Cisco 2811 + Catalyst

[user]

после достаточно продвинутых статей про freebsd

Я смотрю у тебя CCIE?

вы часто ищете рецепты варки сосисок или заваривания чая в пакетиках? задача ведь описана примерно такого же уровня, зачем тут сарказм про ccie?

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[zingel]

часто ищу, да, мало того я повар ещё.

[DeatherT]

Вот только не понял зачем STP отключать.... Это как то не принято (имхо) Легче решить проблему с loopback.
natan, где ты там усмотрел native'ы? Их там как раз вообще нет.

Несколько грамотнее будет так (имхо)

Интерфейсу Fa0/1 роутера присвоить IP адрес (это и будет native vlan, по умолчанию vlan 1 и он не тегируется меткой vlan'а) и создать на 2960 interface vlan 1 с IP адресом из диапазона, присвоенного на интерфейсе Fa0/1 роутера. Это даст возможность заходить на switch с целью изменения конфигурации. Если есть необходимость включить InterVlan routing, то необходимо указать на switch'е шлюз по умолчанию, командой ip default-gateway <ip интерфейса Fa0/1 роутера>

Если нет необходимости фильтровать vlan'ы, то команда switchport trunk allowed смысла не имеет.

Создание на свиче interface vlan 122, тоже смысла не имеет, т.к. интерфейс этого vlan уже есть на роутере Fa 0/1.122. Нужно только определить vlan 122 и (по желанию) его имя и далее определить какие физические интерфейсы относятся к данному vlan'у.

Код: Выделить всё

!
interface FastEthernet0/1
description Trunk port for catalyst
ip address 172.16.1.1 255.255.255.0
duplex auto
speed auto
!
interface FastEthernet0/1.122
description SubInterface for SOMENET on vlan 122
encapsulation dot1Q 122
ip address 172.16.122.1 255.255.255.0
ip virtual-reassembly
no snmp trap link-status
!
.............................................

Принято, то номер Vlan'а должен быть как то отображен в IP адресации этого Vlan'а. Так проще потом разбираться с проблемами.

Теперь на коммутаторе (вариант без фильтрации vlan):
...................................
!
interface GigabitEthernet0/1
description Smotrit na router
switchport mode trunk
!
..........................................
!
interface FastEthernet0/22
description Smotrit v SOMENET
switchport access vlan 122
switchport mode access
!
..........................................
!
Vlan122
 name SOMENET

ip default-gateway 172.16.1.1

Interface valn 1
 ip address 172.16.1.11 255.255.255.0
 no shutdown
!

Останется только добавить настройки line vty для доступа из любой точки сети по телнет и/или ssh.

P.S. Но честно говоря, цена 2960 не такая уж и маленькая и если есть необходимость в небольшом расширении, то можно купить модуль HWIC или NM от 4 до 16 портов. В зависимости от поставленной задачи это будет дешевле..

[Kuzya]

Смотрел FreeBSD напрямую в интернет - было счастие.
Подключил, руководствуясь статьёй, Cisco 2801 + Catalyst 2950.
2801 - один порт в Интернет, на другом Vlan с телефонами, SIP от провайдера, внутренняя сеть и белая подсеть в которой вышеупомянутый FreeBSD сервер.
Всё работает замечательно, за некоторым исключением: Squid стал жутко тормозить, особенно на страницах где много маленьких картинок, наиболее яркий пример lenta.ru. Тем нем менее, через NAT на этом же сервере всё работает нормально. Ну и ещё при отправке почты иногда случается отмирание передачи по таймауту: Remote host ..... closed connection in response to end of data

Фрагментированных пакетов нет, ошибок на интерфейсах коммутатора тоже.
Куда копать?

[zingel]

Код: Выделить всё

sh proc cpu

Код: Выделить всё

sh diag

Код: Выделить всё

sh ip acc

[Laa]

Смотрел FreeBSD напрямую в интернет - было счастие.
Подключил, руководствуясь статьёй, Cisco 2801 + Catalyst 2950.
2801 - один порт в Интернет, на другом Vlan с телефонами, SIP от провайдера, внутренняя сеть и белая подсеть в которой вышеупомянутый FreeBSD сервер.
Всё работает замечательно, за некоторым исключением: Squid стал жутко тормозить, особенно на страницах где много маленьких картинок, наиболее яркий пример lenta.ru. Тем нем менее, через NAT на этом же сервере всё работает нормально. Ну и ещё при отправке почты иногда случается отмирание передачи по таймауту: Remote host ..... closed connection in response to end of data

Фрагментированных пакетов нет, ошибок на интерфейсах коммутатора тоже.
Куда копать?

покажите

show int Fa0/X (тот интерфейс который включен к провайдеру и тот в который включен squid)
sh run int Fa0/X (для тех же случаев)
sh int f0/X (физический порт каталиста куда включен сквид)
ifconfig INT (порт на сервере со сквидом)

До этого работой сквида довольны были? Или и раньше тормозил?
Не происходит ли двойная трансляция адресов?

[Kuzya]

К провайдеру

Код: Выделить всё

show int Fa0/1
FastEthernet0/1 is up, line protocol is up
  Hardware is Gt96k FE, address is 0017.95fc.00d7 (bia 0017.95fc.00d7)
  Internet address is XX.XX.XX.22/30
  MTU 1500 bytes, BW 10000 Kbit/sec, DLY 1000 usec,
     reliability 255/255, txload 1/255, rxload 1/255
  Encapsulation ARPA, loopback not set
  Keepalive set (10 sec)
  Full-duplex, 10Mb/s, 100BaseTX/FX
  ARP type: ARPA, ARP Timeout 04:00:00
  Last input 00:00:02, output 00:00:00, output hang never
  Last clearing of "show interface" counters never
  Input queue: 0/75/187/0 (size/max/drops/flushes); Total output drops: 0
  Queueing strategy: fifo
  Output queue: 0/40 (size/max)
  5 minute input rate 7000 bits/sec, 7 packets/sec
  5 minute output rate 9000 bits/sec, 11 packets/sec
     6726892 packets input, 2282665451 bytes
     Received 0 broadcasts, 0 runts, 0 giants, 187 throttles
     0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored
     0 watchdog
     0 input packets with dribble condition detected
     6662108 packets output, 833177908 bytes, 0 underruns
     0 output errors, 0 collisions, 2 interface resets
     1 unknown protocol drops
     1 unknown protocol drops
     0 babbles, 0 late collision, 0 deferred
     0 lost carrier, 0 no carrier
     0 output buffer failures, 0 output buffers swapped out

Конфигурация порта

Код: Выделить всё

show run int Fa0/1
!
interface FastEthernet0/1
 ip address XX.XX.XX.22 255.255.255.252
 ip information-reply
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 duplex auto
 speed auto
 no cdp enable
 crypto map msk
end

Во внутрь

Код: Выделить всё

show int Fa0/0
FastEthernet0/0 is up, line protocol is up
  Hardware is Gt96k FE, address is 0017.95fc.00d6 (bia 0017.95fc.00d6)
  MTU 1500 bytes, BW 100000 Kbit/sec, DLY 100 usec,
     reliability 255/255, txload 1/255, rxload 1/255
  Encapsulation 802.1Q Virtual LAN, Vlan ID  1., loopback not set
  Keepalive set (10 sec)
  Full-duplex, 100Mb/s, 100BaseTX/FX
  ARP type: ARPA, ARP Timeout 04:00:00
  Last input 00:00:00, output 00:00:00, output hang never
  Last clearing of "show interface" counters never
  Input queue: 0/75/1/0 (size/max/drops/flushes); Total output drops: 0
  Queueing strategy: fifo
  Output queue: 0/40 (size/max)
  5 minute input rate 9000 bits/sec, 11 packets/sec
  5 minute output rate 7000 bits/sec, 8 packets/sec
     11494521 packets input, 1786620495 bytes
     Received 241918 broadcasts, 0 runts, 0 giants, 1 throttles
     0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored
     0 watchdog
     0 input packets with dribble condition detected
     12225344 packets output, 3259608474 bytes, 0 underruns
     0 output errors, 0 collisions, 7 interface resets
     20165 unknown protocol drops
     20165 unknown protocol drops
     0 babbles, 0 late collision, 0 deferred
     0 lost carrier, 0 no carrier
     0 output buffer failures, 0 output buffers swapped out

Конфигурация порта

Код: Выделить всё

show run int Fa0/0
interface FastEthernet0/0
 no ip address
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 no ip mroute-cache
 speed auto
 full-duplex
 no mop enabled
end

show run int Fa0/0.182
!
interface FastEthernet0/0.182
 description -= FreeBSD VLAN =-
 encapsulation dot1Q 182
 ip address XX.XX.XX.181 255.255.255.252
 no ip mroute-cache
end

Порты на каталисте

Код: Выделить всё

sh int F0/1
FastEthernet0/1 is up, line protocol is up (connected)
  Hardware is Fast Ethernet, address is 001d.71e4.4d81 (bia 001d.71e4.4d81)
  Description: -= smotrit na 2801 =-
  MTU 1500 bytes, BW 100000 Kbit, DLY 100 usec,
     reliability 255/255, txload 1/255, rxload 1/255
  Encapsulation ARPA, loopback not set
  Keepalive set (10 sec)
  Full-duplex, 100Mb/s, media type is 100BaseTX
  input flow-control is unsupported output flow-control is unsupported
  ARP type: ARPA, ARP Timeout 04:00:00
  Last input 00:00:07, output 00:00:00, output hang never
  Last clearing of "show interface" counters never
  Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 0
  Queueing strategy: fifo
  Output queue: 0/40 (size/max)
  5 minute input rate 9000 bits/sec, 9 packets/sec
  5 minute output rate 10000 bits/sec, 12 packets/sec
     5639297 packets input, 1659708678 bytes, 0 no buffer
     Received 46024 broadcasts (0 multicast)
     0 runts, 0 giants, 0 throttles
     0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored
     0 watchdog, 45900 multicast, 0 pause input
     0 input packets with dribble condition detected
     5852735 packets output, 958809512 bytes, 0 underruns
     0 output errors, 0 collisions, 2 interface resets
     0 babbles, 0 late collision, 0 deferred
     0 lost carrier, 0 no carrier, 0 PAUSE output
     0 output buffer failures, 0 output buffers swapped out

sh int F0/3
FastEthernet0/3 is up, line protocol is up (connected)
  Hardware is Fast Ethernet, address is 001d.71e4.4d83 (bia 001d.71e4.4d83)
  Description: -= DMZ FreeBSD =-
  MTU 1500 bytes, BW 100000 Kbit, DLY 100 usec,
     reliability 255/255, txload 1/255, rxload 1/255
  Encapsulation ARPA, loopback not set
  Keepalive set (10 sec)
  Full-duplex, 100Mb/s, media type is 100BaseTX
  input flow-control is unsupported output flow-control is unsupported
  ARP type: ARPA, ARP Timeout 04:00:00
  Last input never, output 00:00:01, output hang never
  Last clearing of "show interface" counters never
  Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 0
  Queueing strategy: fifo
  Output queue: 0/40 (size/max)
  5 minute input rate 10000 bits/sec, 12 packets/sec
  5 minute output rate 9000 bits/sec, 10 packets/sec
     2646752 packets input, 373802394 bytes, 0 no buffer
     Received 147 broadcasts (0 multicast)
     0 runts, 0 giants, 0 throttles
     0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored
     0 watchdog, 0 multicast, 0 pause input
     0 input packets with dribble condition detected
     2742180 packets output, 1077239918 bytes, 0 underruns
     0 output errors, 0 collisions, 2 interface resets
     0 babbles, 0 late collision, 0 deferred
     0 lost carrier, 0 no carrier, 0 PAUSE output
     0 output buffer failures, 0 output buffers swapped out

Конфигурация порта

Код: Выделить всё

sh run int F0/1
!
interface FastEthernet0/1
 description -= smotrit na 2801 =-
 switchport trunk allowed vlan 2,50,182,849
 switchport mode trunk
 mls qos trust cos
end

sh run int F0/3
!
interface FastEthernet0/3
 description -= DMZ FreeBSD =-
 switchport access vlan 182
 switchport trunk allowed vlan 182
 switchport mode access
 spanning-tree portfast
end

На сервере

Код: Выделить всё

 ifconfig vr0
vr0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
        options=2808<VLAN_MTU,WOL_UCAST,WOL_MAGIC>
        ether 00:19:5b:3e:63:ce
        inet XX.XX.XX.182 netmask 0xfffffffc broadcast XX.XX.XX.183
        media: Ethernet autoselect (100baseTX <full-duplex>)
        status: active

До этого со сквидом всё было нормально. Вроде не должно ничего натиться. У сервера белый IP, маршрут прописан.

[Laa]

Ну я бы еще попробовал бы жестко указать дуплекс и скорость на сервере и на порту каталиста. Попробовать разные варианты 10.100, полный и халф.

Кстати, потерь от сервера со сквидом до 28хх циски нет?

Не может быть физ. порт каталист-циска28хх перегружен под 100мбит? В нем же кучка вланов болтается. Судя по листингам -- нагрузка пустяковая, но это сейчас...

И мне не нравится вот это из вашего линка к провайдеру:

Input queue: 0/75/187/0 (size/max/drops/flushes); Total output drops: 0

[Kuzya]

Баловство со скоростью и дуплексом ни к чему не привело.
Порт каталист-циска28хх перегружен быть не должен, т.к. через него ходит: 1 линия SIP к провайдеру телефонии, ~20 IP телефонов ну и сам сервер, который на 10Мб конекте жил замечательно.
Попробую связаться с провайдером, посмотреть не ругается ли его оборудование.

[Kuzya]

Ура!!!!
Спасибо всем кто помогал.
Всё решилось установкой параметра tcp_extensions="NO"

[Laa]

А где вы этот параметр поставили? В сквиде такого нет, в циске не так....

[Camelot]

Скорее всего в етц / рц.конф-е, ибо в дефолтсах оно включено.

Код: Выделить всё

[root@life-in ~]# grep tcp_extensions /etc/defaults/rc.conf
tcp_extensions="YES"            # Set to NO to turn off RFC1323 extensions.

[PavelPP]

Здравствуйте.
В данной ветке обсуждается очень полезная функция.
Спасибо Вам.

Она позволила мне настроить HSRP на всех интерфейсах маршрутизатора, и добавить второй резервный маршрутизатор.
То есть есть один Catalyst, в который подключается Интернет, сервера,... и имеется два маршрутизатора, подключенные к этому Catalyst через Trunk. Если выключить основной маршрутизатор, то начинает работать резервный.

НО!
Теперь возникла необходимость резервировать дальше. Развить схему…
Необходимо добавить второй Каталист.
(Два маршрутизатора, и каталиста два).
Чтоб оба каталиста задействовать планировал использовать STP (Rapid STP), но обнаружил, что на маршрутизаторе 2811 (и других) не работает STP при использовании данной конфигурации:

Конфигурация маршрутизатора 2811:

Код: Выделить всё

    interface FastEthernet0/1
    description Trunk port for catalyst
    no ip address
    !
    interface FastEthernet0/1.122
    description **vlan 122**
    encapsulation dot1Q 122
    ip address 172.16.1.2 255.255.255.0
    standby 122 ip 172.16.1.1
    standby 122 priority 200
    standby 122 preempt

Код: Выделить всё

#sh spanning-tree 
No spanning tree instances exist.

-----
А вот если бы настраивать аналогичную конфигурацию на каком-нибудь свичевом интерфейсе маршрутизатора, через интерфейс VLAN, то STP работает:

Конфигурация маршрутизатора 2811 (Trunk на Свичевом интерфейсе):

Код: Выделить всё

   interface FastEthernet 1/7
    no ip address
    switchport mode trunk
    switchport trunk encapsulation dot1q 
    switchport trunk allowed vlan add 122
   !
   int vlan 122
   ip address 172.16.1.2 255.255.255.0

----
Как сделать, чтобы на маршрутизаторе 2811 заработал STP на под-интерфейсе ??? :
interface FastEthernet0/1.122 encapsulation dot1Q 122

Похоже, что маршрутизаторы Cisco знают только STP, но не знают Rapid PVST, PVST. Кто-нибудь знает точно?
Может кто то сможет поделиться опытом реализации схемы 2 маршрутизатора с HSRP, 2 каталиста подключенные к маршрутизаторам через Trunk? Чтобы другие устройства (свичи) подключать сразу к обеим каталистам, а какой из каталистов будет активным решит STP.

Или там не нужен STP??linux

[lap]

На роутере это не нужно.