Mar
11
[置顶] My Favorite 
Cisco Product Quick Reference Guide 思科产品快速参考指南 2011年10月版
Cisco Product Quick Reference Guide
An overview of many Cisco products, services,
and solutions for every part of your business
October 2011
思科产品售前、选型、产品对比 必备!
注册后点击下载
Cisco Product Quick Reference Guide
An overview of many Cisco products, services,
and solutions for every part of your business
October 2011
思科产品售前、选型、产品对比 必备!
注册后点击下载
下载文件
某银行项目,在晚上割接的时候,天融信防火墙的NAT问题,和大家一起分享。首先这个天融信防火墙我不熟悉,用户自己完成配置。
拓扑Cisco6506-----天融信---外联路由器--外联单位,就是这个拓扑,当晚在65上ping 天融信NAT后的地址不通,ping天融信直连地址通,65上traceroute NAT后的地址发现天融信并没有地址NAT而是利用回指路由仍给了65,65上有NAT后的地址路由,又再次扔给天融信,反复30次,结束。
天融信并没有将地址NAT,而是利用路由来传递数据包,说明NAT没生效,用户检查了一会发现,天融信与外联路由器的端口是down的。换了个网线,端口up起来,65再ping NAT后的地址通了,问题就出现在外联接口的状态,用户描述是当外联接口down的时候天融信防火墙绑定这个出口的NAT将失效。
不是什么大问题,但似乎与思科不同,和大家分享一下!!
拓扑Cisco6506-----天融信---外联路由器--外联单位,就是这个拓扑,当晚在65上ping 天融信NAT后的地址不通,ping天融信直连地址通,65上traceroute NAT后的地址发现天融信并没有地址NAT而是利用回指路由仍给了65,65上有NAT后的地址路由,又再次扔给天融信,反复30次,结束。
天融信并没有将地址NAT,而是利用路由来传递数据包,说明NAT没生效,用户检查了一会发现,天融信与外联路由器的端口是down的。换了个网线,端口up起来,65再ping NAT后的地址通了,问题就出现在外联接口的状态,用户描述是当外联接口down的时候天融信防火墙绑定这个出口的NAT将失效。
不是什么大问题,但似乎与思科不同,和大家分享一下!!
数据分流的方法有很多,其中有个比较简单的方法就是利用HSRP进行分流,例如 您的企业有两条ISP线路,一条电信,一条联通,你想业务流量走电信,办公流量走联通,大致上我们的拓扑如下:
我们可以在DX、LT和SW1、SW2上利用多group的HSRP来实现分流,配置大体如下:
我们可以在DX、LT和SW1、SW2上利用多group的HSRP来实现分流,配置大体如下:
阅读全文...
思科和华为两家的pos接口默认参数不一致,在进行互通时我们需要对设备进行特别设置。
一、厂家pos端口默认参数
1、思科
(1)clock source line
(2)flag C2=0XCF
(3)flag S1S0=2(表示SDH帧格式)
(4)flag J0=1字节模式 0XCC (0x01 for compatibility, 0xCC is default)
(5)SDH frame
(6)不加扰
(7)CRC16
2、华为
(1)clock master(对应cisco的internal)
(2)flag C2=0X16
(3) flag S1S0不可配置,根据帧格式(SDH/SONET)自动调整
(4) flag J0=16字节字符串模式 “NetEngine”
(5)SDH frame
(6) 加扰
(7)CRC32
二、特别说明
通常两厂商pos不通就是参数不一致造成的,例如scramble也就是加扰,华为默认是加扰的,而思科默认是不加扰的,SDH帧格式,华为默认是PPP,而思科默认是HDLC,校验序列,思科默认是CRC 16而华为是CRC 32。
需要特别说明的还有C2,C2是SDH帧里的一个开销字节,SDH设备通过这个字节告诉其他设备,自己发送的是什么类型的数据。RFC建议,如果一个设备发送PPP业务,C2字节必须为0x16(=22);如果是HDLC业务,C2字节为0xcf(=207);如果发送ATM业务,C2字节必须为0x11; 如果发送的是语音业务(TUG结构),C2为2。C2仅仅起一个标识作用,不影响业务。即使不匹配,业务也能正常工作。
三、配置举例
CISCO7609-----------155MPOS----------NE40
CISCO7609配置:
interface POS1/1
ip address xxxxxxx
encapsulation ppp
crc 32
pos framing sdh
NE40配置:
interface Pos1/1/0
clock slave
flag c2 207
undo scramble
undo shutdown
ip address xxxxxxxx
在配置C2的时候注意是十进制的,要弄清楚和十六进制的转换,例如NE40E的flag c2 207,将ppp改为hdlc。
这个207是十进制的,207=0xcf=11001111 2^7+2^6+2^3+2^2+2^1+2^0
一、厂家pos端口默认参数
1、思科
(1)clock source line
(2)flag C2=0XCF
(3)flag S1S0=2(表示SDH帧格式)
(4)flag J0=1字节模式 0XCC (0x01 for compatibility, 0xCC is default)
(5)SDH frame
(6)不加扰
(7)CRC16
2、华为
(1)clock master(对应cisco的internal)
(2)flag C2=0X16
(3) flag S1S0不可配置,根据帧格式(SDH/SONET)自动调整
(4) flag J0=16字节字符串模式 “NetEngine”
(5)SDH frame
(6) 加扰
(7)CRC32
二、特别说明
通常两厂商pos不通就是参数不一致造成的,例如scramble也就是加扰,华为默认是加扰的,而思科默认是不加扰的,SDH帧格式,华为默认是PPP,而思科默认是HDLC,校验序列,思科默认是CRC 16而华为是CRC 32。
需要特别说明的还有C2,C2是SDH帧里的一个开销字节,SDH设备通过这个字节告诉其他设备,自己发送的是什么类型的数据。RFC建议,如果一个设备发送PPP业务,C2字节必须为0x16(=22);如果是HDLC业务,C2字节为0xcf(=207);如果发送ATM业务,C2字节必须为0x11; 如果发送的是语音业务(TUG结构),C2为2。C2仅仅起一个标识作用,不影响业务。即使不匹配,业务也能正常工作。
三、配置举例
CISCO7609-----------155MPOS----------NE40
CISCO7609配置:
interface POS1/1
ip address xxxxxxx
encapsulation ppp
crc 32
pos framing sdh
NE40配置:
interface Pos1/1/0
clock slave
flag c2 207
undo scramble
undo shutdown
ip address xxxxxxxx
在配置C2的时候注意是十进制的,要弄清楚和十六进制的转换,例如NE40E的flag c2 207,将ppp改为hdlc。
这个207是十进制的,207=0xcf=11001111 2^7+2^6+2^3+2^2+2^1+2^0
今天本来想利用win7的Microsoft Virtual WiFi Miniport Adapter来将windows7做成一个AP供ipod touch来用,在搜索Microsoft Virtual WiFi Miniport Adapter使用方法的时候无意中看到大家推荐的connectify,找到官方connectify.me看了一下果然不错,设置简单有效,下载后安装,设置起来相当简单,我就不在这里多说了,当我们利用connectify将笔记本做成一台无线路由器后,在ipod touch上的wi-fi中会看到我们广播的ssid,然后想加入普通wlan一样,connectify会为ipod touch自动分配IP地址以及DNS等信息,非常方便。
关于connectify给大家提供以下信息供参考:
1、系统要求:windows 7,以及兼容性网卡
2、官方网站:connectify.me
3、中文设置指南 有太多教程了,百度一下吧!
4、很客观的connectify的性能测试
5、最新版下载
6、最新兼容性列表
我亲自测试了,非常好用!!
关于connectify给大家提供以下信息供参考:
1、系统要求:windows 7,以及兼容性网卡
2、官方网站:connectify.me
3、中文设置指南 有太多教程了,百度一下吧!
4、很客观的connectify的性能测试
5、最新版下载
6、最新兼容性列表
我亲自测试了,非常好用!!
前几天遇到了一个atm的ospf问题,在atm链路上ospf邻居关系无法建立,一端为 EXCHANGE/,一端为 EXSTART/ ,无法进行下去。
拓扑环境如下 GSR12410(XR IOS平台3.8.4)------(atm 622M)---------C7609(IOS 12.2 33SRD)
在停滞一端时间后,会有如下提示:
RP/0/9/CPU0:Mar 21 23:22:53.360 : ospf[315]: %ROUTING-OSPF-5-ADJCHG : Process 100, Nbr 2.2.2.2 on ATM0/0/1/0.1 in area 0 from EXSTART to DOWN, Neighbor Down: too many DBD retransmissions,vrf default vrfid 0x60000000
太多的DBD重传失败,neighbor状态转为down。
在EXCHANGE状态是在交换LSDB数据库,由于该阶段数据包较大,MTU的不匹配会造成LSDB无法正常交换,因而不断重传DBD进而停滞该状态,在多次重传无果后邻居开始down。
其产生EXCHANGE/和EXSTART/状态停滞的原因通常我们有两个,一个是重复的routeid,一个是不匹配的MTU,在这个案例中我可以确信的是Routeid不会重复,是我人工指定的,只有MTU是造成该状态的重要因素。我开始修改MTU的值。
C7609#show ip os nei
Neighbor ID Pri State Dead Time Address Interface
11.11.11.11 0 EXCHANGE/ - 00:00:38 172.16.12.1 ATM2/0/0.1
RP/0/9/CPU0:ios#show ip os nei
Mon Mar 21 23:22:46.028 UTC
* Indicates MADJ interface
Neighbors for OSPF 100
Neighbor ID Pri State Dead Time Address Interface
2.2.2.2 1 EXSTART/ - 00:00:38 172.16.12.2 ATM0/0/1/0.1
停滞在exchange的7609由于MTU较大,可以接收GSR的LSDB,并回复一个ACK给GSR,然后过渡到exchange状态,而GSR由个低的MTU,它忽略了带有ACK的DBD数据包,而进入DBD的初始化状态进而停滞在exstart状态。
拓扑环境如下 GSR12410(XR IOS平台3.8.4)------(atm 622M)---------C7609(IOS 12.2 33SRD)
在停滞一端时间后,会有如下提示:
RP/0/9/CPU0:Mar 21 23:22:53.360 : ospf[315]: %ROUTING-OSPF-5-ADJCHG : Process 100, Nbr 2.2.2.2 on ATM0/0/1/0.1 in area 0 from EXSTART to DOWN, Neighbor Down: too many DBD retransmissions,vrf default vrfid 0x60000000
太多的DBD重传失败,neighbor状态转为down。
在EXCHANGE状态是在交换LSDB数据库,由于该阶段数据包较大,MTU的不匹配会造成LSDB无法正常交换,因而不断重传DBD进而停滞该状态,在多次重传无果后邻居开始down。
其产生EXCHANGE/和EXSTART/状态停滞的原因通常我们有两个,一个是重复的routeid,一个是不匹配的MTU,在这个案例中我可以确信的是Routeid不会重复,是我人工指定的,只有MTU是造成该状态的重要因素。我开始修改MTU的值。
C7609#show ip os nei
Neighbor ID Pri State Dead Time Address Interface
11.11.11.11 0 EXCHANGE/ - 00:00:38 172.16.12.1 ATM2/0/0.1
RP/0/9/CPU0:ios#show ip os nei
Mon Mar 21 23:22:46.028 UTC
* Indicates MADJ interface
Neighbors for OSPF 100
Neighbor ID Pri State Dead Time Address Interface
2.2.2.2 1 EXSTART/ - 00:00:38 172.16.12.2 ATM0/0/1/0.1
停滞在exchange的7609由于MTU较大,可以接收GSR的LSDB,并回复一个ACK给GSR,然后过渡到exchange状态,而GSR由个低的MTU,它忽略了带有ACK的DBD数据包,而进入DBD的初始化状态进而停滞在exstart状态。
阅读全文...
这是教你如何理解云计算的一本书,作者在本书中标书的核心观点并非人民不再需要IT,反而强调IT“对竞争必是不可少的”,其实真实的意图在于说明由于云计算的发展导致IT技术将成为普遍脸颊的公共资源,对于所有人都是一致的,因而IT不再具有(核心)竞争优势,正是从这个意义上讲“IT不再重要”
书名:IT不再重要(The Big Switch)
作者:(美)卡尔 著;闫鲜宁 译
内容简介:看我
原书扫描版PDF下载:
下载地址
书名:IT不再重要(The Big Switch)
作者:(美)卡尔 著;闫鲜宁 译
内容简介:看我
原书扫描版PDF下载:
下载地址
Configuring Cisco TwinGig Converter Modules
众所周知,TwinGig模块是将一个万兆转换成两个千兆,但在使用中我们需要做些配置,否则千兆不起作用!!
一旦你将TwinGig和SFP插到接口后,你会看到有以下提示:
Once you install the TwinGig converter and connect a sfp into the port,you will notice the following display on your console(or in your syslog):
*Feb 16 11:05:45.754: %C4K_GLMMAN-3-X2PLUGGABLESEEPROMREADFAILED: Failed to read seeprom on port Te6/2. Reinsert X2 module or configure GigabitEthernet port group if TwinGigConverter is installed.
*Feb 16 11:08:10.898: %C4K_GLMMAN-3-X2PLUGGABLESEEPROMREADFAILED: Failed to read seeprom on port Te6/1. Reinsert X2 module or configure GigabitEthernet port group if TwinGigConverter is installed.
当用show interface status 你会非常困惑你所没有想到的接口数量。
when you execute a "show interface status" you will be confused to see port numbers you weren't expectiong:
cat4500#sh int status mod 6
Port Name Status Vlan Duplex Speed Type
Te6/1 notconnect 1 full 10G No X2
Te6/2 inactive 1 full 10G No X2
Gi6/3 inactive 1 full 1000 No Gbic
Gi6/4 inactive 1 full 1000 No Gbic
Gi6/5 inactive 1 full 1000 No Gbic
Gi6/6 inactive 1 full 1000 No Gbic
在此你会看到2个万兆(或者4个用转换模块得到的4个千兆口),你必须用下面的命令使这四个被转换的千兆端口生效。
In this case,there are really only two TenGigabitEhternet ports(or four GigabitEthernet ports using the converters).You will need to execute the following commadns to convert the interface to four GigabitEthernet interface.
cat4500(config)#hw-module module 6 port-group 1 select gigabitethernet
cat4500(config)#hw-module module 6 port-group 2 select gigabitethernet
现在当我们执行"show interface status"命令,我们会看到10GE接口是inactive状态,而GE接口是notconnect状态。
Now,when we execute the "show interface status"command we see the TenGigabitEthernet interfaces are now inactive and the GigabitEthernet interface are notconnect.
这就意味着千兆口可以使用了。
提醒的是命令hw-module module 6 port-group 1 select gigabitethernet 中 module 6中的6 是万兆模块所在的槽位,而port-group 1中的1需要根据情况而定,一般是一个万兆口,当然也有可能是一组万兆口。要留意万兆端口表面的标识。
原文出处
众所周知,TwinGig模块是将一个万兆转换成两个千兆,但在使用中我们需要做些配置,否则千兆不起作用!!
一旦你将TwinGig和SFP插到接口后,你会看到有以下提示:
Once you install the TwinGig converter and connect a sfp into the port,you will notice the following display on your console(or in your syslog):
引用
*Feb 16 11:05:45.754: %C4K_GLMMAN-3-X2PLUGGABLESEEPROMREADFAILED: Failed to read seeprom on port Te6/2. Reinsert X2 module or configure GigabitEthernet port group if TwinGigConverter is installed.
*Feb 16 11:08:10.898: %C4K_GLMMAN-3-X2PLUGGABLESEEPROMREADFAILED: Failed to read seeprom on port Te6/1. Reinsert X2 module or configure GigabitEthernet port group if TwinGigConverter is installed.
当用show interface status 你会非常困惑你所没有想到的接口数量。
when you execute a "show interface status" you will be confused to see port numbers you weren't expectiong:
引用
cat4500#sh int status mod 6
Port Name Status Vlan Duplex Speed Type
Te6/1 notconnect 1 full 10G No X2
Te6/2 inactive 1 full 10G No X2
Gi6/3 inactive 1 full 1000 No Gbic
Gi6/4 inactive 1 full 1000 No Gbic
Gi6/5 inactive 1 full 1000 No Gbic
Gi6/6 inactive 1 full 1000 No Gbic
在此你会看到2个万兆(或者4个用转换模块得到的4个千兆口),你必须用下面的命令使这四个被转换的千兆端口生效。
In this case,there are really only two TenGigabitEhternet ports(or four GigabitEthernet ports using the converters).You will need to execute the following commadns to convert the interface to four GigabitEthernet interface.
引用
cat4500(config)#hw-module module 6 port-group 1 select gigabitethernet
cat4500(config)#hw-module module 6 port-group 2 select gigabitethernet
现在当我们执行"show interface status"命令,我们会看到10GE接口是inactive状态,而GE接口是notconnect状态。
Now,when we execute the "show interface status"command we see the TenGigabitEthernet interfaces are now inactive and the GigabitEthernet interface are notconnect.
这就意味着千兆口可以使用了。
提醒的是命令hw-module module 6 port-group 1 select gigabitethernet 中 module 6中的6 是万兆模块所在的槽位,而port-group 1中的1需要根据情况而定,一般是一个万兆口,当然也有可能是一组万兆口。要留意万兆端口表面的标识。
原文出处
年后会有个大项目,由我担任技术经理,到底技术经理都干些啥,和项目经理有啥区别呢?
项目经理
1、项目组日常管理工作。
2、组织项目组成员对项目规模、工作量、工期进行估计。
3、制订相应的执行计划,解决阻碍项目开展的矛盾和问题,以保障项目能够按照执行计划顺利进行。
4、定义项目目标。在特定技术、费用和时间的限制下,协调组织中的各种资源达成项目目标。
5、与客户、领导、市场人员进行沟通。向外界提供项目的可视性,如工作进度、质量状况等。
6、监督和控制项目的进度、效率和风险。
7、根据使命、目标和需求来进行项目范围管理。
8、按照项目计划组织项目验收。
9、与质量保障人员配合,组织实施切实可行的质量体系,以保证项目产物的质量。
技术经理
1、领导与协调整个项目中的技术活动(分析、设计和实施等)。
2、推动主要的技术决策。
3、负责项目团队成员技术能力培养。
4、负责组织团队成员进行项目涉及技术的可行性研究。
5、评价、确认并文档化架构。
项目经理
1、项目组日常管理工作。
2、组织项目组成员对项目规模、工作量、工期进行估计。
3、制订相应的执行计划,解决阻碍项目开展的矛盾和问题,以保障项目能够按照执行计划顺利进行。
4、定义项目目标。在特定技术、费用和时间的限制下,协调组织中的各种资源达成项目目标。
5、与客户、领导、市场人员进行沟通。向外界提供项目的可视性,如工作进度、质量状况等。
6、监督和控制项目的进度、效率和风险。
7、根据使命、目标和需求来进行项目范围管理。
8、按照项目计划组织项目验收。
9、与质量保障人员配合,组织实施切实可行的质量体系,以保证项目产物的质量。
技术经理
1、领导与协调整个项目中的技术活动(分析、设计和实施等)。
2、推动主要的技术决策。
3、负责项目团队成员技术能力培养。
4、负责组织团队成员进行项目涉及技术的可行性研究。
5、评价、确认并文档化架构。
Packet Flow Sequence
====================
PIX/ASA - Inside (Higher Sec_Lev) to Outside (Lower SEC_Level)
---------------------------------------------------------------
Eg. Type - [Sub-Type] - Description
1. FLOW-LOOKUP - [] - Check for existing connections, if none found create a new connection.
2. ROUTE-LOOKUP - [input] - Initial Checking (Reverse Path Check, etc.)
3. ACCESS-LIST - [log] - ACL Lookup
4. CONN-SETTINGS - [] - class-map, policy-map, service-policy
5. IP-OPTIONS - [] -
6. NAT - [] - xlate
7. NAT - [host-limits] -
8. IP-OPTIONS - [] -
9. FLOW-CREATION - [] - If everything passes up until this point a connection is created.
10. ROUTE-LOOKUP - [output and adjacency] -
Much thanks to Joshua Walton for forwarding this info over to me - handy reference:
====================
Packet Flow Sequence
====================
PIX/ASA - Inside (Higher Sec_Lev) to Outside (Lower SEC_Level)
---------------------------------------------------------------
Eg. Type - [Sub-Type] - Description
1. FLOW-LOOKUP - [] - Check for existing connections, if none found create a new connection.
2. ROUTE-LOOKUP - [input] - Initial Checking (Reverse Path Check, etc.)
3. ACCESS-LIST - [log] - ACL Lookup
4. CONN-SETTINGS - [] - class-map, policy-map, service-policy
5. IP-OPTIONS - [] -
6. NAT - [] - xlate
7. NAT - [host-limits] -
8. IP-OPTIONS - [] -
9. FLOW-CREATION - [] - If everything passes up until this point a connection is created.
10. ROUTE-LOOKUP - [output and adjacency] -
====================
PIX/ASA - Inside (Higher Sec_Lev) to Outside (Lower SEC_Level)
---------------------------------------------------------------
Eg. Type - [Sub-Type] - Description
1. FLOW-LOOKUP - [] - Check for existing connections, if none found create a new connection.
2. ROUTE-LOOKUP - [input] - Initial Checking (Reverse Path Check, etc.)
3. ACCESS-LIST - [log] - ACL Lookup
4. CONN-SETTINGS - [] - class-map, policy-map, service-policy
5. IP-OPTIONS - [] -
6. NAT - [] - xlate
7. NAT - [host-limits] -
8. IP-OPTIONS - [] -
9. FLOW-CREATION - [] - If everything passes up until this point a connection is created.
10. ROUTE-LOOKUP - [output and adjacency] -
Much thanks to Joshua Walton for forwarding this info over to me - handy reference:
====================
Packet Flow Sequence
====================
PIX/ASA - Inside (Higher Sec_Lev) to Outside (Lower SEC_Level)
---------------------------------------------------------------
Eg. Type - [Sub-Type] - Description
1. FLOW-LOOKUP - [] - Check for existing connections, if none found create a new connection.
2. ROUTE-LOOKUP - [input] - Initial Checking (Reverse Path Check, etc.)
3. ACCESS-LIST - [log] - ACL Lookup
4. CONN-SETTINGS - [] - class-map, policy-map, service-policy
5. IP-OPTIONS - [] -
6. NAT - [] - xlate
7. NAT - [host-limits] -
8. IP-OPTIONS - [] -
9. FLOW-CREATION - [] - If everything passes up until this point a connection is created.
10. ROUTE-LOOKUP - [output and adjacency] -
阅读全文...
前几天遇到个事情,同事在某运营商做技术部署,遇到了一些问题没解决掉,公司派我去协助他们处理此事。 同事介绍了拓扑结构,简单描述一下就是ASBR NE80E---NE5000E(2台)---(双上联)SR NE80E---EPON,SR NE80E与两台核心互联,一台与sr同机房,一台在开发区,经过排查问题出现在sr上,同事介绍说流量经过与sr同机房的核心设备,根据同事的介绍,我仔细检查sr的配置,但并没有发现任何问题,我们做的是上层技术部署,在排错的时候忽略了底层的数据转发,经过排查发现,流量走的是开发区的核心,经过配置后问题解决。 事情不大但暴露的问题确很明显,我们很多工程师多被自己的定式思维所影响,例如,这个例子中工程师一直认为流量是走同机房的设备,因为近嘛,但忽略了设备本身并没有物理距离的概念,都是万兆,带宽都一样,路由选路很有可能走远距离的开发区核心设备,如果当时仔细检查vpn和路由,这根本就不是什么问题。