спасибо большое

FIX, Binary SBE, UMDF и Feeds: разгадка высокой производительности на финансовых рынках В финансовом мире, где важны миллисекунды и решения принимаются за доли секунды, связь между системами должна быть точной, быстрой и надежной. Протоколы, такие как FIX, Binary SBE, Feeds и UMDF, являются основой фондовых бирж и стратегий высокочастотной торговли (HFT). Эта статья представляет собой путешествие от основ до продвинутого уровня этих важных компонентов современных электронных рынков. ![] Краткая история FIX (Financial Information eXchange) Созданный в 1990-х годах банками и брокерскими компаниями Уолл-стрит, протокол FIX был разработан для стандартизации и ускорения обмена ордерами на покупку/продажу между системами. С тех пор он стал глобальным стандартом обмена сообщениями в сфере финансов. UMDF (UDP Multicast Data Feed) Разработанный Nasdaq, UMDF был создан для распространения рыночных данных в режиме реального времени с низкой задержкой, используя многоадресную рассылку через UDP. Его последняя версия (UMDF 5.0) поддерживает сжатые и кодированные SBE сообщения для большей производительности. SBE (Simple Binary Encoding) SBE — это спецификация двоичной сериализации, разработанная FIX Trading Community для замены текстовых сообщений FIX. Ее цель — максимально повысить производительность за счет компактных сообщений и эффективного разбора. Рыночные фиды Каналы — это каналы распространения рыночных данных в режиме реального времени, используемые биржами, брокерами и торговыми платформами. Они необходимы для получения котировок, заказов, объемов и обновлений по сделкам в режиме реального времени. 🧠 Архитектура, сети и ключевые концепции Протокол FIX Формат сообщений с тегами и значениями Удобный для чтения, идеально подходит для отладки и ведения журналов Широко используется для размещения, распределения, подтверждения и отмены заказов Использует TCP для надежной связи Двоичный SBE Требует меньшей пропускной способности, чем текстовый FIX Сверхбыстрая сериализация/десериализация Идеально подходит для сред с низкой/ультранизкой задержкой Используется в потоках рыночных данных и проприетарных сообщениях UMDF Основан на многоадресной рассылке UDP, что снижает нагрузку на сеть Несколько «каналов» фидов (например, сделки, книга, дисбаланс) Версия 5 использует SBE для кодирования Используется на биржах Nasdaq, B3 и других Каналы рыночных данных Могут быть прямыми (например, ITCH, OUCH) или консолидированными (например, SIP) Передают такие сообщения, как «Добавить заказ», «Изменить», «Сделка», «Отменить», «Снимок» Задержка в получении может повлиять на торговые решения в микросекундах Сетевая архитектура и специализированное оборудование В средах с ультранизкой задержкой сетевая инфраструктура имеет решающее значение. Коммутаторы с низкой задержкой, такие как Exablaze ExaLINK Fusion , ExaLINK Orion и ExaNIC X25/X100 , а также Cisco Nexus 3550-T и 3550-F , обеспечивают детерминированную пересылку и временную маркировку с точностью до наносекунд. Рыночные данные поступают через UDP-мультикаст, обычно распределяются программируемыми коммутаторами и FPGA NIC (такими как ExaNIC или Solarflare) непосредственно в приложения C++ или аппаратно ускоренные движки. Ввод заказов осуществляется через FIX или проприетарные бинарные файлы по TCP/UDP с наивысшим приоритетом, часто маршрутизируемые локальными шлюзами FIX, установленными в тех же стойках. Сквозная задержка, включая разбор, сетевую передачу и ответ на заказ, может составлять менее 5 микросекунд . ![] Удобство использования и реальные примеры Торговый зал / HFT Арбитраж, маркет-мейкинг и стратегии, основанные на динамике рынка, зависят от быстрого приема и интерпретации данных. Бинарный SBE обеспечивает сверхбыстрый разбор и генерацию сообщений FIX по-прежнему широко используется для ввода заказов благодаря своей надежности и глобальной стандартизации Маршрутизаторы и шлюзы заказов Механизмы FIX обрабатывают разбор, регистрацию и маршрутизацию между OMS и брокерами Шлюзы DMA (Direct Market Access) принимают сообщения FIX и преобразуют их в проприетарные форматы (например, двоичные) Среды с ультранизкой задержкой Совместное размещение в дата-центрах биржи Разбор в FPGA или C++ Анализ многоадресных каналов в реальном времени Коммутаторы Cisco S3550 и сетевые карты Exablaze с аппаратной фильтрацией, ускоренной FPGA ![] Практические примеры FIX 8=FIX.4.2|9=176|35=D|49=CLIENT1|56=BROKER1|11=ORD123|21=1|55=AAPL|54=1|60=20240419-10:00:00|40=2|44=185.00|38=100| Новый ордер на покупку 100 акций AAPL по цене 185,00 долларов. Двоичный SBE Представлены в двоичном формате (например, 0x01 0xAF 0x03...), занимают менее 25 % размера эквивалентного сообщения FIX и обрабатываются за микросекунды. Используются в совместно размещенных средах для обеспечения максимальной производительности. UMDF { "MsgType": "Trade", "Symbol": "MSFT", "Price": 305.75, "Volume": 1500, "Timestamp": "20240419-10:01:25.123456" } Читаемая версия торгового сообщения в формате JSON. В производственной среде передается через SBE + UDP Multicast. Рыночный фид (ITCH) Message Type: 'A' (Add Order) Order Ref: 123456789 Stock: TSLA Price: 198.50 Volume: 500 Сообщение о добавлении заказа из фида Nasdaq ITCH. Используется для создания книги заказов в режиме реального времени. ExaLINK Fusion / Cisco S3550 Пример В детерминированном пути 5 нс: Fusion получает многоадресные рыночные данные Применяет фильтрацию в реальном времени на уровне порта (например, фильтрует только TSLA) Распределяет только соответствующие пакеты в ExaNIC FPGA анализирует сообщение SBE и пересылает его в механизм стратегии Стратегия отправляет заказ через FIX по TCP по пути с низкой задержкой 3550-T ![] Заключение Понимание FIX, UMDF, Feeds и Binary SBE необходимо для любого архитектора или специалиста, работающего в критически важных финансовых средах. Эти протоколы являются рельсами, по которым движутся заказы, котировки и решения на миллиарды долларов. Настоящее конкурентное преимущество достигается благодаря сочетанию технической экспертизы, целеустремленности и гибкого исполнения. В среде, где важна каждая микросекунда , правильная архитектура имеет решающее значение. ![] Давайте пообщаемся! Если вы хотите реализовать высокопроизводительные стратегии, оптимизировать инфраструктуру или модернизировать торговую среду, я готов вам помочь. — Жозимар Кайтано / Josinfo Специалист по финансовым средам, торговым площадкам, архитектуре HFT с ультранизкой задержкой • DMA • SBE • FIX • Feeds • Colocation ![:graduation_cap:] Дополнительные ресурсы Протокол FIX — официальный сайт Спецификация SBE на GitHub Технические спецификации UMDF 5.0 — Nasdaq Руководство ITCH/Nasdaq TotalView Рыночные данные B3 – Техническое руководство Архитектура с низкой задержкой – Белая книга LMAX Курс MIT – Микроструктура рынка Коммутация с низкой задержкой – Cisco Nexus Exablaze ExaNIC, Fusion, Orion – Broadcom [image: 61cbe2967cc552f699d5ce47c2c4b4cd309b16c0.png] [image: 86be26828c8fc94589422ca97b53dee6e49524b6.png] [image: d3aa5322148ecd24ee2043657c6c1cb56c3ecf29.png] [image: c80423c3c5d9bf50fa77b7c392b527926748c91b.png] [image: 30370b70b353629a0106528ad3a6458f60f0919e.png] [image: 25f51a25c53c3bea05e3d4816f5d52414be75e73.png]

Введение Это первый документ из серии документов «Внедрение DHCPv6 ». В нем мы рассмотрим, как настроить Stateful DHCPv6 в маршрутизаторах Cisco IOS. В Stateful DHCP назначение адресов управляется централизованно, и клиенты должны получать информацию о конфигурации, такую как автоконфигурация адресов и обнаружение соседей, которая недоступна через протоколы. DHCPv6 может быть реализован двумя способами: в режиме Rapid-Commit и в режиме Normal Commit . В режиме Rapid-Commit DHCP-клиент получает параметры конфигурации от сервера посредством быстрого обмена двумя сообщениями (запрос и ответ). В режиме Normal-Commit клиент DHCP использует четыре обмена сообщениями (запрос, объявление, запрос и ответ). По умолчанию используется режим normal-commit. Чтобы использовать опцию rapid-commit, она должна быть включена как на клиенте, так и на сервере, чтобы использовать обмен двумя сообщениями. Требования Понимание схемы адресации IPv6 [Внедрение DHCPv6 — введение] Предпосылки В этом примере конфигурации маршрутизатор R1 настроен как DHCP-сервер, а маршрутизатор R2 — как DHCPv6Client. Примечание. Все конфигурации протестированы в лабораторной среде с использованием маршрутизатора серии ASR 1000 в качестве DHCP-сервера и маршрутизатора серии Cisco 2800 в качестве DHCP-клиентов. Схема топологии ![dhcpv6.JPG] Краткое изложение шагов Конфигурация сервера В режиме глобальной конфигурации ipv6 unciast-routing ipv6 dhcp pool <имя пула> префикс адреса <укажите префикс адреса> срок действия <бесконечный> <бесконечный> dns-server <укажите адрес DNS-сервера> имя домена <укажите имя домена> выход В режиме настройки интерфейса ipv6 address <укажите IPv6-адрес> ipv6 dhcp server <имя сервера>rapid-commit Конфигурация клиента В режиме глобальной конфигурации enable конфигурировать терминал ipv6 unicast-routing В режиме настройки интерфейса ipv6 address dhcp rapid commit ipv6 enable exit Конфигурация Сервер DHCPv6 Клиент DHCPv6 ! версия 3.4S ! имя хоста R1 ! ipv6 unicast-routing ipv6 cef ipv6 dhcp pool test адрес префикс 2010:AA01:10::/64 срок действия бесконечный бесконечный dns-сервер AAAA:BBBB:10FE:15 dns-сервер 2010:AA01::15 доменное имя example.com ! ! ! интерфейс G0/0/1 нет ip-адреса дуплекс авто скорость авто ipv6 адрес 2010:AA01:10::2/64 ipv6 dhcp сервер тест быстрое подтверждение ! конец ! версия 15.0 ! имя хоста R2 ! ipv6 unicast-routing ipv6 cef ! интерфейс FastEthernet0/1 нет ip-адреса дуплекс авто скорость авто ipv6 адрес dhcp rapid-commit ipv6 enable ! конец Примечание. Для настройки DHCPv6 в режиме normal-commit используйте ту же команду без ключевого слова «rapid-commit ». Также убедитесь, что вы явно указали команду IPv6 enable в интерфейсе клиента, поскольку, если она не включена, клиент не будет отправлять запрос solicit. Команды проверки show ipv6 dhcp pool Для отображения информации о пуле DHCPv6 на сервере DHCPv6 используйте эту команду. Вывод показывает, что количество активных клиентов равно 1, а также отображает другую информацию о параметрах конфигурации, такую как адрес сервера доменных имен и информация о предпочтительном сроке действия. R1#show ipv6 dhcp pool Пул DHCPv6: test Префикс распределения адресов: 2010:AA01:10::/64 действительный 4294967295 предпочтительный 4294967295 (1 используется, 0 конфликтов) DNS-сервер: AAAA:BBBB:10FE:15 DNS-сервер: 2010:AA01::15 Доменное имя: example.com Активные клиенты: 1 show ipv6 dhcp binding Для отображения информации о клиентах, включая их DUID, IAPD, префиксы, а также предпочтительный и действительный сроки действия. R2#show ipv6 dhcp binding Клиент: FE80::C801:88FF:FEAC:1C DUID: 00030001CA0188AC0000 Имя пользователя: не назначено IA NA: IA ID 0x00040001, T1 43200, T2 69120 Адрес: 2010:AA01:10:0:D16D:EC61:EDCB:8BD1 предпочтительный срок действия INFINITY, , действительный срок действия INFINITY, show ipv6 dhcp interface Эта команда показывает, что интерфейс Fa0/1 настроен в режиме клиента, а также показывает подробную информацию об адресе DNS-сервера и доменном имени, которые он получил от DHCP-сервера. R2#show ipv6 dhcp interface FastEthernet1/0 находится в режиме клиента Состояние префикса: IDLE Состояние адреса: OPEN Обновление адреса будет отправлено в 11:17:16 Список известных серверов: Доступно по адресу: FE80::C800:88FF:FEAC:1C DUID: 00030001CA0088AC0000 Предпочтение: 0 Параметры конфигурации: IA NA: IA ID 0x00040001, T1 43200, T2 69120 Адрес: 2010:AA01:10:0:D16D:EC61:EDCB:8BD1/128 предпочтительный срок действия INFINITY, действительный срок действия INFINITY DNS-сервер: AAAA:BBBB:10FE:15 DNS-сервер: 2010:AA01::15 Доменное имя: example.com Время обновления информации: 0 Префикс Rapid-Commit: отключен Адрес Rapid-Commit: включен Ссылки [Часть 2: Реализация DHCPv6 — DHCPv6 без состояния] Внедрение DHCP для IPv6 IP версии 6 (IPv6) — Cisco Systems Справочник команд Cisco IOS IPv6 [IPv6 — часто задаваемые вопросы] Routing Information Protocol [image: d2c57bd43c77c140323b0b34d880f50e5a122ff4.jpg]

![IP Helper-addres for VLANs] IP Helper-address для VLAN Это простое решение для уменьшения загрузки маршрутизатора, который выдает IP-адреса клиентам, использующим пул IP DHCP «Vlanxx». Команда IP Helper-Address может указывать на корпоративный DHCP-сервер вместо выдачи IP-адресов всем клиентам VLAN. Затем этот отдельный DHCP-сервер полностью возьмет на себя контроль над выдачей IP-адресов всем клиентам VLAN. Ниже приведена пошаговая инструкция по настройке. Эта документация создана для начинающих, которые хотят повысить надежность своей сети. Если эта информация была вам полезна, пожалуйста, поставьте лайк, чтобы она была полезна и другим. Настройки маршрутизатора 1 Router1# Router1#config t Router1(config)#interface GigabitEthernet0/0 Router1(config-if)# no ip address Router1(config-if)# no shutdown Router1(config-if)# Router1(config-if)#interface GigabitEthernet0/0.10 Router1(config-subif)# encapsulation dot1Q 10 Router1(config-subif)# ip address 192.168.10.1 255.255.255.0 Router1(config-subif)# no shutdown Router1(config-subif)# Router1(config-subif)#interface GigabitEthernet0/0.11 Router1(config-subif)# encapsulation dot1Q 11 Router1(config-subif)# ip address 192.168.11.1 255.255.255.0 Router1(config-subif)# no shutdown Router1(config-subif)# Router1(config-subif)#interface GigabitEthernet0/1 Router1(config-if)# no ip address Router1(config-if)# duplex auto Router1(config-if)# speed auto Router1(config-if)# no shutdown Router1(config-if)# Router1(config-if)#interface GigabitEthernet0/1.50 Router1(config-subif)# encapsulation dot1Q 50 Router1(config-subif)# ip address 192.168.50.1 255.255.255.0 Router1(config-subif)# no shutdown Router1(config-subif)# Router1(config-subif)#interface GigabitEthernet0/1.100 Router1(config-subif)# encapsulation dot1Q 100 Router1(config-subif)# ip address 192.168.100.1 255.255.255.0 Router1(config-subif)# no shutdown Router1(config-subif)# Router1(config-subif)#interface GigabitEthernet0/1.120 Router1(config-subif)# encapsulation dot1Q 120 Router1(config-subif)# ip address 192.168.120.1 255.255.255.0 Router1(config-subif)# no shutdown Router1(config-subif)# Router1(config-subif)#interface GigabitEthernet0/1.130 Router1(config-subif)# encapsulation dot1Q 130 Router1(config-subif)# ip address 192.168.130.1 255.255.255.0 Router1(config-subif)# no shutdown Router1(config-subif)# Router1(config-subif)#interface GigabitEthernet0/2 //вы можете выделить один порт для подключения к интернет-маршрутизатору или коммутатору Router1(config-if)# no ip address Router1(config-if)# duplex auto Router1(config-if)# speed auto Router1(config-if)# shutdown Router1(config-if)# Router1 - Команда Show Run------------------------- Router1#sh run Создание конфигурации... ! hostname Router1 ! interface GigabitEthernet0/0 no ip address duplex auto speed auto ! interface GigabitEthernet0/0.10 encapsulation dot1Q 10 ip address 192.168.10.1 255.255.255.0 ! interface GigabitEthernet0/0.11 encapsulation dot1Q 11 ip address 192.168.11.1 255.255.255.0 ! интерфейс GigabitEthernet0/1 нет ip-адреса дуплекс авто скорость авто ! интерфейс GigabitEthernet0/1.50 инкапсуляция dot1Q 50 ip-адрес 192.168.50.1 255.255.255.0 ! интерфейс GigabitEthernet0/1.100 инкапсуляция dot1Q 100 IP-адрес 192.168.100.1 255.255.255.0 ! интерфейс GigabitEthernet0/1.120 инкапсуляция dot1Q 120 IP-адрес 192.168.120.1 255.255.255.0 ! интерфейс GigabitEthernet0/1.130 инкапсуляция dot1Q 130 IP-адрес 192.168.130.1 255.255.255.0 ! интерфейс GigabitEthernet0/2 нет IP-адреса дуплекс авто скорость авто отключение ! интерфейс Vlan1 нет IP-адреса отключение ! Конфигурация CORE Switch1 CoreSwitch1# CoreSwitch1#config t CoreSwitch1(config)#int rang F0/1-3 CoreSwitch1(config-if)# switchport trunk encapsulation dot1q CoreSwitch1(config-if)# switchport mode trunk CoreSwitch1(config-if)# CoreSwitch1(config-if)#int rang G0/1-2 CoreSwitch1(config-if)# switchport trunk encapsulation dot1q CoreSwitch1(config-if)# switchport mode trunk CoreSwitch1(config-if)# exit CoreSwitch1(config)#interface FastEthernet0/1 CoreSwitch1(config-if)# description CoreSwitch1-DHCPSever 192.168.1.1 connection CoreSwitch1(config-if)# CoreSwitch1(config-if)#interface FastEthernet0/2 CoreSwitch1(config-if)# description CoreSwitch1-Switch3 connection CoreSwitch1(config-if)# CoreSwitch1(config-if)#interface FastEthernet0/3 CoreSwitch1(config-if)# description CoreSwitch1-Router1 G0/1 sub-interface connection CoreSwitch1(config-if)# CoreSwitch1(config-if)#interface GigabitEthernet0/1 CoreSwitch1(config-if)# description CoreSwith1-Switch2 connection CoreSwitch1(config-if)# CoreSwitch1(config-if)#interface GigabitEthernet0/2 CoreSwitch1(config-if)# description CoreSwitch1-Router1 G0/0 sub-interface connection CoreSwitch1(config-if)# CoreSwitch1(config-if)#int rang F0/10-19 CoreSwitch1(config-if)# switchport access vlan 11 CoreSwitch1(config-if)# switchport mode access CoreSwitch1(config-if)# switchport nonegotiate CoreSwitch1(config-if)# CoreSwitch1(config-if)# CoreSwitch1(config-if)#interface Vlan1 CoreSwitch1(config-if)# ip address 192.168.1.2 255.255.255.0 CoreSwitch1(config-if)# CoreSwitch1(config-if)#interface Vlan10 CoreSwitch1(config-if)# ip address 192.168.10.2 255.255.255.0 CoreSwitch1(config-if)# ip helper-address 192.168.1.1 CoreSwitch1(config-if)# CoreSwitch1(config-if)#interface Vlan11 CoreSwitch1(config-if)# ip address 192.168.11.2 255.255.255.0 CoreSwitch1(config-if)# ip helper-address 192.168.1.1 CoreSwitch1(config-if)# CoreSwitch1(config-if)#interface Vlan50 CoreSwitch1(config-if)# ip address 192.168.50.2 255.255.255.0 CoreSwitch1(config-if)# ip helper-address 192.168.1.1 CoreSwitch1(config-if)# CoreSwitch1(config-if)#interface Vlan100 CoreSwitch1(config-if)# ip address 192.168.100.2 255.255.255.0 CoreSwitch1(config-if)# ip helper-address 192.168.1.1 CoreSwitch1(config-if)# CoreSwitch1(config-if)#interface Vlan120 CoreSwitch1(config-if)# ip address 192.168.120.2 255.255.255.0 CoreSwitch1(config-if)# ip helper-address 192.168.1.1 CoreSwitch1(config-if)# CoreSwitch1(config-if)#interface Vlan130 CoreSwitch1(config-if)# ip address 192.168.130.2 255.255.255.0 CoreSwitch1(config-if)# ip helper-address 192.168.1.1 CoreSwitch1(config-if)# CORE Switch1-Show Run Command---------------------------- CoreSwitch1# CoreSwitch1#sh run ! интерфейс FastEthernet0/1 описание CoreSwitch1-DHCPSever 192.168.1.1 соединение switchport trunk инкапсуляция dot1q switchport mode trunk ! интерфейс FastEthernet0/2 описание CoreSwitch1-Switch3 соединение switchport trunk инкапсуляция dot1q switchport mode trunk ! интерфейс FastEthernet0/3 описание CoreSwitch1-Router1 G0/1 под-интерфейс соединение switchport trunk инкапсуляция dot1q switchport режим trunk ! интерфейс FastEthernet0/4 ! ! интерфейс FastEthernet0/10 switchport доступ vlan 11 switchport режим доступ switchport nonegotiate ! интерфейс FastEthernet0/11 switchport access vlan 11 switchport mode access switchport nonegotiate ! ! интерфейс FastEthernet0/18 switchport access vlan 11 switchport mode access switchport nonegotiate ! интерфейс FastEthernet0/19 switchport access vlan 11 switchport mode access switchport nonegotiate ! интерфейс FastEthernet0/20 ! ! интерфейс FastEthernet0/24 ! интерфейс GigabitEthernet0/1 описание CoreSwith1-Switch2 соединение switchport trunk инкапсуляция dot1q switchport mode trunk ! интерфейс GigabitEthernet0/2 описание CoreSwitch1-Router1 G0/0 подинтерфейс соединение switchport trunk инкапсуляция dot1q switchport mode trunk ! интерфейс Vlan1 ip адрес 192.168.1.2 255.255.255.0 ! интерфейс Vlan10 mac-адрес 0040.0b45.ab01 ip адрес 192.168.10.2 255.255.255.0 ip helper-адрес 192.168.1.1 ! интерфейс Vlan11 mac-адрес 0040.0b45.ab02 ip-адрес 192.168.11.2 255.255.255.0 ip helper-адрес 192.168.1.1 ! интерфейс Vlan50 mac-адрес 0040.0b45.ab03 ip адрес 192.168.50.2 255.255.255.0 ip helper-адрес 192.168.1.1 ! интерфейс Vlan100 mac-адрес 0040.0b45.ab04 ip адрес 192.168.100.2 255.255.255.0 ip helper-адрес 192.168.1.1 ! интерфейс Vlan120 mac-адрес 0040.0b45.ab05 ip адрес 192.168.120.2 255.255.255.0 ip helper-адрес 192.168.1.1 ! интерфейс Vlan130 mac-адрес 0040.0b45.ab06 ip адрес 192.168.130.2 255.255.255.0 ip helper-адрес 192.168.1.1 ! Switch2 - Конфигурации Switch2#conf t Switch2(config)#int rang f0/1-12 Switch2(config-if-range)# switchport mode access Switch2(config-if-range)# switchport access vlan 10 Switch2(config-if-range)# Switch2(config-if-range)#int rang f0/13-24 Switch2(config-if-range)# switchport mode access Switch2(config-if-range)# switchport access vlan 50 Switch2(config-if-range)# Switch2(config-if-range)#interface GigabitEthernet0/1 Switch2(config-if)# description Switch2-CoreSwitch1 connection (trunking auto) Switch2(config-if)# Switch2# Switch2 - Команда Show Run-------------------------- Switch2# Switch2#sh run ! интерфейс FastEthernet0/1 switchport access vlan 10 switchport mode access switchport nonegotiate ! интерфейс FastEthernet0/2 switchport access vlan 10 switchport mode access switchport nonegotiate ! ! ! interface FastEthernet0/11 switchport access vlan 10 switchport mode access switchport nonegotiate ! interface FastEthernet0/12 switchport access vlan 10 switchport mode access switchport nonegotiate ! interface FastEthernet0/13 switchport access vlan 50 switchport mode access switchport nonegotiate ! интерфейс FastEthernet0/14 switchport access vlan 50 switchport mode access switchport nonegotiate ! ! ! интерфейс FastEthernet0/23 switchport access vlan 50 switchport mode access switchport nonegotiate ! интерфейс FastEthernet0/24 switchport access vlan 50 switchport mode access switchport nonegotiate ! интерфейс GigabitEthernet0/1 описание Switch2-CoreSwitch1 соединение (автоматическая агрегация) ! интерфейс GigabitEthernet0/2 ! интерфейс Vlan1 нет IP-адреса отключение ! Switch3 - Конфигурации Switch# Switch#conf t Switch(config)# Switch(config)#vlan 100 Switch(config-vlan)# name Production Switch(config-vlan)# Switch(config-vlan)#vlan 120 Switch(config-vlan)# name Finance Switch(config-vlan)# Switch(config-vlan)#vlan 130 Switch(config-vlan)# name Admin Switch(config-vlan)# exit Switch(config)# Switch(config)#int rang g1/0/1-8 Switch(config-if-range)# switchport mode access Switch(config-if-range)# switchport access vlan 100 Switch(config-if-range)# Switch(config-if-range)#int rang g1/0/9-16 Switch(config-if-range)# switchport mode access Switch(config-if-range)# switchport access vlan 120 Switch(config-if-range)# Switch(config-if-range)#int rang g1/0/17-24 Switch(config-if-range)# switchport mode access Switch(config-if-range)# switchport access vlan 130 Switch(config-if-range)# exit Switch(config)# Switch(config)#int g1/1/1 Switch(config-if)# description Switch3-CoreSwitch F0/2 connection (trunking auto) Switch(config-if)# exit Switch(config)# Switch3 - Команда Show Run-------------------------- Switch# Switch#sh run ! интерфейс GigabitEthernet1/0/1 switchport access vlan 100 switchport mode access switchport nonegotiate ! ! ! interface GigabitEthernet1/0/8 switchport access vlan 100 switchport mode access switchport nonegotiate ! interface GigabitEthernet1/0/9 switchport access vlan 120 switchport mode access switchport nonegotiate ! ! ! интерфейс GigabitEthernet1/0/16 switchport access vlan 120 switchport mode access switchport nonegotiate ! интерфейс GigabitEthernet1/0/17 switchport access vlan 130 switchport mode access ! ! ! интерфейс GigabitEthernet1/0/24 switchport access vlan 130 switchport mode access ! интерфейс GigabitEthernet1/1/1 описание Switch3-CoreSwitch F0/2 соединение (автоматическая агрегация) ! интерфейс GigabitEthernet1/1/2 ! интерфейс GigabitEthernet1/1/3 ! интерфейс GigabitEthernet1/1/4 ! интерфейс Vlan1 no ip address shutdown ! интерфейс Vlan100 mac-address 0030.a394.6801 no ip address ! интерфейс Vlan120 mac-address 0030.a394.6802 no ip address ! интерфейс Vlan130 mac-address 0030.a394.6803 no ip address DHCP-сервер — конфигурация Сначала настройте DHCP-сервер со статическим IP-адресом вручную, как показано ниже. ![Configure Static IP Address to DHCP Server] Настройка статического IP-адреса для DHCP-сервера Затем выберите в верхнем меню «Службы» и выберите «DHCP» в левом меню и настройте IP-адрес пула DHCP, как показано ниже: ![IP Helper-Address DHCP pool IP addresses for VLANs] IP-адрес помощника IP-адреса пула DHCP для VLAN Наконец, выберите клиентов в каждой VLAN, выберите конфигурацию IP и выберите радиокнопку DHCP вместо Static . ![Client PC select DHCP] Клиентский ПК выбирает DHCP [image: b4dd21e66fbe3315f91f061280c80dbc8eecc014.png] [image: b803dab66ea371e8a41c099199b7e73d72dbbf6e.png] [image: feb83fc24969585539001947fad3b55d036c67fb.png] [image: ebec24c7a340e3d50f8ca4b623942c150a6335c6.png] [image: da9644975c9c864f788517441f034b980192c057.png] [image: a16115cfdbea8194641392ff3204fb419e56f8fd.png] [image: 958d3687404e6eec0594f69a2a3e7f886aa54bb5.png] [image: 7ebe50ee1fc856b8b7a6f4b868f1a389c5fab000.png] [image: 56c40ba77f2947b3cd191e2386bdd117f85a9b2f.png] [image: b6660721b97f032e182fb6848ecbe4a06f675251.png] [image: 03b6f843f9221c839357f74225c5eebfadb174bf.png]

Назначенная пропускная способность, классификация, политика в отношении определенного трафика к портам коммутатора с использованием MQC ![Speed and Bandwidth of Switches and Routers] Скорость и пропускная способность коммутаторов и маршрутизаторов В приведенной выше топологии сети устройства (коммутаторы/маршрутизаторы/серверы) работают с заданными по умолчанию скоростями портов и пропускной способностью. Даже если порт устройства имеет более высокую скорость и пропускную способность, он будет автоматически переключаться на более низкую скорость и пропускную способность, если порт другого устройства имеет более низкую скорость и пропускную способность. Пропускная способность порта всегда равна его скорости. Пропускная способность 1000000 Кбит/с = скорость 1000 Мбит/с, но пропускная способность может быть вручную распределена в разных размерах для обеспечения качества услуг сети LAN/WAN. Особенно в корпоративной сети, главным приоритетом QoS является предоставление бесперебойного качественного обслуживания конечным пользователям или их клиентам. По умолчанию пропускная способность равна скорости ![QoS_L2SW-48_SFP_Connectionto R2800 Router_G0.JPG] Автоматическая согласование скорости и пропускной способности Порты маршрутизатора и коммутатора ![Router Port Speed & Bandwidth -100Mb/s] Скорость и пропускная способность порта маршрутизатора -100 Мбит/ с Порт ![L3 Switch Port Auto negotiated With Router Port Speed & Bandwidth] коммутатора L3 Автоматически согласовывается со скоростью и пропускной способностью порта маршрутизатора Стратегия очереди «Best-effort» и «First-in, first-out» (FIFO) является стандартным и обычным методом доставки пакетов в портах коммутатора и маршрутизатора, когда они работают в нормальном режиме сети. Это означает, что весь трафик (массовый, критический, в реальном времени и с максимальной скоростью) имеет равный приоритет и шансы на своевременную доставку пакетов из одной точки (источника) в другую точку (пункт назначения), даже при возникновении перегрузок. Очередь данных по принципу «первым пришел, первым обслужен» (FIFO) Очередь на основе классов ![L3 Switch Speed & Bandwidth 1 Gb/S] Скорость и пропускная способность коммутатора L3 1 Гбит/с ![QoS Class-Based Queuing] Очередь на основе классов QoS С другой стороны, внедрение QoS изменит нормальные функции работы сети (коммутаторов или маршрутизаторов) и улучшит качество обслуживания за счет распределения определенного трафика по пропускной способности, приоритетам, правилам, форме и системе очередей на основе классов в сети. Это значительно улучшает и делает более предсказуемой производительность сети, а также обеспечивает высокую эффективность использования пропускной способности. Назначенная пропускная способность и очередь по карте политик ![Allocating Bandwidth & Queuing system (Ref. End-to-End QoS Design Network)] Система распределения полосы пропускания и очередей (см. Сеть с сквозным проектированием QoS) Недавно введенные и в настоящее время рекомендуемые два алгоритма очередей на основе классов — CBWFQ ( Class-Based Weighted Fair Queuing) и L L Q (Low-Latency Queuing), которые используются для управления перегрузкой и ее предотвращения в модульном контроллере QoS-Line Interface с гарантированной пропускной способностью. Пропускная способность может быть распределена по конкретному значению от 20 000 до 10 000 000 килобит в секунду, путем процентного распределения минимальной пропускной способности и оставшегося распределения минимальной пропускной способности от общей пропускной способности. Общая сумма пропускной способности очередей на основе классов не может превышать 100 процентов пропускной способности порта. В частном случае очередь на основе классов может использовать всю пропускную способность порта, если другие очереди не используют свою пропускную способность в данный момент. Пакеты, передаваемые с использованием алгоритма CBWFQ (Class-Based Weighted Fair Queuing). ![Class-Based Weighted Fair Queue (Ref. End-to-End QoS Design Network – page 89)] Классовая взвешенная справедливая очередь (см. «Проектирование сети с сквозным QoS» — стр. 89) CBWFQ позволяет назначать пропускную способность с помощью ключевого слова bandwidth в policy-map под командой class xxxxx name. Его значение может быть представлено ключевым словом absolute или percentage . Весь остальной трафик может быть назначен в очередь справедливого распределения. (Граница WAN маршрутизатора). Пример ниже: Назначенная пропускная способность 35% от общей пропускной способности: ![Assigned Bandwith 35% to CreticalData Class] Распределенная пропускная способность 35% для класса CreticalData Передача пакетов с использованием алгоритма LLQ Low-Latency Queuing Algorithm. ![Low-Latency Queue & CBWFQ (Ref. End-to-End QoS Design Network – page 90)] Очередь с низкой задержкой и CBWFQ (см. «Проектирование сети с сквозным QoS» — стр. 90) Трафик данных в реальном времени, назначенный LLQ, отделенный от CBWFQ с помощью ключевого слова priority . Гарантированная пропускная способность может быть распределена с помощью ключевого слова absolute value или percent age после команды priority. (Граница WAN маршрутизатора) Пример ниже: Выделенная пропускная способность 20 % от общей пропускной способности с приоритетом (LLQ) ![Assigned bandwidth 20% with Priority Queue] Выделенная пропускная способность 20% с приоритетной очередью Сокращения и очереди трафика данных QoS ![QoS Data traffic abrivation reference codes] Справочные коды сокращений трафика данных QoS Внедрение модульного контроллера QoS Line Interface в CISCO 3560 и 2960 -------------------------------------------------------------------------- Конфигурация коммутатора CISCO серии 3500-------------------------------------------------------------------------- L3SW-24P#conf t Введите команды конфигурации, по одной в каждой строке. Завершите ввод командой CNTL/Z. L3SW-24P(config)#mls qos srr-queue input priority-queue 1 bandwidth 38 ! назначенная очередь приоритета и ее пропускная способность L3SW-24P(config)#mls qos srr-queue input bandwidth 15 35 ! назначенная пропускная способность для очередей 3 и 4 L3SW-24P(config)#mls qos map policed-dscp 0 10 18 25 to 8 L3SW-24P(config)#mls qos L3SW-24P(config)#! L3SW-24P(config)#ip access-list extended IMAP-PORTS L3SW-24P(config-ext-nacl)#permit tcp any eq 143 any L3SW-24P(config-ext-nacl)#permit tcp any eq 220 any L3SW-24P(config-ext-nacl)#ip access-list extended SIGNALING-PORTS L3SW-24P(config-ext-nacl)#permit tcp any any range 2000 2002 L3SW-24P(config-ext-nacl)#ip access-list extended VIDEO-PORTS L3SW-24P(config-ext-nacl)#permit tcp any eq 4197 any L3SW-24P(config-ext-nacl)#permit tcp any any range 5000 5500 L3SW-24P(config-ext-nacl)#permit tcp any eq 5445 any L3SW-24P(config-ext-nacl)#разрешить tcp любой любой диапазон 16384 16403 L3SW-24P(config-ext-nacl)#ip access-list extended VOICE-PORTS L3SW-24P(config-ext-nacl)#разрешить udp любой любой диапазон 16384 32767 L3SW-24P(config-ext-nacl)#! L3SW-24P(config-ext-nacl)#class-map match-all IMAP L3SW-24P(config-cmap)# match access-group name IMAP-PORTS L3SW-24P(config-cmap)#class-map match-all VIDEO L3SW-24P(config-cmap)# match access-group name VIDEO-PORTS L3SW-24P(config-cmap)#class-map match-all VOICE L3SW-24P(config-cmap)# match access-group name VOICE-PORTS L3SW-24P(config-cmap)#class-map match-all SIGNALING L3SW-24P(config-cmap)# match access-group name SIGNALING-PORTS L3SW-24P(config-cmap)#! L3SW-24P(config-cmap)#exit L3SW-24P(config)#! L3SW-24P(config)#policy-map IPTV-SERVER L3SW-24P(config-pmap)# class VOICE L3SW-24P(config-pmap-c)# set dscp ef ! голосовой трафик L3SW-24P(config-pmap-c)#police 12000000 8000 exceed-action policed-dscp-transmit L3SW-24P(config-pmap-c)# class VIDEO L3SW-24P(config-pmap-c)# set dscp af41 ! интерактивное видео L3SW-24P(config-pmap-c)#police 8000000 8000 exceed-action policed-dscp-transmit L3SW-24P(config-pmap-c)# class SIGNALING L3SW-24P(config-pmap-c)# set dscp cs3 ! трафик сигналов вызова L3SW-24P(config-pmap-c)#police 500000 8000 exceed-action policed-dscp-transmit L3SW-24P(config-pmap-c)# class IMAP L3SW-24P(config-pmap-c)# set dscp af11 ! массовые данные L3SW-24P(config-pmap-c)#police 20000000 8000 exceed-action policed-dscp-transmit L3SW-24P(config-pmap-c)# class class-default L3SW-24P(config-pmap-c)# set dscp default ! best-effort L3SW-24P(config-pmap-c)#police15000000 8000 exceed-action policed-dscp-transmit L3SW-24P(config-pmap-c)#! L3SW-24P(config-pmap-c)#exit L3SW-24P(config-pmap)#! L3SW-24P(config-pmap)#interface GigabitEthernet0/2 L3SW-24P(config-if)#description : Подключение к порту Router R1812 Fa0/0 L3SW-24P(config-if)#service-policy input IPTV-SERVER L3SW-24P(config-if)#! L3SW-24P(config-if)# ---------------------------------------------------------------- Show Run L3SW-24P mls qos srr-queue input priority-queue 1 bandwidth 38 mls qos srr-queue input bandwidth 15 35 mls qos map policed-dscp 0 10 18 25 to 8 mls qos ! ip access-list extended IMAP-PORTS permit tcp any eq 143 any permit tcp any eq 220 any ip access-list extended SIGNALING-PORTS permit tcp any any range 2000 2002 ip access-list extended VIDEO-PORTS permit tcp any eq 4197 any permit tcp any any range 5000 5500 permit tcp any eq 5445 any permit tcp any any range 16384 16403 ip access-list extended VOICE-PORTS permit udp any any range 16384 32767 ! class-map match-all IMAP match access-group name IMAP-PORTS class-map match-all VIDEO match access-group name VIDEO-PORTS class-map match-all VOICE match access-group name VOICE-PORTS class-map match-all SIGNALING match access-group name SIGNALING-PORTS ! ! policy-map IPTV-SERVER class VOICE set dscp ef ! voice traffic police 12000000 8000 exceed-action policed-dscp-transmit class VIDEO set dscp af41 ! интерактивное видео police 18000000 8000 exceed-action policed-dscp-transmit class SIGNALING set dscp cs3 ! сигнализация вызова police 500000 8000 exceed-action policed-dscp-transmit class IMAP set dscp af11 ! полиция массовых данных 20000000 8000 превышение-действие policed-dscp-transmit класс class-default установить dscp default ! полиция best-effort 15000000 8000 превышение-действие policed-dscp-transmit ! выход ! интерфейс GigabitEthernet0/2 описание: подключение к маршрутизатору R1812 Fa0/0 порт service-policy input IPTV-SERVER ! ------------------------------------------------------ Конфигурация коммутатора CISCO серии 2900------------------------------------------------------ L2SW-48(config)#! L2SW-48(config)#ip access-list extended TCP-UDP L2SW-48(config-ext-nacl)# permit tcp any any L2SW-48(config-ext-nacl)# permit udp any any L2SW-48(config-ext-nacl)#! L2SW-48(config-ext-nacl)#! L2SW-48(config-ext-nacl)#exit L2SW-48(config)#mls qos L2SW-48(config)#mls qos map policed-dscp 0 10 18 25 to 8 L2SW-48(config)# ! выше qos map «избыточный трафик» dscp (0)default/(10)af11/(18)af21/dscp 25 преобразован в cs1(Scavenger) L2SW-48(config)#mls qos map cos-dscp 0 8 16 24 32 46 48 56 L2SW-48(config)#mls qos map dscp-cos 8 to 0 L2SW-48(config)#mls qos srr-queue input priority-queue 1 bandwidth 38 L2SW-48(config)#mls qos srr-queue input bandwidth 15 35 L2SW-48(config)#! L2SW-48(config)#! L2SW-48(config)#class-map match-all STREAMING-VIDEO L2SW-48(config-cmap)# match access-group name TCP-UDP L2SW-48(config-cmap)#class-map match-all BULK-DATA L2SW-48(config-cmap)# match access-group name TCP-UDP L2SW-48(config-cmap)#class-map match-all INTERACTIVE-VIDEO L2SW-48(config-cmap)# match access-group name TCP-UDP L2SW-48(config-cmap)#class-map match-all CALL-SIGNALLING L2SW-48(config-cmap)# match access-group name TCP-UDP L2SW-48(config-cmap)#class-map match-all VOICE L2SW-48(config-cmap)# match access-group name TCP-UDP L2SW-48(config-cmap)#class-map match-all SCAVENGER L2SW-48(config-cmap)# match access-group name TCP-UDP L2SW-48(config-cmap)#class-map match-all NETWORK-MANAGEMENT L2SW-48(config-cmap)# match access-group name TCP-UDP L2SW-48(config-cmap)#class-map match-all IP-ROUTING L2SW-48(config-cmap)# match access-group name TCP-UDP L2SW-48(config-cmap)#class-map match-all TRANSACTIONAL-DATA L2SW-48(config-cmap)# match access-group name TCP-UDP L2SW-48(config-cmap)#class-map match-all MISSIONCRITICAL-DATA L2SW-48(config-cmap)# match access-group name TCP-UDP L2SW-48(config-cmap)#! L2SW-48(config-cmap)#! L2SW-48(config-cmap)#! L2SW-48(config-cmap)#policy-map IPTV-POLICY L2SW-48(config-pmap)# class VOICE L2SW-48(config-pmap-c)# set dscp ef L2SW-48(config-pmap-c)# police 180000000 8000 exceed action policed-dscp-transmit ! exceed-action: выполнить действие при превышении битрейта; ! policed-dscp-transmit : изменить текущее значение dscp на cs1 (Scavenger) - ! в соответствии с «mls qos map policed-dscp» вверху и отправить его в очередь средней приоритетности. L2SW-48(config-pmap-c)# class INTERACTIVE-VIDEO L2SW-48(config-pmap-c)# set ip dscp af41 L2SW-48(config-pmap-c)# police 15000000 8000 exceed-action policed-dscp-transmit L2SW-48(config-pmap-c)# class STREAMING-VIDEO L2SW-48(config-pmap-c)# set ip dscp cs4 L2SW-48(config-pmap-c)# police 10000000 8000 exceed-action policed-dscp-transmit L2SW-48(config-pmap-c)# класс MISSIONCRITICAL-DATA L2SW-48(config-pmap-c)# set ip dscp cs3 L2SW-48(config-pmap-c)# police 7000000 8000 exceed-action policed-dscp-transmit L2SW-48(config-pmap-c)# класс CALL-SIGNALLING L2SW-48(config-pmap-c)# set ip dscp cs3 L2SW-48(config-pmap-c)# police 5000000 8000 exceed-action policed-dscp-transmit L2SW-48(config-pmap-c)# класс TRANSACTIONAL-DATA L2SW-48(config-pmap-c)# set ip dscp af21 L2SW-48(config-pmap-c)# police 5000000 8000 exceed-action policed-dscp-transmit L2SW-48(config-pmap-c)# class NETWORK-MANAGEMENT L2SW-48(config-pmap-c)# set ip dscp cs2 L2SW-48(config-pmap-c)# police 5000000 8000 exceed-action policed-dscp-transmit L2SW-48(config-pmap-c)# класс IP-ROUTING L2SW-48(config-pmap-c)# set ip dscp cs6 L2SW-48(config-pmap-c)# police 5000000 8000 exceed-action policed-dscp-transmit L2SW-48(config-pmap-c)# класс BULK-DATA L2SW-48(config-pmap-c)# set ip dscp af11 L2SW-48(config-pmap-c)# police 4000000 8000 exceed-action policed-dscp-transmit L2SW-48(config-pmap-c)#class SCAVENGER L2SW-48(config-pmap-c)# set ip dscp cs1 L2SW-48(config-pmap-c)# police 1000000 8000 exceed-action policed-dscp-transmit L2SW-48(config-pmap-c)#! L2SW-48(config-pmap-c)#! L2SW-48(config-pmap-c)#! L2SW-48(config-pmap-c)#interface GigabitEthernet0/1 L2SW-48(config-if)# srr-queue bandwidth share 1 37 5 25 ! без приоритетной очереди 1, другим 3 очередям будет назначена пропускная способность соответственно 37 5 25. Конкретная пропускная способность очереди будет увеличена, если другие очереди трафика не используют свою пропускную способность в интерфейсе при использовании команды «bandwidth share ». L2SW-48(config-if)# mls qos trust cos L2SW-48(config-if)# service-policy input IPTV-POLICY L2SW-48(config-if)#! L2SW-48(config-if)#exit L2SW-48(config)#exit ------------------------------------------------------------------------ Show Run - L2SW-48 ! ip access-list extended TCP-UDP permit tcp any any permit udp any any ! mls qos mls qos map policed-dscp 0 10 18 25 to 8 ! excess traffic marked default(0)/af11(10)/af21(18)/dscp 25 и преобразован в cs1(Scavenger) mls qos map cos-dscp 0 8 16 24 32 46 48 56 mls qos map dscp-cos 8 to 0 mls qos srr-queue input priority-queue 1 bandwidth 38 mls qos srr-queue input bandwidth 15 35 ! ! class-map match-all STREAMING-VIDEO match access-group name TCP-UDP class-map match-all BULK-DATA match access-group name TCP-UDP class-map match-all INTERACTIVE-VIDEO match access-group name TCP-UDP class-map match-all CALL-SIGNALLING match access-group name TCP-UDP class-map match-all VOICE match access-group name TCP-UDP class-map match-all SCAVENGER match access-group name TCP-UDP class-map match-all NETWORK-MANAGEMENT match access-group name TCP-UDP class-map match-all IP-ROUTING match access-group name TCP-UDP class-map match-all TRANSACTIONAL-DATA match access-group name TCP-UDP class-map match-all MISSIONCRITICAL-DATA match access-group name TCP-UDP ! ! policy-map IPTV-POLICY class VOICE set dscp ef police 180000000 8000 exceed-action policed-dscp-transmit ! exceed-action: выполнить действие при превышении битрейта; ! policed-dscp-transmit: изменить текущее значение dscp на cs1 (Scavenger) в соответствии с mls qos map policed-dscp и отправить его. class INTERACTIVE-VIDEO set ip dscp af41 police 15000000 8000 exceed-action policed-dscp-transmit class STREAMING-VIDEO set ip dscp cs4 police 10000000 8000 exceed-action policed-dscp-transmit class MISSIONCRITICAL-DATA set ip dscp cs3 police 7000000 8000 exceed-action policed-dscp-transmit class CALL-SIGNALLING set ip dscp cs3 police 5000000 8000 exceed-action policed-dscp-transmit class TRANSACTIONAL-DATA set ip dscp af21 police 5000000 8000 exceed-action policed-dscp-transmit class NETWORK-MANAGEMENT set ip dscp cs2 police 5000000 8000 exceed-action policed-dscp-transmit class IP-ROUTING set ip dscp cs6 police 5000000 8000 exceed-action policed-dscp-transmit class BULK-DATA set ip dscp af11 police 4000000 8000 exceed-action policed-dscp-transmit class SCAVENGER set ip dscp cs1 police 1000000 8000 exceed-action policed-dscp-transmit ! ! interface GigabitEthernet0/1 srr-queue bandwidth share 1 37 5 25 mls qos trust cos service-policy input IPTV-POLICY ! Конфигурация маршрутизатора QoS MQC-Line интерфейса можно найти по ссылке ниже: [) Ссылки: Проектирование сетей с сквозным QoS — качество обслуживания для сетей с богатыми медиаресурсами и облачных сетей, 2-е издание, ноябрь 2013 г. Рисунок 5-2 Работа CBWFQ — страница 89 Рисунок 5-3 Работа LLQ — стр. 90 Рисунок 6-4 RSVP IntServ/DiffServ и LLQ — стр. 107 [image: 26b9d968050462129541ab2a96320822530c0a1d.png] [image: f8ad5840fa90591d79e727a6d506b69899a3b2b5.jpg] [image: b83e3819d9786e94f66fe48f7725fedae954f663.png] [image: ef9712557618b02c3fa5a98ca34064104b89113e.png] [image: cfda4b124fd9d0b906bfa01f5cc21017b7df5e51.png] [image: 58e5bf0a4ad610896d62941c0d997d31710b2955.png] [image: ed530d333639a24d86987083b6db0c3b289ede58.png] [image: 4b972af4dab23b088ffd40d50bd1bc77884cfd44.png] [image: 2fb667a221fcea5b90b038e4ec5da0be449852a8.png] [image: 3e074916ba229b091c0fc1612a6b55f2df239af9.png] [image: 087e200306054005f95b258e26f2e1d9db7034ea.png] [image: d16d3f29f20470b9d71055d0b2e1eefe00a25679.png]

Введение В данном документе описаны типичные шаги, необходимые для замены границ фабрики в фабрике SDA с избыточными пограничными узлами. Эта процедура предназначена для замены существующего пограничного устройства на устройство другого типа (другой продукт или платформа, например, более новая платформа с более высокой пропускной способностью). Эта процедура не является альтернативой замене устройства на устройство того же типа. Топология ![Topology.png] Следующий сценарий включает: Избыточные (размещенные в одном месте) пограничные узлы/узлы плоскости управления Существующие физические соединения используются для подключения новой границы. Оба граничных устройства используются в качестве исходных устройств автоматизации LAN для подключения других устройств, таких как промежуточные узлы (если используются) и пограничные коммутаторы фабрики. Сценарий также применим к ручной конфигурации подложки. Обе границы настроены как подложка и многоадресная рассылка RP фабрики/надстройки Сначала замените границу 2, а затем границу 1. Предварительная работа Обновите новые или замененные устройства до желаемой версии Cisco IOS-XE (или обновите устройства с помощью SWIM в Catalyst Center перед назначением роли фабрики). Процедура Отключите роль RP многоадресной рассылки фабрики. Если границы фабрики настроены как RP многоадресной рассылки наложения в фабрике, необходимо отключить эту роль (по одному пограничному устройству за раз). Примечание. Если многоадресная рассылка не настроена или границы фабрики не настроены как RP, пропустите этот шаг и перейдите к шагу 2. Здесь обе границы настроены как многоадресная рассылка RP в фабрике. Чтобы сначала удалить Border-2, начните с удаления роли многоадресной рассылки RP фабрики/наложения из Border-2, отредактировав конфигурацию многоадресной рассылки фабрики. ![1a.png] ![1b.png] ![1c.png] ![1d.png] После отключения роли RP для Border-2 на странице инфраструктуры фабрики отображается значок Border-2 без роли RP. ![1e.png] Удалите границу 2 из фабрики. ![2a.png] На следующем изображении показано, что границе 2 не назначены никакие роли фабрики. ![2b.png] Удалите Border-2 из инвентаря Catalyst Center ![3a.png] Сценарий автоматизации LAN — если старый Border-2 использовался в качестве источника для подключения устройств Edge/Intermediate node, конфигурация интерфейса «точка-точка» на устройствах Edge/Intermediate node будет удалена Catalyst Center при удалении старого Border-2 из инвентаря. Это повлияет только на соединения, которые были настроены с помощью автоматизации LAN между Border-2 и его непосредственно подключенными соседями. Ручная подкладка — если подкладка была настроена вручную между Border-2 и устройствами Edge/Intermediate node, запишите соединения «точка-точка» и соответствующую конфигурацию, чтобы их можно было восстановить на новом Border-2. Переход физических связей — после успешного удаления старого Border-2 из структуры и инвентаря переместите физическую связь между старым Border 2 и его непосредственно подключенными соседями (Fusion/Border-1/Edge/Intermediate Nodes) на новый Border-2 (в целях данного документа в следующих шагах мы будем использовать имя хоста Border-2A для нового Border-2). Обнаружьте Border-2A в Catalyst Center (для этого Border-2A должен иметь базовую конфигурацию, чтобы его можно было найти из Catalyst Center, и быть настроенным как минимум с учетными данными CLI и SNMP). Разместите Border-2A на том же сайте, что и старый Border-2. ![4b.png] Настройте подключение (связь с Fusion / Border-1 / Edge / промежуточными узлами). Ручная подключение — если подключение было настроено вручную, перенастройте его на новом граничном устройстве и используйте ту же конфигурацию подключения (IGP/IP-адреса/многоадресная рассылка), что и на старом Border-2. Сценарий автоматизации LAN — если узлы Edge / Intermediate изначально были автоматизированы по LAN, используйте рабочий процесс LAN Automation Add-link для настройки всех точечных соединений между Border-2A и его непосредственно подключенными соседями (узлами Border-1 / Edge / Intermediate). Новый граничный узел (Border-2A) не будет указан в списке автоматизированных устройств LAN. ![5b.png] Чтобы пограничный узел Border-2A был указан в рабочем процессе добавления соединения, нажмите «Запустить автоматизацию LAN» и запустите сеанс автоматизации LAN с выбранными обоими пограничными узлами (основное/вторичное устройство-источник) и соединением между ними. Выберите пограничный узел Border-1 в качестве основного устройства-источника. ![5c.png] Выберите Border-2A в качестве вторичного устройства-источника. ![5d.png] Выберите интерфейс между Border-1 и Border-2A для автоматизации LAN. Подкладная многоадресная рассылка будет настроена в шаге d. ниже. Остановите автоматизацию LAN после завершения настройки устройства-источника. Это настроит соединение «точка-точка» между двумя границами с IP-адресами и ISIS вместе с PIM (если была выбрана многоадресная рассылка). Если вы не хотите использовать это конкретное соединение, выберите любое неиспользуемое соединение только на Border-2A, запустите автоматизацию LAN и остановите ее после завершения настройки устройства-источника. В этом случае на выбранном интерфейсе ничего не будет настроено, но Border-2A теперь будет видимым для рабочего процесса добавления соединения. Рабочий ![5e.png] процесс добавления соединения: ![5f.png] выберите интерфейс «точка-точка», который будет настроен с Border-2A. Повторите эти шаги для каждого соединения. ![5g.png] ![5h.png] ![5i.png] Подтвердите соседство маршрутизации со всеми непосредственно подключенными соседями Если применимо, настройте конфигурации подкладки многоадресной рассылки/RP/Loopback60000/MSDP, как на исходном Border-2. Этот шаг необходим даже в том случае, если для подкладки использовалась автоматизация LAN. Border-2A (пример конфигурации подстилающей многоадресной рассылки): PIM, который необходимо настроить на Loopback0, Looopback60000 и всех соединениях «точка-точка» между двумя узлами Border и подключенными устройствами Edge (включительно с любыми другими интерфейсами, применимыми/настроенными на исходном Border-2) ip pim sparse-mode ip pim rp-address 192.168.208.34 ip pim register-source Loopback0 ip pim ssm default 192.168.208.37 — это Loopback0 на Border-1 ip msdp peer 192.168.208.37 connect-source Loopback0 ip msdp cache-sa-state ip msdp originator-id Loopback0 interface Loopback60000 ip address 192.168.208.34 255.255.255.255 ip pim sparse-mode ip router isis Настройте любые ручные команды CTS (при использовании модели белого списка), которые были на старом Border-2. Добавьте Border-2A в фабрику Добавьте новое устройство в фабрику в качестве узла Border и/или Border/CP (в зависимости от ситуации). ![6a.png] Настройте любые передачи L2 и L3 (так же, как на старом Border-2). Убедитесь, что используете те же идентификаторы VLAN, что и на исходном Border-2. ![6b.png] Примечание. Обновите IP-адреса передачи L3 на устройстве Fusion в BGP и SVI передачи на основе новых IP-адресов, назначенных Catalyst Center. Если SDA-Transit был настроен на Border-2, перенастройте его также на Border-2A. ![6b2.jpg] Вручную настройте iBGP для каждого VRF между двумя пограничными узлами (как на исходном Border-2). Не применимо для развертывания фабрики LISP PubSub. На Border-2A подтвердите соседство протоколов маршрутизации (BGP и другие IGP, как и ранее) с fusion и Border-1. Добавьте Border-2A в качестве RP многоадресной рассылки из конфигурации многоадресной рассылки Fabric. (Вид топологии до включения многоадресной рассылки Overlay на Border-2A) ![6e.png] Редактирование конфигурации многоадресной рассылки ![6e1.png] ![6e2.png] ![6e3.png] (Вид топологии после включения многоадресной рассылки Overlay на Border-2A) ![6e4.png] Проверки Border-2A Проверьте таблицу маршрутизации на Border-2A, чтобы убедиться, что внешние маршруты (и/или маршрут по умолчанию) принимаются в соответствующих VRF. Для развертывания структуры LISP PubSub убедитесь, что в каждом VRF, полученном от fusion, есть маршрут по умолчанию. На пограничных узлах убедитесь, что CEF указывает на новую границу вместе с Border-1 в качестве следующего прыжка для внешних пунктов назначения (за пределами структуры). show ip cef vrf <vrf_name> <external_prefix> Пример: Edge-1#sh ip cef vrf DEFAULT_VN 4.2.2.2 0.0.0.0/0 nexthop 192.168.208.36 LISP0.4098 nexthop 192.168.208.37 LISP0.4098 (Здесь 192.168.208.36 — это Border-2A, а 192.168.208.37 — Border-1). Следующие шаги необходимы для того, чтобы убедиться, что Border-2A обрабатывает весь трафик как ожидается, прежде чем мы удалим и заменим Border-1. Убедитесь, что есть подключение к Border-1 через консоль или интерфейс управления. На Border-1 отключите все соединения с fusion, Border-2A, Edge или промежуточными узлами. Убедитесь в наличии подключения для конечных точек фабрики к внешним пунктам назначения через Border-2A. После успешного подтверждения всех подключений включите все соединения, которые были отключены в шаге 7(c)ii выше, чтобы они были доступны из Catalyst Center. Если Catalyst Center может достичь Border-1 через интерфейс управления на Border-1 и это IP-адреса, используемые для управления Border-1, то этот шаг (8) не требуется. Далее мы перейдем к шагам по замене Border-1. Удалите роль RP многоадресной рассылки фабрики/наложения из Border-1 , отредактировав конфигурацию многоадресной рассылки фабрики. Удалите Border-1 как устройство RP ![9a.png] Удаление Border-1 может также очистить запись Border-2A в графическом интерфейсе пользователя. Просто выберите Border-2A снова в качестве RP, как показано ниже. ![9b.png] На странице «Summary» (Сводка) должно отображаться только Border-2A ![9c.png] Удалите Border-1 из инвентаря Catalyst Center (так же, как в шаге 3 выше). Выполните шаги 4–6 выше (перемещение физических соединений, обнаружение, предоставление, конфигурация подслоя, добавление соединения P2P, многоадресная рассылка подслоя/PIM, CTS и т. д.) для замены Border-1 на Border-1A и повторной конфигурации его так же, как старое устройство Border-1. ![11.png] Выполните проверку пересылки трафика (как в шагах 7a и 7b выше), чтобы убедиться, что пограничные узлы фабрики указывают на Border-2A и Border-1A для внешнего назначения. Этот шаг означает успешную замену обоих пограничных устройств фабрики.</external_prefix></vrf_name> [image: 1b9833d0bf5c5ec6a585e4a3f21ec6401571b7c7.png] [image: b0c3fb1bfd94ebac5e0ad76edfb50b1286707411.png] [image: b0074ab52e50c202c8c13a7d948c9acb192ee9ed.png] [image: c0640d66e06fee2dd76dfe1b70aff3ad70fa979e.png] [image: 2db2f1a5edd1376db8dee03023a9fe393189eda3.png] [image: 512c65a4411597572b8b077e177cbae66d4ce28b.png] [image: eda51c08d5577f31649ff6b4179062b25ec32ba4.png] [image: da5d2f481571bc191efe64848c855b2bf0d38c98.png] [image: 12369519c30497e880f74d45d1e985baca475ec3.png] [image: 54dc1401d6e1f5064300dc62cbb8d476a4af50ad.png] [image: 2e3a5c77f7ba148e08740cebe970292aed1b8866.png] [image: d71464da0d4685fbbf97e6dec682750814cb3a07.png] [image: 31f17ea0ae63cf0fb67d8346ecb6dae1cc73db21.png] [image: b826de021586cbaca27b0b7aff5ecced6ba44054.png] [image: e97086275f7735a9e236c6434081f18f8c8a77b2.png] [image: 60ab06f9af708d839d069cd1e43d6d8dec524b04.png] [image: db55b858a7913965982e8e74421fdf525aa50743.png] [image: b4279bc9df12ffd0ff677bda127333c0d8ba3349.png] [image: 70b86d7302ef7317ad7381e938a77fccbf1a0e57.png] [image: b991694cbe4a180ce7f52adc68951784ac243cfa.png] [image: 7f2901e573a120c1bde46c96542012aed03a05e0.jpg] [image: 38660850af480ff7ff45a00917d90e0fc6c9b06d.png] [image: 750a25eecd5130ce4d8151c26beadf4cb8aef5b7.png] [image: 1c05810e29ad0823f519ae116062a44cc1b52014.png] [image: 5008faed34854f38e97d42e36946ea4cc816482b.png] [image: a9104bcf0a1e2b4cd6f7111757ec45381d99788b.png] [image: a5b6ff711b402f7eda327c5216d59853512a0973.png] [image: 517ddfd718e9805072494f769873c35a20d55ecc.png] [image: c61788e0439902a832e23e501f24fc80021132b6.png] [image: 385443e38b40f9ba570c6781c095256409f47226.png]

Настройка и реализация QoS (качество обслуживания) на маршрутизаторе — архитектура Moduler QoS Command (MQC) Почему это важно? Эта простая статья создана для учащихся, которые хотят настроить, реализовать и протестировать QoS на своих маршрутизаторах. QoS улучшит качество сети, безопасность и надежность. В этой статье используются некоторые ссылки (изображения) из книг и статей, опубликованных Cisco. Названия книг и технических публикаций указаны ниже: В настоящее время конечные пользователи используют множество различных типов приложений, подключенных к сети LAN/WAN. Поэтому сетевой трафик теперь смешивается с характеристиками этих устройств. Видео- и голосовые устройства, банковские и бизнес-приложения, игровые устройства, а также соответствующие приложения. Видео- и голосовой трафик потребляют большую часть пропускной способности сети и замедляют сетевой трафик. Хорошими примерами этого являются видеоконференции, прямые трансляции видео и пассивное видео. С другой стороны, высокий спрос на использование беспроводной сетевой связи растет и расширяется с каждым днем в предприятиях, оборонной сфере, логистике, транспорте, здравоохранении, прогнозировании погоды и многих других секторах. Скорость сети всегда зависит от качества обслуживания и влияния трех основных факторов: задержки, пропускной способности и пропускной способности. Задержка играет решающую роль в качестве и скорости сети. Сеть с меньшей задержкой работает быстрее, без перебоев и с высокой скоростью передачи данных, но, с другой стороны, большая задержка влияет на замедление, перегрузки, помехи, большее количество переходов и среду передачи данных (медь и беспроводная связь). ![Image-1: Summary of characteristic of the major-category of traffic-Ref.1 - Fig.1] Изображение 1: Краткое описание характеристик основных категорий трафика — Ссылка 1 — Рис. 1 В этом отношении Cisco QoS является одним из элементов, играющих важную роль в качестве сетевого трафика для управления трафиком и его безопасностью (предотвращение распространения червячных атак). Пропускная способность, задержка, джиттер и потеря пакетов — четыре основные характеристики класса трафика QoS. Инструменты QoS делятся на различные категории: инструменты классификации и маркировки ; инструменты контроля, формирования и маркировки ; инструменты управления перегрузкой или планирования ; инструменты , специфичные для канала связи . ![Image-2: The Cisco QoS Toolset – Ref.2 - Fig.1] Изображение 2: Набор инструментов Cisco QoS — Ссылка 2 — Рис. 1 Архитектура QoS состоит из семи этапов: Классификация — сопоставление пакетов с классом трафика; Маркировка — запись значения в заголовок пакета; Контроль — когда и где отбрасывать пакеты и повторно маркировать; Формирование — замедление трафика в соответствии с пропускной способностью; Очередь — буферизация пакетов при недостатке пропускной способности выходного (исходящего) ресурса; Распределение пропускной способности — резервирование пропускной способности для определенного трафика; Контроль доступа — принятие решения о допуске или отклонении пакета. ![Image-3: QoS Toolset -Ref.1 - Fig.2] Изображение 3: Набор инструментов QoS — Ссылка 1 — Рис. 2 Модели классов трафика 12-8-4 Модели ![Image-4: 4-8-12 Class traffic model -Ref.1 - Fig.3] Изображение 4: Модель трафика 4-8-12 классов — Ссылка 1 — Рис. 3 Модель 4-8 классов и модель 11 базовых классов ![Image-5: Strategy of expanding the no. of classes of services overtime -Ref.2 - Fig.2] Изображение 5: Стратегия расширения количества классов услуг с течением времени — Ссылка 2 — Рис. 2 Распределение пропускной способности по процентам для LLQ и CBWFQ ![Image-6: Compatible 4 & 11 class queuing models following Realtime, best-effort, critical data and scavenger queuing rules -Ref.2 - Fig.3] Изображение 6: Совместимые модели очередей классов 4 и 11 в соответствии с правилами очередей в реальном времени, с максимальной эффективностью, для критически важных данных и очистки — Ссылка 2 — Рис. 3 Модульная команда QoS (MQC) Общий обзор структуры линейного интерфейса Шаг 1; Описание: Классификация пакетов по типу имени класса трафика Команда CLI: class-map match-any given-class-name_1 match dscp traffic-class L3-PHB-code_1 Этот L3-PHB-код можно найти в таблице RFC match dscp traffic-class L3-PHB-code_2 match dscp traffic-class L3-PHB-code_3 class-map match-any given-class-name_2 match dscp traffic-class L3-PHB-code_4 match dscp traffic-class L3-PHB-code_5 match dscp traffic-class L3-PHB-code_6 Таблица RFC — классы трафика Классификация L3 и маркировка L2 ![Image-7: RFC Guideline for traffic classes -Ref.1 - Fig.4] Изображение-7: Руководство RFC по классам трафика - Ссылка 1 - Рис. 4 Шаг 2; Описание: Политики будут применяться к созданным классам трафика с помощью карты политик CLI: policy-map given-policy-name_X class given-class-name_1 policy-type_1 Типы политик можно ввести в команде class с помощью «?» policy-type_2 class given-class-name_2 policy-type_3 policy-type_4 Шаг 3; Описание: Реализация карты политик для указанного интерфейса с помощью команды Service-policy. Команда CLI: Interface GigabitEthernet 0/0 service-policy output given-policy-name_X LLQ — Low Latency Queuing (очередь с низкой задержкой) и CBWFQ — Class-Base Weighted Fair Queuing (сбалансированная очередь на основе веса класса) ![Image-8: LLQ/CBWFQ Operation -Ref.2 - Fig.4] Изображение 8: Работа LLQ/CBWFQ — Ссылка 2 — Рис. 4 Ссылки: Ссылка 1: Проектирование сетей с сквозным QoS — Качество обслуживания для сетей Rich-Media и облачных сетей, 2-е издание Изображение 1: Глава 1. Рисунок 1-1. Краткое описание характеристик основных категорий трафика — стр. 5 Изображение 3: Глава 1. Рисунок 1-2. Набор инструментов QoS — стр. 8 Изображение 4: Глава 1. Рисунок 1-5 4-8-12 Модель трафика классов — стр. 11 Изображение 7: Глава 1. Рисунок 1-4 Руководство RFC по классам трафика — стр. 10 Ссылка 2: Руководство по проектированию сетей Enterprise QoS Solution Reference Network Design Guide, версия 3.3, ноябрь 2005 г. Изображение 2: Глава 1. Рисунок 1-1 Набор инструментов Cisco QoS — страница 1-3 Изображение 5: Глава 1. Рисунок 1-5 Стратегия расширения количества классов услуг с течением времени — страница 1-12 Изображение 6: Глава 1. Рисунок 1-8 Совместимые модели очередей 4 и 11 классов в соответствии с правилами очередей в реальном времени, с максимальной эффективностью, для критически важных данных и очистки — страница 1-26 Изображение 8: Глава 1. Рисунок 1-3 Работа LLQ/CBWFQ — страница 1-6 Конфигурации маршрутизатора QoS: RT-2800>en Пароль: RT-2800#conf t Введите команды конфигурации, по одной в строке. Завершите вводом CNTL/Z. RT-2800(config)# RT-2800(config)#class-map match-any QoS_REALTIME RT-2800(config-cmap)#description: соответствие пакетам класса трафика Realtime RT-2800(config-cmap)#match dscp ef ! соответствие пакетам, относящимся к трафику VoIP RT-2800(config-cmap)#match dscp cs5 ! соответствие пакетам, относящимся к трафику Broadcast Video RT-2800(config-cmap)#match dscp cs4 ! match packets belongs to Realtime-interactive traffic RT-2800(config-cmap)#exit RT-2800(config)#class-map match-any QoS_CONTROL RT-2800(config-cmap)#description: match packets of Control-traffic-class RT-2800(config-cmap)#match dscp cs6 ! сопоставить пакеты, относящиеся к трафику сетевого управления RT-2800(config-cmap)#match dscp cs3 ! сопоставить пакеты, относящиеся к трафику голосовой и видеосигнализации RT-2800(config-cmap)#match dscp cs2 ! сопоставить пакеты, относящиеся к трафику VoIP RT-2800(config-cmap)#exit RT-2800(config)#class-map match-any QoS_CRITICALDATA RT-2800(config-cmap)#description: match packets of CriticalData-traffic-class RT-2800(config-cmap)#match dscp af41 af42 af43 ! соответствие пакетов, относящихся к мультимедийной конференции на AF4 RT-2800(config-cmap)#match dscp af31 af32 af33 ! соответствие пакетов, относящихся к мультимедийному потоковому вещанию на AF3 RT-2800(config-cmap)#match dscp af21 af22 af23 ! соответствие пакетов, относящихся к транзакционным данным на AF2 RT-2800(config-cmap)#match dscp af11 af12 af13 ! соответствие пакетов, относящихся к массовым данным на AF1 RT-2800(config-cmap)#exit RT-2800(config)# class-map match-any class-default ! нет необходимости создавать этот Class-Default % class-default является хорошо известным классом и не настраивается в class-map RT-2800(config)# ! RT-2800(config)# ! RT-2800(config)#policy-map QoS_DRCC RT-2800(config-pmap)#Описание: присоединенные классы трафика Default-Realtime-Control-CriticalData RT-2800(config-pmap)#class class-default RT-2800(config-pmap-c)#пропускная способность процент 25 ! 25% Class-Base Weighted Fair Queuing (CBWFQ) RT-2800(config-pmap-c)#fair-queue RT-2800(config-pmap-c)#random-detect dscp-based RT-2800(config-pmap-c)#exit RT-2800(config-pmap)#class QoS_REALTIME RT-2800(config-pmap-c)#priority percent 33 ! 33% Очередь с низкой задержкой (LLQ) — в одной и той же карте политик нельзя использовать команду SET при использовании команды PRIORITY RT-2800(config-pmap-c)#exit RT-2800(config-pmap)#class QoS_CONTROL RT-2800(config-pmap-c)#bandwidth percent 7 ! 7% Классовая взвешенная справедливая очередь (CBWFQ) RT-2800(config-pmap-c)#exit RT-2800(config-pmap)#class QoS_CRITICALDATA RT-2800(config-pmap-c)#bandwidth percent 35 ! ! 35% Классовая взвешенная справедливая очередь (CBWFQ) RT-2800(config-pmap-c)#fair-queue RT-2800(config-pmap-c)#random-detect dscp-based RT-2800(config-pmap-c)#exit RT-2800(config-pmap)#! RT-2800(config-pmap)#exit RT-2800(config)#! RT-2800(config)#! RT-2800(config)#interface gigabitethernet0/1 RT-2800(config-if)#description : attachad Default-Realtime-Control-CriticalData traffic-classes RT-2800(config-if)#service-policy output QoS_DRCC RT-2800(config-if)#exit RT-2800(config)#exit RT-2800# RT-2800# RT-2800# show class-map Карта классов match-any class-default (id 0) Соответствие любому Классная карта match-any QoS_CRITICALDATA (id 3) Описание: соответствие пакетам класса трафика CriticalData Соответствие dscp af41 (34) af42 (36) af43 (38) Соответствие dscp af31 (26) af32 (28) af33 (30) Соответствие dscp af21 (18) af22 (20) af23 (22) Соответствие dscp af11 (10) af12 (12) af13 (14) Классная карта match-any QoS_REALTIME (id 1) Описание: соответствие пакетам класса трафика Reatime Соответствие dscp ef (46) Соответствие dscp cs5 (40) Соответствие dscp cs4 (32) Классная карта match-any QoS_CONTROL (id 2) Описание: соответствие пакетам класса трафика Control-traffic-class Соответствие dscp cs6 (48) Соответствие dscp cs3 (24) Соответствие dscp cs2 (16) RT-2800# show policy-map Карта политик QoS_DRCC Описание: присоединенные классы трафика Default-Realtime-Control-CriticalData Класс QoS_REALTIME приоритет 33 (%) Класс QoS_CONTROL пропускная способность 7 (%) Класс QoS_CRITICALDATA пропускная способность 35 (%) справедливая очередь на основе пакетов wred, экспоненциальный вес 9 dscp min-threshold max-threshold mark-probablity по умолчанию (0) - - 1/10 Класс class-default пропускная способность 25 (%) справедливая очередь на основе пакетов wred, экспоненциальный вес 9 dscp минимальный порог максимальный порог вероятность маркировки---------------------------------------------------------- по умолчанию (0) - - 1/10 RT-2800# RT-2800# RT-2800# show run ! class-map match-any QoS_CRITICALDATA description : match packets of CriticalData-traffic-class match dscp af41 af42 af43 match dscp af31 af32 af33 match dscp af21 af22 af23 match dscp af11 af12 af13 class-map match-any QoS_REALTIME description : match packets of Reatime-traffic-class match dscp ef match dscp cs5 match dscp cs4 class-map match-any QoS_CONTROL description : match packets of Control-traffic-class match dscp cs6 match dscp cs3 match dscp cs2 ! ! policy-map QoS_DRCC description : attachad Default-Realtime-Control-CriticalData traffic-classes class QoS_REALTIME priority percent 33 class QoS_CONTROL bandwidth percent 7 class QoS_CRITICALDATA bandwidth percent 35 fair-queue random-detect dscp-based class class-default bandwidth percent 25 fair-queue random-detect dscp-based ! ! interface GigabitEthernet0/1 description : assigned policy-map QoS_DRCC to G0/1 interface using Service-policy ip address dhcp ip nat outside ip virtual-reassembly in duplex auto speed auto service-policy output QoS_DRCC ! ! интерфейс GigabitEthernet0/0 ip адрес 172.168.0.1 255.255.255.248 ip nat внутри ip виртуальная сборка в дуплексе авто скорость авто ! RT-2800# [image: 99e488ab4ace2dd9f525ddac9cf96e3f8ae4fdd7.1] [image: 1dd69462175b35ac1f7d6d81f79fe8e1d4a26cde.1] [image: 2eb1b04ff58997470b8d7952234aeee1a610fd6e.2] [image: 21ef65161cd185a46df9bc9edbf0a0211445afed.3] [image: fa5b870a3a3926b0a8d87ee10a7f1dd3861535f3.2] [image: 2d887df28112a5e16e789e16bae6ae92c517472d.3] [image: 6158ff941ae161453f33c366a4ea973952ccd413.4] [image: abc2372e4e33af1d7d572dcfe3b4b5a4fcca8122.4]

[История] [Требования] [Шаги по настройке] [Управление ключами] [Изменение пароля] [Проверка] [Их необходимо пересмотреть/изменить.] [Их использование безопасно.] [Часто задаваемые вопросы] [Ссылки] История Традиционно Cisco использовала несколько различных методов для хранения паролей и ключей в IOS. Старые методы — это Type 5 (хэш MD5) и Type7 (обфускация Vigenere). Мы включили шифрование Type 7 с помощью команды CLI service password-encryption. Существуют и более новые методы, такие как Type 8 (SHA256) и Type 9 (SCRYPT). На данный момент я рекомендую никогда не использовать Type 5 или Type 7 и ни в коем случае не использовать Type 4. Сегодня, в 2021 году, рекомендуется использовать Тип 6, Тип 8 и Тип 9. Тип 6 использует надежное 128-битное шифрование AES для хранения паролей. Если вас интересуют подробности о типах 0, 4, 5, 6, 7, 8, 9, ознакомьтесь с другим документом, который я написал. Я бы хотел здесь пошутить на тему подсчета, но не буду. ![:winking_face:] Примечание: использование типа 6 поддерживается с 2006 года, IOS 12.3(2)T и, возможно, более ранних версий! Подробное объяснение каждого типа паролей см. в [этом документе] , который я написал. Требования В этом примере я работаю с устройствами, которые были сброшены до заводских настроек. Catalyst 9300 с IOS XE 17.3(3) Любое устройство, на котором работает современная IOS XE, должно поддерживать тип 6. Шаги по настройке Включите шифрование паролей AES 128 ! configure terminal password encryption aes key config-key password-encrypt super-secret-password end ! Управление ключами Использованный вами сверхсекретный пароль очень важен. Очень важно хранить ключ в автономном режиме. Обязательно храните его в KeePass, 1Password или хранилище паролей по вашему выбору. В идеале каждое устройство, на котором вы настраиваете тип 6, будет иметь уникальный ключ. Изменение пароля Не должно быть слишком много причин для изменения ключа пароля. Однако, если у вас есть старый ключ пароля, его изменение не представляет сложности и не имеет негативных последствий. ![password key change example.png] Проверка Их необходимо проверить/изменить. Посмотрите на рабочую конфигурацию для паролей типа 7 show running-config | include 7 Проверьте рабочую конфигурацию для паролей типа 5 show running-config | include 5 Их можно использовать безопасно. Проверьте рабочую конфигурацию для паролей типа 6 show running-config | include 6 Проверьте текущую конфигурацию для паролей типа 8. show running-config | include 8 Проверьте текущую конфигурацию для паролей типа 9 show running-config | include 9 Часто задаваемые вопросы В: Следует ли оставлять шифрование сервисного пароля в конфигурации? О: Да, хотя это и не должно быть необходимо, поскольку мы включили пароли типа 6, оставление шифрования паролей службы в рабочей конфигурации приведет к тому, что все другие пароли типа 5 или типа 7 будут зашифрованы, а не храниться в открытом виде. В: Должен ли я хранить ключ? О: ДА, ключ ОБЯЗАТЕЛЬНО должен храниться. В случае необходимости переноса конфигурации этого устройства на новое устройство вам понадобится ключ. В: Какие пароли будут преобразованы? О: Согласно моим тестам, будут преобразованы следующие пароли и типы паролей: Ключи сервера TACACS (ранее в типе 7) Ключи сервера RADIUS (ранее в типе 7) Пароли входа vty (ранее в типе 7) В: Какие типы паролей НЕ будут преобразованы? О: Согласно моим тестам, следующие пароли и типы паролей НЕ будут преобразованы: enable secret 9 Пароль аутентификации BGP MD5, вместо него используйте опцию аутентификации BGP TCP Пароль аутентификации OSPF MD5, [вместо него используйте аутентификацию HMAC] HSRP \ VRRP с использованием ключевой строки для аутентификации, вместо этого используйте цепочку ключей аутентификации, которая будет преобразована в тип 6 В: Можно ли вернуться к паролям, отличным от типа 6? О: Возврат к паролям, отличным от типа 6, является ручным процессом. Сначала определите все пароли типа 6 Затем выполните no password-encryption aes Затем верните каждый из ранее идентифицированных типов 6 и перенастройте. В: Что произойдет, если мне понадобится изменить ключ шифрования пароля? О: Обычно это не требуется, однако, если у вас все еще есть пароль, то все в порядке, нет проблем! Просто измените его, см. пример выше. В: Что произойдет, если я потеряю ключ шифрования пароля? О: Перемещение паролей в зашифрованном виде на новый компьютер будет невозможно. В: Что произойдет, если я потеряю ключ шифрования пароля и мне нужно будет изменить ключ шифрования пароля? О: Я бы позвонил в Cisco TAC В: Где мне искать изменения в running-config? О: Обычно я видел пароли типа 5 и типа 7 в следующих местах: username kashvi password … пароль enable ключ RADIUS Ключ TACACS Вход VTY Пароль BGP-пира Предварительно согласованный ключ MKA В: Могу ли я реализовать шифрование паролей aes на существующем коммутаторе? О: Да, конечно! Воспользуйтесь приведенными выше командами проверки, чтобы убедиться, что все ваши старые пароли, особенно типа 5 и типа 7, преобразованы в более новый тип 6. В: Я развертываю новый коммутатор/маршрутизатор, как его следует настроить? О: С самого начала используйте приведенный выше скрипт конфигурации. Нет необходимости использовать service password-encryption. В: Если мне нужно использовать тип 8 или тип 9, какой из них более безопасен? О: И тип 8, и тип 9 являются безопасными, можете использовать любой из них. В: Я не вижу ключ config-key password-encrypt в рабочей конфигурации... О: Да, вы не должны его видеть. Хранение ключа в виде открытого текста было бы небезопасно, так как это может дать возможность расшифровать пароли. Ключ хранится в разделе, недоступном для администратора. В: Могу ли я настроить шифрование типа 6 на своем маршрутизаторе, если мой маршрутизатор-аналог BGP, OSPF, EIGRP не поддерживает его? О: Да! Поскольку процесс маршрутизации на вашем маршрутизаторе расшифрует пароль перед использованием с одноранговым устройством, это не должно быть проблемой. В: Должен ли я использовать enable password или enable secret? О: Определенно используйте enable secret. Если настроены оба, используется только enable secret. Ссылки Справочник команд Cisco IOS XE (key config-key password-encrypt) Справочник команд Cisco IOS XE (password encryption aes) Шифрование предварительно согласованных ключей в конфигурации маршрутизатора Cisco IOS Справочник команд Cisco IOS (service password-encryption) [image: 0c8888c0d8510c69ef663ddee04b65459ff3c592.png] [image: 289bd9d79357264ef3fffb7ad64783045a7807a0.png]

![CatalystCenter_SoftwareConformance-13.png] Экспертные мнения Catalyst Center: вебинар «Соответствие программного обеспечения» — специальная сессия, посвященная обзору новейших и лучших функций, добавленных в версию 2.3.7.7 Catalyst Center, а также преимуществам обновления наших систем до последней рекомендуемой версии. Что нового в Catalyst Center 2.3.7 — английский язык Дата: 05 июня 2025 г. Время: 10:00–11:30 UTC+1 Подробности сессии: Узнайте больше о последней рекомендуемой версии Catalyst Center и будьте в курсе последних тенденций в сфере ИТ благодаря новым функциям обеспечения качества и автоматизации, а также передовым методам для плавного обновления. [image: 6de97e03711d903eab27974a70e6a2122c47c1e8.png]

![Cisco Catalyst SD-WAN fabric upgrade deep dive.png] Присоединяйтесь к нам для участия в серии вебинаров, цель которых — предоставить вам четкий и практичный план обновления вашей SD-WAN-сети. Вы узнаете о нововведениях в версии 20.15, о том, как обновить контроллеры и пограничные устройства, а также о том, как применять современные рабочие процессы с использованием автоматизации, масштабируемости и управления образами. Что нового в Cisco Catalyst SD-WAN 20.15 Дата и время: среда, 4 марта 2026 г. — 10:00–11:00 CET Подробности сессии: присоединяйтесь к нам, чтобы получить обзор версии 20.15, включая последние функции, ключевые усовершенствования безопасности и способы упрощения операций. Рабочий процесс и демонстрация обновления фабрики Cisco Catalyst SD-WAN Дата и время: среда, 18 марта 2026 г., 10:00–11:00 CET Подробности сессии: получите практическое руководство по обновлению фабрики Catalyst SD-WAN, включая контроллеры и устройства Edge, с демонстрацией обновлений для одного арендатора, нескольких арендаторов, кластера с 3 узлами и одного маршрутизатора. Расширенные сценарии обновления Cisco Catalyst SD-WAN Дата и время: среда, 1 апреля 2026 г., 10:00–11:00 CET Подробности сессии: изучите практический современный рабочий процесс обновления с автоматизацией, стратегиями масштабирования и улучшенным управлением образами ПО, включая инструменты и методы для снижения рисков и ускорения обновлений в реальных средах. РЕГИСТРАЦИЯ ![Catalyst_SD_Wan_EMEA_EIS.png] Поднимите свои знания о Catalyst SD-WAN на новый уровень с помощью нашей серии курсов среднего уровня. Погрузитесь в реальные сценарии, узнайте, как оптимизировать политики, отслеживать производительность и устранять сложные проблемы. Эта серия курсов разработана, чтобы помочь вам максимально увеличить ценность вашего развертывания Catalyst SD-WAN, обеспечить надежную безопасность и предоставить пользователям бесперебойную работу. Каждая сессия включает в себя живые демонстрации и интерактивные вопросы и ответы с нашими экспертами. Контролируйте трафик и защищайте свою сеть с помощью политик Catalyst SD-WAN Дата и время: 12 ноября | 09:00 -10:30 утра BST (08:00-09:30 утра UTC) Подробности сессии: Это вебинар шаг за шагом проведет вас через наиболее распространенные сетевые инциденты, показывая, как использовать унифицированную панель управления Catalyst SD-WAN и другие инструменты мониторинга для выявления и диагностики сетевых проблем в режиме реального времени. • [Запись вебинара] Мониторинг Catalyst SD-WAN для решения реальных проблем Дата и время: 26 ноября | 9:00–10:30 BST (08:00–09:30 UTC) Подробности сессии: Узнайте, как политики позволяют вам контролировать трафик, точно направлять его, повышать производительность приложений и усиливать безопасность. Изучите реальные сценарии, демонстрирующие, как сеть, управляемая политиками, обеспечивает гибкость, эффективность и защиту вашего бизнеса. • [Запись] [вебинара] Освоение инструментов устранения неполадок в Catalyst SD-WAN Дата и время: 10 декабря | 9:00–10:30 BST (08:00–09:30 UTC) Подробности сессии: Cisco Catalyst SD-WAN включает в себя комплексный набор встроенных инструментов устранения неполадок. В ходе сессии будет рассказано, как быстро выявлять и устранять проблемы с сетью, приложениями и подключением к системе управления, не выходя из SD-WAN Manager. • [Запись вебинара] ![Cisco SD Wan FY26Q1.jpg] Присоединяйтесь к нашей серии Cisco Catalyst SD-WAN Expert Insights, чтобы приобрести базовые знания и практические навыки для развертывания и управления Cisco Catalyst SD-WAN. Независимо от того, являетесь ли вы новичком в SD-WAN или хотите быстро освежить свои знания, эта серия предоставит вам основные сведения, которые помогут вам оставаться впереди в области сетевых технологий. Каждая сессия разработана так, чтобы быть понятной, практичной и адаптированной для профессионалов, стремящихся максимально увеличить успех Catalyst SD-WAN. Пошаговое руководство по Smart Account, настройке контроллера и подключению устройств Важная информация о лицензировании и управлении устройствами Практические занятия по эффективному развертыванию и масштабированию SD-WAN Освоение Smart Accounts и настройка контроллера Дата и время: вторник, 9 сентября 2025 г. — 9:00–10:30 BST Подробности сессии: научитесь создавать и управлять Smart и Virtual Accounts, настраивать профиль контроллера в портале Plug and Play (PnP) и настраивать контроллеры Catalyst SD-WAN для бесперебойного предоставления сетевых ресурсов. • [Запись вебинара] Основы лицензирования Catalyst SD-WAN Дата и время: вторник, 23 сентября 2025 г., 9:00–10:30 BST Подробности сессии: изучите основы управления лицензиями Catalyst SD-WAN, в том числе способы подключения Manager к CSSM для обеспечения соответствия требованиям и оптимизации использования. • [Запись] [вебинара] Эффективное управление устройствами с помощью шаблонов и групп конфигураций Дата и время: вторник, 7 октября 2025 г., 9:00–10:30 BST Подробности сессии: узнайте, как стратегически создавать и применять шаблоны и группы конфигураций для управления устройствами в среде Catalyst SD-WAN. • [Запись вебинара] Подключение устройств к Catalyst SD-WAN Дата и время: вторник, 21 октября 2025 г., 9:00–10:30 BST . Подробности сессии: получите подробные знания о процессе подключения WAN Edges с использованием различных методов для ускорения развертывания Catalyst SD-WAN. [• Запись вебинара] ![SD-WAN FY25Q4.png] Узнайте, как Secure Access легко интегрируется с Cisco SD-WAN, обеспечивая повышенную безопасность, оптимизированную связь и превосходный пользовательский опыт. Мы также обсудим, как клиенты Cisco Umbrella могут извлечь выгоду из этого перехода. Вебинар по интеграции Cisco SD-WAN и облачной безопасности Дата и время: 27 мая 2025 г. , 9:00–10:30 BST Подробности сессии: Узнайте, как Secure Access легко интегрируется с Cisco SD-WAN, обеспечивая повышенную безопасность, оптимизированную связь и превосходный пользовательский опыт. Мы также обсудим, как клиенты Cisco Umbrella могут извлечь выгоду из этого перехода. Ключевые выводы: Интегрированные операции: узнайте, как Cisco SD-WAN и Secure Access работают вместе, чтобы обеспечить централизованное управление и улучшенную производительность облачных приложений. Улучшенный безопасный доступ: узнайте, как Cisco Secure Access, основанный на Umbrella, предлагает подход «нулевого доверия» для обеспечения безопасности удаленных и гибридных сотрудников. Это вебинар призван помочь вам усовершенствовать стратегию облачной безопасности с помощью Cisco Secure Access, одновременно используя проверенные возможности Cisco SD-WAN. Если вы уже являетесь клиентом Umbrella, вы получите ценную информацию о преимуществах Secure Access. • Запись вебинара [image: 76cbca2208051cb8256d8a8c7d87863a15073751.png] [image: f8bac3ae78b21f623c8061ccf8986dec038b46eb.png] [image: de6201d51cf960076d866e7f4aabcf3e7a4a0796.jpg] [image: 74265405d1b171428752f023b72c7a0516ba2a0d.png]

Команда Cisco Document Team опубликовала статью. В этом документе описаны основы коррекции ошибок при передаче (FEC) и способы проверки этой функции на коммутаторах семейства Catalyst 9000. Знаете о чем-то, что необходимо задокументировать? Отправьте запрос на создание нового документа по адресу doc-ic-feedback@cisco.com Ваш вклад очень важен! Если вы обнаружили проблему, связанную с документом, сообщите нам об этом. Не забудьте предоставить как можно больше подробностей при отправке запроса или отзыва о существующем документе, включая информацию о разделе, области или проблеме, с которой вы столкнулись в документе, а также о том, что можно улучшить. Вы можете оставить отзыв несколькими способами: Используя кнопку «Отзыв», расположенную в правой панели соответствующей статьи. Отправив отзыв о существующей статье или видео, либо запрос на новый документ по адресу doc-ic-feedback@cisco.com . Если вы открываете заявку в TAC (Центр технической поддержки) , вы можете уведомить инженера о пробеле или отсутствующем контенте, и он сможет создать запрос от вашего имени. См. в этом блоге, как Cisco TAC преобразует документацию и упрощает самообслуживание.

Привет всем! В рамках стремления Cisco предоставлять организациям интеллектуальные сетевые решения для безопасного подключения пользователей, устройств, приложений и рабочих нагрузок в любом месте, я хотел бы кратко рассказать о последних версиях нашего портфеля продуктов WAN + Routing. Эти новые продукты и функции охватывают широкий спектр областей, от маршрутизации и виртуальной инфраструктуры до лицензирования и интеграции систем безопасности. Мы надеемся, что вы найдете в них для себя что-то полезное. Если у вас есть вопросы, пожалуйста, ответьте ниже. SD-маршрутизация Обзор: Cisco предоставляет единую систему управления как для традиционных сетей маршрутизации, так и для сред SD-WAN с помощью Catalyst SD-WAN Manager. Эта программно-определяемая операционная среда маршрутизации предоставляет богатые дополнительные возможности и рабочие процессы, сопоставимые с тем, что уже предлагается для развертываний Catalyst SD-WAN. Результаты для клиентов: клиенты получат масштабируемое и унифицированное управление на границе сети как для традиционной маршрутизации, так и для сред SD-WAN. Ключевые бизнес-результаты для клиентов включают: Пользователи, которые еще не готовы перейти на SD-WAN, могут воспользоваться унифицированным менеджером с практически такими же функциями. Пользователи могут избавиться от утомительной задачи использования интерфейса командной строки (CLI) и значительно сократить количество потенциальных ошибок конфигурации. Если/когда вы будете готовы перейти на SD-WAN и SASE, вам не потребуется дополнительное лицензирование или обучение. Используйте встроенную безопасность для каждого устройства (зональные брандмауэры, брандмауэры с распознаванием приложений, snort, DNS и фильтрация URL) и облачную безопасность в SD-WAN Manager с интуитивно понятными рабочими процессами безопасности. Catalyst 8300 uCPE Обзор: новая, масштабируемая и гибкая сетевая вычислительная платформа в семействе устройств Universal Customer Premise Equipment (uCPE). Результат для клиента: эта виртуальная платформа 1RU хорошо подходит для клиентов в удаленных местах, которые не имеют большого физического пространства и ИТ-экспертизы. Вы можете консолидировать физические сетевые и защитные устройства и управлять как устройством uCPE, так и гостевыми VNF, работающими на них, с помощью одной и той же унифицированной системы управления Catalyst SD-WAN Manager. Клиенты получают преимущества от глубокой видимости платформы и сетевых функций с помощью одной и той же централизованной панели управления. Интеграция Catalyst SD-WAN с Microsoft Sentinel Обзор: Microsoft Sentinel — это облачное решение, которое обеспечивает аналитику безопасности, обнаружение атак, видимость угроз, проактивный поиск и реагирование на угрозы. Cisco — единственный поставщик SD-WAN, который интегрировался с Microsoft Sentinel, что дает пользователям уникальное преимущество в области аналитики безопасности и анализа угроз. Результаты для клиентов: клиенты получают преимущества от интеллектуальной аналитики безопасности, интеграции информации об угрозах, оркестрации и автоматизации безопасности, автоматизированных сценариев реагирования, улучшенной видимости поведения пользователей и бесшовной интеграции с более широкой экосистемой безопасности. Если вы хотите узнать больше, прочтите этот блог. Equinix: поддержка Catalyst 8000V Обзор: Catalyst 8000V теперь поддерживается в режиме контроллера с интеграцией Equinix. Результат для клиента: это предоставляет клиентам доступ к более высокой пропускной способности и дополнительным функциям SD-WAN с Equinix по сравнению с предыдущим виртуальным маршрутизатором CSR 1000V. Equinix/Megaport: инфраструктура аудита Обзор: Audit Infrastructure обеспечивает проверку ресурсов, созданных в Catalyst SD-WAN Manager и у различных поставщиков, а также аудит по запросу для поставщиков среднего уровня. Результат для клиента: Audit Infrastructure помогает пользователям выявлять отсутствующие ресурсы, ресурсы в плохом состоянии или устаревшие/неизвестные ресурсы. Затем она автоматически сообщает об этих несоответствиях и/или исправляет их , помогая пользователям сэкономить время и снизить операционные расходы. Интеграция Cisco Catalyst SD-WAN с Skyhigh Обзор: Cisco Catalyst SD-WAN интегрирована с Skyhigh, сторонним поставщиком облачных решений безопасности. Результат для клиента: эта интеграция дает организациям большую гибкость при выборе предпочтительных поставщиков облачной безопасности и позволяет гибко создавать архитектуры Secure Access Service Edge (SASE), адаптированные к вашим потребностям. Поддержка смешанных лицензий для Cisco Meraki MX Обзор: Устройства безопасности Cisco Meraki MX и SD-WAN смогут поддерживать смешанную среду лицензий SD-WAN Plus и Advanced Security. Результат для клиента: таким образом, приоритетные сайты могут иметь MX с полной функциональностью лицензии SD-WAN Plus, а остальные сайты — с функциями лицензии Advanced Security. Удаленное обновление прошивки для сотовых шлюзов Catalyst Обзор: клиенты, использующие сотовые шлюзы Catalyst, теперь могут удаленно и в большом масштабе обновлять свои сотовые шлюзы из SD-WAN Manager. Специальный рабочий процесс обновления прошивки позволяет клиентам выбирать удаленный сервер, с которого устройства будут загружать файлы прошивки. Результат для клиента: более быстрое и простое масштабное обновление устройств. Аналоговый голосовой шлюз Cisco VG410 Обзор: VG410 — это новый аналоговый голосовой шлюз средней плотности, призванный заменить VG310 и VG320. Это устройство имеет (4) порта FXO By-Pass, которые позволяют аналоговым устройствам совершать вызовы через PTSN в случае сбоя системы или отключения питания, а также 24–48 портов FXS для интеграции аналоговых устройств в сеть VoIP. Результат для клиента: VG410 предназначен для экономии средств, поскольку позволяет клиентам интегрировать уже сделанные инвестиции в современную сеть без необходимости сразу заменять устаревшее коммуникационное оборудование. Спасибо за внимание. Если у вас есть вопросы по поводу вышеуказанной информации, пожалуйста, ответьте ниже!

Симптомы: С приложенной схемой, которая имеет точечную связь L3 с помощью коммутаторов, почему здесь происходит выбор DR/BDR, вывод сделан ниже: Router0#show ip ospf neighbor Neighbor ID Pri State Dead Time Address Interface 192.168.20.1 1 FULL/DR 00:00:31 11.0.0.2 GigabitEthernet0/0/1 Router0# Router1#show ip ospf neighbor Neighbor ID Pri State Dead Time Address Interface 192.168.10.1 1 FULL/BDR 00:00:37 11.0.0.1 GigabitEthernet0/0/1 Router1# ![RichR_0-1745498229492.png] Диагностика: Важное различие, которое необходимо учитывать при проектировании или анализе сетей OSPF (Open Shortest Path First). В представленной вами топологии, несмотря на наличие точечных соединений между маршрутизаторами и коммутаторами, тип сети, интерпретируемый OSPF, зависит от типа интерфейса и конфигурации, а не только от физической схемы. Решение Вы видите выборы DR/BDR, потому что OSPF использует тип сети широковещательной передачи по умолчанию на интерфейсах Ethernet. Если вы не хотите DR/BDR (и прямую смежность между маршрутизаторами), настройте эти интерфейсы как OSPF «точка-точка». Коммутаторы в этой конфигурации действуют как носители уровня 2, но OSPF рассматривает Ethernet как способный к широковещательной передаче, если не указано иное. [image: 99153fcabad42515be364071782e05e193ca5e08.png] [image: 8fecd1a8928be9a85416e81dc0c53125a4c09fb4.png]

[Начните] [Работайте с Catalyst Center] [Дополнительные ресурсы] [Обновление] Этот репозиторий поможет вам оптимизировать ресурсы, сократить расходы и повысить цифровую гибкость вашей организации с помощью мощной системы управления Catalyst Center от Cisco, которая использует искусственный интеллект для подключения, защиты и автоматизации сетевых операций. Начните Здесь вы найдете контрольные списки, руководства, спецификации совместимости и дополнительные ресурсы, которые можно использовать для начала первого этапа настройки. [Начните планировать свой проект Catalyst Center — ознакомьтесь с возможными вариантами использования и предварительными условиями для начала работы.] Ознакомьтесь с проверенными Cisco проектами Catalyst Center, чтобы получить рекомендации по планированию развертывания. Для покупателей оборудования: Ознакомьтесь с руководством по установке, чтобы узнать подробности планирования развертывания и шаги по установке устройства Узнайте, как управлять лицензиями и интегрировать Catalyst Center с вашей учетной записью Cisco Smart Account Для клиентов, использующих виртуальные устройства: Руководство по заказу виртуального устройства Catalyst Center Руководство по развертыванию Catalyst Center для AWS Руководство по развертыванию Catalyst Center для ESXi Узнайте, как управлять лицензиями и интегрировать Catalyst Center с вашей учетной записью Cisco Smart Account После завершения установки: Настройте системные параметры, такие как управляемость устройств, механизм машинного обучения, Cisco AI Network Analytics и т. д. Активируйте высокую доступность Создайте сетевую иерархию Catalyst Center Настройте параметры сети Настройте телеметрию Начните добавлять сетевые устройства в инвентарь Catalyst Center и назначайте их сайту Узнайте больше об управлении инвентаризацией Работа с Catalyst Center Централизуйте управление сетевым инвентаризацией и безопасностью инфраструктуры, чтобы обеспечить быстрое обновление программных образов сетевых устройств: Совет по успешной работе: Обзор продукта и ценность для бизнеса: Управление программными образами Совет по успешной работе: Лучшие практики установки/внедрения: Управление программными образами Узнайте, как автоматизировать настройку сети с помощью сетевых профилей Создавайте сетевые проекты и настраивайте сетевые параметры для WLC, AP и коммутаторов Используйте Plug-n-Play для подключения WLC, AP или коммутаторов Узнайте, как использовать рабочий процесс RMA для замены неисправных устройств Узнайте, как управлять и выполнять обновления с помощью образов программного обеспечения Используйте страницу «Инвентаризация» для просмотра и управления инвентаризацией устройств Автоматизируйте настройки сети и предоставляйте данные о работе сети внешним приложениям: Настройте Catalyst Center с помощью API или инструментов на основе API Устраняйте сетевые проблемы с помощью функции трассировки пути Включите уведомления о проблемах Обеспечьте стабильную работу сети, клиентов и приложений для более эффективного устранения неполадок: Обзор Catalyst Center Assurance Мониторинг и устранение неполадок общего состояния предприятия Мониторинг и устранение неполадок работоспособности сети Мониторинг и устранение неполадок работоспособности клиентов Мониторинг и устранение неполадок работоспособности приложений Работа с 3D-картами Просмотр и решение открытых вопросов [Сообщение сообщества: Использование панелей мониторинга Cisco Catalyst Center Assurance] Программно-определяемый доступ: Руководство по проектированию решений Cisco SD-Access [Интеграция с ISE с помощью Catalyst Center] Развертывание базовой сети LAN Обеспечение сетей фабрики Мониторинг и устранение неполадок SD-Access Дополнительные ресурсы [Форум Catalyst Center] Обучающие видео Catalyst Center Обновление Узнайте о доступности нового программного обеспечения, его функциях и о том, как спланировать обновление. Обновите Catalyst Center (текущая рекомендуемая версия — 2.3.5.6)

[Введение] [Интеграция] [Метки профиля аналитики конечных точек AI] [Атрибуты аналитики конечных точек AI, отображаемые в ISE] [Атрибуты аналитики конечных точек AI, используемые в настраиваемых политиках профилирования ISE] [Политики профилирования ISE, используемые в правилах авторизации ISE] [Резюме и итоги] Введение Эта статья написана с целью объяснить интеграцию между Cisco AI Endpoint Analytics и Cisco ISE с особым акцентом на атрибуты, которые AI Endpoint Analytics отправляет в ISE, и на то, как ISE интерпретирует их для назначения профилей и результатов авторизации. Интеграция ISE необходимо подключить к Cisco DNA Center. [Ниже приведено руководство] по выполнению этой интеграции. Кроме того, необходимо включить зонд ISE pxGrid, который позволяет pxGrid получать контекст конечной точки от Cisco DNA Center/Endpoint Analytics, как показано в следующем примере: ![Screenshot 2020-06-25 at 15.54.31.png] Также убедитесь, что «Probe Data Publisher» включен, как показано ниже. Это необходимо для того, чтобы ISE публиковал данные зонда конечной точки в Cisco DNA Center/Endpoint Analytics через pxGrid. ![Screenshot 2020-06-25 at 16.36.42.png] Метки профилей AI Endpoint Analytics Когда конечные точки обнаруживаются Endpoint Analytics, им назначается до четырех меток профиля. Например: ![Screenshot 2020-05-28 at 13.04.29.png] Как видно из приведенного выше снимка, четыре типа меток профиля — это тип конечной точки, тип ОС, модель оборудования и производитель оборудования. Обнаруженная конечная точка, в данном случае медицинский сканер, имеет метки во всех четырех категориях, как показано выше. При выборе MAC-адреса обнаруженной конечной точки в правой части экрана отображаются дополнительные сведения, включая обнаруженные атрибуты. На следующем снимке экрана показаны атрибуты, расположенные под заголовком IOTAsset: ![Screenshot 2020-05-28 at 14.28.32.png] Это атрибуты, отправленные в ISE из Endpoint Analytics через pxGrid. Для каждой метки профиля имеется следующий атрибут: Метка профиля Атрибут IOTAsset Тип конечной точки assetDeviceType Тип ОС assetSwRevision Модель оборудования assetHwRevision Производитель оборудования assetVendor NOTE: If Endpoint Analytics learns of an endpoint from SD-AVC enabled Cat9Ks but that endpoint is not learned from ISE, the attributes will NOT be sent back to ISE in the existing design. Атрибуты аналитики конечных точек AI, отображаемые в ISE В ISE атрибуты для данного MAC-адреса можно увидеть в разделе «Context Visibility» (атрибуты находятся внизу списка): ![Screenshot 2020-06-01 at 12.48.42.png] После отправки этих атрибутов в ISE их можно использовать в настраиваемых политиках Profiler, которые, в свою очередь, можно использовать в условиях авторизации. Атрибуты аналитики конечных точек AI, используемые в настраиваемых политиках профилирования ISE Ниже приведен пример настраиваемой политики Profiler в ISE (называемой CT-Scanner-ISEProfile), в которой в условиях используются все четыре метки Endpoint Analytics: ![Screenshot 2020-06-08 at 09.59.00.png] В политике используются следующие правила: IOTASSET Оператор (в этом примере) Значение assetSwRevision Равно Linux assetDeviceType Равно КТ-сканер assetVendor Содержит Siemens assetHwRevision Содержит Megnetom Как видно, минимальный коэффициент достоверности для присвоения этого настраиваемого профиля составляет 200, а коэффициент достоверности для каждого совпадающего условия — 50. Таким образом, для присвоения этого профиля должны совпадать все четыре условия. Warning : Changing the Minimum Certainty factor to a higher number will affect all endpoints matched. So, care must be taken when adding custom profiling policies to ensure only the intended endpoints are affected. At this time of writing, the Value of 200 is much higher than the Total Certainty Factor of 130 in ISE. Total Certainty Factor is the aggregated value of all profiles ISE touches to profile endpoints. (From ISE user interface you can go to Context visibility > Endpoints > Endpoint Classification , click on the MAC address for details to view the Total Certainty Factor .You can also view this by adding additional column in Endpoint classification list table from the UI). Best practice is toTest this with small number of endpoints by adding conditions based on AssetMACaddress, Calling station ID or other attributes such as Network Device or Network Device Group (NDG) so that the change is limited. Как уже упоминалось, это всего лишь пример, и в зависимости от требований можно использовать любое количество условий с соответствующими коэффициентами достоверности. Внизу этого документа приведена ссылка на руководство по проектированию ISE Profiler, которое можно использовать в качестве справочного материала, если требуется дополнительная информация о работе ISE Profiler. Если этот настраиваемый профиль (CT-Scanner-ISEProfile) соответствует и присвоен конечной точке, то присвоение будет отображаться для конечной точки в Live Session: ![Screenshot 2020-06-01 at 13.29.15.png] Этот профиль ISE можно использовать в качестве условия в правилах авторизации для авторизации конечной точки (например, для назначения SGT). Политики ISE Profiler, используемые в правилах авторизации ISE Ниже приведено правило авторизации ISE, использующее CT-Scanner-ISEProfile в качестве условия соответствия: ![Screenshot 2020-06-01 at 13.41.07.png] Результирующий профиль авторизации назначает соответствующий SGT (сканеры) и VLAN (1stdVLAN-BldgMgmt), как показано ниже: ![Screenshot 2020-06-01 at 13.41.51.png] Авторизованная конечная точка, соответствующая политике ISE Profiler и правилу авторизации, отобразит назначенный профиль и SGT в Live Session: ![Screenshot 2020-06-01 at 14.00.11.png] Резюме и обобщение В качестве резюме и обобщения, каждой конечной точке присваивается до четырех меток профиля, назначенных Endpoint Analytics, и четыре соответствующих атрибута IOTAsset отправляются в ISE. Эти атрибуты используются в качестве условий в настраиваемых политиках профилирования ISE. Полученные профили ISE затем используются в качестве условий в правилах авторизации ISE для авторизации конечных точек. Для получения дополнительной информации о профилировании ISE обратитесь к руководству по проектированию профилирования: [) [image: 73f0e22eeff706a95080d00736b634ff5628d4ac.png] [image: e86b99bdf7285f04cd94b1182f8c616a433c4807.png] [image: 168a31185e8bec29bfd53d2d543474d9ead55821.png] [image: 8564d98c83f2cc40d85cf0d88d1cfbec92992057.png] [image: 4fca7169153f98a83f73491397af97e56aff7ff1.png] [image: c9d716bf2232ae5d2bc22164826bdffdc0f09953.png] [image: 939cb25061848733e023b1aad1451115c503e504.png] [image: 7fabaeaf91afbfba7dd7d179f1bb855ef8b5dbea.png] [image: 4dab7dd7c1b35215e221c5bc27392abade772a1e.png] [image: b99c571019475e8bb15507a4549b18f685ba9d72.png]

Команда «history» является новой в версии 15.1T. Вместе с новой командой «show interface history» она позволяет интерфейсу сохранять историю использования в графическом формате, аналогичном истории использования ЦП. Эта история может храниться в виде пакетов в секунду (pps) или битов в секунду (bps). Наряду со скоростью пользователь может отслеживать множество различных счетчиков интерфейса. Как и в случае с историей ЦП, имеются графики за последние 60 секунд, последние 60 минут и последние 72 часа. Для ввода и вывода ведутся отдельные графики. Всего имеется 6 графиков. Это позволяет центру технической поддержки (TAC) просматривать историю интерфейса (интерфейсов) и просматривать скорости и счетчики. Затем можно исследовать проблемы в сети и определить, связаны ли они с интерфейсом и счетчиком (счетчиками), которые увеличиваются в этот промежуток времени. Команда show interface history позволяет отобразить все 6 графиков или только их подмножество в зависимости от потребностей: show interface [тип номер] history [all | 60sec | 60min | 72hour] [both | input | output] Описание синтаксиса type (Необязательно) Тип интерфейса. номер (Необязательно) Номер порта интерфейса. all (Необязательно) Указывает гистограммы, представляющие использование интерфейса за последние 60 секунд, последние 60 минут и последние 72 часа. 60sec (Необязательно) Указывает гистограммы, представляющие использование интерфейса за последние 60 секунд. 60min (Необязательно) Указывает гистограммы, представляющие использование интерфейса за последние 60 минут. 72 часа (Необязательно) Указывает гистограммы, представляющие использование интерфейса за последние 72 часа. оба (Необязательно) Указывает как входные, так и выходные гистограммы. input (Необязательно) Указывает входные гистограммы. выходные (Необязательно) Указывает выходные гистограммы. Пример Следующее было настроено в gigabitethernet 0/1: history BPS input-drops output-drops unknown-protocol-drops multicast Router# show interface gigabitethernet 0/1 history 60min 5689688755455324777665666876546 10 9* 8** *** 7*# ### 6########## ### 5 ########## ############# * 4 ##########################** 3 ############## ###############* 2 ############################### 1 ############################### 0....5....1....1....2....2....3....3....4....4....5....5....6 0505050505 3333333333333333333333333333331 Mlcst 556555555565555555555565535555700000000000000000000000000000 22322111111121221211211 57149774766867 133175814422022 iDrop 425727636924219265454496840996600000000000000000000000000000 GigabitEthernet0/1 скорость ввода (Мбит/с) (последние 60 минут) * = максимальное значение = среднее значение 5677678656555434767665666866545 10 9 8* 7** # ** 6*#####* ##** ## 5 #################### * 4 #############* #############* 3 #############**###############* 2 ############################### 1 ############################### 0....5....1....1....2....2....3....3....4....4....5....5....6 0505050505 Неизвестно 000000000000000000000000000000000000000000000000000000000000 oDrop 000000000000000000000000000000000000000000000000000000000000 Скорость вывода GigabitEthernet0/1 (Мбит/с) (последние 60 минут) * = максимальное значение = среднее значение Пояснение к вышеуказанному: Гистограмма скорости ввода показывает, что скорость ввода достигла пика в 9 Мбит/с за 4 минуты до выполнения команды. В течение этого минутного интервала было 35 входных многоадресных пакетов и 247 входных отбросов. Значения счетчика в гистограмме следует читать по вертикали. Гистограмма скорости вывода показывает, что скорость вывода дважды достигала 8 Мбит/с: один раз за 7 минут до выполнения команды и второй раз за 26 минут до выполнения команды. За последние 60 минут не было отброшенных пакетов неизвестного протокола и отброшенных пакетов вывода. show interfaces history включено в show tech-support. Поэтому, если оно настроено, вы получите вывод в show tech.

![05_15_03.jpg] Добро пожаловать в очередное крупное обновление Cisco Catalyst Center! Независимо от того, являетесь ли вы сетевым инженером, специалистом по безопасности, инженером DevNet или руководителем ИТ-отдела, в этом выпуске вы найдете для себя что-то новое и интересное. Специалист по успешности клиентов NX Чиара Пьетра, архитектор решений NX Хулио Герро и специалист по успешности клиентов NX Куба Забиега подготовили следующую информацию, чтобы ознакомить вас с некоторыми ключевыми функциями, представленными в Cisco Catalyst Center версии 2.3.7.7. В таблице ниже представлен краткий обзор некоторых ключевых функций новой рекомендуемой версии. Если у вас есть вопросы по обновлению, не стесняйтесь задавать их, нажав синюю кнопку «Комментарий» внизу этой статьи. Описание функции Как она сравнивается с предыдущими версиями? Catalyst Center OVA для ESXi — мы постоянно расширяем возможности развертывания Cisco Catalyst Center. В этой версии появилась возможность развертывать Cisco Catalyst Center в среде VMware в формате OVA (без дополнительных затрат). Раньше вам приходилось приобретать физическое устройство Catalyst Center или размещать виртуальное устройство в облаке AWS. Теперь вы можете использовать существующую платформу виртуализации оборудования на месте для развертывания Catalyst Center на VMWare ESXi. Эта версия поддерживает ключевые функции и сценарии использования физического устройства, а также предлагает такие преимущества, как простая установка, более быстрая окупаемость и высокая доступность, присущая ESXi. Видимость и контроль конфигурации — недавно усовершенствованный процесс конфигурации позволяет лучше визуализировать и подтверждать изменения конфигурации, внесенные Catalyst Center. Он предоставляет подробный вид интерфейса командной строки (CLI), используемого для всех операций до и после предоставления ресурсов. Ранее у вас была возможность сгенерировать предварительный просмотр конфигурации, доступный для выбранных рабочих процессов, таких как предоставление устройств. Теперь эта функция может быть сделана обязательной для всех поддерживаемых рабочих процессов. Это усовершенствование позволяет сетевым администраторам точно видеть, какие изменения конфигурации будут применены к каждому устройству в процессе обновления. Кроме того, усовершенствованный контроль позволяет пересылать запланированные сетевые конфигурации в Service Now ITSM для утверждения перед развертыванием. Это гарантирует, что все изменения соответствуют стандартизированным методам, повышая согласованность и надежность работы вашей сети. Поддержка устройств сторонних производителей для MIB-II — теперь вы можете добавлять в свой инвентарь оборудование сторонних производителей, поддерживающее протокол SNMP MIB-II, что позволяет вам беспрепятственно инвентаризировать всю сеть с помощью Catalyst Center. Ранее Catalyst Center был в основном предназначен для управления устройствами Cisco с полной или ограниченной поддержкой. Теперь вы можете добавлять любые устройства, поддерживающие стандарт SNMP MIB-II. Это обновление обеспечивает централизованный просмотр инвентаря и топологии, а также дополнительную информацию (в зависимости от устройства), что приводит к более комплексному и оптимизированному управлению. Улучшения рабочего процесса обновления образов, включая гибкий порядок устройств — рабочий процесс обновления образов для сетевых устройств был улучшен и теперь состоит из 5-этапного детального рабочего процесса, что упрощает массовые обновления. Теперь вы также можете настроить порядок, в котором должны происходить эти обновления, в рамках одного и того же рабочего процесса. Ранее, когда запускалось обновление образа программного обеспечения с выбором нескольких устройств, Catalyst Center выполнял обновление для устройств параллельно. Теперь, в дополнение к предоставлению руководства по рабочему процессу, в котором вы можете выбрать устройства, подходящие для обновления, вы можете решить, какие устройства необходимо обновлять последовательно, какие устройства необходимо обновлять параллельно, а также порядок действий по обновлению. Это особенно полезно при обновлении нескольких устройств на уровне ядра, распределения и доступа. Сведения об устройстве: рабочий процесс конфигураций — вы можете просматривать, фильтровать и редактировать различные конфигурации уровня 2 для устройства, которое было добавлено в Catalyst Center с существующей конфигурацией (brownfield). Ранее в разделе «Сведения об устройстве » можно было просматривать некоторые конфигурации интерфейса и вносить минимальные изменения, такие как отключение/неотключение порта или редактирование его описания и назначенного ему VLAN. Теперь вы можете просматривать обширный список существующих конфигураций устройств, а также добавлять или изменять конфигурации, такие как конфигурации VLAN, STP, протоколы обнаружения, такие как CDP и LLDP, конфигурация портов и т. д. Это важное усовершенствование, упрощающее управление существующими устройствами, предоставляющее клиентам лучший обзор своих сетей и повышающее простоту эксплуатации. Аналитика событий — улучшите свое понимание производительности сети, получив доступ к соответствующим метрикам и аналитическим данным на основе искусственного интеллекта, которые удобно представлены в едином, удобном интерфейсе. Ранее события перечислялись и упорядочивались в хронологическом порядке на панели мониторинга «Проблемы и события ». Теперь новая панель мониторинга «Аналитика событий — предварительный просмотр » предлагает улучшенный вид этих событий. Она перечисляет события и представляет аналитику и информацию в виде тепловых карт. Тепловые карты могут классифицировать и отображать количество сообщений syslog в зависимости от серьезности и отслеживать переходы доступности как проводных, так и беспроводных сетевых событий. Улучшения автоматизации LAN — возможность одновременного выполнения 5 сеансов автоматизации LAN (по одному на каждый сайт) Ранее автоматизация LAN была ограничена одним процессом, запущенным в любой данный момент времени. С выпуском версии 2.3.7.7 теперь можно запускать до пяти одновременных рабочих процессов автоматизации LAN на разных сайтах. Центр уведомлений — простой и удобный центр для просмотра важных уведомлений, таких как состояние устройств, истекающие сертификаты, состояние интеграции с внешними системами и другие важные обновления В более старых версиях для получения информации о таких ошибках требовалось собирать журналы от определенных служб и вручную запускать инструмент проверки или системный анализатор. С новым центром уведомлений вы будете получать мгновенные оповещения о потенциальных проблемах стабильности в вашей среде. Настройки центра уведомлений можно настраивать для каждого пользователя, что позволяет включать или отключать уведомления в соответствии с вашими предпочтениями. Catalyst Center OVA для ESXi Возможность развертывания Cisco Catalyst Center в среде VMware в виде OVA для ESXi обеспечивает дополнительную гибкость развертывания для клиентов, управляющих сложными сетевыми инфраструктурами. На изображении 1 показан обзорный вид vSphere Client с OVA. Информацию о различных вариантах выполнения этой установки см. в руководстве по развертыванию . ![Image 1 – vSphere Client with Catalyst Center OVA] Изображение 1 — vSphere Client с Catalyst Center OVA Видимость и контроль конфигурации Catalyst Center 2.3.7.7 обеспечивает повышенную безопасность конфигурации благодаря функции «Видимость и контроль конфигураций ». Доступ к этой странице можно получить, перейдя в «Настройки» -> «Конфигурация системы» -> «Видимость и контроль конфигураций ». На этой странице вы можете включить «Предварительный просмотр конфигурации » и «Утверждение ITSM », как показано на изображении 2 . При предоставлении определенных устройств вы также увидите опцию «Создать предварительный просмотр конфигурации », как показано на изображении 3 . Кроме того, для WLC Cisco Catalyst серии 9800 с Cisco IOS XE версии 17.13.1 или более поздней версии вы можете сгенерировать IOS CLI из конфигурации YANG в предварительном просмотре конфигурации для большей наглядности. ![Image 2 – Visibility and Control of Configuration settings] Изображение 2 — Видимость и контроль настроек конфигурации ![Image 3 – Generating configuration preview option] Изображение 3 — Опция «Сгенерировать предварительный просмотр конфигурации» Поддержка устройств сторонних производителей для MIB-II Catalyst Center 2.3.7.7 позволяет добавлять любые устройства, поддерживающие стандарт SNMP MIB-II. На изображении 4 вы можете увидеть устройство Palo-Alto-PA-820, которое отображается и поддерживается, несмотря на то, что оно принадлежит стороннему поставщику Palo Alto Networks. Изображение 5 показывает вид портов этого стороннего устройства с точки зрения сетевого администратора, что обеспечивает более полный опыт управления сетью. ![Image 4 – SNMP MIB-II support] Изображение 4 — Поддержка SNMP MIB-II ![Image 5 – 3rd party device ports view] Изображение 5 — Вид портов устройства стороннего производителя Улучшения рабочего процесса обновления образов, включая гибкую сортировку устройств В рамках рабочего процесса обновления образа в разделе «Порядок активации устройств » вы сможете назначить устройства на вкладки «Параллельный » и «Последовательный ». Кроме того, вы можете выбрать, какая из этих операций обновления должна выполняться первой, нажав на опцию «Изменить порядок ». На вкладке «Последовательный » вы можете при необходимости изменить порядок устройств в списке, а также прервать выбранные операции в случае сбоя. ![Image 6 – Flexible upgrade order] Изображение 6 — Гибкий порядок обновления Сведения об устройстве: рабочий процесс «Конфигурации» В меню «Конфигурации уровня 2 » вы можете просматривать, фильтровать и редактировать различные конфигурации устройства, которое было добавлено в Catalyst Center с существующими конфигурациями (brownfield). Эта вкладка доступна только для коммутаторов Cisco Catalyst серии 9000 и коммутаторов Cisco IE под управлением Cisco IOS-XE 17.3 или более поздней версии. На изображениях 7, 8 и 9 показаны примеры этого для конфигураций VLAN, STP и портов. Примечание. Это бета-функция. ![Image 7 – Layer 2 Configuration – VLAN] Рисунок 7 — Конфигурация уровня 2 — VLAN ![Image 8 – Layer 2 Configuration - STP] Рисунок 8 — Конфигурация уровня 2 — STP ![Image 9 – Layer 2 Configuration - Port] Рисунок 9 — Конфигурация уровня 2 — порт Аналитика событий На странице «Аналитика событий — предварительный просмотр» отображаются расширенные аналитические данные и статистика. Тепловые карты показывают количество сообщений Syslog, классифицированных по степени серьезности за выбранный период времени. На изображении 10 показан пример тепловых карт, сгенерированных для событий проводной сети. Аналитика событий использует AI Analytics для выполнения анализа; эту функцию необходимо включить в разделе «Система» > «Настройки» > «Cisco AI Analytics ». ![Image 10 – Event Analytics - Preview] Изображение 10 — Аналитика событий — Предварительный просмотр Улучшения автоматизации LAN Автоматизация LAN представляет собой большой прорыв в упрощении, ускорении и предоставлении новых устройств в сетях. Если вы еще не использовали эту функцию, мы настоятельно рекомендуем вам попробовать ее, так как она может значительно сэкономить время и усилия. Для распределенных сетевых команд, выполняющих одновременные операции по предоставлению, теперь возможно запускать до пяти процессов автоматизации LAN одновременно с одной сессией на каждый сайт. Всеми рабочими процессами можно эффективно управлять с новой страницы автоматизации LAN , что улучшает координацию между вашими командами. ![Image 11 – LAN Automation Enhancements] Изображение 11 — Усовершенствования LAN Automation Центр уведомлений Новый центр уведомлений находится в правом верхнем углу панели навигации. Вы можете включить или отключить нужные уведомления, щелкнув свое имя профиля и выбрав «Мой профиль и настройки », а затем «Настройки уведомлений ». ![Image 12 – Notification Center] Изображение 12 — Центр уведомлений Заключение Объединяя простоту и расширенную функциональность, это обновление призвано помочь вам в эффективном управлении сетевой инфраструктурой. Для получения рекомендаций по планированию обновления посетите страницу обновления Catalyst Center . Мы настоятельно рекомендуем использовать «Инструмент проверки обновления» перед выполнением этого обновления, чтобы выявить потенциальные проблемы и снизить риски перед обновлением. Доступ к этому инструменту можно получить в разделе «Система» > «Состояние системы» > «Инструменты» > «Инструмент проверки » в версии 2.3.5. Примечание: в версии 2.3.7.7 этот инструмент находится в разделе «Система» > «Система 360» > «Состояние системы» > «Инструменты» > «Инструмент проверки ». Ознакомьтесь с изображением «Пути обновления», чтобы определить путь обновления до версии 2.3.7.7 в зависимости от вашей текущей версии: ![Image 13 – Catalyst Center Upgrade Path] Изображение 13 — Путь обновления Catalyst Center Еще раз напоминаем, что для любых вопросов об обновлении до Catalyst Center 2.3.7.7 вы можете воспользоваться кнопкой «Комментарий»! [image: e146eb2eddd0f0707301b10d29fe719a48d0561c.jpg] [image: 2a0956b00f1447c2a653ff888fe43dc1f8aee2be.png] [image: 49a84d6532cb90336749a800e0927398a5a654a7.png] [image: 53f945201ffd5f11dd61fc55d60aedd775d2c51f.png] [image: 386270495939060bc58044a96cb16e97f84b7a0e.png] [image: 75457dfeaa88fe245dc7c9f4698a14d06048f0bb.png] [image: 7d3cc6774672c3d29fa710d4284a4046227c934a.png] [image: 41747b2ac3fddc61d27d406c9dcf7db9de536183.png] [image: 5a7d20766a1a49b56648bf8b89ddb0b3ad57e8bc.png] [image: 61a2a04234a83eed67aedfe797d15d608d971ac8.png] [image: cfe5c0b77c4733f55af36b8f8d57de3be7a3d9a4.png] [image: c5d1b2ca2205cd93fa0115aea248cd064c3b2449.png] [image: ad712bed56641a18d8f23e02f16dfa73a195113d.png] [image: 72688dae97599ba55c9fe4ed2690c8ef845dfe4b.png]

Содержание [Содержание] [Резюме] [Поддержка] [Шаги по настройке] [Установка сертификата на коммутаторе Catalyst] [Установка сертификата на сервере SYSLOG] [Настройка Cat 9K для SYSLOG TLS] [Дополнительно Настройка определенных наборов шифров] [Проверка] [Сертификат Cat 9000] [Сертификат Windows Server] [Показать журнал] [Одно соединение] Резюме SYSLOG UDP является и остается проверенным и надежным методом сбора сообщений от IOS XE и других устройств на протяжении десятилетий. SYSLOG UDP использует udp/512 для транспортировки. Отправитель передает сообщения в открытом виде на сервер. Поскольку в отрасли все чаще применяется принцип «шифрование везде», мы должны следовать этому примеру. SYSLOG TLS — это более современный метод передачи этих сообщений от отправителя к серверу. SYSLOG TLS использует Transport Layer Security для обеспечения безопасной передачи сообщений SYSLOG по протоколу TCP. TLS обеспечивает конфиденциальность и целостность сообщений, а также взаимную аутентификацию отправителя и получателя. В наших примерах коммутатор Catalyst 9000 всегда будет «отправителем транспорта» или «клиентом TLS». Сервер SYSLOG будет «получателем транспорта» или «сервером TLS». Поддержка SYSLOG TLS определен в RFC 5425 Я полагаю, что поддержка SYSLOG TLS была введена в Catalyst 9000 в версии 17.2. Большинство современных серверов SYSLOG поддерживают SYSLOG TLS. Порт SYSLOG TLS по умолчанию — tcp/6415 Для аутентификации поддерживаются сертификаты от корпоративного центра сертификации, а также самоподписанные сертификаты. В этом документе объясняется, как использовать сертификаты от корпоративного центра сертификации. Шаги по настройке Установка сертификата на коммутаторе Catalyst SYSLOG TLS требует наличия сертификатов как на стороне отправителя (Cat9k), так и на стороне получателя (сервер SYSLOG). Вы можете воспользоваться [этим руководством] для ручной регистрации сертификата. Сертификат на Cat 9000 должен иметь EKU Client Auth. Подробности см. ниже в разделе «Проверка». Установка сертификата на сервере SYSLOG Сертификат на Cat 9000 должен иметь EKU Server Auth. Метод выполнения этой операции будет зависеть от вашего сервера SYSLOG. Настройка Cat 9K для SYSLOG TLS Создайте профиль ведения журнала Обязательно укажите в качестве доверенного объекта сертификат, созданный в шаге 1. Я принудительно использую TLS1.2 в первую очередь потому, что TLSv1.1 по возможности никогда не следует использовать. ! configure terminal logging tls-profile SYSLOG-TLS tls-version TLSv1.2 client-id-trustpoint TRUSTPOINT ! end ! Дополнительно Настройте определенные наборы шифров Перед включением этой функции в TLS-PROFILE проверьте, какие наборы шифров поддерживает ваш сервер SYSLOG TLS. Наборы шифров перечислены в следующем порядке: обмен ключами, аутентификация, массовое шифрование, аутентификация сообщений . Наборы шифров перечислены здесь в порядке убывания прочности, на мой взгляд. TLSv1.2 ecdhe-ecdsa-aes-gcm-sha2 ecdhe-rsa-aes-gcm-sha2 ecdhe-rsa-aes-cbc-sha2 rsa-aes-gcm-sha2 dhe-aes-gcm-sha2 rsa-aes-cbc-sha2 dhe-aes-cbc-sha2 ! configure terminal logging tls-profile ciphersuite ecdhe-ecdsa-aes-gcm-sha2 ecdhe-rsa-aes-cbc-sha2 <other ciphers=""> ! end ! Настройка ведения журнала на сервере SYSLOG TLS ! configure terminal logging host SYSLOG-TLS-IP-ADDR transport tls profile SYSLOG-TLS ! end ! Готово! Теперь у вас есть Cat 9K, который безопасно отправляет сообщения SYSLOG на сервер с поддержкой SYSLOG TLS! Продолжайте читать, чтобы узнать о некоторых шагах по проверке. Проверка Сертификат Cat 9000 Используйте команду show crypto pki certificates verbose TRUSTPOINT для проверки сертификата ![show crypto pki cert verb 1 (WEB1).png] Сертификат CA в Trustpoint, Запишите серийный номер! Именно его мы будем искать на сервере SYSLOG ![show crypto pki cert verb 2 (WEB).png] Сертификат Windows Server Давайте рассмотрим сертификат идентификации на сервере SYSLOG. ![files.theglens.net (WEB).png] В сертификате выше мы видим следующее. TheGlens-Root-CA выдал сертификат TheGlens-Issuing-CA. TheGlens-Issuing-CA выдал сертификат files.thetheglens.net Но помните, Cat9K не доверяет files.theglens.net, Cat9K доверяет TheGlens-Issuing-CA, промежуточному сертификату. Давайте продолжим изучение, дважды щелкните по промежуточному CA. Это сертификат промежуточного центра. Мы можем увидеть это в поле «Выдан». ![theglens-issuing-ca (WEB).png] Теперь щелкните «Сведения», а затем «Серийный номер». Теперь мы видим, что серийный номер CA, выдавшего сертификат серверу SYSLOG, совпадает с серийным номером CA, выдавшего сертификат Cat9k. Мы установили доверие. ![theglens-issuing-ca SN (WEB).png] Показать ведение журнала Команда show logging на коммутаторе показывает нам соответствующую конфигурацию для SYSLOG TLS. ![show logging (WEB).png] Одно соединение SYSLOG TLS открывает TCP-соединение и поддерживает его открытым. Все сообщения SYSLOG проходят через эту TCP-сессию. Ниже приведен вывод команды show tcp brief, который показывает открытые TCP-соединения с коммутатора. Обратите внимание, что на первом снимке экрана время 13:36. Исходный порт TCP — 48994. ![1-show tcp brief(WEB).png] Обратите внимание, что на втором снимке экрана время 13:59. Исходный порт TCP — 48994. Это то же самое TCP-соединение. ![2-show tcp brief (WEB).png]</other> [image: 8c545da4e663ebee4468d9f1405a4f7b44f90535.png] [image: 0367b646d9cf713032a7601358eb6b68bf639629.png] [image: 5d6d31dfd5c1c5f807d0fad4b0d820545ec82c65.png] [image: 404e7e31837cfd26e5a47dcae0d527a53469bc0e.png] [image: 50b18d9cb5edcfbcef9f381ac41138239fb0336c.png] [image: d861b6f41e3704837866d1efc66d8d715686d664.png] [image: f79c6565e115457d995d3269d316d3a4c06121ee.png] [image: 65445e92ae13266ce45bdeb7b395c611b21bf2de.png]

Это действительно очень полезная функция, о существовании которой я даже не знал, пока не искал решение для рекламирования подсети (префикса в терминологии BGP) только при наличии определенного условия. Именно это и делает условная реклама «Функция условного объявления протокола BGP (Border Gateway Protocol) обеспечивает дополнительный контроль над объявлением маршрутов в зависимости от наличия других префиксов в таблице BGP». Я предполагаю, что те, кто хочет прочитать этот пост, имеют некоторое представление о BGP и его использовании списков префиксов и карт маршрутов, иначе этот пост может быть трудно понять. Имейте в виду, что условное объявление является частью экзамена CCIE R&S. Поэтому перейду сразу к сценарию: [image: 90b5cd7379a9363a00fe3dab5a3ef0b3a7745cc1.jpg] Маршрутизаторы в моем административном домене — BEN и IBM. Мой основной маршрутизатор — BEN, а диапазон публичных IP-адресов, который я объявляю, — 203.11.11.0/24. Моими двумя интернет-провайдерами являются Telstra и Next. BEN имеет соседа eBGP с Telstra, IBM имеет eBGP-партнера с Next. Затем BEN и IBM из соседства iBGP. Пока ничего нового. Теперь я обнаружил, что при рекламировании одного и того же публичного IP-адреса (префикса) двум разным провайдерам, даже с добавлением AS-пути, попытка сделать одного интернет-провайдера более предпочтительным по сравнению с другим, является весьма непредсказуемой. Это связано с тем, что некоторые провайдеры предпочитают других провайдеров, независимо от того, как часто вы добавляете AS-путь к вашему публичному префиксу. Это может привести к асинхронной маршрутизации, когда ваш выходной путь является основным ISP, а входным — вторичным маршрутизатором. Поэтому я искал другое решение: маршрутизировать мои публичные IP-адреса только к резервному провайдеру (в моем случае Next) в случае сбоя основного. Или даже лучше: переключаться на резервный, когда основной ISP перестает рекламировать маршрут по умолчанию в мою организацию через основной маршрутизатор. Чтобы все это реализовать, большая часть, если не вся, настройка выполняется на вторичном маршрутизаторе IBM, так что давайте приступим. Как вы можете видеть ниже, вторичный интернет-маршрутизатор (IBM) имеет 2 шлюза по умолчанию IBM#sh ip bgp topology * Для семейства адресов: IPv4 Unicast Версия таблицы BGP — 26, локальный ID маршрутизатора — 160.100.100.231 Коды состояния: s подавлен, d затухающий, h история, * действительный, > лучший, i - внутренний, r RIB-failure, S Stale, m multipath, b backup-path, f RT-Filter, x лучший внешний, a дополнительный путь, c RIB-сжатый, Коды происхождения: i — IGP, e — EGP, ? — неполный Коды проверки RPKI: V действительный, I недействительный, N не найден Сеть Следующий прыжок Метрика LocPrf Вес Путь *>i 0.0.0.0 203.11.11.5 0 200 0 3000 i 160.100.100.230 100 0 4000 i Наиболее предпочтительный исходит от маршрутизатора BEN, который, в свою очередь, рекламируется маршрутизатором Telstra (23.23.23.113). Изначально я собирался использовать отслеживание ip sla на маршрутизаторе IBM для рекламы 203.11.11.0/24, если BEN потеряет соединение с Telstra, но это не так надежно, как проверка, рекламирует ли BEN по-прежнему шлюз по умолчанию, потому что, если мой основной интернет-маршрутизатор больше не отправляет маршрут по умолчанию 0.0.0.0 на мой вторичный интернет-маршрутизатор, то либо мой основной маршрутизатор не работает, либо соединение с Telstra не работает, либо Telstra по какой-то другой причине больше не рекламирует маршрут по умолчанию. Итак, на моем IBM я настроил условное объявление для моего следующего BGP-пира: router bgp 5000 address-family ipv4 neighbor 160.100.100.230 advertise-map ADVERTISE non-exist-map NON-EXIST Это означает, что маршрутная карта ADVERTISE вызывается, когда условие в маршрутной карте NON-EXIST больше не существует. route-map ADVERTISE permit 10 match ip address 60 route-map NON-EXIST permit 10 match ip address prefix-list TEST match community 1 Таким образом, карта маршрутов ADVERTISE является проще, она представляет собой наш публичный IP-префикс 203.11.11.0/24 access-list 60 permit 203.11.11.0 0.0.0.255 Карта маршрутов NON-EXIST — это условие, которое необходимо проверить, и на самом деле оно состоит из двух условий: оно проверяет префикс для определенного сообщества и проверяет, доступен ли фактический префикс в таблице BGP: ip prefix-list TEST seq 5 permit 0.0.0.0/0 Причина наличия двух условий заключается в том, что (см. вывод sh ip bgp topology * выше) в таблице есть два префикса 0.0.0.0: по одному от каждого провайдера. Сейчас меня интересует проверка только одного из них, а именно того, который поступает от BEN 203.11.11.5. Я подумал, что проще всего будет добавить проверку определенного сообщества (хотя AS path тоже подошел бы). ip community-list 1 permit 362000 По сути, это второе условие проверяет, имеет ли маршрут 362000 в качестве сообщества. Вы можете проверить маршрут, чтобы увидеть, установлен ли атрибут сообщества и имеет ли он правильное значение. См. ниже IBM#sh ip bgp 0.0.0.0 Запись таблицы маршрутизации BGP для 0.0.0.0/0, версия 25 Пути: (3 доступных, лучший #1, таблица по умолчанию) Не объявлено ни одному пиру Период обновления 1 3000, (получено и использовано) 203.11.11.5 от 203.11.11.5 (203.11.11.5) Происхождение IGP, метрика 0, localpref 200, действительный, внутренний, лучший Сообщество: 36200 rx pathid: 0, tx pathid: 0x0 Период обновления 1 4000 Таким образом, на данном этапе должны быть выполнены оба условия: а) маршрут по умолчанию в таблице BGP и б) маршрут с атрибутом сообщества 36200. Таким образом, наш общедоступный префикс 23.11.11.0/24 НЕ должен рекламироваться из IBM в Next. Для проверки: IBM#sh ip bgp nei 160.100.100.230 Сосед BGP — 160.100.100.230 , удаленный AS 4000, внешняя ссылка ---<вывод опущен> Карта условий NON-EXIST, карта объявлений ADVERTISE, статус: Withdraw ---<вывод опущен> Как видите, условное объявление имеет статус «withdraw», что означает, что условие для начала объявления не выполнено, т. е. у нас есть действительный маршрут по умолчанию, поступающий от BEN. Поэтому давайте я сделаю что-нибудь, чтобы вызвать изменение условия. Для этого я отключу соединение между Telstra и BEN. (Помните, что BEN не генерирует 0.0.0.0, он получает его от Telstra, и как только это соединение прерывается, он больше не должен получать маршрут по умолчанию). При отладке маршрутизации на IBM: I BM# *7 марта 04:45:48.908: RT: обновление bgp 0.0.0.0/0 (0x0) : через 160.100.100.230 0 1048577 *7 марта 04:45:48.915: RT: более близкое административное расстояние для 0.0.0.0, очистка 1 маршрута *7 марта 04:45:48.919: RT: добавление 0.0.0.0/0 через 160.100.100.230, метрика bgp [20/0] Как видите, 0.0.0.0 от BEN удаляется из таблицы bgp. В результате срабатывает условное объявление: I BM#sh ip bgp nei 160.100.100.230 <опущено> Карта условий NON-EXIST, карта объявлений ADVERTISE, статус: Advertise Чтобы еще раз проверить это, мы проверяем, какие маршруты маршрутизатор IBM отправляет в Next: IBM#sh ip bgp nei 160.100.100.230 advertised-routes Версия таблицы BGP — 13, локальный ID маршрутизатора — 160.100.100.231 Коды состояния: s подавлен, d затухающий, h история, * действительный, > лучший, i - внутренний, r RIB-failure, S Stale, m multipath, b backup-path, f RT-Filter, x лучший внешний, a дополнительный путь, c сжатый RIB, Коды происхождения: i - IGP, e - EGP, ? - incomplete Коды проверки RPKI: V действительный, I недействительный, N не найден Сеть Следующий прыжок Метрика LocPrf Вес Путь *> 203.11.11.0/24 203.11.11.1 0 32768 i Если у вас есть вопросы, напишите мне. Намасте https://www.cisco.com/c/en/us/support/docs/ip/border-gateway-protocol-bgp/16137-cond-adv.html [image: 90b5cd7379a9363a00fe3dab5a3ef0b3a7745cc1.jpg]

[Шаг 1. Настройка политики IKE и предварительно совместно используемого ключа:] [Шаг 2. Настройка набора преобразований IPsec и профиля IPsec:] [Шаг 3: Настройка профиля ISAKMP в IPv6:] Введение: В этом документе рассматривается VPN IPv6 IPsec «сайт-сайт» с использованием интерфейса виртуального туннеля с примером настройки. Функциональность Cisco IOS IPsec обеспечивает шифрование сетевых данных на уровне IP-пакетов, предлагая надежное, основанное на стандартах решение для обеспечения безопасности. IPsec предоставляет услуги аутентификации данных и защиты от повторного воспроизведения в дополнение к услугам конфиденциальности данных. С помощью IPsec данные могут передаваться по публичной сети без наблюдения, изменения или подделки. Общие сценарии использования IPv6 IPSec: VPN «сайт-сайт» — защита всего трафика IPv6 между двумя доверенными сетями . 2) Настроенный безопасный туннель — защита трафика IPv6, туннелируемого через недоверенную сеть IPv4. IPSec также можно использовать для защиты функций плоскости управления, например IPSec для защиты OSPFv3. Справочная информация: В следующем примере между CE1 и CE2 настроен защищенный IPSec туннель для связи через публичную сеть. Маршрутизаторы ISP_IR1 и ISP_IR2 имеют глобальный IPv6-адрес и не имеют информации о частных подсетях, присутствующих на CE1 и CE2. Схема топологии: ![Ipv6Ipvsec.jpg] Обзор конфигурации: VPN «сайт-сайт» настраивается на маршрутизаторе следующим образом: Шаг 1: Настройка политики IKE и предварительно совместно используемого ключа: Настройте одинаковую политику ISAKMP на маршрутизаторах CE1 и CE2 CE1#conf t Введите команды конфигурации, по одной в каждой строке. Завершите ввод нажатием CNTL/Z. CE1(config)#crypto isakmp policy 10 CE1(config-isakmp)#encryption 3des CE1(config-isakmp)#group 2 CE1(config-isakmp)#authentication pre-share CE1(config-isakmp)#exit Каждый маршрутизатор должен быть настроен с использованием одного и того же ключа, но в команде конфигурации должен быть указан адрес соответствующего интерфейса на маршрутизаторе-аналоге. CE1: CE1(config)#crypto isakmp key 0 ipsecvpn address ipv6 2002::1/128 CE2: CE2(config)#crypto isakmp key 0 ipsecvpn address ipv6 2001::1/128 Эти ключи являются ключами ISAKMP по умолчанию. Мы можем использовать несколько именованных ключей, которые используются, когда маршрутизатор является хостом удаленных клиентских VPN для нескольких разных групп клиентов. crypto keyring keyring-name ……………(для указания кольца ключей) Шаг 2: Настройка набора преобразований IPsec и профиля IPsec: Настройте одинаковый набор преобразований IPsec и профиль IPsec на маршрутизаторах CE1 и CE2: CE1(config)#crypto ipsec transform-set ipv6_tran esp-3des esp-sha-hmac CE1(cfg-crypto-trans)#mode tunnel CE1(cfg-crypto-trans)#exit CE1(config)#crypto ipsec profile ipv6_ipsec_pro ……(Этот набор преобразований необходимо привязать в VTI шаг 4) CE1(ipsec-profile)#set transform-set ipv6_tran CE1(ipsec-profile)#exit CE1(config)# Шаг 3: Настройте профиль ISAKMP в IPv6: Профиль ISAKMP настраивается в маршрутизаторах CE1 и CE2. Убедитесь, что конфигурационное утверждение должно указывать идентификационный адрес соответствующего интерфейса на маршрутизаторе-аналоге. CE1(config)#crypto isakmp profile 3des% Профиль считается неполным, пока он не имеет соответствующих операторов идентификации CE1(conf-isa-prof)#self-identity address ipv6 CE1(conf-isa-prof)#match identity address ipv6 2002::1/128 CE1(conf-isa-prof)#keyring default CE1(conf-isa-prof)# exit CE1(config)# Шаг 4: Настройка ipsec IPv6 VTI : Настройка IPv6 IPsec VTI на маршрутизаторе довольно проста CE1(config)#int tunnel 1 CE1(config-if)#ipv6 enable CE1(config-if)#ipv6 address 2012::1/64 CE1(config-if)#tunnel source 2001::1 CE1(config-if)#tunnel destination 2002::1 CE1(config-if)#tunnel mode ipsec ipv6 CE1(config-if)#tunnel protection ipsec profile ipv6_ipsec_proMar 1 01:32:30.907: %CRYPTO-6-ISAKMP_ON_OFF: ISAKMP is ON CE1(config-if)#exit CE2(config)#int tunnel 1 CE2(config-if)#ipv6 enable CE2(config-if)#ipv6 address 2012::2/64 CE2(config-if)#tunnel source 2002::1 CE2(config-if)#tunnel destination 2001::1 CE2(config-if)#tunnel mode ipsec ipv6 CE2(config-if)#tunnel protection ipsec profile ipv6_ipsec_proMar 1 01:32:30.907: %CRYPTO-6-ISAKMP_ON_OFF: ISAKMP включен CE2(config-if)#exit Чтобы сделать туннель оптимальным путем для сети удаленного сайта, необходимо настроить статические маршруты в маршрутизаторах CE1 и CE2. CE1: CE1(config)#ipv6 route FC01::/64 2012::2 CE2: CE2(config)#ipv6 route FC00::/64 2012::1 Команды проверки: 1) Эта команда отображает активные сеансы ISAKMP на маршрутизаторе CE1#show crypto isakmp sa IPv4 Crypto ISAKMP SA dst src state conn-id slot status IPv6 Crypto ISAKMP SA dst: 2002::1 src: 2001::1 state: QM_IDLE conn-id: 1007 slot: 0 status: ACTIVE Для отображения сводной информации о конфигурации криптографических модулей. CE1#show crypto engine connection active Соединения криптографических движков ID Интерфейс Тип Алгоритм Шифрование Дешифрование IP-адрес 1 Tu1 IPsec 3DES+SHA 0 95 2001::1 2 Tu1 IPsec 3DES+SHA 128 0 2001::1 1007 Tu1 IKE SHA+3DES 0 0 2001::1 CE1#ping fc01::1 source fc00::1 Введите последовательность символов для прерывания. Отправка 5 ICMP-эхо-сообщений по 100 байт на FC01::1, время ожидания 2 секунды: пакет отправлен с исходным адресом FC00::1 !!!!! Успешность 100 процентов (5/5), минимальное/среднее/максимальное время прохождения = 36/187/388 мс CE1#traceroute Протокол [ip]: ipv6 Целевой адрес IPv6: fc01::1 Адрес источника: fc00::1 Вставить заголовок маршрутизации источника? [нет]: Числовое отображение? [нет]: Таймаут в секундах [3]: Количество проб [3]: Минимальное время жизни [1]: Максимальное время жизни [30]: Приоритет [0]: Номер порта [33434]: Введите последовательность символов для прерывания. Отслеживание маршрута до FC01::1 1 FC01::1 304 мс 184 мс 160 мс Связанная информация: http://www.cisco.com/en/US/docs/ios-xml/ios/ipv6/configuration/15-2mt/ip6-ipsec.html http://tools.ietf.org/html/rfc4294#page-10 Базовая начальная конфигурация: [image: f99b55a918948b7827da172847aa764239c41a3f.jpg] 135431-CE2.txt.zip 135429-ISR_IR2.txt.zip 135432-CE1.txt.zip 135430-ISR_IR1.txt.zip