← All posts tagged Cisco

freefd

Cisco Call Manager тихо помер. Прорвался внутрь от рута в shell (тот ещё квест, энтерпрайз же). Внутри старый Redhat, и, о чудо, ещё порядка 5 разделов, которые не видятся через стандартный java IOS-like shell. В корне 100% дискового пространства утилизировано.

CCM внутри — набор обрёток bash-скриптов для java приложений, ну и несколько скриптов на Perl.

Энтерпрайз, да ещё за какие деньги!

P.S. Tomcat не стартует, веб-интерфейс не работает. Печаль.

freefd

Продолжая #2337268.
Давно уже не секрет, что 80% акций VMware принадлежит компании EMC Corporation. Понимая, что VMware сейчас один из ведущих вендоров виртуализации, очень много компаний в сотрудничестве с создают продукты под эту платформу. Вот и EMC не оказались в стороне. Ещё в 2011 году они анонсировали VPLEX — технологию агрегации и дистрибьюции SAN. Чем-то похоже на уже существующее решение VSA от VMware, но, в данном случае, разговор идёт о Metro-сетях и возможности объединять в один логический том SAN-устройства нескольких ЦОД, разнесённых географически. По сути, это дополнительный уровень абстракции над SAN, который представляется для VMware target, для физических SAN — initiator. Естественно, всё это с vMotion, c HA и прочими стандартными технологиями благодаря vSphere Metro Storage Cluster. Эта технология появилась в vShpere 5 и доступна сейчас только для EMC VPLEX.

Что касается Nicira NVP — технологии виртуализации сетей. Похоже, все наработки уйдут в продукт по имени VMware NSX: blogs.vmware.com Поскольку NVP была основана на технологиях VXLAN, мы можем видеть продолжение развития свободных стандартов в корпоративных продуктах (http://www.googlesyndicatedsearch.com/u/ietf?q=vxlan).

Итого: виртуализация маршрутизаторов (Cisco CSR1000V/Juniper Olive), фаерволов (Cisco ASA 1000V), коммутаторов (Cisco Nexus 1000V/Open vSwitch), виртуализация SAN сетей (EMC VPLEX). Надеюсь, все это, рано или поздно, но будет уметь OpenFlow. Тем более, реализации OpenFlow контроллеров от вендоров мы видим уже сегодня (Nicira NVP, Cisco ONE Software Controller, Juniper JunosV Contrail).

В случае такого расцвета SDN, типовой ЦОД можно будет свести к одному гибридному Eth/FC коммутатору (Cisco Nexus 6000/Juniper QFX3500), Blade-шасси и N внешних СХД.

Не знаю как вас, а меня бы такое будущее ЦОД вполне бы устроило.

freefd

Облака — белогривые лошадки...

msk-cisco-csr1000v#sh ver
Cisco IOS Software, IOS-XE Software (X86_64_LINUX_IOSD-ADVENTERPRISEK9-M), Version 15.3(2)S0a, RELEASE SOFTWARE (fc1)
Technical Support: cisco.com
Copyright (c) 1986-2013 by Cisco Systems, Inc.
Compiled Sat 30-Mar-13 19:08 by mcpre

IOS XE Version: 03.09.00a.S

[....]


ROM: IOS-XE ROMMON

msk-cisco-csr1000v uptime is 3 minutes
Uptime for this control processor is 4 minutes
System returned to ROM by reload
System image file is "bootflash:packages.conf"
Last reload reason: Unknown reason

[....]

cisco CSR1000V (VXE) processor with 1141424K/6147K bytes of memory.
Processor board ID 9OV0EK4S0YQ
2 Gigabit Ethernet interfaces
32768K bytes of non-volatile configuration memory.
4194304K bytes of physical memory.
7774207K bytes of virtual hard disk at bootflash:.

Configuration register is 0x2102

msk-cisco-csr1000v#

freefd

Не многие знают, что в Cisco можно пинговать много адресов одной командой :) А ведь всё достаточно просто:

hostname#tclsh
hostname(tcl)#foreach host {212.1.224.6 212.1.244.6 212.1.241.165} {ping $host}

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 212.1.224.6, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/1 ms
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 212.1.244.6, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/1 ms
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 212.1.241.165, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/1 ms

freefd

Спустя несколько лет решил зачем-то снова полистать CCNP Switch Student Lab Manual. И на этот раз очень бросилось в глаза яркое навязывание изучающему своих собственных технологий Cisco. Например, использование вместо LACP проприетарного PAgP, использование VTP вместо GVRP, HSRP вместо VRRP. Случайно имея опыт общения с сетями в реальной жизни, этот момент так отчётливо виден, так контрастирует на фоне.

freefd

Многие почему-то думают, что у Cisco нет функционала, похожего на commit confirm у Juniper. Всё есть ещё с 2004 года :)

configure replace nvram:startup-config revert timer 10

И если в течение 10 минут (дефолтное время commit confirm у Juniper) не будет дана команда

configure confirm

то Cisco откатится на стартовую конфигурацию. Аналогом же rollback от Juniper служит configure revert, перед которой, однако, надо указать configure replace. И не забывайте включать archive :)

freefd

Итого, финишная версия ip sla dns + track + event manager, которая в этом примере лишь пишет в сислог текущий статус трекера:

ip sla monitor 1
 type dns target-addr yandex.ru name-server 8.8.8.8
 timeout 1000
 tag DNS  
 frequency 9
ip sla monitor schedule 1 start-time now life forever
!
track 1 rtr 1
 delay down 10 up 10

event manager applet DNS_Track 
 event track 1 state any
 action 1.0 syslog priority errors msg "DNS Track 1 (8.8.8.8) is $_track_state"
!

P.S. ROM: System Bootstrap, Version 12.4(12.2r)T, RELEASE SOFTWARE (fc1)

freefd

Удивительное рядом.

Всю жизнь считал, что advertise active в ip slb vserver реагирует на результаты probe для real servers из serverfarm, которая указана в этом vserver. Ан нет, advertise active реагирует только на тот момент, inservice ли vserver или нет. И, соответственно делает ip route static для IP vserver в Null0, тем самым добавляя в таблицу маршрутизации маршрут до IP vserver, который уже наверняка начнёт анонсироваться в BGP. Впрочем, если бы у нас было redistribute connected или redistribute static, advertise active нам не понадобился бы. Но факт фактом, оно не реагирует на probe как нам этого хотелось бы.

Я уже предчувствую комбинацию из ip sla dns + track + event manager, которая должна просто делать no inservice для vserver в случае недоступности по sla (в случае, если все real servers умерли в serverfarm), убивая по no advertise active его анонс. Ну почему везде приходится делать костыли?

freefd

Сейчас одино из прекрасных порождений Cisco выдало в конце трейса !A. В Linux man traceroute такого флага не оказалось. С наскоку найти в манах Cisco не удалось. Но, в общем:

The !A is the response that indicates that you received a response of Administratively Prhibited. This is the result when the traceroute is denied by an access list.

freefd

Внезапно Cisco анонсировали Cisco Nexus 1000V 2.1, версию своего распределённого виртуального коммутатора вместе с его бесплатной версией Essential Edition. Новая версия коммутатора, помимо уже работающего c 1.5.2 функционала (VXLAN, VSG, vPath2, ASA1000V), получит такие ништяки, как плагин для vCenter, vTracker, VSM на несколько ЦОД и другие, менее использующиеся. Ставится Cisco Nexus 1000V на vSphere Enterprise Plus.

freefd

Внезапненько. 10G, брендированные Cisco 10км модули X2-10G-LR, 17км (!) линк. Одна кроссировка патчами, 2 сварки.

orl-s101-m137#sh interfaces tenGigabitEthernet 1/50 transceiver        
ITU Channel not available (Wavelength not available),
Transceiver is internally calibrated.
If device is externally calibrated, only calibrated values are printed.
++ : high alarm, +  : high warning, -  : low warning, -- : low alarm.
NA or N/A: not applicable, Tx: transmit, Rx: receive.
mA: milliamperes, dBm: decibels (milliwatts).

                                 Optical   Optical
           Temperature  Voltage  Tx Power  Rx Power
Port       (Celsius)    (Volts)  (dBm)     (dBm)
---------  -----------  -------  --------  --------
Te1/50       33.7       3.18      -1.4      -9.8   

Я прям даже теряюсь, что сказать. -10dBm на 10км модулях при 17км трассе. 0 CRC. Тьфу-тьфу.

freefd

Удивителен человек по натуре своей, его в дверь выгоняют, он в окно обратно лезет. Написал на коленке workaround отсылки snmp трапа при удачном, либо неудачном логине на железку. Транспорт не имеет значения:


login on-failure log every 3
login on-success log

event manager applet userAuth
 event syslog occurs 1 pattern "%SEC_LOGIN-"
  action 010 set userName "none"
  action 011 set authResult "none"
  action 012 set userIp "none"
  action 014 info type routername
  action 100 regexp "([0-9]+\.[0-9]+\.[0-9]+\.[0-9]+)" "$_syslog_msg" userIp
  action 101 regexp ": ([a-z]+)" "$_syslog_msg" userName
  action 102 regexp "(SUCCESS|FAILED)" "$_syslog_msg" authResult
  action 200 snmp-trap strdata "User$userName Login $authResult From $userIp on $_info_routername"

В результате посылается трап, внутри которого, помимо всех ништяков присутствует что-то навроде

ciscoExperiment.91.1.2.3.1.11.17 (OctetString): User: fd Login SUCCESS From 8.8.8.8 on blg-s101-pb50

либо

ciscoExperiment.91.1.2.3.1.11.17 (OctetString): User: fd Login FAILED From 8.8.8.8 on blg-s101-pb50

Хочется сказать спасибо тем людям, которые догадались таки сделать embedded event manager на базе интерпретируемого языка, и не важно, что это tcl.

freefd

Как это не печально и удивительно, но с 2006 года до сих пор не исправлены баги с отсутствием отсылки snmp трапа по snmp-server enable traps tty даже в ветке Version 15.0(2) для 4500 Catalyst. Точнее даже два бага: CSCsa67252 и CSCsg99865. Собственно, login on-success|on-failure trap тоже не работает в моём случае с ssh. Начинаю думать о плохом и смотреть в сторону embedded event manager и tcl, предвкушая размеры костыля.

freefd

Неожиданно в Воронежском филиале на 15 минут отвалился транк до офиса, в логах

7w6d: %DTP-5-NONTRUNKPORTON: Port Gi1/47 has become non-trunk
7w6d: %LINEPROTO-5-UPDOWN: Line protocol on Interface GigabitEthernet1/47, changed state to down
7w6d: %LINK-3-UPDOWN: Interface GigabitEthernet1/47, changed state to down
7w6d: %LINK-3-UPDOWN: Interface GigabitEthernet1/47, changed state to up
7w6d: %DTP-5-TRUNKPORTON: Port Gi1/47 has become dot1q trunk
7w6d: %LINEPROTO-5-UPDOWN: Line protocol on Interface GigabitEthernet1/47, changed state to up

С другой стороны транк принимает L2 свитч D-Link, следовательно никаких DTP и VTP оный не умеет. Как известно, даже жесткое указание типа инкапсуляции и режима работы порта

 switchport trunk encapsulation dot1q
 switchport mode trunk

или 

 switchport mode access
 switchport access vlan %vlan%

не отключает dynamic trunking protocol на порту, это отлично можно проверить посредством

vrn-s101-s127#sh dtp interface gigabitEthernet 1/47
DTP information for GigabitEthernet1/47:
  TOS/TAS/TNS:                              TRUNK/ON/TRUNK
  TOT/TAT/TNT:                              802.1Q/802.1Q/802.1Q
  Neighbor address 1:                       000000000000
  Neighbor address 2:                       000000000000
  Hello timer expiration (sec/state):       28/RUNNING
  Access timer expiration (sec/state):      never/STOPPED
  Negotiation timer expiration (sec/state): never/STOPPED
  Multidrop timer expiration (sec/state):   never/STOPPED
  FSM state:                                S6:TRUNK
  # times multi & trunk                     0
  Enabled:                                  yes
  In STP:                                   no

  Statistics
  ----------
  0 packets received (0 good)
  0 packets dropped
      0 nonegotiate, 0 bad version, 0 domain mismatches, 
      0 bad TLVs, 0 bad TAS, 0 bad TAT, 0 bad TOT, 0 other
  247 packets output (247 good)
      247 native, 0 software encap isl, 0 isl hardware native
  0 output errors
  0 trunk timeouts
  4 link ups, last link up on Thu Feb 09 2012, 20:40:26
  3 link downs, last link down on Thu Feb 09 2012, 20:25:04


где  Hello timer expiration (sec/state):       28/RUNNING говорит нам, что hello таймер работает. Для полного отключения DTP на порту необходимо выполнить

 switchport nonegotiate

Выполнив

vrn-s101-s127#sh dtp interface gi 1/47
DTP information for GigabitEthernet1/47:
  TOS/TAS/TNS:                              TRUNK/NONEGOTIATE/TRUNK
  TOT/TAT/TNT:                              802.1Q/802.1Q/802.1Q
  Neighbor address 1:                       000000000000
  Neighbor address 2:                       000000000000
  Hello timer expiration (sec/state):       never/STOPPED
  Access timer expiration (sec/state):      never/STOPPED
  Negotiation timer expiration (sec/state): never/STOPPED
  Multidrop timer expiration (sec/state):   never/STOPPED
  FSM state:                                S6:TRUNK
  # times multi & trunk                     0
  Enabled:                                  yes
  In STP:                                   no

  Statistics
  ----------
  0 packets received (0 good)
  0 packets dropped
      0 nonegotiate, 0 bad version, 0 domain mismatches, 
      0 bad TLVs, 0 bad TAS, 0 bad TAT, 0 bad TOT, 0 other
  301 packets output (301 good)
      301 native, 0 software encap isl, 0 isl hardware native
  0 output errors
  0 trunk timeouts
  4 link ups, last link up on Thu Feb 09 2012, 20:40:26
  3 link downs, last link down on Thu Feb 09 2012, 20:25:04

можно заметить, что hello таймер never/STOPPED.

freefd

Продолжая #1421414
И вот, 7 сентября состоялся релиз ROMMON cat4500-ios-promupgrade-122_31r_SGA7, что исправляет CSCtr65301. И теперь, таки да, прекрасно загружается и cat4500-entservicesk9-mz.122-54.sg1.bin, и даже cat4500-entservicesk9-mz.150-2.sg2.bin.
Спасибо, Cisco, ОЧЕНЬ вовремя, вашу мать.