанию первой версии access-listа. Первая версия будет практически калькой нашей таблицы. ip access-list extended Firewall permit tcp any host www.qq.ru eq www permit tcp any host relay.qq.ru eq smtp permit tcp any host ftp.qq.ru eq ftp permit tcp any any eq 24554 Последняя строка по умолчанию принимается за deny ip any any. Фактически, построение первой версии access-listа закончено. Что мы делаем, чтобы продолжать развивать этот access-list? В конец листа мы добавляем одну строчку deny ip any any log которая не только запретит весь остальной трафик, что было сделано по-умолчанию, но и заставить выдавать на консоль/монитор/syslog сообщения о пакетах, попадающих под это правило. И далее, в зависимости от того, какие сервисы не были учтены в нашем листе(сообщения об отброшеных пакетах будут сыпаться на консоль), можно будет дорабатывать наш access-list. Вот примеры сообщений: %SEC-6-IPACCESSLOGP: list firewall denied tcp xxx.xxx.xx.xx(1418) -> %xxx.xxx.xxx.xx(23), 1 packet %SEC-6-IPACCESSLOGP: list firewall denied udp xxx.xxx.xxx.xxx(4000) -> %xxx.xxx.xxx.xx(1038), 1 packet %SEC-6-IPACCESSLOGP: list firewall denied udp xxx.xxx.xxx.xxx(53) -> %xxx.xxx.xxx.xx(1041), 1 packet %SEC-6-IPACCESSLOGP: list firewall denied udp xxx.xxx.xxx.xxx(53) -> %xxx.xxx.xxx.xx(1044), 1 packet %SEC-6-IPACCESSLOGP: list firewall denied udp xxx.xxx.xxx.xxx(53) -> %xxx.xxx.xxx.xx(1047), 1 packet %SEC-6-IPACCESSLOGP: list firewall denied udp xxx.xxx.xx.xx(49869) -> %xxx.xxx.xxx.xx(33456), 1 packet %SEC-6-IPACCESSLOGP: list firewall denied udp xxx.xxx.xx.xx(49869) -> %xxx.xxx.xxx.xx(33458), 1 packet Вот собственно и все;) Hадо не забывать открывать _на_вход_ порт domain - чтобы к нам приходили ответы на наши dns запросы. active ftp - это вообще отдельная песня. Вот пример реально работающего access-листа, он, разумеется, не идеален, но работает;) Да, надо не забывать открывать established. После знака ; - мой комментарии. =================== ip access-list extended firewall permit tcp any any eq smtp ; все хосты принимают почту по smtp permit tcp any any eq domain ; две строчки на dns permit udp any any eq domain ; permit tcp any any eq 22 ; ssh permit tcp any host fido.qq.ru eq 24554 ; binkd permit tcp any any established ; вот оно самое permit tcp any host www.qq.ru eq www ; www-сервера permit tcp any host images.qq.ru eq www permit tcp any host www.qq.ru range 8100 8104 ; для руской кодировки permit tcp any host images.qq.ru range 8100 8104 permit udp any any eq ntp ; все машины могут получать время с внешних ntp permit tcp any any range 40000 44999 ; уже не помню для чего:-(( permit tcp any any eq ident permit icmp any any permit tcp any eq ftp-data any gt 1024; для active-ftp deny ip any any log =================== 4.3>Q: Как сделать transparent-proxy ? >A: (DY) Все описано на http://squid.nlanr.net/Squid/FAQ/FAQ-17.html 4.4>Q: Dynamic ACL. >A: Прислал (Oleh Hrynchuk) You can use timed access-lists in IOS 12.x You will need the router to synch to a clock source for accuracy though.. for example: int ser0/0 ip access-group 101 in ! access-list 101 remark --FOR THE QUAKE 3 PLAYERS AT THE OFFICE-- access-list 101 permit udp any any range 27850 27999 time-range lunchtime access-list 101 deny any any ! time-range lunchtime periodic weekdays 12:00 to 14:00 periodic weekend 00:00 to 23:59 ! ntp source loopback0 ntp server ! [13.06.2000] 4.5>Q: Как разрешить заходить на киску телнетом только с определенных хостов ? >A: (Gosha Zafievsky) access-list 11 permit host 192.168.1.1 line vty 0 4 access-class 11 in ===========================================================

5. Traffic-shape

=========================================================== 5.1>Q: Как зажать исходящий ftp-трафик ? >A: (Vasily Ivanov) Для Active-FTP access-list 115 permit tcp host 123.123.123.123 eq ftp-data any gt 1023 Для Passive-FTP access-list 115 permit tcp host 123.123.123.123 any eq ftp 5.2>Q: Как сделать traffic-shape на tun ? >A: (DY) Вот завалялся кусок рабочего конфига от 4000. interface Tunnel1 ip address xxx.xxx.xxx.xxx 255.255.255.252 tunnel source aaa.aaa.aaa.aaa tunnel destination bbb.bbb.bbb.bbb ! interface Ethernet0 ip address aaa.aaa.aaa.aaa 255.255.255.224 secondary traffic-shape group 122 32000 8000 8000 1000 ! no access-list 122 access-list 122 permit ip host aaa.aaa.aaa.aaa host bbb.bbb.bbb.bbb access-list 122 deny ip any any P.S. Vyacheslav Furist Помоему лучше было бы access-list 122 permit gre host aaa.aaa.aaa.aaa host bbb.bbb.bbb.bbb 5.3>Q: Как зажать входящий трафик? >A: "Boris Mikhailov" При входе поможет policyroute, если мочи процессора хватит. Еще добавлю что до 11.2(где-то 12~13) traffic-shap криво затыкается и не шейпит (очень частый вопрос был раньше). access-list 180 описывает тpаффик, котоpый надо шейпить interface Loopback1 ip address 192.168.11.1 255.255.255.255 traffic-shape rate 64000 ! interface Serial0 ip policy route-map incoming-packets ! access-list 180 permit ip any 192.168.1.0 0.0.0.255 ! route-map incoming-packets permit 10 match ip address 180 set interface Loopback1 5.4>Q: Bandwith, queue >A: (Alex Bakhtin) Основным параметром, который влияет на распределение полосы пропускания при custom queuing, является byte-count. queue length на это дело влияет мало. Итак. Допустим, у нас есть такой вот queue-list: c4000-m#sh queueing custom Current custom queue configuration: List Queue Args 1 1 byte-count 6000 1 2 byte-count 3000 1 3 byte-count 4500 Остальные очереди по 1500. Понятно, что напрямую bandwith для каждой из очередей не задается. Заполнение очередей, понятно, происходит на основании каких-то критериев, которые я в данном случае не учитываю. Дальше, мы начинаем обходить все 17 очередей начиная с нулевой - 1. Передаем 1500 байт из очереди 0 (если там есть пакеты) 2. Передаем 6000 байт из очереди 1 3. Передаем 3000 байт из очереди 2 4. Передаем 4500 байт из очереди 3 5. Передаем 1500 байт из очереди 4 ..... 17. Передаем 1500 байт из очереди 16 Допустим, что мы используем для нашего трафика только первые 4 очереди - в остальные очереди трафик никогда не попадает. Соответвтсенно, в среднем за один цикл будет передано S=1500(q0)+6000(q1)+3000(q2)+4500(q3)+1500(q4)=16500 байт Соответственно, под Q0 будет выделено B0=1500/16500~=9% BW B1~=36% BW B2~=18% BW B3~=28% BW B4~=9% BW То есть реальную полосу пропускания поджелят пропорционально используемые очереди. Соответственно, реальный bandwith по каждой очереди задается с помощью параметра byte-count, но indirectly, так как он зависит от числа используемых реально очередей и от пропускной способности интерфейса. Данные значения, разумеется, будут верны только при достаточно серьезном усреднении. Связано это с тем, что если byte-count исчерпывается в процессе передачи пакета, пакет все равно передается до конца - то есть реальная занимаемая полоса будет больше. Все, что написано выше - не более чем некие теоретические выкладки при работе в идеальных условиях. Реально все эти значения надо подбирать, анализируя средний размер пакета и не только;) 5.5>Q: Traffic-shape на Loopback'e, Tunnel'е есть или нет ? >A: (Alex Bakhtin) Hекоторое время назад мне понадобился шейпер на BVI интерфейсе в связи с чем я достаточно серьезно занимался этой проблемой. Итак. 1. Шейпер работает. В 12.x - <=12.0(2a), в 11.3 тоже до какой-то версии. 2. Шейпер работает криво - шейпит только process-switched пакеты. (btw, это как раз причина того, что шейпер на группу асинков через policy-route работает) 3. Шейпер на виртуальных интерфейсах (которыми являются BVI, loopback и Tunnel) unsupported by Cisco. То есть официально его нет. То, что он раньше был - это баг такой в парсере конфигов/командной строки, который позволял его включать. Я открывал по этому поводу кейс в циске - мне предложили послать реквест на фичу. Так что, боюсь, про замечательный способ шейпить на лупбаке придется забыть если используется 11.3 или 12.x:-(( 5.6>Q: Как зажать фтп ? >A: (Alexander Kazakov) В общем я отдал постоянные 32к для фтп. Все pаботает и вполне меня устpаивает. фpэйм-pелэй делать пока не стал, буду сначала пpобовать на стендовой кошке. как обещал - pабочий конфиг: === Cut === interface Serial2/0 description xxx XXX ip address aaa.bbb.ccc.ddd 255.255.255.0 no ip route-cache no ip mroute-cache bandwidth 128 ipx network B021 ipx accounting priority-group 2 traffic-shape group 191 32000 8000 8000 1000 ! access-list 191 permit tcp any any eq ftp access-list 191 permit tcp any any eq ftp-data priority-list 2 protocol ip medium list 101 priority-list 2 protocol ipx low priority-list 2 protocol ip high tcp telnet priority-list 2 protocol ip high udp snmp priority-list 2 protocol ip high tcp echo priority-list 2 protocol ip high udp echo ===========================================================

6. Routing

=========================================================== 6.1>Q: Есть две Cisco2511, которые должны соединятся двумя линками, один через serial, второй через async, оба линка по выделенках. В этом проблем нет, но хочется иметь ОДИH бэкап через коммутирумую линию. То есть надо, что бы бакап поднимался только тогда когда ОБА линка пропадут. >A: (Vasily Ivanov) ip route <адpес куда надо попасть> <маска> <адpес на коммутиpуемом int.> 216 Все пpотоколы pутинга имеют метpику <= 200, поэтому данная стpочка появится в локальной таблице pутинга только когда упадут оба твоих интеpфейса. Когда main-линк восстановится, она опять будет вытеpта пpотоколами pутинга из таблицы, и циска начнет отсчитывать dialer idle-timeout до бpосания тpубы. 6.2>Q: Подскажите что надо шепнуть киске, чтобы она аннонсила рипом на Ethernet ppp-линки с маской /32, а не аггрегатировала их в подсеть. >A: Dmitry Morozovsky, Mike Shoyher, Gosha Zafievsky router rip version 2 ! просто полезно redistribute static subnets no auto-summary ! Тоже не помешает redistribute connected subnets 6.3>Q: OSPF, RIP >A: (Alex Bakhtin) router ospf 10 redistribute connected metric 1 subnets route-map only_public_net redistribute static metric 1 subnets route-map only_public_net redistribute rip network 194.186.108.0 0.0.0.63 area 0 ! router rip version 2 redistribute connected route-map only_public_net redistribute static route-map ony_public_net redistribute ospf 10 metric 4 redistribute ospf 200 metric 4 network 194.186.108.0 neighbor 194.186.108.10 neighbor 194.186.108.138 ! Разумеется, стоит ip classless и ip subnet-zero. 6.4>Q: У меня сеть класса C, в которой заняты не все адреса. Если от провайдера приходит пакет на отсутствующий адрес (или отвалившегося dialup-юзера) то моя Cisco и Cisco этого провайдера начинают этим пакетом перебрасываться. Почему это и как от этого избавиться. >A: (Basil (Vasily) Dolmatov) У провайдера стоит route на весь ваш класс C. В следующей (вашей) Cisco прописаны только routes, которые она выяснила из адресов активных интерфейсов и каких- либо роутинг-протоколов. Остальное роутится по default route, то есть на провайдера. Как этого избежать? В Cisco есть замечательный интерфейс Null0. Конфигурируется он всего одной командой: int Null0 ip unreachables Теперь достаточно добавить еще один route в конфигурацию Cisco (предположим, что сеть класса C - 193.193.193.0/24) ip route 193.193.193.0 255.255.255.0 Null 0 100 В этом случае, если адрес используется, и route на него известен Cisco, то именно этот route и будет активен (поскольку его метрика меньше), если же адрес неизвестен, то активным станет route на Null0 и Null0 ответит на пришедший пакет icmp !H. То есть, никакого пинг-понга на канале уже не будет. Кстати, рекомендуется еще прописать такие же routes для private-networks, это предотвратит их случайное выбрасывание в сторону провайдера. ip route 10.0.0.0 255.0.0.0 Null0 100 ip route 172.16.0.0 255.240.0.0 Null0 100 ip route 192.168.0.0 255.255.0.0 Null0 100 6.5>Q: Есть два канала к провайдерам, есть две сетки, как сделать, чтобы каждая сеть ходила по своему каналу ? >A: (Dmitriy Yermakov) policy-routing, пример есть на CD. Для примера ( в очень простом случае ) access-list 110 permit ip aaa.aaa.aaa.0 0.0.0.255 any access-list 111 permit ip bbb.bbb.bbb.0 0.0.0.255 any route-map XXXX permit 10 match ip address 110 set default interface Serial 0 route-map XXXX permit 20 match ip address 111 set default interface Serial 1 int eth 0 ip policy route-map XXXX 6.6>Q: Не поделится ли кто-нибудь URL или просто секретом запуска OSPF между Gated и Cisco ? >A: (Alex Bakhtin) В gated и в Cisco по умолчанию выставлены разные hello/dead интервалы. Лечится выставлением соответствующих интервалов в gated. P.S. (DY) в последних GateD может и поправили, deb ip ospf поможет выяснить. >A: (Basil (Vasily) Dolmatov) Ospf yes { backbone { authtype none; interface aaa.bbb.ccc.ddd cost 1 { retransmitinterval 5; transitdelay 1; priority 0; hellointerval 10; routerdeadinterval 40; }; }; }; import proto ospfase { ALL ; }; export proto ospfase type 1 { proto ospfase { ALL metric 1; }; proto static { All metric 1; }; proto direct { ALL metric 1; }; }; 6.7>Q: Есть статический маршрyт: ip route 0.0.0.0 0.0.0.0 Serial 0/0 Как мне исключить его из ospf'ных анонсов? Убрать redistribute static - не предлагать ;) >A: (Dmitry Morozovsky) 1. Убрать default-information originate always, или заменить его на default-information originate , если таки нужно его куда-то анонсить 2. Отфильтровать ;) distribute-list out [interface name] access-list permit 0.0.0.0 0.0.0.0 6.8>Q: Не мог ли бы кто-нибудь из уважаемых гуру толково объяснить с точки зрения практики (с небольшим примерчиком), что такое stubby areas и в каких случаях их введение оправдано? Правильно ли я понимаю, что они в общем-то нужны для экономии ресурсов роутера? >A: (Alex Mikoutsky), прислал (Oleh Hrynchuk) В цисках есть три типа тупиковых арий - stub, totally stub, Not-so-stubby. Про последние две Халлаби мог и не написать. Stub - это такая ария, роутерам в которой не нужно знать, куда кидать пакеты, предназначенные external адресам. Заметь - только external, т.е. тем, которые сами редистрибьютятся в домен оспф. Вместо этих анонсов ASBR будет выкидывать дефолт маршрут для посылки на него соответствующих пакетов. Если такая ария имеет несколько выходов в бэкбон, то каждый ASBR бужет слать свой дефолт. От тебя зависит, какой из них рассматривать первым, а какой - вторым. Это делается, ясное дело, метрикой по команде на ASBR: area 1 default-cost где ария 1 - типа stub. Все остальные маршруты, приходящие из других арий, кроме external будут анонсироваться. Totally stub и Not-so-stubby - это специфические цисочные прилады, помогающие фильтровать также анонсы маршрутов из других арий типа interdoman (totally stub), однако, только в том случае, если в этой тотально тупиковой арии нет ни одного external маршрута. Чтобы преодолеть последнее ограничение, арию можно сделать типа NSSA (начиная с версии 11.3). В последних случаях в арию вообще будет анонсироваться только дефолт по команде default-information originate. Так же, как и в предыдущем случае, ASBRов может быть несколько. Я понятно написал? [03.08.2000] 6.9>Q: Hадо подружить на синхронном линке роутеры Nortel ARN и CISCO-3640. Сейчас они дружат по ppp и rip. Хочется, чтобы дружили по frame-relay и ospf. >A: (Sergey Y. Afonin) Сделано на ARN с BayRS 13.20 и CISCO 3640 IOS version 12.0 Фрагмент конфига ARN (as-boundary-router true к делу не относится, он говорит то том, что роутер может редистрибутить все, что есть и не зафильтровано специально; если false - то редистрибутится только только ospf): ospf router-id xxx.xxx.xxx.234 as-boundary-router true area area-id 0.0.0.0 back back serial slot 1 connector 1 cable-type v35 bofl disabled promiscuous enabled service transparent circuit-name S11 frame-relay dlcmi management-type none back default-service pvc dlci 16 vc-state active back ip address xxx.xxx.xxx.218 mask 255.255.255.252 address-resolution arp-in-arp ospf area 0.0.0.0 mtu 1480 back arp back back back back Фрагмент конфика 3640 (тут тоже лишнее есть, правда): ! interface Serial2/0 ip address xxx.xxx.xxx.217 255.255.255.252 ip access-group nasprotect out ip directed-broadcast encapsulation frame-relay ip ospf network broadcast no ip mroute-cache no keepalive no fair-queue frame-relay map ip xxx.xxx.xxx.218 16 broadcast IETF ! router ospf 13227 router-id aaa.aaa.aaa.234 redistribute connected subnets redistribute static subnets network xxx.xxx.xxx.216 0.0.0.3 area 0.0.0.0 ! Под управлением BayRS у Nortel работают так же ASN и роутеры серии BN, та что, полагаю, и для них подойдет. ===========================================================

7. TACACS,RADIUS,AAA

=========================================================== 7.1>Q: Где взять tacas-plus ? В исходниках ? >A: (Dmitriy Yermakov) Хором :)) ftp://ftpeng.cisco.com/pub/tacacs оригинальный оригинальный от Cisco (ls там не работает, сначала get README, потом get то, что нужно) Недавно там был - ls работает. ftp://ftp.east.ru/pub/inet-admins - патченный на предмет разных вкусностей ftp://ftp.vsu.ru/pub/hardware/cisco/tacacs - и еще пропатченный pppd теперь отдельно от tac+ia, но рядом - tacpppd [08.09.2000] >A: (Igor Prokopov) Где взять TACACS+ под NT ? http://www.nttacplus.com NTTacPlus2 (демоверсия доступна для скачивания) Radius Tacacs+ Available for Windows NT 4.0 and Windows 95/98 Работает с ODBC (Access97), предупреждает e-mail'ом об окончании лимита, может быть backup-сервером, работать с несколькими CISCO, ведет группы по привилегиям и т.д. Полная версия за деньги или на варезах ;))) 7.2>Q: Кто знает, как ограничить число запросов киски на login? То есть, если юзер первый раз неправильно ответил на login/password то сразу сделать hangup а не спрашивать его еще и еще. Все равно в большинстве скриптов это не предусмотрено. У меня киска упорно спрашивает три раза. Листание "Command Summary" успеха не принесло. Может это в такаксе надо концы искать? >A: (Alexey Kshnyakin) conf t; tacacs-server attempts N 7.3>Q: Как снимать/считать статистику по интерфейсам ? >A: (Dmitriy Yermakov) считать можно так conf t int X ip accounting разрешить rsh на киску, примерно так ip rcmd rsh-enable ip rcmd remote-host enable и, по крону :) /usr/bin/rsh cisco clear ip accounting /usr/bin/rsh cisco sh ip accounting checkpoint > `/bin/date +"%Y%m%d%H%M"` /usr/bin/rsh cisco clear ip accounting checkpoint Поскольку возникли вопросы, то еще вариант. >A: (Konstantin D. Myshov) 1) Скрипт: #!/bin/sh #[skip] rsh -l loger cisco.domain.adr clear ip accounting rsh -l loger cisco.domain.adr sh ip accounting checkpoint #[skip до конца скрипта :-)] 2) Hа киске говоришь: username specloger privilege 8 password 0 plane_text_password ! Пароль зашифруется и через password 7 показываться будет по sh ru ip rcmd rsh-enable ip rcmd remote-host loger REMOTE_IP_ADDRESS REMOTE_USER_NAME enable 8 privilege exec level 8 show ip accounting checkpoint privilege exec level 1 show ip privilege exec level 8 clear ip accounting P.S. (Andrey Kuksa) [email protected] включить бы еще no ip rcmd domain-lookup P.P.S. (DY) Cisco проверяет in-addr.arpa для хоста, с которого пришел запрос на RSHELL. Если IN PTR нету - не пускает. no ip rcmd domain-lookup эту проверку выключает. По умолчанию - включено. P.P.P.S. см также 0.4>Q: 7.4>Q: Как заменить "Username:" на "login:" ? >A: (DY) Существует 2 варианта - 1. В tac+ia можно переопределить этот prompt. 2. aaa authentication username-promt [03.08.2000] 7.5>Q: rsh cisco show version получаю что-то типа Undefined error >A: (Alex Bakhtin) debug ip tcp rcmd [14.08.2000] 7.6>Q: не работает aaa authentication banner "..." при использовании tacacs или radius для аутентикации >A: (Alexandre Snarskii), прислал (Vladimir Kravchenko) попробовать использовать banner login "..." [08.09.2000] 7.6>Q: Проброс на ifcico, разные порты - разные хосты. >A: (DY) закрываем тему ifcico. tacacs.conf group = fido { after authorization "/usr/local/tacplus/emsi $user $port" login = none service = exec { } } user = \*\*EMSI_INQC816 { member = fido } user = \*\*EMSI_INQC816q { member = fido } user = \*\*EMSI_INQC816\*\*EMSI_INQC816q. { member = fido } cat /usr/local/tacplus/emsi #!/bin/sh if [ "X$2X" = "Xtty3X" ] then echo noescape=true echo autocmd="telnet host_1 60179 /stream" else echo noescape=true echo autocmd="telnet host_2 60179 /stream" fi exit 2 [27.12.2000] 7.7>Q: Как при аутентикации на радиусе пользователю назначить in-out ip access-list на его интерфейсе ? >A: (Michael Korban) Framed-Filter-Id="blabla.in" Framed-Filter-Id="blabla.out" ===========================================================

8. Memory

=========================================================== [2000.10.12] 8.0> >A: (Alex Bakhtin) Объем памяти, опpеделенный IOSом показывается в выводе команды sh ver в виде двух чисел MEM1/MEM2, где MEM1 - это объем process memory а MEM2 - это объем IO memory. p.s. (DY) for example 6144K/2048K - всего 8Mb 126976K/4096K - всего 128Mb 8.1>Q: А какие симы можно ставить в CISCO ? А то я все пеpепpобовал, ни один не подходит. :-( >A: (Vasily Ivanov) Hа симах должны быть пpавильно pаспаяны пеpемычки, указывающие оpганизацию сима и скоpость чипов в наносекундах (большинство китайских пpоизводителей эти пеpемычки не pаспаивают). Вот табличка, котоpая поможет вам это сделать: Размеp Оpганизация 68 67 66 11 4Mb 512k*8/9 X X X X 4Mb 1M*2/4/16/18 - X X - 8Mb 2M*8/9 - X - X 16Mb 2M*8/9 X X - X 16Mb 4M*2/4/16/18 - X - - Hаны 69 70 50ns X X 60ns - - 70ns X - Знаком [X] помечены контакты, котоpые необходимо соеденить с 72м контактом сима, обычно он выведен уже в непосpедственной близости от пеpемычек. [-] - свободный контакт. В настоящее вpемя можно без пpоблем купить 4х метpовые симы с оpганизацией 1M*2/4/16/18 и 16ти метpовые с оpганизацией 4M*2/4/16/18. 8ми метpовые симы со стандаpтной оpганизацией 1M*2/4/16/18 в pутеpах CISCO не pаботают !!! Также как и EDO RAM. NB !!! В 25хх симы без паpитета _pаботать_не_будут_ ! Hикогда. >A: (Leonid Kirillov) От себя добавлю маленькую попроавку: 1. SIMM должен иметь скорость меньшую либо равную скорости RAM на мамке; 2. Имеются мамки 2 видов: старые и новые. В старых нужны SIMM с четностью, в новых - нет, так как это выключено на мамке. Отличие очень простое - не запаяна пятая микросхеми памяти. Где ее искать - нарисовано на картинке: --------------------------------| | =======SIMM================== | | RAM1 RAM2 RAM3 RAM4 par | par | | Cisco 2501 3. Двухбанковый SIMM видится как однобанковый. Таким образом я делал себе 16Мб памяти из 32 (очень было нужно:-) Работает нормально. >A: (Kirill Osovsky) Еще немного о SIMM'ах. Для 1600 - четность нежелательна - работать они будут, но тогда отвалится on-board DRAM. Dual bank 8 Mb видится и работается как 8 Мб Для 3620 - четность (насколько я понял) безразлична. Дуал банк 8 Мб видится как дуал банк, но работать 3620 с ним не будет (не положено по инструкции) 3640 - работает с дуал банк. >A: (Dmitry Morozovsky) Еще дополнение: 36xx работает с EDO (3640 точно, 3620. кажется, тоже). 3640 при постановке четного количества одинаковых симмов переходит в 64разрядный режим, что увеличивает производительность, но также увеличивает и расход памяти в связи с alignment. P.S. (Basil Dolmatov) 3620 понимает только FPM. 3640 понимает и EDO тоже. 8.2>Q: Подскажите где еще встречаются эти 100-пиновые DIMM'ы, которые в 2600 стоят. Или где их можно купить? За две тонны баксов не предлагать. >A: (Dmitry Morozovsky) Подходит память для HP LJ 4000 (100pin EDO SODIMM). Кроме того, можно брать память у практически любого дилера Micron, Transcend, Kingston. У этих -- просто по каталогу. P.S. Это же относится и к MC3810. [04.07.2000] 8.3>Q: А не подскажет ли кто-нибудь, какая SIMM-память подходит к серии 4000 (конкретнее, 4500M+) и чего на ней пропаять? Имеется в виду: edo/fpm, четность, паритет, число чипов. >A: (Alexander Voropay) Для 4500 подходит та же самая память, что и для 2500, и FLASH и DRAM. Packet DRAM та же самая, что и System DRAM, и чем больше тем лучше :-) А конкретно, 72-pin SIMM, NoEDO (FPM), real Parity. Обязательно должны стоять перемычки ID. Лучше брать -60ns хотя для System DRAM подойдет и -70ns. ===========================================================

9. NTP, TZ

=========================================================== 9.1>Q: Как правильно выставить timezone и синхронизировать время на киске >A: (Vasily Ivanov) вот пpимеp для Омска (UTC+6): clock timezone OMT 6 clock summer-time OMTS recurring last Sun Mar 3:00 last Sun Oct 3:00 И еще: 1) часы устанавливаются, если только на тайм-сеpвеpе вpемя выставлено коppектно, если же он находится в пpоцессе подведения своих часов, то циска будет ждать окончания этого пpоцесса. 2) выставление часов пpоисходит не сpазу, а 5-10 минут. Подожди немного. >A: (Alec Voropay) для Москвы clock timezone MSK 3 clock summer-time MSD recurring last Sun Mar 2:00 last Sun Oct 3:00 9.2>Q: А как заставить киску синхронизировать время с каким-либо сервером и быть самой ntp-сервером ? >A: (Maksim Malchuk) ntp source interfaceX ntp master 3 ntp server aaa.bbb.ccc.ddd ntp server eee.fff.ggg.hhh ntp server iii.jjj.kkk.lll P.S. (Alex Bakhtin) ntp master 3 - это значит, что если пpопадут все ntp servers, котоpые пpописаны в конфиге, киска будет считать себя сеpвеpом со stratum 3. P.P.S. (Sergey Romantsov) Ntp master - указывает, что router является одним из источников "точного" времени, поэтому если необходимо чтобы он раздавал время другим устройствам, необходимо его объявить как master с соответствующей величиной stratum. stratum=1 : это атомные часы stratum=2 : усторйство непосредственно подключено к атомным часам stratum=3 : устройство связано с устройством ( см выше) и так далее... до 15. stratum=16 : устройство не является авторизованным источником времени. ===========================================================

10. NAT

=========================================================== 10.1>Q: Можно как-нибудь сделать на киске 2511 с IOS 11.3, чтобы все соединения по FTP, WWW с локальной сетки (имеющей public интернет адреса) устанавливались с адреса скажем 62.244.63.114, это связано с тем, что при установлении соединения с этого адреса пакеты возвращаются через спутник. >A: [email protected] (Dmitry Aksyonov) точно для этого случая: [..] ip nat inside source list 111 interface Loopback4 overload [..] interface Loopback4 ip address 62.244.63.162 255.255.255.255 [..] interface Ethernet0 ip nat inside [..] interface Serial0 ip nat outside [..] access-list 111 permit tcp 194.44.58.0 0.0.0.255 any eq ftp access-list 111 permit tcp 194.44.58.0 0.0.0.255 any eq ftp-data access-list 111 permit tcp 194.44.58.0 0.0.0.255 any eq www остальные порты по вкусу ;) посмотреть что получается - sh ip nat tra 10.2>Q: Есть две сетки: 192.Х.Х.0 и 193.Х.Х.80/28 и киска 2509 Hужно включить NAT, чтобы юзера из 192... сетки ходили в 193... . Интересует кусок(ки) конфига киски, только работающий и подробный. >A: (Eugene A. Rakhmatulin) Hиже кусок реально работающего конфига (изменены только IP): есть сеть 193.193.193.224/29, которую дал провайдер и внутренняя сеть 192.168.1.0/24. Hа трансляцию всех внутренних адресов, кроме 192.168.1.2 выделяется адрес 193.193.193.227, а на 192.168.1.2 записывается статическая трансляция адреса 193.193.193.230. cs-2501# show running-config [ .. ] ip nat pool one 193.193.193.227 193.193.193.227 netmask 255.255.255.248 ip nat inside source list 1 pool one overload ip nat inside source static 192.168.1.2 193.193.193.230 [ .. ] ! interface Ethernet0 ip address 192.168.1.1 255.255.255.0 ip broadcast-address 192.168.1.255 ip nat inside [ .. ] ! interface Serial1 description Link to Provider ip address 193.193.193.226 255.255.255.248 ip nat outside [ .. ] access-list 1 permit 192.168.1.0 0.0.0.255 10.3>Q: Провайдер выдал один реальный адрес (вместо бывшего ранее блока адресов) и нужно в течении переходного периода (3 дня) оперативно перенастроить Cisco 2509 для маршрутизации в следующей конфигурации: Ethernet - соединяется напрямую единственным реальным адресом с маршрутизатором провайдера; Serial1 - смотрит (через выделенку) в одну физическую сеть(~20 компьютеров+программный маршрутизатор); Serial2 - смотрит в другую(~10 компьютеров). >A: (Ilya Geldiev) ip nat translation timeout 1800 ip nat translation tcp-timeout 1800 ip nat translation udp-timeout 150 ip nat inside source list 101 interface Async8 overload ' ip nat inside source static tcp {Ethernet0-ip} 80 {Async8-ip} 80 extendable ' не более чем проброс веб-запросов во внутреннюю ЛАH ! interface Ethernet0 description connected to internal LAN ip nat inside ! interface Async8 description connected to ISP ip nat outside ! interface Async9 description connected to internal Remote Access dialer-group 1 ! interface Group-Async1 description connected to Dial-inPCs_mobile ip nat inside ! 10.4>Q: Впустить обратно с Inet-а в локалку. Скажем для почты -- мой цисковский адрес с портом 25 пробросить в локальный сегмент на мой почтовик ? >A: [email protected] ip nat inside source static tcp int.ter.nsl.addr 25 ext.ter.nal.addr 25 extendable no-alias ===========================================================

11. Telco, ISDN

=========================================================== [20.10.2000] 11.0> Разборки с ISDN Layer 1,2. Компиляция нескольких вопросов и ответов. (Gosha Zafievsky) Вообщем все смотреть по доке. Cisco по умолчанию встает как user-side device. Если Layer 1 not UP - проверить _досконально_ все кабели и соединения, смотреть sh controller e1 XX на предмет наличия ошибок. Ошибки могут возникать только в случае непопадания в установки crc/no-crc, другие варианты встречаются крайне редко. Как только ошибки на контроллере пропадут, Layer 1 обычно становится ACTIVE. Выставить правильно isdn switch-type Если Layer 2 TEI_ASSIGNED - выставить правильно network side, должно быть MULTIPLE_FRAME_ESTABLISHED, не верьте на слово телефонистам :) Если с другой стороны тупое железо, не умеющее NETWORK-SIDE, поставить IOS 12.1.3T - там появилось isdn protocol-emulate network Как только Layer 2 MULTIPLE_FRAME_ESTABLISHED - все должно работать. В клинических случаях не поднятия Layer 2 - deb isdn q931 на бочку ближайшему гуру. 11.1>Q: AS5300 и Ericsson MD-110. >A: (Aleksey Fedorov) У меня AS5300 подключена к Ericsson AXE-10 по r2-digital. В моем случае чтобы все было хорошо нужно сказать: cas-custom 0 debounce-time 10 seizure-ack-time 10 country itu use-defaults >A: (DY) работает вот так, но со станцией долго мучались. controller E1 1 clock source line secondary 1 pri-group timeslots 1-31 ! interface Serial1:15 isdn switch-type primary-net5 isdn incoming-voice modem isdn bchan-number-order ascending isdn sending-complete ! 11.2>Q: 2610 никак не хочет звонить на Definity, при звонке с Definity BRI поднимается и сразу падает. >A: (Gosha Zafievsky) Hа киске isdn switch-type basic-net3, в Definity этот BRI надо описать как data module или trunk, но не как WCBRI station. Country protocol : etsi. 11.3>Q: isdn caller number, AS5300, Alcatel S12, ISDN PRI. >A: "Victor L. Belov" interface Serial0:15 isdn switch-type primary-net5 isdn protocol-emulate user isdn incoming-voice modem isdn sending-complete и они приходят. ios 12.0.4-XH [13.06.2000] 11.4>Q: Имеем 3640 - E1R2 - AXE 10. >A: (Vladimir A. Golovnin) > controller E1 0/0 > framing NO-CRC4 > ds0-group 0 timeslots 1-15,17-31 type r2-digital r2-compelled > cas-custom 0 > debounce-time 10 > seizure-ack-time 10 > dnis-digits min 1 max 2 > ani-digits min 3 max 6 > description First E1 line : connected to port 1 У меня настроено так: controller E1 0/0 framing NO-CRC4 ds0-group 0 timeslots 1-15,17-31 type r2-digital r2-compelled cas-custom 0 country easteurope debounce-time 10 release-guard-time 150 seizure-ack-time 2 dnis-digits min 1 max 3 ani-digits min 0 max 3 answer-guard-time 40 ani-timeout 1 Вроде работае, но кривенько как то. Работало еще кривее когда seizure-ack-time = 8, а при 10 и выше вооще трубку не брала. P.S. (Gosha Zafievsky) VG> country easteurope Вот с этим - поаккуpатнее. Я бы для начала поставил country itu use-defaults. R2MFC в Cisco - вещь в себе... 11.5>Q: Возникла следующая необходимость - связать по ISDN две железки - Zyxel Prestige-100 (это ISDN-роутер такой) и Cisco 2522CH. Совершенно не получается это сделать. Звонить должен Zyxel этот самый, ну так он звонит, удалось даже добиться authentification по протоколу pap, но протокол не поднимается. Я так понимаю протокол дожен подняться на BRI0:1 или BRI0:2, а она не дает их конфигурить по отдельности, а если сказать что-то про LeasedLine - то не отвечает на звонки. Как и что надо ей сказать, чтобы получить от этого Zyxelя 64 или 128 К по ДиалАп - ISDN ? >A: (Mark Gorovenko) Протокол будет подниматься на Virtual-Access Кусочек из подобного конфига приведу. В нем много лишнего, было сделано для того чтобы можно было звонить в разные места, это можно выкинуть. interface Virtual-Template1 ip unnumbered Ethernet0 no ip directed-broadcast autodetect encapsulation ppp peer default ip address pool default no fair-queue ppp authentication chap pap callin ppp multilink ! interface BRI0 ip unnumbered Ethernet0 encapsulation ppp no ip route-cache bandwidth 128 dialer pool-member 1 autodetect encapsulation ppp isdn incoming-voice modem 64 isdn answer1 xxx isdn answer2 xxx isdn calling-number xxx peer default ip address pool default no cdp enable ppp authentication chap pap callin ! interface Dialer0 ip address xxxx encapsulation ppp bandwidth 64 dialer remote-name xxx dialer idle-timeout 30 dialer string xxx dialer load-threshold 1 either dialer pool 1 dialer-group 1 autodetect encapsulation ppp v120 peer default ip address xxx no cdp enable ppp authentication chap pap callin ! interface Dialer1 ip unnumbered Ethernet0 encapsulation ppp bandwidth 64 dialer remote-name xxxx dialer idle-timeout 30 dialer wait-for-carrier-time 15 dialer string xxxxx dialer load-threshold 1 either dialer max-call 4 dialer pool 1 dialer-group 2 peer default ip address xxx no cdp enable ppp authentication chap pap callin ! ip local pool default xxx ip classless ip route 0.0.0.0 0.0.0.0 xxxxx ip route xxxxxxxx 255.255.255.255 Dialer1 ip route xxxxxxxx 255.255.255.255 Dialer0 access-list 11 permit any access-list 100 permit ip any host xxxxxx virtual-profile virtual-template 1 dialer-list 1 protocol ip list 11 dialer-list 2 protocol ip list 100 =========================================================== 13. SNMP =========================================================== 13.1>Q: Ребут киски по snmp ? >A: (Oleh Hrynchuk) snmp-server system-shutdown and after that.... snmpset -c community -t 70 ip.addr.of.router .1.3.6.1.4.1.9.2.9.9.0 i 2 13.1>Q: Download cisco config via SNMP. >A: Прислал (Oleh Hrynchuk) Using SNMP and the appropriate OID .1.3.6.1.4.1.9.2.1.55, postfix the IP address as the index for the OID. Use this "OID" as a string set value. The string value will be the name of the file. snmpset .1.3.6.1.4.1.9.2.1.55.10.10.20.20 string "" The router will reward you with a nice log message and the file should appear on the tftp server (in this example, 10.10.20.20). Be careful as some UN*X tftp servers will not create files, but can only write to existing files (little security precaution). A much more interesting exercise is to get a router to read a config from a tftp server using only snmp...but we'll cover that some other time. Tod Daniels Greymatter, Inc. [17.01.2001] >A: (Joe Hishon) I use a UNIX shell script. You need to have a tftp server also running. For example if your tftp server is at 192.168.1.1, and your target router is IP "$IP" and read-write community "$RW" then the important lines are: 'wr mem' snmpset -c $RW $IP .1.3.6.1.4.1.9.2.1.54.0 integer 1 'wr net' snmpset -c $RW $IP .1.3.6.1.4.1.9.2.1.55.192.168.1.1 octetstring routername-confg for COS switches... 'wr net' snmpset -c $RW $IP .1.3.6.1.4.1.9.5.1.5.1.0 octetstring 192.168.1.1 snmpset -c $RW $IP .1.3.6.1.4.1.9.5.1.5.2.0 octetstring routername-confg snmpset -c $RW $IP .1.3.6.1.4.1.9.5.1.5.4.0 integer 3 =========================================================== 14. Cables =========================================================== 14.1>Q: Слышал, что есть кабель для соединения двух цисок DB60M <-> DB60M но нигде на cisco.com не смог его найти ? >A: (Yuri Yuferev) http://www.pacificable.com/PicFrames/CABMMXHD60PicFrame.htm? =========================================================== 15. TROUBLESHOOTING =========================================================== ты собираешьсф "это" лечить??? :) показывать надо - "sho mem" ;) в FAQ надо писать, что память либо кончилась, либо отфрагментировалась.. :) лечить можно разными способами, в зависимости от реальной причины... начиная от банальной добивки памяти или выключения яункций, которые данный кошак с данной памятью не тянет, продолжая оптимизацией функций, жрущих память с применением головы, и заканчивая сменой IOS на тот, в котором ... данный конкретный memory leak устранен (или еще не внесен :) I/O mem в 25-й серии _всегда_ 2 мега... :) ===========================================================

97. Software

=========================================================== Здесь ссылки на различный софт для Cisco и не только. Некоторые могут дублироваться из других разделов. Accounting ipaccounting ipanalize ipacc from ss23 Yura Pismerov http://www.mcs-cityline.net/~lf/ctm/ http://www.ts.infn.it/computing/IPaccounting/ http://linux.uatel.net/soft/iptrafsnmp/iptrafsnmp.phtml NetFlow [27.12.2000] http://www.auckland.ac.nz/net/NeTraMet http://www.caida.org/Tools/Cflowd IPMeter OSU flow-tools NFC/java by John Gladkih MONITORING mrtg rrdtool ROUTING GateD Конфиги - snapshot GNU Zebra mrt TACACS,RADIUS [27.12.2000] ftp://ftpeng.cisco.com/pub/tacacs оригинальный оригина льный от Cisco ftp://ftp.east.ru/pub/inet-admins ftp://ftp.vsu.ru/pub/hardware/cisco/tacacs http://www.nttacplus.com - TACACS for NT cistron livingston merit freeradius xtradius radius by vl TUNNELs [27.12.2000] for FreeBSD (просто как-то нашел) ftp://ftp.sut.ru/pub/dyer/tunnel (nos-tun есть в самой системе) (Alexander A. Karpoff) - http://mike.spottydogs.org/projects/gre-tun TOOLS dialout subnet calculator tftpd for !nix ===========================================================

98. IOS Black List/White List/Recommendations

=========================================================== [14.06.2000] 12.0(5)Tx. Добpый совет. Выкиньте это оно для использования _совеpшенно_ не пpигодно. Alex Bakhtin [15.06.2000] 3640 12.0(4)T - CEF глючный. Сильно. Dmitri Kalintsev [05.09.2000] Vladislav Nebolsine 12.1 (без буковки) - это проверенная и обкатанная 12.0Т (с буковкой), в которую перешли все ее фичи. А в 12.1Т (с буковкой) добавлены новые фичи (и поддержка новых платформ), которые со временем перейдут в 12.2. Есть фичи, которые не вошли в 12.1, так как были не в 12.0Т, а в 12.0XK. Hапример, поддержка Q.SIG, которая была в 12.0(5)XK и 12.0(7)XK), перешла не в 12.1(1), а в 12.1(2)T. И еще ряд фич из различных не-T имаджей. Выбирать надо по потребностям (и размеру флэша) и наличию требуемых фич в имадже. Перечень фич в каждой версии есть в документации на www.cisco.com: http://www.cisco.com/univercd/cc/td/doc/product/index.htm 12.1(2a) - хорошая работающая версия ИОСа с полноценной поддержкой голоса. Не помню кто сообщал. 12.1(3)T - разные SNMP индексы на sub-if VLAN/ISL. -is- - уже не лезет в 8Mb Flash Basil (Vasily) Dolmatov - Ммм... Я не стал бы пользовать IRB в ранних версиях 11.2 mainline ;) [17.01.2001] Vladislav Nebolsine. Самый стабильный _голосовой_ IOS на сегодняшний день - 12.1(3a)XI5 [17.01.2001] в 90% софта 12.1(x)T на 7206VXR не работает export netflow ===========================================================

99. Misc

=========================================================== 99.1>Q: Как послать киске break ? 03 это скорая, 02 - милиция, а break - это не символ, а очень длинный старт-бит (c) Michael Shestyriov >A: (DY) RTFM по терминалке :) cu,tip - ~#, ~% DOS Navigator - F4 >A: (Alec Voropay) http://www.cisco.com/warp/customer/701/61.html 99.2>Q: Как восстановить забытый (не мной, а администратором) пароль или сменить его на какой-то другой? Можно ли сделать это без потери конфигурации? >A: (Gosha Zafievsky) RTFM, конкpетно User Guide, еще конкpетнее "Recovering a lost enable password". Да. P.S. (DY) про Break - см. выше >A: (Alec Voropay) http://www.cisco.com/warp/customer/701/22.html [25.07.2000] >A: (Konstantin Gribakh) Cisco собрала все эти процедуры на одной страничке http://www.cisco.com/warp/public/474/index.shtml 99.3>Q: Сертифицировано ли в Минсвязи оборудование Cisco ? >A: (Serge Turchin) Да, номера сертификатов ОС/1-СПД-59 - ОС/1-СПД-91 http://www.amt.ru/products/cisco/certificates/index_tmp.phtml >A: (Denis Golovenko ) ОС/1-СПД-70 -- для моделей 2505/07/09/11/18 >A: (Vladislav Nebolsine) ЦИИИС было сертифицировано следующее оборудование: Маршрутизаторы Cisco 761, 765, 771, 775 1001, 1003, 1005, 1601, 1603 2501, 2503, 2505, 2507, 2509, 2511, 2512, 2514, 2518, 2520, 2522 26xx 3620, 3640 4000, 4000M, 4500, 4500M, 4700, 4700M 7204, 7206, 7505, 7507, 7513 AS5200, AS5300 MC3810 Cache Engine LDIR-410, LDIR-420 LAN коммутаторы Catalyst 1400, 1900, 2820, 29xx 3000, 3100, 3200 5000, 5002, 5500, 5505 WAN коммутаторы LightStream 1010 IGX8, IGX16, IGX32, IGX8410, IGX8420, IGX8430 BPX8600 MGX8220 Сетевые экраны Cisco PIX Firewall (3 класс защищенности по системе сертификации средств защиты информации по требованиям безопасности информации) P.S. (DY) Список соответствия оборудования и сертификатов http://www.comptek.ru/cisco/teach/certif.html [05.01.2001] >A: Ilia Zubkov - про сертификацию Catalyst На эту тему -- вот у меня на столе лежит копия письма зам. министра МинСвязи Волокитина (б/н, от 02.11.2000) в московский офис киски о том, что, мол, "На Ваш запрос о необходимости сертификации коммутаторов" типа Catalyst 1900,2900XL,3500XL,4000,6000,8500CSR "Минсвязи сообщает, что указанное оборудование не подлежит сертификации в системе "Электросвязь", и его применение не запрещает коммерческую эксплуатацию сети при установке на узлах связи для соединения оборудования во взаимоувязанной сети по протоколам Ethernet, FastEthernet, GigabitEthernet". По моему разумению, желающим в МинСвязи не должны отказывать в выдаче копии этого письма. P.S. (DY) поскольку это письмо б/н (без исходящего номера) то статус этого письма до конца не ясен. [13.06.2000] 99.4>Q: Как по названию файла опpеделить веpсию иоса, IP-only он, IP/IPX или enterprise? >A: (Serge Turchin) *-i-* - IP *-is-* - IP Plus *-d-* - Desktop *-ds-* - Desktop Plus *-j-* - Enterprise. и т.д. В 11.2 нет IP/IPX, а только Desktop, на него цена снижена в сравнении с 11.1. Суффикс - a - appn. Вообще, где-то есть на сервере расшифровка. У 1000-ных ядер система другая. n-Novell, b - Apple Talk, y - IP, q - асинхронный вариант. > И еще - на сайте для веpсий были файлы pазмеpом в 2-4pаза меньше иосов и > с > загадочным словом boot в названии - это bootstrap only? :-) У 7500, 4500-4700 нет прошитых намертво бутовых систем. Hо есть специальный т.н. bootflash в котором записана укороченная версия системы. >A: (Dmitriy Yermakov) Кажется все описано тут - http://www.cisco.com/warp/public/620/1.html 99.5>Q: Есть ли поддержка R2 для 3600 ? >A: Vladislav Nebolsine ***Hot News*** Announcing R2 support for the 3600 Digital Modems!! Hot News!!! =========== Announcing R2 support for the 3600 family of Digital Modems ================================================= The 3600 team is pleased to announce R2 support for integrated Digital Modems on the popular Cisco 3600 series platform. This feature is available with the introduction of IOS 12.0(1)T This new feature supports the use of R2 signalling with the 3600 internal digital modems, enabling high-speed (up to 56kbps) remote access for branch offices and small/mid size ISP's who utilize this specific line-signalling protocol. This announcement extends the range of connectivity options available for the 3600 Digital Modems, now supporting: PRI CAS(CT1) R2 (CE1)) By supporting this flexible range of signalling protocols , the 3600 digital modem solutions can now be deployed on a world-wide basis! A Country list and Mini Q&A follow. Countries configurable with R2 on the 3600: (this is a subset of the supported 5300 R2 countries) ================================= Argentina Australia Brazil * China * Columbia Costa Rica Eastern Europe mode supports: Croatia Russia * Ecuador (ITU and LME) Greece Guatemala Hong Kong (China & ITU Variants) India Indonesia Israel * ITU mode supports: Denmark Finland Germany Russia (ITU variant) * Hong Kong (ITU variant) South Africa (ITU variant) Korea * Malaysia * Mexico (Telmex and Telnor) * New Zealand * Paraguay Peru Philippines Saudi Arabia Note: All countries listed have been tested in house. Countries marked with a * have also been successfully tested in-country. Mini Q&A ========= Q. What is R2 ? A. R2 is a signaling system (Q.422) used by a number of countries worldwide. This signaling system runs over an E1 Carrier (2.048Mb/s), containing 32 64Kb/s timeslots, of which, 30 timeslots can be used for digital modem calls. Q. Does this feature require new hardware in the 3600? A. No Q. What network modules support this feature? A. All the current 1/2 PRI NMs, including the new 1FE 1/2 PRI NM. Q.Is the Cisco Dial-out Utility supported through an R2 connection? A. Yes. Version 2 of the Cisco Dial-out Utility (available early November) together with MICA Portware 2.5.1.0 support Dial/Fax out through the R2 interface Q. Is this R2 feature supported the Cisco 2600, 3620, and 3640? A. The ability for Modem calls to be terminated through an R2 interface is available for all platforms that support Cisco digital modems. This currently limits R2 support to the 3640/3620 Q. Do I need a new version of the digital modem microcode to support R2? A. No. All shipping versions of Portware are supported. For information on Portware and instructions on downloading the latest version, please visit: http://www.cisco.com/public/sw-center/sw-access.shtml. Q. What IOS is required to utilize this feature? A. IOS 12.0(1)T and above Q. Can I support ISDN PRI R2, and CAS in the same chassis? A. Yes, on a per network module basis. Each individual PRI NM can be configured as R2,CAS or ISDN PRI. Q. What countries will this R2 feature be available in? A. At FCS, a subset of the 5300 supported R2 countries will be supported. All Countries in the list above have been successfully tested internally. Q. Will the new mixed media FE/PRI support R2? A. Yes. Q. Can two PRI/R2 links share one DM NM? A. Yes. The pool of modems is available to all R2/PRI interfaces. 99.6>Q: Когда же наконец будет релиз V.90 для MICA ? >A: (Oleg Zharoff) Вышел наконец долгожданный релиз V.90 для MICA модемов, версия 2.5.1.0. http://www.cisco.com/univercd/cc/td/doc/product/access/acs_serv/5300/ mod_info/53fw_pw/53micaa/rn250x.htm 99.7>Q: А вот почему я не могу через console зайти на мою ciscу? И настройки крутил, и порты на машинках живые, а что не так - не пойму. >A: Pavel Stepchenko McFlySr@irc Проверьте марку вашей motherboard. Если это Atrend, проверьте, "родные" ли "косички"? Дело в том, что поганые(кто мне возместит душевное равновесие?! ;) ) китайцы решили, что они умнее всех, и заюзали "косички" с шахматной распайкой(как и на AT486); на остальных же MB - прямая распайка. Если не ATREND - все равно проверьте порты на целостность, так как cu по умолчанию имеет Xon/Xoff и вообще :) Убеждаемся, что на cuaa0(1) не висит (m)getty, пускаем cu -l /dev/cuaa0(1), и наслаждаемся жизнью :) Thanks for support: CGHost, Fifo, Jimson, Lee7, Mdh, ReedCat, vul. 99.8>Q: Тут проблема - кто знает как выставить номер сети у Hовелльного клиента ? Hачал бить сетку на VLANы - и возникли проблемы. MS работает нормально, а Hовельный клиент не хочет. >A: (Serge Turchin) Прописать spantree portfast на портах Каталиста. [13.06.2000] 99.8.1>Q: Как заставить порты на 2924XL быстрее инициализироваться ? >A: [email protected] http://www.cisco.com/warp/public/473/12.html 99.9>Q: Кто-нибудь знает, как быть с утерянным паролем на 1020? >A: (Gleb Pijov) Question: How do you recover lost passwords on a Cisco 1020? Answer: As the Cisco 1020 is rarely physically secured, password recovery is done by calling Cisco and providing a system generated CHALLENGE. Using the override program, the support engineer can provide a one-time password to use to get into enable mode. Then, follow these steps: 1.Customer: Put up dip switch 1 and apply power. You should see "Console Username:". 2.Customer : Login with Username "enable" and Password "override". It will print a CHALLENGE. 3.Cisco runs the override program and prints a RESPONSE. 4.Customer: On the 1020, log in as "enable" and give the RESPONSE as the password. That will get you the # prompt, then you can do a wr t to see the current enable password. Or, you can do a config t and reset the enable password. 99.10>Q: Проблемы с MTU на interface tunnel. >A: "Philipp V. Patrushoff" BugID: CSCdm54169 >>> [13.09.2000] Vladislav Nebolsine, NB !!! >>> баг исправлен в 11.3(11) и 12.0(6) You cannot change the MTU size of a tunnel interface using software after Cisco IOS Release +11.3(9.2). Workarounds: Use images between Release 11.3(5.1)T and Release 11.3(9.3) or Release 12.0(0.16) and Release 12.0(4.2). Configure ip mtu on the tunnel interface before you configure tunnel destination. If tunnel destination is already configured, then unconfigure the destination, configure ip mtu, and then reconfigure the destination. You need to wait five seconds after removing the tunnel destination before issuing the ip mtu command. Once the workaround is issued, there should be no problems in the event of a router reboot as the ip mtu command is parsed before the tunnel destination. [27.12.2000] 99.11>Q:Есть несколько Кисок сеpии 25xx. Hyжно одновpеменно на всех в опpеделенный момент менять X25 routing, пpичем желательно одним скpиптом из-под FreeBSD. Как ? >A: A: (Alex Bakhtin), (John Gladkih), (Vladislav Staroselsky) === newconfig === interface serial shutdown exit no x25 route ... x25 route ... interface serial no shutdown end === newconfig === === Cisco config === ip rcmd rcp-enable ip rcmd remote-host enable ip rcmd remote-username rlogin trusted-remoteuser-source local rlogin trusted-localuser-source local === Cisco config === === change_routing.sh === #!/bin/sh su -c "rcp newconfig @:running-config" === change_routing.sh === В newconfig вставляем нyжные изменения текyщего pоyтинга (чеpез no route и route). Пpописываем на FreeBSD юзеpа. В нyжный момент запyскаем change_routing.sh ===========================================================

NN. Заметки на полях.

=========================================================== Sergey Trofimovsky - PPP per-user timeouts explained http://www.employees.org/~dpeng/per_user_timeout.htm Кстати говоря, начиная с 11.3(8)T (или AA :-) timeouts уже и в PPP/PAP работают.Без извратов в vprofiles etc. Dmitriy Yermakov - где-то начиная с 11.3(5)T появилось ppp authorization per interface теперь можно отключать авторизацию на leased line с enc ppp Serge Turchin - В 12.03T появился X.25 over FR... Vladislav Nebolsine - Hу, а подробнее об этой опции можно прочитать здесь http://www.cisco.com/univercd/cc/td/doc/product/software/ios120/120newft/120t/120t3/x25anxg.htm Dmitriy Yermakov - требования к объему памяти http://infoblast.comptek.ru/cpqrg/cpqrg2.htm#xtocid2097032 Cisco-on-line Conference on Comptek http://online.comptek.ru/cisco/index.html Martin McFlySr Cisco Year 2000 Product Compliance URL http://www.cisco.com/warp/public/cc/cisco/mkt/gen/2000/prodlit/cptbl_ov.htm Dmitriy Yermakov - Проблемы с Zelax M115 на связке cisco-unix, решение от Игоря Николаева - http://knot.pu.ru/faq/pppd.html Распайки различных кабелей, конфиги для модемов - http://www.links.ru [13.06.2000] Cisco IOS Software RoadMap - http://www.cisco.com/warp/public/620/roadmap.shtml [13.06.2000] Vasily Ivanov - Ограничение скорости коннекта для MICA модемов - http://www.cisco.com/univercd/cc/td/doc/product/access/acs_serv/5300/mod_info/at/atcmnds.htm [04.07.2000] Vladislav Nebolsine - Если кому интересно - в 12.1(2)XH появилась - поддержка E1 R2 для 2600/3600/7200, - Caller ID для 3810/2600/3600, - ISDN PRI Q.931 User-Side/Network-Side для голосовых модулей 2600/3600 (до этого был только Q.SIG) - и кое-что другое. Подробности: http://www.cisco.com/univercd/cc/td/doc/product/software/ios121/121newft/121limit/121x/121xh/121xh_2/index.htm [04.07.2000] Полтергейст в NM-*AM (Проблемы с NM-8AM (NM-16AM)) Симптомы: 1. Модемы не берут трубу при входящем звонке. 2. Модемы показывают наличие входящего звонка просто при подключении к тел.линии. 3. При звонке обратным телнетом на обычный телефон - вместо handshack-сигнала - рев 50 гц. Заземлите циску. [27.12.2000] Yuri Vorobyev - Cisco ground http://www.cisco.com/univercd/cc/td/doc/product/access/acs_mod/cis3600/3600_ cn/nebslugs.htm [02.08.2000] Gosha Zafievsky NM-8AM, NM-16AM _не_ поддерживают режим leased line. P.S. (DY) Желающие могут поэкспериментировать с ATA и большИм временем ожидания CARRIER. За результат не ручаюсь. [12.09.2000] john gladkih - LL на MCOM модемах (NM-8/16AM) кого интересовали LL на MCOM модемах? оно работает. мы заводили 18 вольт на короткой линии. через DDR+RIP [05.09.2000] Victor L. Belov - Туннель с win98 на cisco router вариантов 2 =-) 1. pptp поддерживается только в специальном IOS (12.0.7XE что ли... не помню точно) на 7xxx маршрутизаторах. С другой стороны pptpd на FreeBSD и Linux работает нормально. 2. на мелких маршрутизаторах поддерживается l2tp туннели, но тогда на 95/98/NT придется ставить доп. клиент - например WinVPN от http://www.routerware.com В Windows 2000 есть встроенная поддержка l2tp. Я даже завел между ним и Cisco IPSec - получается совсем хорошо. [22.10.2000] (DY) псевдовыделенка на чем угодно, как поднимать канал. Как настраивать DDR - читать доки. А чтобы киска сама поднимала канал не зависимо от активности в сети, наверное, имеет смысл настроить ntp на киске :) [24.10.2000] Basil Dolmatov - 17xx не поддерживает ISL, hardware limitation. И не будет поддерживать. [09.12.2000] Valery Filippov - 4500 не тянет 4Mbit на DCE. [27.12.2000] Eugeny Krasilnikov - undocumented Cisco IOS commands http://boerland.com/dotu http://www.cisco.com/univercd/cc/td/doc/product/software/ios121/121newft/121t/121t1/sshv1.htm#10313

    * Cisco-networking-FAQ *

Subject: comp.dcom.sys.cisco Frequently Asked Questions (FAQ) Date: 12 Sep 1997 From: [email protected] (John Hawkinson) Organization: PANIX Public Access Internet and Unix, NYC Newsgroups: comp.dcom.sys.cisco, comp.protocols.tcp-ip, comp.dcom.servers, comp.answers, news.answers Archive-name: cisco-networking-faq Last-modified: $Date: 1996/04/28 05:55:19 $ Version: $Revision: 1.10 $ This FAQ is edited by John Hawkinson, .

    Administrivia:

Please contribute answers to the questions in the Todo section! If your answer is somewhat complicated, posting would probably be best (to comp.dcom.sys.cisco). Otherwise, e-mail it to [email protected]. Please note that a LOT of these questions have been hanging around for some time, and if knowledgable people could take the time to answer a few of them, that'd help. This draft FAQ is in RFC1153 digest format, so you can follow each question with your newsreader. I suppose that question-numbers should be moved to the From: field. Note that Date: fields represent last-modification times for the questions. Since this FAQ was first developed, cisco has written up a lot of useful information on their web site, http://www.cisco.com. If you can't find what you're looking for here, please check there, too.

    Table of Contents

================= 1. How can I contact cisco? 2. What is this newsgroup? 3. What does ``cisco'' stand for? 4. How do I save the configuration of a cisco? 5. Where can I get ancillary software for my cisco? 6. Is there a World-Wide-Web (www) information source? 7. How can I get my cisco to talk to a third party router over 8. How can I get my cisco to talk to a 3rd-party router over Frame Relay? 9. How can I use debugging? 10. How can I use NTP (Network Time Protocol) with my cisco? 11. Sample cisco NTP Configurations 12. How do I avoid the annoying DNS lookup if I have misspelled a command? 13. Tracing bad routing information 14. How to use access lists 15. The cisco boot process 16. Where can I get cisco hardware? 17. Where can I get IETF documents (RFCs, STDs, etc.)? 18. Future features in cisco software 19. How do cisco routers rate performance-wise? 20. How are packets switched? 21. How does one interpret buffer statistics? 22. How should I restrict access to my router? 23. What can I do about source routing? 24. Is there a block of private IP addresses I can use? 25. Is DHCP supported? 26. Where can I get cisco documentation? 27. What's the latest software for the CSC/3? 28. What IP routing protocol should I use? 29. How do I interpret the output of ``show version''? 30. What is the maximum number of Frame Relay PVCs? 31. How much memory is necessary to telnet to a cisco router? 32. Where can I purchase flash RAM? 33. When are static routes redistributed? 34. When is the next hop of a route considered ``reachable''? 35. How do name and phone number of ``dialer map'' interfere? 36. What's the purpose of the network command? 37. What is VLSM? 38. What are some methods for conserving IP addresses for serial lines? 39. Why do some ip addresses get rejected? 40. How do 4xxx serial numbers correspond to models? 41. Where can I find more info on TACACS+ 99. Acknowledgements.

    todo:

===== * What is SNMP and how can I use it? What software is available and how do I use cisco enterprise MIBs? MIBs on ftpeng.cisco.com and CIO.cisco.com * Pointers to other net resources, like comp.protocols.tcp-ip, RFCs, the firewalls mailing list, etc (bgpd?[or is it cidrd now? :-)]). * Hints about confusing and not-well documented things like xtacacs... * Comments on interoperability issues WRT other vendors. * What's SMARTnet, why should I subscribe, how much does it cost, and what do I get? * What should I name my router, my interfaces, etc.? * Should we adjust the buffer parameters on the routers? What should be the indicator before tunning the buffer parameters? How should one fine tune the buffer parapeters? * What is CIDR and why do I care (or a more general acronym decoder) ? * How do I configure my cisco to use variable-length subnetting ? * Is there a block of private network numbers I can use within my organization only? When should I use them? How do I access them from outside? * What do I do if I have to partition a network number? * Questions and answers about access lists access-list reference list (lots of questions on that) * I forgot to mention that routing DECnet over X.25 is a problem. * Where PD network applications for SLIP/PPP are. * What is HSRP and how does it work? When is it available (10.0) (Hot Standby Routing Protocol) * Should I run 10.0, 10.2, 10.3, 11.1, or what? * What's the difference between IBGP and EBGP? Why should I run BGP? Actual content. =============== ------------------------------

    How can I contact cisco?

From: Question 1 Date: 31 October 1994 Corporate address: cisco Systems 170 West Tasman Drive San Jose, CA 95134 The following phone numbers are available: Technical Assistance Center (TAC) +1 800 553 2447 (553 24HR) +1 800 553 6387 +1 408 526 8209 Customer Service (Documentation, Warranty & +1 800 553 6387 Contract Services, Order Status Engineering +1 800 553 2447 (553 24HR) On-site Services, Time & Materials Service +1 800 829 2447 (829 24HR) Corporate number / general +1 408 526 4000 Corporate FAX (NOT tech support) +1 408 526 4100 The above 800 numbers are US/Canada only. cisco can also be contacted via e-mail: [email protected] Technical Assistance Center [email protected] European TAC [email protected] Literature and administrative (?) requests [email protected] *UNRELIABLE*, special-interest, ``non-support'' Please follow the directions available on CIO before doing this. cisco provides an on-line service for information about their routers and other products, called CIO (cisco Information Online). telnet to cio.cisco.com for more details. The collective experience of this FAQ indicates that it is far wiser to open a case using e-mail than FAXes, which may be mislaid, shredded, etc. For those of you still in the paperfull office (unlike the rest of us), cisco Systems' new corporate address is: 170 West Tasman Drive San Jose, CA 95134 Mail to [email protected] should include your service contract number, your name, telephone number, a brief one line problem/question description, and a case priority in the first 5 lines. For example: Cisco service contract number 92snt1234a First and last name Jane Doe Best number to contact you 415-555-1234 Problem/question description Cannot see Appletalk zones Case Priority 3 CASE PRIORITIES are defined as one of the following: Pri 1 Production network down, critical business impact Pri 2 Production net seriously degraded, serious impact Pri 3 Network degraded, noticeable impact to business Pri 4 General information, non production problems ------------------------------

    What is this newsgroup?

From: Question 2 Date: 26 July 1994 comp.dcom.sys.cisco, which is gatewayed to the mailing list [email protected], is a newsgroup for discussion of cisco hardware, software, and related issues. Remember that you can also consult with cisco technical support. This newsgroup is not an official cisco support channel, and should not be relied upon for answers, particularly answers from cisco Systems employees. Until recently, the mailing list was gatewayed into the newsgroup, one-way. It is possible that this arrangement may resume at somet time in the future. ------------------------------

    What does ``cisco'' stand for?

From: Question 3 Date: 31 October 1994 cisco folklore time: At one point in time, the first letter in cisco Systems was a lowercase ``c''. At present, various factions within the company have adopted a capital ``C'', while fierce traditionalists (as well as some others) continue to use the lowercase variant, as does the cisco Systems logo. This FAQ has chosen to use the lowercase variant throughout. cisco is not C.I.S.C.O. but is short for San Francisco, so the story goes. Back in the early days when the founders Len Bosack and Sandy Lerner and appropriate legal entities were trying to come up with a name they did many searches for non similar names, and always came up with a name which was denied. Eventually someone suggested ``cisco'' and the name wasn't taken (although SYSCO may be confusingly similar sounding). There was an East Coast company which later was using the ``CISCO'' name (I think they sold in the IBM marketplace) they ended up having to not use the CISCO abberviation. Today many people spell cisco with a capital ``C'', citing problems in getting the lowercase ``c'' right in publications, etc. This lead to at least one amusing article headlined ``Cisco grows up''. This winter we will celebrate our 10th year. [This text was written in July of 1994 -jhawk] ------------------------------

    How do I save the configuration of a cisco?

From: Question 4 Date: 31 October 1994 If you have a tftp server available, you can create a file on the server for your router to write to, and then use the write network command. From a typical unix system: mytftpserver$ touch /var/spool/tftpboot/myconfig mytftpserver$ chmod a+w /var/spool/tftpboot/myconfig myrouter#write net Remote host [10.7.0.63]? 10.7.0.2 Name of configuration file to write [myrouter-confg]? myconfig Write file foobar on host 10.7.0.2? [confirm] y Additionally, there's a Macintosh TFTP server available: ftp://nic.switch.ch/software/mac/peterlewis/tftpd-100.sit.hqx Additionally, you can also use expect, available from: ftp://ftp.uu.net/languages/tcl/expect/expect.tar.gz ftp://ftp.cme.nist.gov/expect/expect.tar.gz or, in shar form from ftpeng.cisco.com. Expect allows you to write a script which telnets to the router and performs a ``write terminal'' command, or any other arbitrary set of command(s), using a structured scripting language (Tcl). ------------------------------

    Where can I get ancillary software for my cisco?

From: Question 5 Date: 5 July 1994 Try ftping to ftp://ftpeng.cisco.com/pub It's a hodgepodge collection of useful stuff, some maintained and some not. Some is also available from ftp://cio.cisco.com Vikas Aggarwal has a very customised tacacsd: A new version of xtacacsd is available via anonymous FTP from: ftp://ftp.navya.com/pub/vikas/xtacacsd-3.5.shar.gz ------------------------------

    Is there a World-Wide-Web (www) information source?

From: Question 6 Date: 28 April 1996 You can try the WWW page for this FAQ: http://www.panix.com/cisco-faq/ or the cisco Educational Archive (CEA) home page: http://sunsite.unc.edu/cisco/cisco-home.html or the cisco Information Online (CIO) home page: http://www.cisco.com/ ------------------------------

    How can I get my cisco to talk to a third party router over a serial link?

From: Question 7 Date: 5 July 1994 You need to tell your cisco to use the same link-level protocol as the other router; by default, ciscos use a rather bare variant of HDLC (High-level Data Link Control) all link-level protocols use at some level/layer or another. To make your cisco operate with most other routers, you need to change the encapsulation from HDLC to PPP on the relevant interfaces. For instance: sewer-cgs#conf t Enter configuration commands, one per line. Edit with DELETE, CTRL/W, and CTRL/U; end with CTRL/Z interface serial 1 encapsulation ppp ^Z sewer-cgs#sh int s 1 Serial 1 is administratively down, line protocol is down Hardware is MCI Serial MTU 1500 bytes, BW 1544 Kbit, DLY 20000 usec, rely 255/255, load 1/255 Encapsulation PPP, loopback not set, keepalive set (10 sec) ^^^^^^^^^^^^^^^^^^^^^^^^^^^ [...] If you're still having trouble, you might wish to turn on serial interface debugging: sewer-cgs#ter mon sewer-cgs#debug serial-interface ------------------------------

    How can I get my cisco to talk to a 3rd-party router over Frame Relay?

From: Question 8 Date: 27 July 1994 You should tell your cisco to use ``encapsulation frame-relay ietf'' (instead of ``encapsulation frame-relay'') on your serial interface that's running frame relay if your frame relay network contains a diverse set of manufacturers' routers. The keyword ``ietf'' specifies that your cisco will use RFC1294-compliant encapsulation, rather than the default, RFC1490-compliant encapsulation (other products, notably Novell MPR 2.11, use a practice sanctioned by 1294 but deemed verbotten by 1490, namely padding of the nlpid). If only a few routers in your frame relay cloud require this, then you can use the default encapsulation on everything and specify the exceptions with the frame-relay map command: frame-relay map ip 10.1.2.3 56 broadcast ietf ^^^^ (ietf stands for Internet Engineering Task Force, the body which evaluates Standards-track RFCs; this keyword is a misnomer as both RFC1294 and RFC1490 are ietf-approved, however 1490 is most recent and is a Draft Standard (DS), whereas 1294 is a Proposed Standard (one step beneath a DS), and is effectively obsolete). ------------------------------

    How can I use debugging?

From: Question 9 Date: 26 July 1994 The ``terminal monitor'' command directs your cisco to send debugging output to the current session. It's necessary to turn this on each time you telnet to your router to view debugging information. After that, you must specify the specific types of debugging you wish to turn on; please note that these stay on or off until changed, or until the router reboots, so remember to turn them off when you're done. Debugging messages are also logged to a host if you have trap logging enabled on your cisco. You can check this like so: sl-panix-1>sh logging Syslog logging: enabled (0 messages dropped, 0 flushes, 0 overruns) Console logging: level debugging, 66 messages logged Monitor logging: level debugging, 0 messages logged Trap logging: level debugging, 69 message lines logged Logging to 198.7.0.2, 69 message lines logged sl-panix-1> If you have syslog going to a host somewhere and you then set about a nice long debug session from a term your box is doing double work and sending every debug message to your syslog server. Additionally, if you turn on something that provides copious debugging output, be careful that you don't overflow your disk (``debug ip-rip'' is notorious for this). One solution to this is to only log severity ``info'' and higher: sl-panix-1#conf t Enter configuration commands, one per line. End with CNTL/Z. logging trap info The other solution is to just be careful and remember to turn off debugging. This is easy enough with: sl-panix-1#undebug all If you have a heavily loaded box, you should be aware that debugging can load your router. The console has a higher priority than a vty so don't debug from the console; instead, disable console logging: cix-west.cix.net#conf t Enter configuration commands, one per line. End with CNTL/Z. no logging console Then always debug from a vty. If the box is busy and you are a little too vigorous with debugging and the box is starting to sink, quickly run, don't walk to your console and kill the session on the vty. If you are on the console your debugging has top prioority and then the only way out is the power switch. This of course makes remote debugging a real sweaty palms adventure especially on a crowded box. Caveat debugger! Also, if you for some reason forget what the available debug commands are and don't have a manual handy, remember that's what on-line help is for. Under pre 9.21 versions, ``debug ?'' lists all commands. Under 9.21 and above, that gives you general categories, and you can check for more specific options by specifying the category: ``debug ip ?''. As a warning, the ``logging buffered'' feature causes all debug streams to be redirected to an in-memory buffer, so be careful using that. Lastly, if you're not sure what debugging criteria you need, you can try ``debug all''. BE CAREFUL! It is way useful, but only in a very controlled environment, where you can turn off absolutely everything you're not interested in. Saves a lot of thinking. Turning it on on a busy box can quickly cause meltdown. ------------------------------

    How can I use NTP (Network Time Protocol) with my cisco?

From: Question 10 Date: 5 July 1994 >What level of software is required for NTP support in >a cisco router? 9.21 or above. >Which cisco routers support NTP? It is a software feature exclusively. Anything that supports 9.21 or 10 will run NTP (when running that s/w). >How do I set it up? The basic hook is: ntp server [version n] or ntp peer [version n] depending on whether you want a client/server or peer relationship. There's a bunch of other stuff available for MD5 authentication, broadcast, access control, etc. You can also use the context-sensitive help feature to puzzle it out; try ``ntp ?'' in config mode. You'll also want to play with the SHOW NTP * router commands. Here are two examples. EXAMPLE 1: router# show ntp assoc address ref clock st when poll reach delay offset disp +~128.9.2.129 .WWVB. 1 109 512 377 97.8 -2.69 26.7 *~132.249.16.1 .GOES. 1 309 512 357 55.4 -1.34 27.5 * master (synced), # master (unsynced), + selected, - candidate, ~ configured EXAMPLE 2: router#show ntp stat Clock is synchronized, stratum 2, reference is 132.249.16.1 nominal freq is 250.0000 Hz, actual freq is 249.9981 Hz, precision is 2**19 reference time is B1A8852D.B69201EE (12:36:13.713 PDT Tue Jun 14 1994) clock offset is -1.34 msec, root delay is 55.40 msec root dispersion is 41.29 msec, peer dispersion is 28.96 msec For particular cisco NTP questions, feel free to ask in comp.dcom.sys.cisco. For broader NTP info, see ftp://louie.udel.edu:pub/ntp/doc. The file clock.txt in that directory has info about various public NTP servers. There is also information on radio time receivers that can be connected to an NTP server (this is handy on private networks, if you have an entire campus to get chiming, or if you become a hard core chimer). The ``ntp clock-period'' command is added automagically to jump-start the NTP frequency compensation when the box is rebooted. This is essentially a representation of the frequency of the crystal used as the local timebase, and may take several days to calculate otherwise. (Do a ``write mem'' after a week or so to save a good value.) Caveat of obsolecence: Note that the CS-500 will not be able to achieve quite the same level of accuracy as other platforms, since its hardware clock resolution is roughly 242Hz instead of the 1MHz available on other platforms. In practice this shouldn't matter for anyone other than true time geeks. ----------------------------------------------------------------------

    Sample cisco NTP Configurations

From: Question 11 Date: 5 July 1994 You will need to substitute your own NTP peers, timezones, and GMT offsets into the examples below, of course. Example 1 is in US Central Time Zone, while example 3 is in US Pacific Time Zone. Both account for normal US Daylight Savings Time practices. EXAMPLE 1 (Charley Kline): ... clock timezone CST -6 clock summer-time CDT recurring ntp source eth 0 ntp peer ntp peer ntp peer ... EXAMPLE 2 (Tony Li): ... ntp source Ethernet0/0 ntp update-calendar ntp peer ntp peer prefer ... EXAMPLE 3 (Dave Katz): ... service timestamps debug datetime localtime service timestamps log datetime localtime clock timezone PST -8 clock summer-time PDT recurring interface Ethernet0 ip address ntp broadcast ntp clock-period 17180319 ntp source Ethernet0 ntp server ntp server ntp server COMMENTS ON EXAMPLE 3: The config file is commented with date and time (and user id, if TACACS is enabled) when the system thinks the clock is accurate. I've enabled timestamping of debug and syslog messages. I send NTP broadcast packets out onto the local ethernet. I'm in Pacific Standard Time, with U.S. standard daylight saving time rules. I use the IP address of the ethernet as the source for all NTP packets. ------------------------------

    How do I avoid the annoying DNS lookup if I have misspelled a command?

From: Question 12 Date: 5 July 1994 By default, all lines are configured to automatically try a telnet connection if the first word in a input line is not recognized as a valid command. You can disable this by setting ``transport preferred none'' on every line (con, aux and vty). For instance: sl-panix-1#conf t Enter configuration commands, one per line. End with CNTL/Z. line vty 0 10 transport preferred none You can see the number of vty's currently configuered with ``show lines'' Also, you can suspend connect attempts with ^^ followed by ``x'', ie shift-cntrl-6 x. [It has been suggested that ``no ip ipname-lookup'' to turn off IEN116 helps. I think this is the default -jhawk ] ------------------------------

    Tracing bad routing information

From: Question 13 Date: 31 Oct 1994 or: How do I find out which non-cisco systems on my networks generate IP-RIP information without letting them mess up my routing tables. Here you could work with a default administrative distance. Administrative distance is the basis upon which the cisco prefers routing information of one protocol over another. In this example: router rip network 192.125.254.0 distance 255 distance 120 192.125.254.17 ! list all valid RIP suppliers [...] the value 255 has the implicit meaning of not putting this information into the routing table. Therefore, setting an administrative distance of 255 means that all RIP suppliers are by default accepted but their information is not put into the routing table. The administrative distance for the router 192.125.244.17 has been reset to the default (for RIP) of 120, causing its routes to be accepted into the routing table. Then you can look them up with ``show ip protocols'' and restore the original administrative distance for the ones you want to fill in the routing table. The same results can be acheived with an ip access-list, but with that, ``show ip protocols'' will only show the valid ones. But often it is more useful to see which systems were generating routing information at all. This trick works for other routing protocols as well, but please select the proper adminstrative distance (rather than 120) for the protocol you're using. ------------------------------

    How to use access lists

From: Question 14 Date: 5 July 1994 [The following is wholesale included; at some point it'll probably be editted a bit and reformatted... -jhawk ] Frequently Asked Questions contributed by Howard C. Berkowitz PSC International [email protected] @clark.net [probably will be my permanent personal account] PSC's domain is in mid-setup Where in the router are access lists applied? In general, Basic access lists are executed as filters on outgoing interfaces. Newer releases of the cisco code, such as 9.21 and 10, do have increased ability to filter on incoming ports. Certain special cases, such as broadcasts and bridged traffic, can be filtered on incoming interfaces in earlier releases. There are also special cases involving console access. Rules, written as ACCESS-LIST statements, are global for the entire cisco box; they are activated on individual outgoing interfaces by ACCESS-GROUP subcommands of the INTERFACE major command. Filters are applied after traffic has entered on an incoming interface and gone through a routing process; traffic that originates in a router (e.g., telnets from the console port) is not subject to filtering. +-------------------+ | GLOBAL | | | | Routing | | ^ v Access | | ^ v Lists | +-^--v--------^---v-+ | ^ v ^ v | | ^ v ^ v | A----------->|-| |>>>>Access >>----------->B |1 Group 2 | <------------| |<----------- | | | | +-------------------+ Some types of ``filter,'' using ``filter'' as a broader class than ACCESS-LIST, can operate on incoming traffic. For example, the INPUT- SAP-FILTER used for Novell networks is applied to Service Advertisement Packets (SAP) seen at incoming interfaces. In general, incoming filtering can only be done for ``system'' rather than user traffic. Rules of thumb in defining access lists. First, define what you want to do and in which directions. An informal drawing is a good first step. As opposed to the usual connectivity drawings among routers, it's often convenient to draw unidirectional links between routers. Second, informally write out your filtering rules. In general, it is best to go from most specific to least specific. Modify the order of writing things to minimize the number of rules needed. Third, determine which rules need to be on which routers. Explicitly consider the direction of flow, and the possible existence of additional paths that could inadvertently bypass a filter. Can a cisco router be a ``true'' firewall? This depends on the definition of firewall. Some writers (e.g., Gene Spafford in _Practical UNIX Security_) define a firewall as a host on which an ``inside'' and/or an ``outside'' application process run, with application-level code linking the two. For example, a firewall might provide FTP access to the outside world, but it would not also provide direct FTP service to the inside world. To place a file on the FTP external server, a designated user would explicitly log onto the FTP server, transfer a file to the server, and log off. The firewall prevents direct FTP connectivity between the inside and outside networks; only indirect, application-level connectivity is allowed. Firewalls of this sort are complemented by chokes, which filter on network addresses and/or port numbers. Cisco routers cannot do application-level control with access control lists. Other authors do not distinguish between chokes and filters. Using the loose definition that a firewall is anything that selectively blocks access from the inside to the outside, routers can be firewalls. IP Specific ----------- Can the ``operand'' field be used with a protocol keyword of IP to filter on protocol ID? No. Operand filtering only works for TCP and UDP port numbers. How can I prevent traffic for a certain Internet application to flow in one direction but not the other? Remember that Internet applications flow from client port to server port. Denying traffic from port 23, for example, blocks flow from the client to the server. +-------------------+ | | A----------->| |----------->B |1 2| <------------| |<----------- | | +-------------------+ If we deny traffic to Port 23 of address B by placing a filter at interface 2, we have blocked A's ability to telnet to B, but not B's ability to telnet to A. A second filter at interface A would be needed to block telnet in both directions. Assume that we only have the filter at interface 2. Telnets to A from B will not be affected because the filter at 2 does not check incoming traffic. ------- With the arrival of in-bound access lists in 9.21, it should be noted that both inbound and access lists are about equally efficient, in case any of you were wondering. It's worth remembering that there are some kinds of problems that packet-filtering firewalls are not best suited for. There's reasonably good information in: "Network (in)security through packet filtering" ftp://ftp.greatcircle.com/pub/firewalls/pkt_filtering.ps.Z ------------------------------

    The cisco boot process

From: Question 15 Date: 26 July 1994 What really happens when a cisco router boots, from boot start to live interfaces? First it boots the ROM os version. It reads the config. Now, it realizes that you want to netboot. It loads the netbooted copy in on top of itself. It then re-initializes the box and re-reads the config. Manly, yes, but we like it too.... [[ Ummm... in particular it loads the netbooted copy in as WELL as itself, decompresses it, if necessary, and THEN loads on top of itself. Note that this is important because it tells you what the memory requirements are for netbooting: RAM for ROM image (if it's a run from RAM image), plus dynamic data structures, plus RAM for netbooted image. ]] The four ways to boot and what happens (sort of): I (from bootstrap mode) The ROM monitor is running. The I command causes the ROM monitor to walk all of the hardware in the bus and reset it with a brute force hammer. If the bits in the config register say to auto-boot, then goto B B (from bootstrap mode) Load the OS from ROM. If a name is given, tell that image to start silently and then load a new image. If the boot system command is given, then start silently and load a new image. powercycle Does some delay stuff to let the power settle. Goto I. reload (from the EXEC) Goto I. ------------------------------

    Where can I get cisco hardware?

From: Question 16 Date: 18 July 1994 Try calling 800-553-NETS and asking for your local sales office. That's probably the best plan. ------------------------------

    Where can I get IETF documents (RFCs, STDs, etc.)?

From: Question 17 Date: 18 April 1995 Where and how to get new RFCs ============================= RFCs may be obtained via EMAIL or FTP from many RFC Repositories. The Primary Repositories will have the RFC available when it is first announced, as will many Secondary Repositories. Some Secondary Repositories may take a few days to make available the most recent RFCs. Primary Repositories: RFCs can be obtained via FTP from DS.INTERNIC.NET, NIS.NSF.NET, NISC.JVNC.NET, FTP.ISI.EDU, WUARCHIVE.WUSTL.EDU, SRC.DOC.IC.AC.UK, FTP.CONCERT.NET, or FTP.SESQUI.NET. ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Secondary Repositories: Sweden ------ Host: sunic.sunet.se Directory: rfc Host: chalmers.se Directory: rfc Germany ------- Site: EUnet Germany Host: ftp.Germany.EU.net Directory: pub/documents/rfc France ------ Site: Institut National de la Recherche en Informatique et Automatique (INRIA) Address: [email protected] Notes: RFCs are available via email to the above address. Info Server manager is Mireille Yamajako ([email protected]). Netherlands ----------- Site: EUnet Host: mcsun.eu.net Directory: rfc Notes: RFCs in compressed format. France ------ Site: Centre d'Informatique Scientifique et Medicale (CISM) Contact: [email protected] Host: ftp.univ-lyon1.fr Directories: pub/rfc/* Classified by hundreds pub/mirrors/rfc Mirror of Internic Notes: Files compressed with gzip. Online decompression done by the FTP server. Finland ------- Site: FUNET Host: funet.fi Directory: rfc Notes: RFCs in compressed format. Also provides email access by sending mail to [email protected]. Norway ------ Host: ugle.unit.no Directory: pub/rfc Denmark ------- Site: University of Copenhagen Host: ftp.denet.dk Directory: rfc Australia and Pacific Rim ------------------------- Site: munnari Contact: Robert Elz Host: munnari.oz.au Directory: rfc rfc's in compressed format rfcNNNN.Z postscript rfc's rfcNNNN.ps.Z United States ------------- Site: cerfnet Contact: [email protected] Host: nic.cerf.net Directory: netinfo/rfc Site: NASA NAIC Contact: [email protected] Host: naic.nasa.gov Directory: files/rfc Site: NIC.DDN.MIL (DOD users only) Contact: [email protected] Host: NIC.DDN.MIL Directory: rfc/rfcnnnn.txt Note: DOD users only may obtain RFC's via FTP from NIC.DDN.MIL. Internet users should NOT use this source due to inadequate connectivity. Site: uunet Contact: James Revell Host: ftp.uu.net Directory: inet/rfc UUNET Archive ------------- UUNET archive, which includes the RFC's, various IETF documents, and other information regarding the internet, is available to the public via anonymous ftp (to ftp.uu.net) and anonymous uucp, and will be available via an anonymous kermit server soon. Get the file /archive/inet/ls-lR.Z for a listing of these documents. Any site in the US running UUCP may call +1 900 GOT SRCS and use the login "uucp". There is no password. The phone company will bill you at $0.50 per minute for the call. The 900 number only works from within the US. ------------------------------

    Future features in cisco software

From: Question 18 Date: 22 April 1996 [This could be more fleshed out (still!)] Kerberos and RADIUS in 11.1 RIP version 2 in 11.1 (allows VSM, etc.) Policy-based routing (routing based on source address or interface, or just about anything else you want) in 11.0 *released* PPP Multilink in 11.0(3) *released* Frame Relay payload compression in 11.0(4) *released* IPX Per-Host load balancing in 11.1 ------------------------------

    How do cisco routers rate performance-wise?

From: Question 19 Date: 27 July 1994 People often ask about performance of the cisco routers and are shyed away from answering their questions because we don't know where to send them. Scott Bradner keeps the results of his performance tests on the Internet. You can find them for ftp on the system hsdndev.harvard.edu in the /pub/ndtl. There is a README file in that directory that explains what is available. In addition, cisco has just started publishing a piece of literature called ``The Harvard Benchmark Test Results: Summary of cisco Systems Performance''. The only number I can find on the doc is Lit. #700901. Don't know if you can order it by this number, but at least there's a title to go on. ------------------------------

    How are packets switched?

From: Question 20 Date: 22 April 1996 There are 3 basic types of switching (in order of increasing performance). process switching fast switching autonomous switching Process and fast switching support inbound and outbound, simple and extended, access lists. Of course, for fast switching, such lists only restrict traffic on the particular fast-switched interface. Autonomous switching is done in the switch processor, a microcoded device that is capable of switching IP, IPX, and bridging packets in the 100kpps range. This is known as the "SP" card on the 7000 and the CBUS controller on the AGS+. Encapsulation support is rather limited (Ethernet, HDLC, HSSI...). The cisco 7000 also supports: silicon switching Silicon switching is done in the silicon switching engine (creative, eh? ;-). The silicon switch processor (SSP) is the board which combines both the switch processor and a silicon switching engine. The SSP supports simple and extended outbound access lists in 10.3 and later. The SSP supports simple and extended inbound access lists in 11.1 and later. The cisco 75xx series supports: "optimal" switching (cruddy name, eh?) "flow" switching "distributed" switching * "optimal" switching (cruddy name, eh?) The 7500 platform does not have a separate SP or SSP card, rather the RISC processor on the "integrated route/switch processor card (IRSP)" handles switching directly, similar to the 4000 series routers. There are several hardware and software enhancements made though to increase the throughput to a level that is several times above what you would normally get from "fast" switching. Everything that "fast" switching supports is supported in "optimal" switching. * "flow" switching Basicly the "optimal" switching method, however things have been front-ended with an additional small "flow" cache. This flow cache contains information about source/destination addresses & ports which allow the router to make more informed queueing decisions and process access lists faster. This is a win in routers that would tend to carry a reasonably small number of flows at any one time, such as what you would expect in a corporate network or in a smaller internet service provider network. It's unclear if there are any advantages in a large internet backbone. * "distributed" switching cisco has announced a new type of interface-processor card, called a "VIP" available in the 7500 platform that is intelligent enough to switch packets with no intervention on the part of the IRSP card. This once again separates switching from routing, as in the earlier CBUS/SP/SSP design. The first packet of every session or connection is always Process Switched. The route table is consulted (this resides in DRAM on the CPU) and the "result" is cached in the system memory cache. If the protocol can only be process switched, then it will continue this way and interrupt the CPU for a route table lookup each time. [comment: Process Switching is brutally slow compared to other switching methods. Some features (usually new features do this for the first few software releases) force every packet to be process switched. If you can't avoid process-switching every packet, at least get a router with a fast CPU, such as the 75xx, 4500, and 4700. The 4700 is currently the fastest at process-switching packets, with the 4500 and 75xx tied for second. The 75xx can optimum-switch, however, so it's a lot faster than either of the 4x00s, if you can use it). The second and subsequent packets of each session are capable of being Fast Switched (more session types are becoming fast-switchable), and will consult only the route-cache. This still involves a memory lookup on the board, but the packet can be transferred from the source card directly to the destination card without requiring full storage on the CSC [the CSC refers to the CPU card, basically]. There are some undocumented commands that are useful for obtaining per-interface statistics on what sort of switching was performed. For instance: frobozz-magic-robot>sh int atm4/0 switch ATM4/0 Throttle count: 0 Protocol Path Pkts In Chars In Pkts Out Chars Out IP Process 104851 7669968 116378 11180988 Cache misses 35826 Fast 0 0 0 0 Auton/SSE 0 0 0 0 frobozz-magic-robot>sh int atm4/0 stat ATM4/0 Switching path Pkts In Chars In Pkts Out Chars Out Processor 105024 7679155 116422 11184108 Route cache/FIB 0 0 0 0 Distributed cache 0 0 0 0 Total 105024 7679155 116422 11184108 ------------------------------

    How does one interpret buffer statistics?

From: Question 21 Date: 31 October 1994 Buffer statistics may be obtained with: mit2-gw.near.net>sh buffers Buffer elements: 433 in free list (500 max allowed) 82320311 hits, 0 misses, 0 created Small buffers, 104 bytes (total 202, permanent 120): 185 in free list (20 min, 250 max allowed) 34289219 hits, 4297 misses, 1307 trims, 1389 created Middle buffers, 600 bytes (total 104, permanent 90): 102 in free list (10 min, 200 max allowed) 6829533 hits, 1432 misses, 483 trims, 497 created Big buffers, 1524 bytes (total 90, permanent 90): 90 in free list (5 min, 300 max allowed) 3403884 hits, 56 misses, 1 trims, 1 created Large buffers, 5024 bytes (total 5, permanent 5): 5 in free list (0 min, 30 max allowed) 49984 hits, 13 misses, 20 trims, 20 created Huge buffers, 18024 bytes (total 0, permanent 0): 0 in free list (0 min, 4 max allowed) 0 hits, 0 misses, 0 trims, 0 created 5683 failures (0 no memory) You can interpret them: Total Number of buffers of that size that exist. Free Number of free buffers. Max Maximum size that the free list can grow to before we start throwing them away. Hit Buffer got used. Miss Someone requested a buffer and we had to go carve it up out of free memory. If we couldn't because we were at interrupt level, it's also an allocation failure. If we couldn't because we were out of memory, then it's also a ``no memory'' failure. Trim There are more free buffers on the free list than there need to be and we threw some away. Create Number of buffers we created after a miss. ------------------------------

    How should I restrict access to my router?

From: Question 22 Date: 22 April 1996 Many admins are concerned about unauthorized access to their routers from malicious people on the Internet; one way to prevent this is to restrict access to your router on the basis of IP address. Many people do this, however it should be noted that a significant number of network service providers allow unrestricted access to their routers to allow others to debug, examine routes, etc. If you're comfortable doing this, so much the better, and we thank you! If you wish to restrict access to your router, select a free IP access list (numbered from 1-100) -- enter ``sh access-list'' to see those numbers in use. yourrouter#sh access-list Standard IP access list 5 permit 192.94.207.0, wildcard bits 0.0.0.255 Next, enter the IP addresses you wish to allow access to your router from; remember that access lists contain an implicit "deny everything" at the end, so there is no need to include that. In this case, 30 is free: yourrouter#conf t Enter configuration commands, one per line. End with CNTL/Z. yourrouter(config)#access-list 30 permit 172.30.0.0 0.0.255.255 yourrouter(config)#^Z (This permits all IP addreses in the network 172.30.0.0, i.e. 172.30.*.*). Enter multiple lines for multiple addresses; be sure that you don't restrict the address you may be telnetting to the router from. Next, examine the output of ``sh line'' for all the vty's (Virtual ttys) that you wish to apply the access list to. In this example, I want lines 2 through 12: yourrouter#sh line Tty Typ Tx/Rx A Modem Roty AccO AccI Uses Noise Overruns 0 CTY - - - - - 0 0 0/0 1 AUX 9600/9600 - - - - - 1 3287605 1/0 * 2 VTY 9600/9600 - - - - 7 55 0 0/0 3 VTY 9600/9600 - - - - 7 4 0 0/0 4 VTY 9600/9600 - - - - 7 0 0 0/0 5 VTY 9600/9600 - - - - 7 0 0 0/0 6 VTY 9600/9600 - - - - 7 0 0 0/0 7 VTY 9600/9600 - - - - 7 0 0 0/0 8 VTY 9600/9600 - - - - 7 0 0 0/0 9 VTY 9600/9600 - - - - 7 0 0 0/0 10 VTY 9600/9600 - - - - 7 0 0 0/0 11 VTY 9600/9600 - - - - - 0 0 0/0 12 VTY 9600/9600 - - - - - 0 0 0/0 Apply the access list to the relevant lines: yourrouter#conf t Enter configuration commands, one per line. End with CNTL/Z. yourrouter(config)#line 2 12 yourrouter(config-line)# access-class 30 in yourrouter(config-line)# ^Z (This apply access list 30 to lines 2 through 12. It's important to restrict access to the aux port (line 1) if you have a device (such as a CSU/DSU) plugged into it.a) Be sure to save your configuration with ``write mem''. Please note that access lists for incoming telnet connections do NOT cause your router to perform significant CPU work, unlike access lists on interfaces. ------------------------------

    What can I do about source routing?

From: Question 23 Date: 1 November 1994 What *is* source routing? Soure routing is an IP option which allows the originator of a packet to specify what path that packet will take, and what path return packets sent back to the originator will take. Source routing is useful when the default route that a connection will take fails or is suboptimal for some reason, or for network diagnostic purposes. For more information on source routing, see RFC791. Unfortunately, source routing is often abused by malicious users on the Internet (and elsewhere), and used to make a machine (A), think it is talking to a different machine (B), when it is really talking to a third machine (C). This means that C has control over B's ip address for some purposes. The proper way to fix this is to configure machine A to ignore source-routed packets where appropriate. This can be done for most unix variants by installing a package such as Wietse Venema, ,'s tcp_wrapper: ftp://cert.org:pub/tools/tcp_wrappers For some operating systems, a kernel patch is required to make this work correctly (notably SunOS 4.1.3). Also, there is an unofficial kernel patch available for SunOS 4.1.3 which turns all source routing off; I'm not sure where this is available, but I believe it was posted to the firewalls list by Brad Powell soimetime in mid-1994. If disabling source routing on all your clients is not posssible, a last resort is to disable it at your router. This will make you unable to use ``traceroute -g'' or ``telnet @hostname1:hostname2'', both of which use LSRR (Loose Source Record Route, 2 IP options, the first of which is a type of source routing), but may be necessary for some. If so, you can do this with foo-e-0#conf t Enter configuration commands, one per line. End with CNTL/Z. foo-e-0(config)#no ip source-route foo-e-0(config)#^Z It is somewhat unfortunate that you cannot be selective about this; it disables all forwarding of source-routed packets through the router, for all interfaces, as well as source-routed packets to the router (the last is unfortunate for the purposes of ``traceroute -g''). ------------------------------

    Is there a block of private IP addresses I can use?

From: Question 24 Date: 22 April 1996 Yes there is, however whether you wish to do so is an issue of some debate. You could consult: 1627 Network 10 Considered Harmful (Some Practices Shouldn't be Codified). E. Lear, E. Fair, D. Crocker & T. Kessler. June 1994. (Format: TXT=18823 bytes) 1918 Address Allocation for Private Internets. Y. Rekhter, B. Moskowitz, D. Karrenberg, G. J. de Groot & E. Lear. February 1996. (Format: TXT=22270 bytes) (Obsoletes RFC1627, RFC1597) (Also BCP0005) In any event, RFC 1918 documents the allocation of the following addresses for use by ``private internets'': 10.0.0.0 - 10.255.255.255 172.16.0.0 - 172.31.255.255 192.168.0.0 - 192.168.255.255 Most importantly, it is vital that nothing using these addresses should ever connect to the global Internet, or have plans to do so. Please read the above RFCs before considering implementing such a policy. As an additional note, some Internet providers provide network-management services, statistics gathering, etc. It is unlikely (if at all possible) that they would be willing to perform those services if you choose to utilize private address space. With the increasing popularity and reliability of address translation gateways, this practice is becoming more widely accepted. Cisco has acquired Network Translation, who manufacture such a product. It is now available as the Cisco Private Internet Exchange. With it, you can use any addressing you want on your private internet, and the gateway will insure that the invalid addresses are converted before making out onto the global Internet. It also makes a good firewall. Information on this product is available at http://www.cisco.com/warp/public/751/pix/index.html ------------------------------

    Is DHCP supported?

From: Question 25 Date: 18 April 1995 DHCP, the Dynamic Host Configuration Protocol (RFC1533), is essentially a more extended and flexible version of BOOTP, which allows configuration parameters and other control information to be carried to hosts. Forwarding of DHCP packets (to a DHCP server elsewhere in the network) is supported in 9.21(4) and 10.0(3), as well as later releases. ------------------------------

    Where can I get cisco documentation?

From: Question 26 Date: 18 April 1995 Cisco no longer distributes printed documentation with their routers; instead, they distribute a CDROM. Paper documentation may be purchased, however if you purchase a support contract, documentation is free. Cisco documentation is also available on the web -- if you have a fast Internet conneciton this may be more useful than the CD. Try: http://www.cisco.com/univercd/data/doc/product.htm ------------------------------

    What's the latest software for the CSC/3?

From: Question 27 Date: 18 April 1995 The last supported release on the CSC/3 is 9.1(15). cisco does not plan to release further software for the CSC/3. ------------------------------

    What IP routing protocol should I use?

From: Question 28 Date: 19 May 1995 This is a really complicated question, and a full answer is beyond the scope of this document. Here are the beginnings of an answer. Note that Hello is no longer shipped with cisco routers, and that EGP has been declared Historical (and thus obsolete) by the IETF. Don't use them. Protocol RIP HELLO IGRP OSPF EIGRP IS-IS EGP BGP4 -------------------------------------------------------------------------- Type IGP IGP IGP IGP IGP IGP EGP EGP Algorithm DV DV DV SPF DUAL SPF DV PV Metrics Hopcnt Delay Speed Arb. Speed Arb. Policy Policy Convergence Slow Unstb Mdt Fast Fast Fast Slow Fast Standard? IETF No No IETF No ISO Hist. IETF Complexity Simple Simple Simple Complx Complx Complx Simple Complx Multipath? Yes Yes Yes Yes Yes Yes Yes [*] Var-netmask? No No No Yes Yes Yes No YES Notes ----- IGP = interior gateway protocol, used to build routing tables within an AS. EGP = exterior gateway protocol, used to communicate reachability information between AS's. Algorithms ---------- DUAL = DV with diffusing update algorithm (Garcia-Luna-Aceves et al) DV = Distance Vector (Bellman-Ford) PV = "Path Vector" SPF = Shortest-path-first (Dijkstra) Metrics ------- A metric is how the protocol measures the network to determine the "best" path. "Speed" refers typically to link speed, not available bandwidth. "Arb." indicates that the metrics are arbitrary and configurable. HELLO tried to use available bandwidth by monitoring round-trip delay, but was not generally successful at this. Metrics are not directly exchangable when redistributing routing information from one protocol to another. IGRP and EIGRP use compatible and automatically convertable metrics. Convergence ----------- Qualitatively, convergence measures how fast routers using this protocol will adapt to changes in the topology of the network. "Unstb" indicates a protocol which in general never decided on a stable configuration but continually oscillated between alternatives. Complexity ---------- An observation of how complex the protocol is to implement. Multipath --------- Multipath indicates whether the protocol support and transport multiple equal- or different- cost pathways across between endpoints? [*] indicates that BGP4 supports multipath for IBGP (Internal BGP, a full mesh of all border routers within an AS), but not for EBGP (External BGP). Variable netmask (Var-netmask) ------------------------------ Indicates whether the protocol allows for and transports different masks for the subnets of a routed network. ------------------------------

    How do I interpret the output of ``show version''?

From: Question 29 Date: 18 April 1995 Typing ``show version'' or ``show hardware'' yields a response like: prospect-gw.near.net>sh version Cisco Internetwork Operating System Software IOS (tm) GS Software (GS7), Experimental Version 10.2(11829) [pst 113] System-type (imagename) Version major.minor(release.interim)[who] Desc System-type: type of system the software is designed to run on. imagename: The name of the image. This is different (slightly) for run-from-rom, run-from-flash, and run-from-ram images, and also for subset images which both were and will be more common. "Version": text changes slightly. For example, if an engineer gives you a special version of software to try out a bug fix, this will say experimental version. Major: Major version number. Changes (in theory) when there have been major feature additions and changes to the softare. Minor: minor version number. Smaller but still signficant feature added. (in reality, cisco is not very sure what the difference between "major" and "minor" is, and sometimes politics gets in the way, but either of these "incrementing" indicates feature additions.) EXCEPT: 9.14, 9.17, and 9.1 are all somewhat similar. 9.1 is the base, 9.14 adds specical feature for low end systems, 9.17 added special features specific the high end (cisco-7000) This was an experiment that we are trying not to repeat. release: increments (1 2 3 4 ...) for each maintenance release of released software. Increments for every compile in some other places. interim: increments on every build of the "release tree", which happens weekly for each release, but is only made into a generically shipping maintenance release every 7 to 8 weeks or so. [who]: who built it. Has "fc 1" or similar for released software. has something like [billw 101] for test software built Bill Westfield ([email protected]). Desc: additional description. The idea is that the image name and version number UNIQUELY identify a set of sources and debugging information somewhere back at cisco, should anything go wrong. Copyright (c) 1986-1995 by cisco Systems, Inc. Compiled Thu 09-Mar-95 23:54 by tli Image text-base: 0x00001000, data-base: 0x00463EB0 Copyright, compilation date (and by whom), as well as the starting address of the image. ROM: System Bootstrap, Version 5.0(7), RELEASE SOFTWARE ROM: GS Software (GS7), Version 10.0(7), RELEASE SOFTWARE (fc1) The version of ROM bootstrap software, and the version of IOS in ROM. prospect-gw.near.net uptime is 2 weeks, 4 days, 18 hours, 38 minutes System restarted by reload How long the router has been up, and why it restarted. System image file is "sse-current", booted via flash How the router was booted. RP (68040) processor with 16384K bytes of memory. Type of processor. G.703/E1 software, Version 1.0. X.25 software, Version 2.0, NET2, BFE and GOSIP compliant. Bridging software. ISDN software, Version 1.0. Various software options compiled in. 1 Silicon Switch Processor. 2 EIP controllers (8 Ethernet). 2 FSIP controllers (16 Serial). 1 MIP controller (1 T1). 8 Ethernet/IEEE 802.3 interfaces. 16 Serial network interfaces. 128K bytes of non-volatile configuration memory. 4096K bytes of flash memory sized on embedded flash. Hardware configuration. Configuration register is 0x102 Lastly, the "configuration register", which may be set via software in current releases... ------------------------------

    What is the maximum number of Frame Relay PVCs?

From: Question 30 Date: 22 April 1996 This is covered fairly thoroughly in Product Info/Product Bulletin/Frame Relay Broadcast Queue, Cisco Product Bulletin # 256, available on CIO. Via the web (requires CIO username and pasword) http://cio.cisco.com/warp/customer/417/38.html An excerpt: (Virtual Interfaces) It should be noted that in the IOS (Internetworking Operating System) 10.0 software there is a limit of 256 Virtual and physical interfaces. Hence, if each DLCI is given its own virtual interface, the router is limited to 256 DLCIs. This restriction is expected to be removed in a future release. In most scenarios, it is not necessary that each DLCI have its own Virtual Interface. In particular, IP has the facility which allows disabling of split-horizon routing and hence does not require Virtual Interfaces to support partial mesh topologies. (Appendix 1: How many DLCIs Can Cisco Support on an Interface?) This question is similar to the question of how many PCs can you put on an Ethernet. In general, you can put a lot more than you should given performance and availability constraints. When dimensioning a router in a large network, the following issues should be considered: DLCI Address Space: The only hard limits are the roughly 1000 DLCI limit due to the 10 bit DLCI address space in the Frame Relay frame header. LMI Status Update: The LMI protocol requires that all status reports fit into a single packet and generally limits the number of DLCIs to less than 800. Max DLCIs (approx) = (MTU -20)/5, where MTU is the MTU size in bytes on the Frame Relay link. Broadcast Replication: When sending, the router must replicate the packet on each DLCI and this causes congestion on the access link. The Broadcast Queue reduces this problem. In general, the network should designed to keep the routing update load to below 20 percent of the access lines speed. It is also important that memory requirements for the Broadcast Queue be considered. A good technique to reduce this restriction is the use of default route or extending the update timers. Broadcast Receipt: When receiving, the router must receive updates from the network. The issue here is that the upstream switch can be overloaded and drop packets. When routing updates are dropped, routing instability occurs. Again, the receiving routing update load should be kept to less than 20 percent of the access link speed and preferably lower. Where very high speed links are used, a limit of 128 Kbit/s worth of routing updates is recommended. Routing Stability: When using a link state protocol to reduce the update traffic, the dimensioning should be done assuming the periodic update process and the worst case for Link State Updates (i.e., assuming link and power instability). Dimensioning should not be based on the Hello traffic. As a rule of thumb, dimension assuming a distance vector protocol, but assume that extra bandwidth is available for user data. User Data Traffic: Clearly, the number of DLCIs is dependent on the traffic on each DLCI and the performance requirements to be met. In general, Frame Relay accesses should be run at lower loads than router-to-router links since the prioritisation capabilities are not as strong in many cases and in general the marginal costs of increasing access link speed are lower than with dedicated lines. Many of the issues covered here are included in the Internet Design Guide manual that Cisco provides. Update: The limit of 256 PVCs goes away in IOS 11.1. I think the number is now something like 1024 per router or some even more ludicrous number. There are still lots of reasons you never want to do that. ;-) The limit of 256 PVCs goes away in IOS 11.1. I think the number is now something like 1024 per router or some even more ludicrous number. There are still lots of reasons you never want to do that. ;-) ------------------------------

    How much memory is necessary to telnet to a cisco router?

From: Question 31 Date: 18 April 1995 In order to login to a cisco router, it needs to have at least 64k of contiguous free memory. ------------------------------

    Where can I purchase flash RAM?

From: Question 32 Date: 18 April 1995 There are two varieties: MEM-1X8F 8meg MEM-2X8F 16meg ******************************************************************************* ******************************* 2500 ******************************** ******************************* 8M Flash ******************************** ******************************************************************************* PRODUCT# QTY -------- --- MEM-1X8F 1 MEM-2X8F 2 Part Number: 16-0975-01 Description: IC,FEPROM, 2Mx32,100ns,SIM80 SC: P REV: A0 S/UM: EA P/UM: EA ------------------------------------------------------------------------------- VENDOR ITM MANUFACTURER'S PART CODE MANUFACTURER'S NAME --- -------------------- ---------- ------------------------------ 1- 1 SM732C2000B-10 KITTING01 SMART MODULE Smart Modular is located in Freemont, California. For small orders, Smart Modular recommends you contact: PC Complete 800-849-4622. They carry both Flash RAM and DRAM. ------------------------------

    When are static routes redistributed?

From: Question 32 Date: 19 May 1995 In the simple case, any static route *in the routing table* is redistributed if the ``redistribute static'' command is used, and some filter (set with either ``route-map'' or ``distribute-list out'') doesn't filter it out. Whether the static route gets into routing table depends on: Whether the next hop address is reachable (if you use static route pointing to a next hop) OR Whether the interface is up (if you use static route pointing to an interface). If one of these is true, an attempt is made to add the route to the routing table; whether that succeeds depends on the administrative distance of the route -- a lower administrative distance (the route is "closer") than a preexisting route will cause the preexisting route to be overwritten. ------------------------------

    When is the next hop of a route considered ``reachable''?

From: Question 33 Date: 19 May 1995 When a static route is added, or during an important event (eg: interface up/down transition), the next hop for a route is looked up from the routing table (i.e. recursive routing). As a consequence, if a route which is depended upon for evaluation of the next hop of a static route goes away, a mechanism is required to remove that (now-invalid) static route. Scanning all static routes each time the routing table changes is too expensive, so instead, a period timer is used. One a minute, static routes are added and removed from the routing table based on the routes they depend upon. It should be noted that a particular static route will be reevaluated when its interface transitions up or down. ------------------------------

    How do name and phone number of ``dialer map'' interfere?

From: Question 35 Date: 22 April 1996 How do name and phone number of `dialer map' interfere? We use the telephone number first actually. If the caller id matches the telephone number to call, then you don't need the 'name' parameter with a phone number. I realized that the above is ambiguous, so let's do this. You have: dialer map ip x.x.x.x name is used for incoming authentication. It can be either the hostname, for PAP and CHAP, or it can be a number as returned by caller id. If this is not there, and it is an imcoming call, and there is caller id, we will compare against to see if that matches. Not sure I've been clear here. ------------------------------

    What's the purpose of the network command?

From: Question 36 Date: 22 April 1996 >* what is the real purpose of the network subcommand of > router commands? When do I not want to include a network > I know about? The real purpose of the 'network' sub-command of the router commands is to indicate what networks that this router is connected to are to be advertised in the indicated routing protocol or protocol domain. For example, if OSPF and EIGRP are configured, some subnets may be advertised in one and some in the other. The network command enables one to do this. An example of such a case is a secure subnet. Imagine the case where a set of subnets are permitted to communicate within a campus, but one of the buildings is intended to be inaccessible from the outside. By placing the secure subnet in its own network number and not advertising the number, the subnet is enabled to communicate with other subnets on the same router, but is unreachable from any other router, barring static routes. This can be extended by using a different routing protocol or routing protocol domain for the secure network; subnets on the various routers within the secure domain are mutually reachable, and routes from the non-secure domain may be leaked into the secure domain, but the secure domain is invisible to the outside world. ------------------------------

    What is VLSM?

From: Question 37 Date: 22 April 1996 A Variable Length Subnet Mask (VLSM) is a means of allocating IP addressing resources to subnets according to their individual need rather than some general network-wide rule. Of the IP routing protocols supported by Cisco, OSPF, Dual IS-IS, BGP-4, and EIGRP support "classless" or VLSM routes. Historically, EGP depended on the IP address class definitions, and actually exchanged network numbers (8, 16, or 24 bit fields) rather than IP addresses (32 bit numbers); RIP and IGRP exchanged network and subnet numbers in 32 bit fields, the distinction between network number, subnet number, and host number being a matter of convention and not exchanged in the routing protocols. More recent protocols (see VLSM) carry either a prefix length (number of contiguous bits in the address) or subnet mask with each address, indicating what portion of the 32 bit field is the address being routed on. A simple example of a network using variable length subnet masks is found in Cisco engineering. There are several switches in the engineering buildings, configured with FDDI and Ethernet interfaces and numbered in order to support 62 hosts on each switched subnet; in actuality, perhaps 15-30 hosts (printers, workstations, disk servers) are physically attached to each. However, many engineers also have ISDN or Frame Relay links to home, and a small subnet there. These home offices typically have a router or two and an X terminal or workstation; they may have a PC or Macintosh as well. As such, they are usually configured to support 6 hosts, and a few are configured for 14. The point to point links are generally unnumbered. Using "one size fits all" addressing schemes, such as are found in RIP or IGRP, the home offices would have to be configured to support 62 hosts each; using numbers on the point to point links would further compound the address bloat. One configures the router for Variable Length Subnet Masking by configuring the router to use a protocol (such as OSPF or EIGRP) that supports this, and configuring the subnet masks of the various interfaces in the 'ip address' interface sub-command. To use supernets, one must further configure the use of 'ip classless' routes. ------------------------------

    What are some methods for conserving IP addresses for serial lines?

From: Question 38 Date: 22 April 1996 VLSM and unnumbered point to point interfaces are the obvious ways. The 'ip unnumbered' subcommand indicates another interface or sub-interface whose address is used as the IP source address on messages that the router originates on the unnumbered interface, such as telnet or routing messages. By doing this, the router is reachable for management purposes (via the address of the one numbered interface) but consumes no IP addresses at all for its unnumbered links. When a serial ip interface connects several sites, as an SMDS link might, then the use of an appropriate subnet mask (and a routing protocol that can make good use of the information) will minimize address consumption. ------------------------------

    Why do some ip addresses get rejected?

From: Question 39 Date: 23 April 1996 How come my cisco router doesn't accept an address like: "ip address 192.111.107.1 255.255.255.240" or "ip address 171.69.0.1 255.255.0.0" When "subnetting" of IP networks was first sanctioned by the IETF, the first and last subnets (the all zeros subnet and all ones subnet) were reserved for rather obscure uses and because of the confusion that would be caused with routing protocols that don't carry net mask information. It was technically illegal to place hosts or routers on those two subnets. Several hosts and most other vendor's router products have problems operating with the reserved subnets, so their use is discouraged. However, in 1995, the IETF removed the restrictions on the use of these reserved subnets as part of the classless routing effort. If you would like to use the reserved subnets, simply add the line "ip subnet-zero" to your cisco configuration. You might consider adding "ip subnet-zero" to all your configurations as a metter of course, to avoid being bitten by this in the future. ------------------------------

    How do 4xxx serial numbers correspond to models?

From: Question 40 Date: 27 April 1996 show version serial # Label ------------------------------------------------------- 4000 Rev A0 440xxxxx C4000 4000M Rev B0 445xxxxx C4000 4500 450xxxxx C4500 4500M 455xxxxx C4500 4700 470xxxxx C4700 ------------------------------

    Where can I find more info on TACACS+

From: Question 41 Date: 28 April 1996 In addition to sundry cisco documentation and ftp-able info, there exists a TACACS+ mailing list. For more information, see http://www.disaster.com/tacplus/. ------------------------------

    Acknowledgements.

From: Question 99 Date: 19 May 1995 The following people contributed to this FAQ, and their contributions are greatly appreciated, both questions and answers (in alpha order): Arpakorn Boonkongchuen Robert Kiessling "Ronnie B. Kon" Alain Martineau [email protected] (Barton F. Bruce / CCA) Bill Miskovetz Charley Kline Dave Katz Eriks Rugelis Howard C. Berkowitz, PSC International, Jim Forster John Wright Pete Siemsen Phillip Remaker Ran Atkinson Robert Kiessling Sanjay Rungta~ Sean McGrath Srinivas Vegesna Steve Cunningham Warren Lavallee William "Chops" Westfield [email protected] (Ran Atkinson) [email protected] (Bruce Pinsky) [email protected] ($ Burkhard Kohl) [email protected] (Fred Baker) [email protected] (Jerry Anderson) [email protected] (John Hawkinson) [email protected] (John Wright) [email protected] (John Temples) [email protected] (Paul Ferguson) [email protected] (Peter Radig) [email protected] (Tony Li) [email protected] (Thomas R. Kimpton) [email protected] (Vikas Aggarwal) [email protected] (Jim Warner)

Популярность: 1, Last-modified: Mon, 22 Jan 2001 18:57:39 GmT