Будни сетевого инженера: июня 2017

четверг, 8 июня 2017 г.

Как посмотреть из CLI все используемые Virtual MAC (VMAC) и Virtual IP (VIP) для Redundancy Group из сценария NAT B2B HA

Ответ:

cisco4331-01#sh redundancy application if-mgr group 1

RG ID: 1
==========

interface Vlan192
---------------------------------------
VMAC 0007.b421.012c
VIP 192.168.0.254
Shut no shut
Decrement 100

interface Vlan120
---------------------------------------
VMAC 0007.b421.00c9
VIP 172.30.120.1
Shut no shut
Decrement 100

interface Vlan100
---------------------------------------
VMAC 0007.b421.00c8
VIP 172.30.100.1
Shut no shut
Decrement 100

interface GigabitEthernet0/0/1
---------------------------------------
VMAC 0007.b421.0065
VIP 2.2.2.3
Shut no shut
Decrement 100

interface GigabitEthernet0/0/0
---------------------------------------
VMAC 0007.b421.0064
VIP 1.1.1.3
Shut no shut
Decrement 100

cisco4331-02#sh redundancy application if-mgr group 1

RG ID: 1

==========

interface Vlan192

---------------------------------------

VMAC 0007.b421.012c

VIP 192.168.0.254

Shut shut

Decrement 100

interface Vlan120

---------------------------------------

VMAC 0007.b421.00c9

VIP 172.30.120.1

Shut shut

Decrement 100

interface Vlan100

---------------------------------------

VMAC 0007.b421.00c8

VIP 172.30.100.1

Shut shut

Decrement 100

interface GigabitEthernet0/0/1

---------------------------------------

VMAC 0007.b421.0065

VIP 2.2.2.3

Shut shut

Decrement 100

interface GigabitEthernet0/0/0

---------------------------------------

VMAC 0007.b421.0064

VIP 1.1.1.3

Shut shut

Decrement 100

Что ожидаемо, VMAC и VIP интерфейсов с одинаковым RII совпадают на обоих маршрутизаторах.

вторник, 6 июня 2017 г.

Настройка Cisco 4331 для сценария NAT Box to Box HA

Задача:

Получить отказоустойчивую систему (на уровне самих маршрутизаторов с резервированием состояний NAT-cессий) на основе маршрутизаторов Cisco 4331, поскольку в данных маршрутизаторах сейчас установлена IOS XE 15.5, то старый механизм

отказоустойчивости на основе Stateful NAT + VRRP/HSRP не поддерживается,

поскольку с IOS 15.0M не поддерживается Stateful NAT (End of Support c 31/01/2014).

Сisco заменила данный механизм другим, который называется на текущий момент NAT Box-to-Box High-Availability который появился с IOS 15.3(2)T or later.

Необходимо обеспечить сценарий, в котором Router1 (Маршрутизатор 1) был бы активным маршрутизатором в Redundancy Group (в которую входят как все NAT Outside, так и все NAT Inside интерфейсы), а Router 2 (Маршрутизатор 2) был бы резервным маршрутизатором в той же RG (относительно NAT Inside/Outside - все аналогично маршрутизатору 1)

Примерная схема включения выглядит следующим образом:

В схеме видно, что маршрутизаторы для синхронизации состояния отказоустойчивой группы (Redundancy Group = RG) используют интерфейсы Control/ Data/AR.

Вообще строго говоря, Cisco рекомендует использовать физические интерфейсы для этой цели, но у меня заработали все и на виртуальных VLAN SVI (рекомендую все таки воспользоваться рекомандациями Cisco и использовать физические интерфейсы для этой цели, более того имеет смысл для резервирования вообще использовать EtherChannel между маршрутизаторами для этих целей).

Реализация решения задачи:

Настройка основного механизма Redundancy:

Маршрутизатор 1:

redundancy

mode none
application redundancy
group 1
name RG1
preempt
priority 105
control Vlan999 protocol 1
data Vlan999

Маршрутизатор 2:

redundancy

mode none

application redundancy

group 1

name RG1

preempt

control Vlan999 protocol 1

data Vlan999

Настройки маршрутизаторов в части настройки Redundancy в принципе аналогичны, оба маршрутизатора входят в одну Application Group (RG1), однако для маршрутизатора 1 установлен приоритет в RG1 (105), в отличии от приоритета по умолчанию (100) для маршрутизатора 2, для синхронизации состояния RG между маршрутизаторами необходимо выбрать рабочие интерфейсы, в данном случае для Control/Data использован VLAN ID 999 (должен существовать на маршрутизаторах, должен иметь IP-адрес на SVI этого VLAN, должен быть в up, маршрутизаторы должны иметь IP-связность внутри сети данного VLAN)

Настройка интерфейсов:

Маршрутизатор 1:

interface GigabitEthernet0/0/0
description ** Link to ISP A **
vrf forwarding ISP1
ip address 1.1.1.1 255.255.255.0
ip nat outside
negotiation auto
redundancy rii 100
redundancy group 1 ip 1.1.1.3 exclusive decrement 100
ip virtual-reassembly
!
interface GigabitEthernet0/0/1
description ** Link to ISP B **
vrf forwarding ISP2
ip address 2.2.2.1 255.255.255.0
ip nat outside
negotiation auto
redundancy rii 101
redundancy group 1 ip 2.2.2.3 exclusive decrement 100
ip virtual-reassembly

!

interface Vlan100
description DMZ VLAN #1
ip address 172.30.100.2 255.255.255.0
ip nat inside
redundancy rii 200
redundancy group 1 ip 172.30.100.1 exclusive decrement 100
ip virtual-reassembly
!
interface Vlan120
description DMZ VLAN #2
ip address 172.30.120.2 255.255.255.0
ip nat inside
redundancy rii 201
redundancy group 1 ip 172.30.120.1 exclusive decrement 100
ip virtual-reassembly
!
interface Vlan192
description Internal LAN
ip address 192.168.0.252 255.255.255.0
ip nat inside
redundancy rii 300
redundancy group 1 ip 192.168.0.254 exclusive decrement 100
ip virtual-reassembly
!
interface Vlan999
description InterChassis HA Control/Data VLAN
ip address 172.31.254.1 255.255.255.252
!

Маршрутизатор 2:

interface GigabitEthernet0/0/0
description ** Link to ISP A **
vrf forwarding ISP1
ip address 1.1.1.2 255.255.255.0
ip nat outside
negotiation auto
redundancy rii 100
redundancy group 1 ip 1.1.1.3 exclusive decrement 100
ip virtual-reassembly
!
interface GigabitEthernet0/0/1
description ** Link to ISP B **
vrf forwarding ISP2
ip address 2.2.2.2 255.255.255.0
ip nat outside
negotiation auto
redundancy rii 101
redundancy group 1 ip 2.2.2.3 exclusive decrement 100
ip virtual-reassembly

!

interface Vlan100
description DMZ VLAN #1
ip address 172.30.100.3 255.255.255.0
ip nat inside
redundancy rii 200
redundancy group 1 ip 172.30.100.1 exclusive decrement 100
ip virtual-reassembly
!
interface Vlan120
description DMZ VLAN #2
ip address 172.30.120.3 255.255.255.0
ip nat inside
redundancy rii 201
redundancy group 1 ip 172.30.120.1 exclusive decrement 100
ip virtual-reassembly
!
interface Vlan192
description Internal LAN
ip address 192.168.0.253 255.255.255.0
ip nat inside
redundancy rii 300
redundancy group 1 ip 192.168.0.254 exclusive decrement 100
ip virtual-reassembly
!
interface Vlan999
description InterChassis HA Control/Data VLAN
ip address 172.31.254.2 255.255.255.252
!

Данные настройки назначаются уникальный идентификатор интерфейса в RG, подвязывают интерфейс к RG, назначают виртуальный IP (VIP) на RG, устанавливают декремент для решения надо ли делать Failover или нет при голосовании. Также показаны настройки для VLAN ID 999 который используется для сихронизации состоянии отказоустойчивой группы (RG).

Контроль за состоянием RG для целей отладки и проверки работоспособности:

Маршрутизатор 1:

cisco4331-01#sh redundancy application group 1
Group ID:1
Group Name:RG1

Administrative State: No Shutdown
Aggregate operational state : Up
My Role: ACTIVE
Peer Role: STANDBY
Peer Presence: Yes
Peer Comm: Yes
Peer Progression Started: Yes

RF Domain: btob-one
RF state: ACTIVE

Peer RF state: STANDBY HOT

cisco4331-01#sh redundancy application control-interface group 1

The control interface for rg[1] is Vlan999

Interface is Control interface associated with the following protocols: 1

BFD Enabled

Interface Neighbors:

Peer: 172.31.254.2 Standby RGs: 1 BFD handle: 0

cisco4331-01#sh redundancy application data-interface group 1

The data interface for rg[1] is Vlan999

cisco4331-01#sh redundancy application protocol group 1

RG Protocol RG 1

------------------

Role: Active

Negotiation: Enabled

Priority: 105

Protocol state: Active

Ctrl Intf(s) state: Up

Active Peer: Local

Standby Peer: address 172.31.254.2, priority 100, intf Vl999

Log counters:

role change to active: 1

role change to standby: 1

disable events: rg down state 0, rg shut 0

ctrl intf events: up 1, down 1, admin_down 0

reload events: local request 0, peer request 0

RG Media Context for RG 1

--------------------------

Ctx State: Active

Protocol ID: 1

Media type: Default

Control Interface: Vlan999

Current Hello timer: 3000

Configured Hello timer: 3000, Hold timer: 10000

Peer Hello timer: 3000, Peer Hold timer: 10000

Stats:

Pkts 927, Bytes 57474, HA Seq 0, Seq Number 927, Pkt Loss 0

Authentication not configured

Authentication Failure: 0

Reload Peer: TX 0, RX 0

Resign: TX 0, RX 1

Standby Peer: Present. Hold Timer: 10000

Pkts 913, Bytes 31042, HA Seq 0, Seq Number 3046, Pkt Loss 0

Маршрутизатор 2:

cisco4331-02#sh redundancy application group 1
Group ID:1
Group Name:RG1

Administrative State: No Shutdown
Aggregate operational state : Up
My Role: STANDBY
Peer Role: ACTIVE
Peer Presence: Yes
Peer Comm: Yes
Peer Progression Started: Yes

RF Domain: btob-one
RF state: STANDBY HOT
Peer RF state: ACTIVE

cisco4331-02#sh redundancy application control-interface group 1
The control interface for rg[1] is Vlan999
Interface is Control interface associated with the following protocols: 1
BFD Enabled
Interface Neighbors:
Peer: 172.31.254.1 Active RGs: 1 BFD handle: 0

cisco4331-02#sh redundancy application data-interface group 1
The data interface for rg[1] is Vlan999

cisco4331-02#sh redundancy application protocol group 1

RG Protocol RG 1
------------------
Role: Standby
Negotiation: Enabled
Priority: 100
Protocol state: Standby-hot
Ctrl Intf(s) state: Up
Active Peer: address 172.31.254.1, priority 105, intf Vl999
Standby Peer: Local
Log counters:
role change to active: 3
role change to standby: 3
disable events: rg down state 1, rg shut 0
ctrl intf events: up 2, down 1, admin_down 0
reload events: local request 0, peer request 0

RG Media Context for RG 1
--------------------------
Ctx State: Standby
Protocol ID: 1
Media type: Default
Control Interface: Vlan999
Current Hello timer: 3000
Configured Hello timer: 3000, Hold timer: 10000
Peer Hello timer: 3000, Peer Hold timer: 10000
Stats:
Pkts 3138, Bytes 194556, HA Seq 0, Seq Number 3138, Pkt Loss 0
Authentication not configured
Authentication Failure: 0
Reload Peer: TX 0, RX 0
Resign: TX 2, RX 0
Active Peer: Present. Hold Timer: 10000
Pkts 1004, Bytes 34136, HA Seq 0, Seq Number 1019, Pkt Loss 0

Попробуем протестировать Failover Virtual IP для RG1 (для примера будет использоваться Virtual IP 1.1.1.3 - общий внешний адрес на одном из NAT Outside интерфейсах):

до перезагрузки маршрутизатора 1:

cisco4331-01#sh redundancy application group 1
Group ID:1
Group Name:RG1

Administrative State: No Shutdown
Aggregate operational state : Up
My Role: ACTIVE
Peer Role: STANDBY
Peer Presence: Yes
Peer Comm: Yes
Peer Progression Started: Yes

RF Domain: btob-one
RF state: ACTIVE
Peer RF state: STANDBY HOT

cisco4331-02#sh redundancy application group 1
Group ID:1
Group Name:RG1

Administrative State: No Shutdown
Aggregate operational state : Up
My Role: STANDBY
Peer Role: ACTIVE
Peer Presence: Yes
Peer Comm: Yes
Peer Progression Started: Yes

RF Domain: btob-one
RF state: STANDBY HOT
Peer RF state: ACTIVE

перезагружаем Маршрутизатор 1:

cisco4331-01#reload
Proceed with reload? [confirm]y

cisco4331-02#sh redundancy application group 1

Group ID:1

Group Name:RG1

Administrative State: No Shutdown

Aggregate operational state : Up

My Role: ACTIVE

Peer Role: UNKNOWN

Peer Presence: No

Peer Comm: No

Peer Progression Started: No

RF Domain: btob-one

RF state: ACTIVE

Peer RF state: DISABLED

на маршрутизаторе 2 в это время фиксируются следующие события в логе

*Jun 6 15:54:13.919: %RG_MEDIA-3-TIMEREXPIRED: RG id 1 Hello Timer Expired.
*Jun 6 15:54:13.919: %RG_PROTOCOL-5-ROLECHANGE: RG id 1 role change from Standby to Active

и соответственно Маршрутизатор 2 перехватывает Virtual IP 1.1.1.3

При перехвате будет потеряно небольшое количество пакетов (у меня вышло примерно 4-5 ICMP-пакетов при непрерывном тестировании Virtual IP во время Failover, если тестировать при помощи Ping при настройках таймеров Failover по умолчанию.

После перезагрузки Маршрутизатора 1 в его логе появляются следующие записи:

*Jun 6 16:16:27.223: %RG_PROTOCOL-5-ROLECHANGE: RG id 1 role change from Init to Standby

*Jun 6 16:16:36.586: %RG_PROTOCOL-5-ROLECHANGE: RG id 1 role change from Standby to Active

*Jun 6 16:16:46.665: %RG_VP-6-BULK_SYNC_DONE: RG group 1 BULK SYNC to standby complete.

*Jun 6 16:16:46.666: %RG_VP-6-STANDBY_READY: RG group 1 Standby router is in SSO state

А у Маршрутизатора 2 в логах появляется следующая информация:

*Jun 6 16:17:31.004: %RG_PROTOCOL-5-ROLECHANGE: RG id 1 role change from Active to Init

*Jun 6 16:17:41.004: %RG_PROTOCOL-5-ROLECHANGE: RG id 1 role change from Init to Standby

То есть цикл смены ролей при перезагрузки Маршрутизатор 1 - следующий Init > Standby > Active, а для Маршрутизатора 2 Active > Init > Standby, при этом Маршрутизатор 1 забирает себе обратно Virtual IP, поскольку на нем настроен Preempt и он имеет приоритет RG1 выше чем Маршрутизатор 2:

cisco4331-01#sh redundancy application group 1

Group ID:1

Group Name:RG1

Administrative State: No Shutdown

Aggregate operational state : Up

My Role: ACTIVE

Peer Role: STANDBY

Peer Presence: Yes

Peer Comm: Yes

Peer Progression Started: Yes

RF Domain: btob-one

RF state: ACTIVE

Peer RF state: STANDBY HOT

Поскольку у нас настроен декремент 100, на интерфейсах входящих в RG1, то можно проверить Failover например по условию - падает интерфейс, входящий в RG1, для
примера возьмем активный маршрутизатор в RG1 - Маршрутизатор 1 и уроним у него один из интерфейсов из RG (для примера gigibitethernet 0/0/0):

до отключения интерфейса gi 0/0/0:

cisco4331-01#sh redundancy application group 1
Group ID:1
Group Name:RG1

Administrative State: No Shutdown
Aggregate operational state : Up
My Role: ACTIVE
Peer Role: STANDBY
Peer Presence: Yes
Peer Comm: Yes
Peer Progression Started: Yes

RF Domain: btob-one
RF state: ACTIVE
Peer RF state: STANDBY HOT

Кладем интерфейс gi/0/0/0 на Маршрутизаторе 1:

cisco4331-01(config)#interface gigabitEthernet 0/0/0
cisco4331-01(config-if)#shut
cisco4331-01(config-if)#exit
cisco4331-01(config)#exit

Cмотрим, что произошло:

Маршрутизатор 1:

cisco4331-01#sh redundancy application group 1
Group ID:1
Group Name:RG1

Administrative State: No Shutdown
Aggregate operational state : Up
My Role: STANDBY
Peer Role: ACTIVE
Peer Presence: Yes
Peer Comm: Yes
Peer Progression Started: Yes

RF Domain: btob-one
RF state: STANDBY HOT
Peer RF state: ACTIVE

*Jun 7 09:59:38.517: %RG_PROTOCOL-5-ROLECHANGE: RG id 1 role change from Active to Init
*Jun 7 09:59:38.707: %LINK-5-CHANGED: Interface GigabitEthernet0/0/0, changed state to administratively down
*Jun 7 09:59:39.707: %LINEPROTO-5-UPDOWN: Line protocol on Interface GigabitEthernet0/0/0, changed state to down
*Jun 7 09:59:48.518: %RG_PROTOCOL-5-ROLECHANGE: RG id 1 role change from Init to Standby

Маршрутизатор 2:

cisco4331-02#sh redundancy application group 1
Group ID:1
Group Name:RG1

Administrative State: No Shutdown
Aggregate operational state : Up
My Role: ACTIVE
Peer Role: STANDBY
Peer Presence: Yes
Peer Comm: Yes
Peer Progression Started: Yes

RF Domain: btob-one
RF state: ACTIVE
Peer RF state: STANDBY HOT

*Jun 7 10:00:30.796: %RG_PROTOCOL-5-ROLECHANGE: RG id 1 role change from Standby to Active
*Jun 7 10:00:40.871: %RG_VP-6-BULK_SYNC_DONE: RG group 1 BULK SYNC to standby complete.
*Jun 7 10:00:40.872: %RG_VP-6-STANDBY_READY: RG group 1 Standby router is in SSO state

Т.е текущая конфигурация делает Failover на Hot Standby соседа при падении любого из Traffic Interfaces входящих в RG1, также при падении маршрутизатора целиком.

пятница, 2 июня 2017 г.

Настройка ААА для подключений к D-Link DES-38xx и Windows RADIUS (NPS)

Ситуация:
Пользователи входящие в определенную доменную группу в Active Directory
должны иметь возможность входить на коммутаторы D-Link DES-38xx (Firmware 4.50B12) используя свои учетные записи из Active Directory по SSH, при этом Telnet/Web доступ должен быть отключен, а консольный доступ на устройство должен позволять входить на устройство используя запасную (резервную) учетную запись из базы данных самого коммутатора.

Конфигурация коммутатора:

# ACCESS_AUTHENTICATION_CONTROL

create authen server_host <NPS IP> protocol radius port 1812 key "<RADIUS Password>" timeout 5 retransmit 2
config authen server_group radius delete server_host <NPS IP> protocol radius
config authen server_group radius add server_host <NPS IP> protocol radius

config authen_login default method local
create authen_login method_list_name rad_ext
config authen_login method_list_name rad_ext method radius local

config authen_enable default method local_enable

config authen application console login default
config authen application console enable default

config authen application telnet login default
config authen application telnet enable default

config authen application ssh login method_list_name rad_ext
config authen application ssh enable default

config authen application http login default
config authen application http enable default

config authen parameter response_timeout 30
config authen parameter attempt 3

config authen enable_admin all state enable

enable authen_policy

config accounting type exec state disable
config accounting type system state disable

Эти настройки позволяют при правильных настройках на Windows NPS входить в режиме обычного пользователя (operator mode), для получения административного доступа

в консоли нужно из пользовательского режима переключаться в административный режим:

enable admin

В данной модели коммутатора список ААА для режима enable admin поддерживается только локальный (default), данный пароль хранится в локальной базе данных коммутатора, в связи с чем _до всего_ этого нужно не забыть сконфигурировать пароль для переключения из пользовательского режима в административный режим:

config admin local_password

Конфигурация cетевой политике на Windows RADIUS (NPS):

четверг, 1 июня 2017 г.

Мультивендорная интеграция по MSTP CIST/MST (Cisco, Extreme Networks, Enterasys)

Потребовалось реализовать схему с применением MSTP в топологии Partial Full-Mesh в мультивендорной среде:

Коммутатор NIM-4ESG в Cisco 4331 cмотрит 2-мя линками в Enterasys SecureStack (в разные Enterasys B3 в стеке и 2 линками в Extreme SummitStack-V (в разные Extreme Networks x440-G2 в стеке)
Коммутатор NIM-4ESG в Cisco 4331 cмотрит 2-мя линками в Enterasys SecureStack (в разные Enterasys B3 в стеке и 2 линками в Extreme SummitStack-V (в разные Extreme Networks x440-G2 в стеке)

Схема для настройки MSTP:

Глобальные настройки:

MST configuration name: test
MST configuration revision: 1
MST to VLAN mapping table:

MST 0 (CIST): VLAN1
MST 1: VLAN100, VLAN120
MST 2: VLAN192

В MST 0, MST1 выбираем в качестве Root Bridge - Enterasys SecureStack, в MST 2 -Extreme SummitStack, для выбора Root Bridge используем приоритет 4096, стандарт 802.1t

конфигурация MSTP на Cisco 1:

spanning-tree mode mst

spanning-tree extend system-id

spanning-tree mst configuration

name test

revision 1

instance 1 vlan 100, 120

instance 2 vlan 192

cisco4331-01#sh spanning-tree

G0:MST0

Spanning tree enabled protocol mstp

Root ID Priority 4096

Address 0011.88f2.95c0

Cost 0

Port 11 (GigabitEthernet0/1/1)

Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec

Bridge ID Priority 32768 (priority 32768 sys-id-ext 0)

Address 009a.d286.a041

Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec

Interface Role Sts Cost Prio.Nbr Type

------------------- ---- --- --------- -------- --------------------------------

Gi0/1/0 Altn BLK 20000 128.10 P2p

Gi0/1/1 Root FWD 20000 128.11 P2p

Gi0/1/2 Desg FWD 20000 128.12 P2p

Gi0/1/3 Desg FWD 20000 128.13 P2p

G0:MST1

Spanning tree enabled protocol mstp

Root ID Priority 4097

Address 0011.88f2.95c0

Cost 20000

Port 11 (GigabitEthernet0/1/1)

Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec

Bridge ID Priority 32769 (priority 32768 sys-id-ext 1)

Address 009a.d286.a041

Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec

Interface Role Sts Cost Prio.Nbr Type

------------------- ---- --- --------- -------- --------------------------------

Gi0/1/0 Altn BLK 20000 128.10 P2p

Gi0/1/1 Root FWD 20000 128.11 P2p

Gi0/1/2 Desg FWD 20000 128.12 P2p

Gi0/1/3 Desg FWD 20000 128.13 P2p

G0:MST2

Spanning tree enabled protocol mstp

Root ID Priority 4098

Address 0204.969c.544a

Cost 20000

Port 13 (GigabitEthernet0/1/3)

Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec

Bridge ID Priority 32770 (priority 32768 sys-id-ext 2)

Address 009a.d286.a041

Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec

Interface Role Sts Cost Prio.Nbr Type

------------------- ---- --- --------- -------- --------------------------------

Gi0/1/0 Desg FWD 20000 128.10 P2p

Gi0/1/1 Desg FWD 20000 128.11 P2p

Gi0/1/2 Altn BLK 20000 128.12 P2p

Gi0/1/3 Root FWD 20000 128.13 P2p

конфигурация MSTP на Cisco 2:

spanning-tree mode mst

spanning-tree extend system-id

spanning-tree mst configuration

name okbank

revision 1

instance 1 vlan 100, 120

instance 2 vlan 192

cisco4331-02#sh spanning-tree

G0:MST0

Spanning tree enabled protocol mstp

Root ID Priority 4096

Address 0011.88f2.95c0

Cost 0

Port 11 (GigabitEthernet0/1/1)

Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec

Bridge ID Priority 32768 (priority 32768 sys-id-ext 0)

Address 009a.d265.7396

Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec

Interface Role Sts Cost Prio.Nbr Type

------------------- ---- --- --------- -------- --------------------------------

Gi0/1/0 Altn BLK 20000 128.10 P2p

Gi0/1/1 Root FWD 20000 128.11 P2p

Gi0/1/2 Desg FWD 20000 128.12 P2p

Gi0/1/3 Desg FWD 20000 128.13 P2p

G0:MST1

Spanning tree enabled protocol mstp

Root ID Priority 4097

Address 0011.88f2.95c0

Cost 20000

Port 11 (GigabitEthernet0/1/1)

Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec

Bridge ID Priority 32769 (priority 32768 sys-id-ext 1)

Address 009a.d265.7396

Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec

Interface Role Sts Cost Prio.Nbr Type

------------------- ---- --- --------- -------- --------------------------------

Gi0/1/0 Altn BLK 20000 128.10 P2p

Gi0/1/1 Root FWD 20000 128.11 P2p

Gi0/1/2 Desg FWD 20000 128.12 P2p

Gi0/1/3 Desg FWD 20000 128.13 P2p

G0:MST2

Spanning tree enabled protocol mstp

Root ID Priority 4098

Address 0204.969c.544a

Cost 20000

Port 12 (GigabitEthernet0/1/2)

Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec

Bridge ID Priority 32770 (priority 32768 sys-id-ext 2)

Address 009a.d265.7396

Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec

Interface Role Sts Cost Prio.Nbr Type

------------------- ---- --- --------- -------- --------------------------------

Gi0/1/0 Desg FWD 20000 128.10 P2p

Gi0/1/1 Desg FWD 20000 128.11 P2p

Gi0/1/2 Root FWD 20000 128.12 P2p

Gi0/1/3 Altn BLK 20000 128.13 P2p

конфигурация MSTP на Enterasys SecureStack:

#spantree

set spantree mstcfgid cfgname 'test' rev 1

set spantree msti sid 1 create

set spantree msti sid 2 create

set spantree mstmap 100 sid 1

set spantree mstmap 120 sid 1

set spantree mstmap 192 sid 2

set spantree priority 4096 0

set spantree priority 4096 1

B3(su)->show spantree stats sid 0 active

Spanning tree status - enabled

Spanning tree instance - 0

Designated Root MacAddr - 00:11:88:F2:95:C0

Designated Root Port - 0

Designated Root Priority - 4096

Designated Root Cost - 0

Root Max Age - 20

Root Hello Time - 2

Root Forward Delay - 15

Bridge ID MAC Address - 00:11:88:F2:95:C0

Bridge ID Priority - 4096

Bridge Max Age - 20

Bridge Hello Time - 2

Bridge Forward Delay - 15

Topology Change Count - 85

Time Since Top Change - 0 days 2:44:10

Max Hops - 20

SID Port State Role Cost Priority

--- ---------- ---------------- ----------- -------- --------

0 ge.1.1 Forwarding Designated 20000 128

0 ge.1.2 Forwarding Designated 20000 128

0 ge.2.1 Forwarding Designated 20000 128

0 ge.2.2 Forwarding Designated 20000 128

B3(su)->show spantree stats sid 1 active

Spanning tree status - enabled

Spanning tree instance - 1

Designated Root MacAddr - 00:11:88:F2:95:C0

Designated Root Port - 0

Designated Root Priority - 4096

Designated Root Cost - 0

Root Max Age - 20

Root Hello Time - 2

Root Forward Delay - 15

Bridge ID MAC Address - 00:11:88:F2:95:C0

Bridge ID Priority - 4096

Bridge Max Age - 20

Bridge Hello Time - 2

Bridge Forward Delay - 15

Topology Change Count - 10

Time Since Top Change - 0 days 2:46:24

Max Hops - 20

SID Port State Role Cost Priority

--- ---------- ---------------- ----------- -------- --------

1 ge.1.1 Forwarding Designated 20000 128

1 ge.1.2 Forwarding Designated 20000 128

1 ge.2.1 Forwarding Designated 20000 128

1 ge.2.2 Forwarding Designated 20000 128

B3(su)->show spantree stats sid 2 active

Spanning tree status - enabled

Spanning tree instance - 2

Designated Root MacAddr - 02:04:96:9C:54:4A

Designated Root Port - ge.2.2

Designated Root Priority - 4096

Designated Root Cost - 40000

Root Max Age - 20

Root Hello Time - 2

Root Forward Delay - 15

Bridge ID MAC Address - 00:11:88:F2:95:C0

Bridge ID Priority - 32768

Bridge Max Age - 20

Bridge Hello Time - 2

Bridge Forward Delay - 15

Topology Change Count - 10

Time Since Top Change - 0 days 2:47:33

Max Hops - 20

SID Port State Role Cost Priority

--- ---------- ---------------- ----------- -------- --------

2 ge.1.1 Discarding Alternate 20000 128

2 ge.1.2 Discarding Alternate 20000 128

2 ge.2.1 Discarding Alternate 20000 128

2 ge.2.2 Forwarding Root 20000 128

конфигурация MSTP на Extreme SummitStack-V:

# Module stp configuration.

configure mstp region test

configure mstp revision 1

create stpd s1

configure stpd s1 mode mstp msti 1

create stpd s2

configure stpd s2 mode mstp msti 2

configure stpd s2 priority 4096

enable stpd s1 auto-bind vlan VLAN_0100

enable stpd s1 auto-bind vlan VLAN_0120

enable stpd s2 auto-bind vlan VLAN_0192

enable stpd s1

enable stpd s2

Slot-1 Stack.4 # sh stpd "s0"

Stpd: s0 Stp: ENABLED Number of Ports: 56

Rapid Root Failover: Disabled

Operational Mode: MSTP Default Binding Mode: 802.1D

MSTI Instance: CIST

802.1Q Tag: (none)

Ports: 1:1,1:2,1:3,1:4,1:5,1:6,1:7,1:8,1:9,1:10,

1:11,1:12,1:13,1:14,1:15,1:16,1:17,1:18,1:19,1:20,

1:21,1:22,1:23,1:24,1:25,1:26,1:27,1:28,2:1,2:2,

2:3,2:4,2:5,2:6,2:7,2:8,2:9,2:10,2:11,2:12,

2:13,2:14,2:15,2:16,2:17,2:18,2:19,2:20,2:21,2:22,

2:23,2:24,2:25,2:26,2:27,2:28

Participating Vlans: (none)

Auto-bind Vlans: Default

Bridge Priority : 32768 Bridge Priority Mode: 802.1t

Operational Bridge Priority: 32768

BridgeID : 80:00:02:04:96:9c:54:4a

Designated root : 80:00:00:9a:d2:65:73:96

CIST Root : 10:00:00:11:88:f2:95:c0

CIST Regional Root : 10:00:00:11:88:f2:95:c0

External RootPathCost : 0 Internal RootPathCost: 40000

Root Port : 1:1

MaxAge : 20s HelloTime : 2s ForwardDelay : 15s

CfgBrMaxAge : 20s CfgBrHelloTime: 2s CfgBrForwardDelay: 15s

RemainHopCount: 18 CfgMaxHopCount: 20

Topology Change Time : 35s Hold time : 1s

Topology Change Detected : FALSE Topology Change : FALSE

Number of Topology Changes : 27

Time Since Last Topology Change: 10319s

Topology Change initiated locally on Port 1:1

Topology Change last received on Port 1:2 from 00:9a:d2:86:9f:cb

Backup Root : Off Backup Root Activated : FALSE

Loop Protect Event Window : 180s Loop Protect Threshold : 3

New Root Trap : On Topology Change Trap : Off

Tx Hold Count : 6

Slot-1 Stack.6 # sh stpd "s0" ports 1:1-2,2:1-2

Port Mode State Cost Flags Priority Port ID Designated Bridge

1:1 802.1D FORWARDING 20000 eRapam--I- 128 8001 80:00:00:9a:d2:65:73: 96

1:2 802.1D BLOCKING 20000 eAap-m--I- 128 8002 80:00:00:9a:d2:86:a0: 41

2:1 802.1D BLOCKING 20000 eAap-m--I- 128 8081 80:00:00:9a:d2:86:a0: 41

2:2 802.1D BLOCKING 20000 eAapam--I- 128 8082 80:00:00:9a:d2:65:73: 96

Total Ports: 4

------------------------- Flags: ----------------------------

1: e=Enable, d=Disable

2: (Port role) R=Root, D=Designated, A=Alternate, B=Backup, M=Master

3: (Config type) b=broadcast, p=point-to-point, e=edge, a=auto

4: (Oper. type) b=broadcast, p=point-to-point, e=edge

5: p=proposing, a=agree

6: (partner mode) d = 802.1d, w = 802.1w, m = mstp

7: i = edgeport inconsistency

8: S = edgeport safe guard active

s = edgeport safe guard configured but inactive

8: G = edgeport safe guard bpdu restrict active in 802.1w and mst p

g = edgeport safe guard bpdu restrict active in 802.1d

9: B = Boundary, I = Internal

10: r = restricted role, t = active role

Slot-1 Stack.7 # sh stpd "s1"

Stpd: s1 Stp: ENABLED Number of Ports: 4

Rapid Root Failover: Disabled

Operational Mode: MSTP Default Binding Mode: 802.1D

MSTI Instance: MSTI 1

802.1Q Tag: (none)

Ports: 1:1,1:2,2:1,2:2

Participating Vlans: VLAN_0100,VLAN_0120

Auto-bind Vlans: VLAN_0100,VLAN_0120

Bridge Priority : 32768 Bridge Priority Mode: 802.1t

Operational Bridge Priority: 32768

BridgeID : 80:00:02:04:96:9c:54:4a

Designated root : 80:00:00:9a:d2:65:73:96

CIST Root : 10:00:00:11:88:f2:95:c0

CIST Regional Root : 10:00:00:11:88:f2:95:c0

MSTI Regional Root : 10:00:00:11:88:f2:95:c0

External RootPathCost : 0 Internal RootPathCost: 40000

Root Port : 1:1 Master Port : ----

MaxAge : 20s HelloTime : 2s ForwardDelay : 15s

CfgBrMaxAge : 20s CfgBrHelloTime: 2s CfgBrForwardDelay: 15s

RemainHopCount: 18 CfgMaxHopCount: 20

Topology Change Time : 35s Hold time : 1s

Topology Change Detected : FALSE Topology Change : FALSE

Number of Topology Changes : 3

Time Since Last Topology Change: 10587s

Topology Change initiated locally on Port 1:1

Topology Change last received on Port none from none

Backup Root : Off Backup Root Activated : FALSE

Loop Protect Event Window : 180s Loop Protect Threshold : 3

New Root Trap : On Topology Change Trap : Off

Tx Hold Count : 6

Slot-1 Stack.8 # sh stpd "s1" ports 1:1-2,2:1-2

Port Mode State Cost Flags Priority Port ID Designated Bridge

1:1 802.1D FORWARDING 20000 eRapam--I- 128 8001 80:00:00:9a:d2:65:73:96

1:2 802.1D BLOCKING 20000 eAapam--I- 128 8002 80:00:00:9a:d2:86:a0:41

2:1 802.1D BLOCKING 20000 eAapam--I- 128 8081 80:00:00:9a:d2:86:a0:41

2:2 802.1D BLOCKING 20000 eAapam--I- 128 8082 80:00:00:9a:d2:65:73:96

Total Ports: 4

------------------------- Flags: ----------------------------

1: e=Enable, d=Disable

2: (Port role) R=Root, D=Designated, A=Alternate, B=Backup, M=Master

3: (Config type) b=broadcast, p=point-to-point, e=edge, a=auto

4: (Oper. type) b=broadcast, p=point-to-point, e=edge

5: p=proposing, a=agree

6: (partner mode) d = 802.1d, w = 802.1w, m = mstp

7: i = edgeport inconsistency

8: S = edgeport safe guard active

s = edgeport safe guard configured but inactive

8: G = edgeport safe guard bpdu restrict active in 802.1w and mstp

g = edgeport safe guard bpdu restrict active in 802.1d

9: B = Boundary, I = Internal

10: r = restricted role, t = active role

Slot-1 Stack.9 # sh stpd "s2"

Stpd: s2 Stp: ENABLED Number of Ports: 56

Rapid Root Failover: Disabled

Operational Mode: MSTP Default Binding Mode: 802.1D

MSTI Instance: MSTI 2

802.1Q Tag: (none)

Ports: 1:1,1:2,1:3,1:4,1:5,1:6,1:7,1:8,1:9,1:10,

1:11,1:12,1:13,1:14,1:15,1:16,1:17,1:18,1:19,1:20,

1:21,1:22,1:23,1:24,1:25,1:26,1:27,1:28,2:1,2:2,

2:3,2:4,2:5,2:6,2:7,2:8,2:9,2:10,2:11,2:12,

2:13,2:14,2:15,2:16,2:17,2:18,2:19,2:20,2:21,2:22,

2:23,2:24,2:25,2:26,2:27,2:28

Participating Vlans: VLAN_0192

Auto-bind Vlans: VLAN_0192

Bridge Priority : 4096 Bridge Priority Mode: 802.1t

Operational Bridge Priority: 4096

BridgeID : 10:00:02:04:96:9c:54:4a

Designated root : 10:00:02:04:96:9c:54:4a

CIST Root : 10:00:00:11:88:f2:95:c0

CIST Regional Root : 10:00:00:11:88:f2:95:c0

MSTI Regional Root : 10:00:02:04:96:9c:54:4a

External RootPathCost : 0 Internal RootPathCost: 0

Root Port : ---- Master Port : ----

MaxAge : 20s HelloTime : 2s ForwardDelay : 15s

CfgBrMaxAge : 20s CfgBrHelloTime: 2s CfgBrForwardDelay: 15s

RemainHopCount: 18 CfgMaxHopCount: 20

Topology Change Time : 35s Hold time : 1s

Topology Change Detected : FALSE Topology Change : FALSE

Number of Topology Changes : 3

Time Since Last Topology Change: 10738s

Topology Change initiated locally on Port 1:2

Topology Change last received on Port 1:2 from none

Backup Root : Off Backup Root Activated : FALSE

Loop Protect Event Window : 180s Loop Protect Threshold : 3

New Root Trap : On Topology Change Trap : Off

Tx Hold Count : 6

Slot-1 Stack.10 # sh stpd "s2" ports 1:1-2,2:1-2

Port Mode State Cost Flags Priority Port ID Designated Bridge

1:1 802.1D FORWARDING 20000 eDap-m--I- 128 8001 10:00:02:04:96:9c:54:4a

1:2 802.1D FORWARDING 20000 eDap-m--I- 128 8002 10:00:02:04:96:9c:54:4a

2:1 802.1D FORWARDING 20000 eDap-m--I- 128 8081 10:00:02:04:96:9c:54:4a

2:2 802.1D FORWARDING 20000 eDap-m--I- 128 8082 10:00:02:04:96:9c:54:4a

Total Ports: 4

------------------------- Flags: ----------------------------

1: e=Enable, d=Disable

2: (Port role) R=Root, D=Designated, A=Alternate, B=Backup, M=Master

3: (Config type) b=broadcast, p=point-to-point, e=edge, a=auto

4: (Oper. type) b=broadcast, p=point-to-point, e=edge

5: p=proposing, a=agree

6: (partner mode) d = 802.1d, w = 802.1w, m = mstp

7: i = edgeport inconsistency

8: S = edgeport safe guard active

s = edgeport safe guard configured but inactive

8: G = edgeport safe guard bpdu restrict active in 802.1w and mstp

g = edgeport safe guard bpdu restrict active in 802.1d

9: B = Boundary, I = Internal

10: r = restricted role, t = active role

четверг, 8 июня 2017 г.

Как посмотреть из CLI все используемые Virtual MAC (VMAC) и Virtual IP (VIP) для Redundancy Group из сценария NAT B2B HA

вторник, 6 июня 2017 г.

Настройка Cisco 4331 для сценария NAT Box to Box HA

пятница, 2 июня 2017 г.

Настройка ААА для подключений к D-Link DES-38xx и Windows RADIUS (NPS)

четверг, 1 июня 2017 г.

Мультивендорная интеграция по MSTP CIST/MST (Cisco, Extreme Networks, Enterasys)

четверг, 8 июня 2017 г.

вторник, 6 июня 2017 г.

пятница, 2 июня 2017 г.

четверг, 1 июня 2017 г.