2009年04月15日

又来一年

2008年04月22日

来珠海两年了,2006年4月18日,那天下着大雨,转眼间就两年了,已经忘记了曾经生活过的北京,深圳。

2007年06月26日

早上局域网内发现某网段地址全部不能访问出去,表现为ping不通网关,但是内部互ping很正常,局域网掩码是22位,其中有一连续地址段不能ping通网关。重起网关,没有改善,用sniffer监听,发现arp包高达65%以上,察看抓包结果,发现有一个MAC地址有很多响应结果,基本覆盖了不能ping通的那个连续地址段。

在交换机中查找该MAC地址,找到该计算机,断开网络。网络恢复正常。

该计算机中了ARP病毒。

2006年06月08日
关于接口处于err-disable的故障排查

故障症状:
线路不通,物理指示灯灭或者显示为橙色(不同平台指示灯状态不同)

show interface 输出显示接口状态:
FastEthernet0/47 is down, line protocol is down (err-disabled)
接口状态是err-disable。

sw1#show interfaces status

Port Name Status Vlan Duplex Speed Type
Fa0/47 err-disabled 1 auto auto 10/100BaseTX

如果出现了接口状态为err-disable,show interfaces status err-disabled命令能查看触发err-disable的原因。
下面示例原因为bpduguard,在连接了交换机的端口配置了spanning-tree bpduguard enable。

sw1#show interfaces status err-disabled[b]

Port Name [b]Status Reason
Fa0/47 err-disabled [b]bpduguard[b]

接口产生err-disable的原因可以由以下的命令来查看,系统缺省的配置是所有列出的原因都能导致接口被置为err-disable。

sw1#show errdisable detect
ErrDisable Reason Detection status
—————– —————-
udld Enabled
bpduguard Enabled
security-violatio Enabled
channel-misconfig Enabled
psecure-violation Enabled
dhcp-rate-limit Enabled
unicast-flood Enabled
vmps Enabled
pagp-flap Enabled
dtp-flap Enabled
link-flap Enabled
l2ptguard Enabled
gbic-invalid Enabled
loopback Enabled
dhcp-rate-limit Enabled
unicast-flood Enabled

从列表中,我们可以看出常见的原因有udld,bpduguard,link-flap以及loopback等。
具体由什么原因导致当前接口err-disable可以由show interface status err-disable来查看。

在接口模式下采用shutdown,no shutdown进行手动的激活。

在缺省配置下,一旦接口被置为err-disable,IOS将不会试图恢复接口。
这个可以由show errdisable recovery来查看,timer status下面所有的值都是disable。
下面的示例中,由于手工配置了bpduguard恢复,所以timer status的值变为Enable。

sw1#show errdisable recovery
ErrDisable Reason Timer Status
—————– ————–
udld Disabled
bpduguard Enabled
security-violatio Disabled
channel-misconfig Disabled
vmps Disabled
pagp-flap Disabled
dtp-flap Disabled
link-flap Disabled
l2ptguard Disabled
psecure-violation Disabled
gbic-invalid Disabled
dhcp-rate-limit Disabled
unicast-flood Disabled
loopback Disabled

Timer interval: 300 seconds

Interfaces that will be enabled at the next timeout:

Interface Errdisable reason Time left(sec)
——— —————– ————–
Fa0/47 bpduguard 217

配置IOS重新激活errdisable的接口,使用以下命令:

sw1(config)#errdisable recovery cause bpduguard

sw1(config)#errdisable recovery cause ?
all Enable timer to recover from all causes
bpduguard Enable timer to recover from BPDU Guard error disable state
channel-misconfig Enable timer to recover from channel misconfig disable state
dhcp-rate-limit Enable timer to recover from dhcp-rate-limit error disable state
dtp-flap Enable timer to recover from dtp-flap error disable state
gbic-invalid Enable timer to recover from invalid GBIC error disable state
l2ptguard Enable timer to recover from l2protocol-tunnel error disable state
link-flap Enable timer to recover from link-flap error disable state
loopback Enable timer to recover from loopback detected disable state
pagp-flap Enable timer to recover from pagp-flap error disable state
psecure-violation Enable timer to recover from psecure violation disable state
security-violation Enable timer to recover from 802.1x violation disable state
udld Enable timer to recover from udld error disable state
unicast-flood Enable timer to recover from unicast flood disable state
vmps Enable timer to recover from vmps shutdown error disable

配置完上述命令后,IOS在一段时间后试图恢复被置为err-disable的接口,这段时间缺省为300秒。
但是,如果引起err-disable的源没有根治,在恢复工作后,接口会再次被置为err-disable。

调整err-disable的超时时间,可以使用以下命令:
sw1(config)#errdisable recovery interval ?
<30-86400> timer-interval(sec)
可以调整在30-86400秒,缺省是300秒。

如果产生err-disable的原因是udld,下面有一条命令非常管用:
sw1#udld reset
No ports are disabled by UDLD.

同时,接口在被置为err-disable的时候,通常有一系列的日志产生,如下:

*Mar 15 15:47:19.984: %SPANTREE-2-BLOCK_BPDUGUARD: Received BPDU on port FastEthernet0/47 with BPDU Guard enabled. Disabling port.
sw1#
*Mar 15 15:47:19.984: %PM-4-ERR_DISABLE: bpduguard error detected on Fa0/47, putting Fa0/47 in err-disable state
sw1#
*Mar 15 15:47:21.996: %LINK-3-UPDOWN: Interface FastEthernet0/47, changed state to down
收集这些日志也非常管用。
所以建议配置一个syslog server,收集log信息。

2006年04月13日

您是否需要记录下其他人telnet到Cisco交换机,路由器后输入的每一条命令,以备日后查验所需?
方法如下:
1。安装Cisco ACS服务器
2。cisco产品上的配置:
aaa new-model

aaa authentication login default group tacacs+ local

aaa accounting exec default start-stop group tacacs+

aaa accounting commands 0 default start-stop group tacacs+

aaa accounting commands 1 default start-stop group tacacs+

aaa accounting commands 15 default start-stop group tacacs+



ip tacacs source-interface loopback 0

tacacs-server host x.x.x.x key yourkey

2006年03月06日

一、CATALYST6500有一个比enable还高的级别叫debug模式或者叫engineer模式,进入此模式的密码为:
   console>enable engineer
   password:315353
   console(debug)>

密码=HW+FW+SW
     HW:引擎硬件版本号
     FW:引擎固件版本号
     SW:引擎软件版本号


例:
1   2    WS-X6K-SUP2-2GE    SAD041901M7  Hw : 3.1
                                         Fw : 5.3(1)
                                         Fw1: 5.1(1)CSX
                                         Sw : 5.3(4)CSX
                                         Sw1: 5.3(4)CSX
则密码是
315353
* 注意不能有登录密码和enable密码

二、set sprom 改号
 
   1.set sprom chassis     修改机箱序列号

   2.set sprom sup         修改引擎序列号

   3.set sprom 模块插槽号   修改模块序列号

   4.MSFC修改方法:
 用session 15进入msfc

        Supervisor I:  test rsfc cpueeprom update elb-format
                       show msfc
 
        Supervisor II: test msfc cpueeprom update elb-format
                       show msfc2 eeprom
 
   5.set sprom earl        修改PFC序列号

注: (1).不需要修改的直接回车,要改的输入需要改的内容.


    (2).Program Serial EEPROM on mod 3 with the above information (y/n) [n]?Y

    (3).全部修改完后,用show sprom查看修改是否正确,如无误,reset从新启动.

    (4).注意引擎有时要修改2处set sprom sup和set sprom 1 槽号, 用show sprom 1查看是否正确.

    (5).set sprom 查看更多的help命令.


进入switch:模式下

flash_init

set_bs bs: rw

set_param -all

set_bs bs: ro

2006年02月28日

利用ip route-cache这个接口配置命令,可以为IP路由控制对高速交换缓存的使用。为了禁用下面这些交换模式,可以利用该命令的“no”格式。
ip route-cache [cbus]
no ip route-cache [cbus]
ip route-cache same-interface
no ip route-cache same-interface
ip route-cache [flow]
no ip route-cache [flow]
ip route-cache distributedno
ip route-cache distributed


句法 描述
Cbus (可选项)同时启用自主交换和快速交换。
Same-interface 使快速交换的数据包到达到接口后,再从同一个接口退回来。
flow (可选项)使路由交换处理器(RSP)在该接口上执行信息流交换。
distributed 在接口上启用万能接口处理器(VIP)的分散式交换。在Cisco 7500系列路由器中,可以利用RSP和VIP控制器来启用该功能。如果同时配置了ip route-cache flow和ip route-cache distributed,那么VIP进行分散式信息流交换。如果只配置了ip route-cache distributed,那么VIP进行分散式交换。

默认情况
禁用IP自主交换。
快速交换依接口和媒体变化而变化。
禁用分散式交换。
命令模式
接口配置模式。

操作要点
该命令第一次出现时是在Cisco IOS 10.0版中。而关键词distributed第一次出现时是在Cisco IOS 11.2版中。
使用路由高速缓存经常被称为快速交换(fast switching)。路由高速缓存可以让外发的数据包在逐个目的地(per-destination)的基础上平衡装载。
不带附加关键词的ip route-cache命令用来启用快速交换。
当启用快速交换时,Cisco路由器通常能提供更好的数据包传送性能。然而有一个例外,在使用低速串行链路(64K及64K以下)的网络中,禁用快速交换而启用以各个数据包为基础(per-packet)的负载平衡,这通常才是最好的选择。
当输入接口和输出接口是同一个接口时,可以利用ip route-cache same-interface命令启用IP快速交换。如果有局部网格化的媒体(比如帧中继),这条命令很有用。然而一般不推荐使用它,因为它会干扰重新定向,然而你可以把这个功能用在其它的接口上。
当RSP正在进行信息流交换时,它交换IP数据包时使用信息流高速缓存,而不使用目的地网络的高速缓存。信息流高速缓存使用源头和目的地的网络地址、协议,以及源头和目的地的端口号来区分各条目。
信息流高速缓存选项还可被用来将统计信息用一个更好的格式收集起来。统计信息中包含IP子协议、“众所周知的”的端口、全部信息流、每个信息流中平均的数据包数,以及信息流的平均寿命。
Cisco 7500系列路由器带有RSP和VIP控制器。对这一VIP硬件可以这样配置:通过VIP交换接收到的数据包,而不必每个数据包都要RSP参与。当启用了VIP分散式交换后,输入的VIP接口就试着交换IP数据包,而不必将它们转发到RSP进行交换。分散式交换可以降低对RSP的需求。

并不是所有的交换方法都适用于所有的平台。
示例
下面的例子同时启用快速交换和自主交换:
ip route-cache cbus
下面的例子同时禁用快速交换和自主交换:
no ip route-cache
下面的例子只关闭自主交换:
no ip route-cache cbus
下面的例子在接口上启用VIP分散流交换:
interface ethernet 0/5/0
ip address 17.252.245.2 255.255.255.0
ip route-cache distributed
ip route-cache flow
下面的例子使系统回到默认状态(启用快速交换,禁用自主交换):
ip route-cache
相关命令
你可以联机搜索这些相关命令的说明操作要点,Internet网址是www.cisco.com
ip cache-invalidate-delay
show ip cache

2006年02月24日

八爪线改装成RJ45头


我们一般都用2509/2511或2600系列加装接口卡来做实验用的Terminal Server,它一般都带有个一根一拖八口或一拖十六的线,比如2509上带的就是根一拖八的线,我们习惯的称之为八爪线。线的接口有两种,一种是 DB25阳头(用来连接Modem),一种是RJ45头。一般我们用这个线的目的是连接多个router的con口用的,所以如果是RJ45头的就可以直接连接到其他的router上用了;但如果是DB25阳头的话,就必须要接个标记有"terminal"字样的DB25-RJ45的转接头,然后再接个全反线连接其他router的con口。

那么如果你手头上只有DB25阳头的那种八爪线的话,就只有用前面讲的第二种方法来接了,但一时之间也找不到那么多的DB-RJ45的转换头啊!这个时候,那我们就自己来把线改装一下吧!

  首先,我们要搞清楚DB25转RJ45头的线序是什么?在cisco网站上查到,如下表:
RJ45引脚  DB25引脚
1  5
2  8
3  3
4  7
5  7
6  2
7  20
8  4

  接着,我们来开始解剖八爪线上带的那个DB25阳头,用工具刀从接口的旁边慢慢分解它,拨掉最外面那层厚的皮的时候,就会发现一个用金属纸(防静电用)包着的白色小块块,将金属纸撕开,现在就剩下那个白色的小块块了,比较的硬,但用工具刀可以切开,这个时候,就要小心了,在旁边放是纸和笔,用于记录接口上连接线的颜色。我找到的颜色分别是 2-褐 3-红 4-橘红 5-黄 7-绿和黑 8-蓝 20-紫。找到线的颜色序列后,再对照我在前表的对应关系,用水晶钳做RJ45头了!好了,一般来说同一根八爪线上每根线的线序和颜色应该是相同的,用这个方法,再把其他几个头改装。

  就这样一根原本是DB25接头的八爪线就被我改装成RJ45头的了。

 

 

enable
config ter
line con 0
 no exec-t
 no logg sy
exit
no ip domain-lookup
hostname Rack01-comm-serv
line 1 17
 trans input all
 no exec
exit
line vty 0 30
 login local
 exit
username ccie password ccie
enable password cisco
int loop 0
 ip add 1.1.1.1 255.255.255.255
exit
int e0
 ip add 172.16.1.1 255.255.0.0
no shut
exit
privilege exec level 0 clear line
ip host Rack01R1 2001 1.1.1.1
ip host 01r1 2001 1.1.1.1
ip host Rack01R2 2002 1.1.1.1
ip host 01r2 2002 1.1.1.1
ip host Rack01R3 2003 1.1.1.1
ip host 01r3 2003 1.1.1.1
ip host Rack01R4 2004 1.1.1.1
ip host 01r4 2004 1.1.1.1
ip host Rack01R5 2005 1.1.1.1
ip host 01r5 2005 1.1.1.1
ip host Rack01R6 2006 1.1.1.1
ip host 01r6 2006 1.1.1.1
ip host Rack01sw1 2007 1.1.1.1
ip host 01sw1 2007 1.1.1.1
ip host Rack01sw2 2008 1.1.1.1
ip host 01sw2 2008 1.1.1.1
ip host Backbone 2017 1.1.1.1
ip host bb 2017 1.1.1.1
exit

2006年02月19日

 最近参加了一个voip网络工程的前期测试工作,虽然是测试,但实际上是按照一个工程来做的。地点分别在哈尔滨和大庆,中间用VPN走政务网。配置文件在下面。各个命令是做什么的大家去查资料吧,我就说一下遇到的问题。
  
  还是那句话,我的文章是给初学者看的,如果你觉得很简单,拜托给个面子不要回复。
  
  首先简单描述一下拓扑:
  (通过512k帧中继专线连接北京)ACT Router—-华为C&C08程控交换机—-cisco2621(哈尔滨)—–政务网网云(VPN)—–cisco2621(大庆,用FXS模块接两个电话)
  
  一:因为某种原因,在华为08机和2621之间的E1线路上我们只能使用中国一号信令。查阅资料后得知cisco对应的信令是R2信令,其中又分为模拟的和数字的。
  华为08机的资料上说,E1板分为模拟和数字两种,而且我们用的是数字E1板,只能使用数字信令。可是在测试的时候却发现数字和模拟的都行。不过这是后话了。
  设备到手之后,安装好模块,发现认不出来。折腾了半天原来是IOS版本的问题。FXS模块和E1模块都必须要IP PLUS版本的IOS,这在cisco的文档上都有说明。有意思的是,cisco明确说明E1模块可以使用12.07T(大概是这个,记不清了)的IOS,可是安装后却发现不行,必须使用12.1以上的。看来有些事情cisco也是不太严谨的哦,呵呵。
  这次测试使用的都是12.13aT7版本。、
  
  二:再就是示闲所使用的代码,华为08机使用的是1011,而我们刚开始配的是0011,结果就不通。
  
  三:大庆可以给哈尔滨打电话了,可是哈尔滨不能给大庆打电话。察看debug信息,08机还没有给2621送号,2621在等待08机的ack,08机却没有反应了。2621的配置都是正确的,怀疑是08机的问题。在08机上有一个线路类型的选项,使用的是DL-1。华为工程师也不能说清楚为什么要使用这个选项。给深圳华为技术支持中心打电话,那里的工程师也讲不明白,只是告诉我们,挨个试吧!好吧,挨个试。幸运的是,试的第一个DL-1B,就通了!呵呵
  
  四:前面的工作是两台26背对背连接,成功后就把一台拉到大庆去,进行实际的测试。本来以为很容易,把设备插上,配一下IP就行了呗!可是因为政务网使用的是VPN技术,公网中的IP,无论是用作源地址还是目的地址都是不允许的,而语音卡产生的数据包,直接从router出去,使用的源地址是出口的公网IP,一到政务网的router就被丢弃了。这可麻烦了。后来向一位cisco工程师请教,他告诉我们一个命令可以配置语音卡的源地址,但是必须把IOS升级到12.211T。按照他说得去做还是不行。最后我们亲爱的曹工告诉我们要配置voip网关,就是h323-gateway那条命令。呵呵,成功了!这里还有一个有趣的现象:给大庆配置voip网关后,可以给哈尔滨打电话,我能听见他说话,他听不见我说话。按照我的理解,我的包可以送出去,他应该听见我说话才是,而哈尔滨没有配置voip网关,他的包送不到大庆,我不应该听到他说话。可是实际情况却完全相反。两边都配置voip网关后正常。
  
  五:大庆可以给哈尔滨打电话了,给北京,给外省打电话也都正常,就是在振铃的时候有噪音。可是外面不能给大庆打电话。我可以听到振铃,可是接起来后却全是噪音。而哈尔滨那边听不到振铃,在华为08机上监控,发现没有收到B6信号。因为大庆的26处理前面的问题时,把IOS升级到了12.2版本的,两边的IOS版本不一样。换成一样的IOS之后一切正常,噪音也没有了。
  
  配置文件:
  哈尔滨harbin#sh run
  Building configuration…
  
  Current configuration:
  !
  version 12.1
  service timestamps debug uptime
  service timestamps log uptime
  no service password-encryption
  !
  hostname harbin
  !
  enable secret 5 $1$AObH$vNXRx2n4Ted3tfyve5DE3.
  !
  username cisco password 0 cisco
  !
  class-map voice
   match access-group 100
  !
  !
  policy-map jiancha-voice
   class voice
    priority 512
   class class-default
    fair-queue
    random-detect
  !
  memory-size iomem 15
  voice-card 1
   codec complexity high
  !
  ip subnet-zero
  no ip domain-lookup
  !
  !
  !
  !
  !
  !
  !
  !
  controller E1 1/0
   framing NO-CRC4
   line-termination 75-ohm
   ds0-group 0 timeslots 1-15 type r2-digital r2-compelled
   ds0-group 1 timeslots 17-31 type r2-digital r2-compelled
   cas-custom 0
    unused-abcd 1 0 1 1
    country china
   cas-custom 1
    unused-abcd 1 0 1 1
    country china
  !
  !
  !
  interface FastEthernet0/0
   ip address 10.23.0.10 255.255.0.0
   duplex auto
   speed auto
   h323-gateway voip bind srcaddr 10.23.0.10
  !
  interface FastEthernet0/1
   no ip address
   duplex auto
   speed auto
  !
  interface FastEthernet0/1.1
   encapsulation dot1Q 80
   ip address 10.0.1.21 255.255.255.252
  !
  ip classless
  ip route 0.0.0.0 0.0.0.0 10.0.1.22
  no ip http server
  !
  access-list 100 permit udp any any range 16384 32767
  !
  voice-port 1/0:0
   cptone CN
  !
  voice-port 1/0:1
   cptone CN
  !
  dial-peer voice 1 pots
   destination-pattern .T
   direct-inward-dial
   port 1/0:0
  !
  dial-peer voice 2 pots
   destination-pattern 0T
   direct-inward-dial
   port 1/0:1
  !
  dial-peer voice 3 voip
   destination-pattern 84591T
   session target ipv4:10.123.16.1
   dtmf-relay cisco-rtp h245-signal h245-alphanumeric
  !
  !
  line con 0
   transport input none
  line aux 0
  line vty 0 4
   password cisco
   login local
  !
  no scheduler allocate
  end
  
  大庆
  daqing#show run
  Building configuration…
  
  Current configuration:
  !
  version 12.1
  service timestamps debug uptime
  service timestamps log uptime
  no service password-encryption
  !
  hostname daqing
  !
  enable secret 5 $1$XMGJ$EbUTlbEPIh1P5ooQFpGrq1
  !
  username cisco password 0 cisco
  !
  !
  !
  !
  ip subnet-zero
  no ip domain-lookup
  !
  !
  !
  !
  !
  !
  !
  !
  !
  !
  interface FastEthernet0/0
   no ip address
   duplex auto
   speed auto
   no cdp enable
  !
  interface FastEthernet0/0.1
   encapsulation dot1Q 223
   ip address 10.0.93.21 255.255.255.252
   no cdp enable
  !
  interface FastEthernet0/1
   ip address 10.123.16.1 255.255.255.0
   duplex auto
   speed auto
   h323-gateway voip bind srcaddr 10.123.16.1
  !
  ip classless
  ip route 0.0.0.0 0.0.0.0 10.0.93.22
  no ip http server
  !
  !
  voice-port 1/0/0
   cptone CN
  !
  voice-port 1/0/1
   cptone CN
  !
  dial-peer voice 1 pots
   destination-pattern 8459100001
   port 1/0/0
  !
  dial-peer voice 2 pots
   destination-pattern 8459100002
   port 1/0/1
  !
  dial-peer voice 3 voip
   destination-pattern ……….
   session target ipv4:10.23.0.10
   tech-prefix 0
   dtmf-relay cisco-rtp h245-signal h245-alphanumeric
  !
  !
  line con 0
   transport input none
  line aux 0
  line vty 0 4
   password cisco
   login local
  !
  no scheduler allocate
  end