Rozwi zywanie problemów z Cat2/3xxx © 2006 Cisco Systems

1© 2006 Cisco Systems, Inc. All rights reserved.Rozwiązywanie problemów z Cat2/3xxx

TEMAT:Rozwiązywanie problemów w sieciachRozwiązywanie problemów w sieciach wykorzystujących przełączniki Cisco Catalyst 29xx/3xx0

Łukasz Bromirski _

Agenda

I t f j d ł t i bl fi

Agenda

• Interfejsy, moduły optyczne i problemy fizyczne• Przekazywanie pakietów i routing IP• Multicasty• Filtrowanie ruchuFiltrowanie ruchu• QoS• Mechanizm VRF-lite• Inne


Agenda


Agenda



Gdzie szukać problemu?Gdzie szukać problemu?

• Błędy na interfejsachuszkodzony port, GBIC/SFP, okablowanie, nadsubskrypcja

• Błąd w konfiguracjiACL, VLAN, trunk, channel, prędkość/duplex itp.p ę p p

• Wpisy L2 MAC / L3 IP/ARPSpanning tree protokoły routingu inne• Spanning tree, protokoły routingu, inne funkcjonalnościP bl ł iki• Problemy poza przełącznikiem

topologia, nieprzemyślany i nieskalowalny projekt


• Sprzętowy switching (ASIC)/CPU

show interface [ ]show interface [...]3550# show interface statusPort Name Status Vlan Duplex Speed Typep p ypFa0/1 Server‐B1 notconnect 2 full 100 100BaseTXFa0/2 notconnect routed half 100 100BaseTXFa0/3 connected 1 a‐full a‐100 100BaseTX

3550# show interfaces countersPort InOctets InUcastPkts InMcastPkts InBcastPktsFa0/1 5437425 2103 67463 453Fa0/2 0 0 0 0Fa0/2 0 0 0 0[...]Port OutOctets OutUcastPkts OutMcastPkts OutBcastPktsFa0/1 0 0 0 0Fa0/2 0 0 0 0Fa0/2 0 0 0 0

• Podstawowe informacje – konfiguracja, j g j ,autonegocjacja, aktualny tryb działania

• Liczniki ruchu – 0 oznacza zwykle problem


y p

show interface [ ]show interface [...]

3550# show interface statusPort Name Status Vlan Duplex Speed TypeFa0/1 Server‐B1 notconnect 2 full 100 100BaseTXFa0/2 VLAN16‐NIE‐UZYWAC! notconnect routed half 100 100BaseTXFa0/3 Do_DMZ connected 1 a‐full a‐100 100BaseTX

3550# show interfaces countersPort InOctets InUcastPkts InMcastPkts InBcastPktsFa0/1 5437425 2103 67463 453Fa0/2 0 0 0 0[...]Port OutOctets OutUcastPkts OutMcastPkts OutBcastPktsFa0/1 0 0 0 0Fa0/2 0 0 0 0

3550# show interfaces counters errorsPort Align‐Err FCS‐Err Xmit‐Err Rcv‐Err UnderSizegFa0/1 0 0 0 0 0Port Single‐Col Multi‐Col Late‐Col Excess‐Col Carri‐Sen Runts GiantsFa0/1 0 0 0 0 0 0 0Fa0/2 0 0 0 0 0 0 0


show interface [ ]show interface [...]3550# show interface fastEthernet 0/1FastEthernet0/1 is up line protocol is upFastEthernet0/1 is up, line protocol is up

Hardware is Fast Ethernet, address is 0012.01b4.8981 (bia 0012.01b4.8981)Description: 7206‐ge0/1‐pvc0/35MTU 1500 bytes, BW 100000 Kbit, DLY 100 usec,

[...]Auto‐duplex, Auto‐speed, media type is 10/100BaseTXinput flow‐control is off, output flow‐control is unsupported ARP type: ARPA, ARP Timeout 04:00:00Last input 5d22h, output 5d22h, output hang neverLast clearing of "show interface" counters neverLast clearing of show interface counters neverInput queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 0

[...]5 minute input rate 0 bits/sec, 0 packets/sec5 minute output rate 0 bits/sec, 0 packets/sec

60963 packets input, 4230976 bytes, 0 no bufferReceived 1192 broadcasts (0 multicast)0 runts, 0 giants, 0 throttles0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored0 watchdog 1141 multicast 0 pause input0 watchdog, 1141 multicast, 0 pause input0 input packets with dribble condition detected97617 packets output, 33123787 bytes, 0 underruns0 output errors, 0 collisions, 1 interface resets0 babbles, 0 late collision, 0 deferred


, ,0 lost carrier, 0 no carrier, 0 PAUSE output0 output buffer failures, 0 output buffers swapped out

http://www.cisco.com/warp/public/473/164.html#show_interface

show controller ethernet-controllershow controller ethernet-controller

3750# sh controllers ethernet‐controller ?3750# show controllers ethernet‐controller gig 0/1

Transmit GigabitEthernet0/1 Receive3750# sh controllers ethernet controller ?

FastEthernet FastEthernet IEEE 802.3GigabitEthernet GigabitEthernet IEEE 802.3zphy show PHY registers

i h i f

Transmit GigabitEthernet0/1 Receive26735655 Bytes 17910501 Bytes

36822 Unicast frames 28273 Unicast frames154690 Multicast frames 198913 Multicast frames

2618 Broadcast frames 111 Broadcast frames0 Discarded frames 9028 No dest, unicast0 T ld f 38 N d t lti tport‐asic Show Port‐ASIC info 0 Too old frames 38 No dest, multicast0 Deferred frames 0 No dest, broadcast0 1 collision frames0 2 collision frames 0 FCS errors0 3 collision frames 0 Oversize frames0 4 collision frames 0 Undersize frames0 5 collision frames 0 Collision fragments0 6 collision frames0 7 collision frames 89805 Minimum size frames0 8 collision frames 139887 65 to 127 byte frames0 9 collision frames 4019 128 to 255 byte frames0 10 collision frames 2124 256 to 511 byte frameshttp://www cisco com/warp/public/ 0 10 collision frames 2124 256 to 511 byte frames0 11 collision frames 528 512 to 1023 byte frames0 12 collision frames 0 1024 to 1518 byte frames0 13 collision frames0 14 collision frames 0 Flooded frames0 15 collision frames 0 Overrun frames

i lli i fil d f

http://www.cisco.com/warp/public/473/164.html#show_controllers

0 Excessive collisions 1 VLAN filtered frames0 Late collisions 0 Source routed frames0 Good (1 coll) frames 0 Valid oversize frames0 Good(>1 coll) frames 0 Pause frames0 Pause frames 0 Symbol error frames0 VLAN discard frames 0 Invalid frames, too large


, g0 Excess defer frames 0 Valid frames, too large0 Too large frames 0 Invalid frames, too small

17426 64 byte frames 0 Valid frames, too small147628 127 byte frames

show interface [ ] capabilitiesshow interface [...] capabilities

3550# show interfaces gigabitethernet0/1 capabilitiesGigabitEthernet0/1

Model: WS‐C3550‐24‐PWRType: 1000BaseSX

dSpeed: 1000Duplex: fullTrunk encap. type: 802.1Q,ISLTrunk mode: on,off,desirable,nonegotiateChannel: yesChannel: yesBroadcast suppression: percentage(0‐100)Flowcontrol: rx‐(off,on,desired),tx‐(off,on,desired)Fast Start: yesQOS scheduling: rx‐(1q0t),tx‐(4q2t),tx‐(1p3q2t)CoS rewrite: yesToS rewrite: yesUDLD: yesInline power: noSPAN: source/destinationSPAN: source/destinationPortSecure: yesDot1x: yes


Port nie uruchamia się natychmiastowoPort nie uruchamia się natychmiastowo

• Pełne podniesienie interfejsu zajmuje normalnie około 30-45 sekund

• Rzeczy o których należy pamiętać:porty domyślnie negocjują rodzaj (trunk/access) - DTPproces STP określa tryb pracy portu

c3560(config)# interface range fastethernet 0/1 24c3560(config)# interface range fastethernet 0/1 ‐ 24c3560(config‐if)# switchport host

switchport mode will be set to accessswitchport mode will be set to accessspanning‐tree portfast will be enabledchannel group will be disabled


Funkcjonalność UDLDUnidirectional Link DetectionUnidirectional Link Detection

Z d i d UDLD?Za co odpowiada UDLD? • Wykrywa połączenia

jednokierunkowe

TX RX jednokierunkowe

• Pracuje w oparciu o warstwę drugą Uszkodzony SFP?

Źle wykonana instalacja?

• Tryb normalny:wykrywa źle połączone RX/TX na łączach optycznych

RX

TX

a ąc ac optyc yc

• Tryb agresywny:wykrywa źle połączone RX/TX

ł h t hna łączach optycznych oraz połączenia jednokierunkowe

C3750‐6# sh int ge6/1


C3750‐6# sh int ge6/1GigabitEthernet6/1 is up, line protocol is up

Funkcjonalność UDLDUruchomienie na portach optycznychUruchomienie na portach optycznych

• UDLD włączamy globalnie – po obu stronach!• Opcjonalnie per-interfejs możliwość włączenia p j p j ą

trybu agresywnego i ustalenia zwłoki w ramkach hello

3750‐6(config)# udld enable( )3750‐6(config)# interface gigabitEthernet 6/1

3750‐6(config‐if)# udld aggressive3750‐6(config‐if)# udld message‐time 1


Funkcjonalność UDLDCzy UDLD pracuje prawidłowo?

c3750‐a# sh udld gigabitEthernet 1/1

Czy UDLD pracuje prawidłowo?

c3750 a# sh udld gigabitEthernet 1/1Interface Gi1/1‐‐‐Port enable administrative configuration setting: Enabled / in aggressive modePort enable operational state: Enabled / in aggressive modePort enable operational state: Enabled / in aggressive modeCurrent bidirectional state: BidirectionalCurrent operational state: Advertisement ‐ Single neighbor detectedMessage interval: 15Time out interval: 5e out te a : 5

Entry 1‐‐‐Expiration time: 35pDevice ID: 1Current neighbor state: BidirectionalDevice name: SAL06090FCJ Port ID: Gi1/1 /Neighbor echo 1 device: SAD044204Y8Neighbor echo 1 port: Gi1/1

Message interval: 5


gCDP Device name: c3750‐b

Funkcjonalność TDRTime Domain Reflector (Catalyst 3750/3560/2970/2960)Time Domain Reflector (Catalyst 3750/3560/2970/2960)

• Wykrywa problemy fizyczne z okablowaniem• Jeśli jedna z par jest przerwana, TDR może określić

odległość, na jakiej pojawiła się ta przerwa• Obsługiwane tylko na miedzianych portach

Ethernet 10/100/10003750# test cable‐diagnostics tdr interface gigabitEthernet 2/0/3TDR test started on interface Gi2/0/3TDR test started on interface Gi2/0/3 A TDR test can take a few seconds to run on an interface Use 'show cable‐diagnostics tdr' to read the TDR results.

3750# show cable‐diagnostics tdr interface gigabitEthernet 2/0/3TDR test last run on: April 02 05:55:20TDR test last run on: April 02 05:55:20

Interface Speed Local pair Pair length Remote pair Pair status‐‐‐‐‐‐‐‐‐ ‐‐‐‐‐ ‐‐‐‐‐‐‐‐‐‐ ‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐ ‐‐‐‐‐‐‐‐‐‐‐ ‐‐‐‐‐‐‐‐‐‐‐Gi2/0/3 1000M Pair A 4 +/‐ 10 meters Pair A Normal

Pair B 5 +/‐ 10 meters Pair B Normal


Pair C 4 +/‐ 10 meters Pair D NormalPair D 5 +/‐ 10 meters Pair C Normal

Switchporty i TrunkingSwitchporty i Trunking

2970# show int gig 0/3 switchport 2950# show interfaces fastEthernet 0/1 trunkName: Gi0/3Switchport: EnabledAdministrative Mode: dynamic autoOperational Mode: static accessAdministrative Trunking Encapsulation: negotiateO ti l T ki E l ti ti

Port Mode Encapsulation Status Native vlanFa0/1 desirable 802.1q trunking 1

Port Vlans allowed on trunkOperational Trunking Encapsulation: nativeNegotiation of Trunking: OnAccess Mode VLAN: 1 (default)Trunking Native Mode VLAN: 1 (default)Administrative Native VLAN tagging: enabledVoice VLAN: none

Port Vlans allowed on trunkFa0/1 1‐4094

Port Vlans allowed and active in management domainFa0/1 1‐2

Voice VLAN: noneAdministrative private‐vlan host‐association: noneAdministrative private‐vlan mapping: noneAdministrative private‐vlan trunk native VLAN: noneAdministrative private‐vlan trunk Native VLAN tagging: enabledAdministrative private‐vlan trunk encapsulation: dot1q

Port Vlans in spanning tree forwarding state and not prunedFa0/1 1‐2

Administrative private vlan trunk encapsulation: dot1qAdministrative private‐vlan trunk normal VLANs: noneAdministrative private‐vlan trunk private VLANs: noneOperational private‐vlan: noneTrunking VLANs Enabled: ALLPruning VLANs Enabled: 2‐1001gCapture Mode DisabledCapture VLANs Allowed: ALLProtected: falseUnknown unicast blocked: disabledUnknown multicast blocked: disabled


Appliance trust: none

Wzorce TCAM2960/2970 3550/3560/37502960/2970, 3550/3560/3750

3550# show sdm preferThe current template is the default templateThe current template is the default template.The selected template optimizes the resources inthe switch to support this level of features for16 routed interfaces and 1K VLANs.

number of unicast mac addresses: 6K show mac address‐table count|

Ile obecnie zajęte w ramach limitu?

number of igmp groups: 6K show mac address‐table multicast countnumber of qos aces: 2K show tcam qos [tcam #] statisticsnumber of security aces: 2K show tcam [inacl|outacl] [tcam #] statisticsnumber of unicast routes: 12K show ip cef summarynumber of multicast routes: 6K show ip mroute count

3750# show sdm preferThe current template is "desktop default" template.The selected template optimizes the resources inthe switch to support this level of features for8 routed interfaces and 1024 VLANs. |

Ile obecnie zajęte w ramach limitu?

number of unicast mac addresses: 6K show mac address‐table countnumber of igmp groups + multicast routes: 1K show ip 1gmp snooping multicast count

show ip mroute countnumber of unicast routes: 8K show ip route summary

number of directly connected hosts: 6K number of indirect routes: 2K

|

3550(config)# sdm prefer accessCh t th i S f h b t d b t t t k ff t til th t l d

number of indirect routes: 2Knumber of policy based routing aces: 0 show access‐listsnumber of qos aces: 512 show access‐listsnumber of security aces: 1K show platform acl usage [port asic #]


Changes to the running SDM preferences have been stored, but cannot take effect until the next reload.Use 'show sdm prefer' to see what SDM preference is currently active.

Wzorce TCAMNiezgodność konfiguracji SDM w stosie 3750Niezgodność konfiguracji SDM w stosie 3750

• 3750-12S skonfigurowany jako master stosug y j• Slave nie dołączą się do stosu zgłaszając niezgodność wzorca

SDM

3750‐12s# show switch

• Należy zmienić wzorzec SDM na 3750-12S na desktop

3750 12s# show switchSwitch# Role Mac Address Priority State‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐*2 Master 000a.fdfd.0100 5 Ready4 Member 0003.fd63.9c00 5 SDM Mismatch

%STACKMGR‐6‐SWITCH_ADDED_SDM:Switch 2 has been ADDED to the stack (SDM_MISMATCH)%SDM‐6‐MISMATCH_ADVISE:System (#2) is incompatible with the SDM%SDM‐6‐MISMATCH_ADVISE:template currently running on the stack and%SDM‐6‐MISMATCH ADVISE:will not function unless the stack is%SDM 6 MISMATCH_ADVISE:will not function unless the stack is%SDM‐6‐MISMATCH_ADVISE:downgraded. Issuing the following commands%SDM‐6‐MISMATCH_ADVISE:will downgrade the stack to use a smaller%SDM‐6‐MISMATCH_ADVISE:compatible desktop SDM template:%SDM‐6‐MISMATCH_ADVISE: "sdm prefer vlan desktop"% " l d"


%SDM‐6‐MISMATCH_ADVISE: "reload"

Wzorce TCAMRodzina 2960 ToyCAMRodzina 2960 – ToyCAM

• 2960 obsługuje dwa wzorce: domyślny i QoS2960 obsługuje dwa wzorce: domyślny i QoS• Należy przeładować przełącznik by nowe ustawienia

weszły w życiey y• Brak wsparcia dla wzorców ‘Routing’ i ‘VLAN’

Funkcjonalność2960 3560

DefaultDefault QoSIlość adresów MAC 8K 8K 6K

Ilość grup IGMP 256 256 1Kg p

ACE w ACL bezpieczeństwa 384 128 1K

ACE w ACL QoS 128 384 512


ACE w ACL QoS 128 384 512

Agenda


Agenda



show mac address-table2950# show mac address‐table dynamic

Mac Address Table

show mac address-table

2950# show mac address‐table count

Mac Entries for Vlan 2:

Mac Address Table‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐Vlan Mac Address Type Ports‐‐‐‐ ‐‐‐‐‐‐‐‐‐‐‐ ‐‐‐‐‐‐‐‐ ‐‐‐‐‐

2 0000.0c14.2553 DYNAMIC Gi0/1 Mac Entries for Vlan 2:‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐Dynamic Address Count : 8Static Address Count : 0Total Mac Addresses : 8

2 0000.0c45.41a0 DYNAMIC Gi0/12 0000.9294.01ed DYNAMIC Gi0/12 0001.42b2.6780 DYNAMIC Gi0/12 0006.5370.63c0 DYNAMIC Gi0/12 0006.5370.63d9 DYNAMIC Gi0/1

Mac Entries for Vlan 1:<output omitted>Total Mac Address Space Available: 8179

0006.53 0.63d C G 0/2 0009.43a7.bb00 DYNAMIC Gi0/12 0010.7b81.f66d DYNAMIC Gi0/11 0001.42b2.6788 DYNAMIC Gi0/11 0006.5370.63d9 DYNAMIC Gi0/11 0009 43a7 bb00 DYNAMIC Gi0/11 0009.43a7.bb00 DYNAMIC Gi0/1

Total Mac Addresses for this criterion: 11

2950# sh mac address‐table address 0000.0c14.2553Mac Address Table

‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐Vlan Mac Address Type Ports‐‐‐‐ ‐‐‐‐‐‐‐‐‐‐‐ ‐‐‐‐‐‐‐‐ ‐‐‐‐‐

2 0000.0c14.2553 DYNAMIC Gi0/1

3750# show mac address‐table aging‐timeVlan Aging Time‐‐‐‐ ‐‐‐‐‐‐‐‐‐‐

1 3002 300


2 0000.0c14.2553 DYNAMIC Gi0/1Total Mac Addresses for this criterion: 1

2 300

Gdzie przekażemy ramkę Ethernet?Catalyst 3550 sprzętowaCatalyst 3550 – sprzętowa

PC10006.52be.10c0

3550PC2

000c.30ae.4f01

FE0/3 FE0/1 Jak ramka z PC1 do PC2 zostałaby przekazana przez sprzęt w 3550?

3550‐24# show mac address‐table dynamicMac Address Table

VLAN1 VLAN1

‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐Vlan Mac Address Type Ports‐‐‐‐ ‐‐‐‐‐‐‐‐‐‐‐ ‐‐‐‐ ‐‐‐‐‐

1 0006.52be.10c0 DYNAMIC Fa0/31 0006.52be.10c2 DYNAMIC Fa0/31 000c 30ae 4f01 DYNAMIC Fa0/11 000c.30ae.4f01 DYNAMIC Fa0/1

Total Mac Addresses for this criterion: 3

In port SA mac DA mac| | |

3550 24# show forward fast 0/3 0006 52be 10c0 000c 30ae 4f013550‐24# show forward fast 0/3 0006.52be.10c0 000c.30ae.4f01got vlan 1, vlaninfo 9001<output omitted>Egress q 0using default sig_control_info 0x0000941Asignature: 00000000, comparison ind: 16, control info: 0000941A control map: 00000200


signature: 00000000, comparison ind: 16, control info: 0000941A control map: 00000200vlan: 1, vlanid entry: 000E0001 00000000 8C631044 00000000FastEthernet0/1 vlan 1, dst 000c.30ae.4f01 src 0006.52be.10c0, cos 0x0, dscp 0x

Gdzie przekażemy ramkę Ethernet?Catalyst 3750/3560/2960/2950 sprzętowa

Gi1/0/2 0006.52be.10c0VLAN1

Catalyst 3750/3560/2960/2950 – sprzętowa

3750# show switchCurrent

Switch# Role Mac Address Priority State‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐1 Slave 000c.30ae.4f00 9 Ready

*2 Master 000d.bd5c.1680 15 Ready

Gi2/0/2

VLAN1

000d.283d.7381VLAN1

3750# show mac address‐table dynamicMac Address Table

‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐Vlan Mac Address Type Ports

y3 Slave 000c.3065.7840 10 Ready

Vlan Mac Address Type Ports‐‐‐‐ ‐‐‐‐‐‐‐‐‐‐‐ ‐‐‐‐‐‐‐‐ ‐‐‐‐‐

1 0006.52be.10c0 DYNAMIC Gi1/0/21 0006.52be.10c1 DYNAMIC Gi1/0/21 000d.283d.7381 DYNAMIC Gi2/0/2

Total Mac Addresses for this criterion: 3Total Mac Addresses for this criterion: 3

In port SA mac DA mac3750# session 1 | | |3750‐1# show platform forward gi1/0/2 0006.52be.10c0 000d.283d.7381<output omitted>S it h 1Switch : 1 :‐‐‐‐‐‐‐‐‐‐‐‐Egress: Asic 2, switch 2‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐Lookup Key‐Used Index‐Hit A‐DataOutptACL 30 0000000D 283D7381 00 00000006 52BE10C0 01FFC 01000000


OutptACL 30_0000000D_283D7381‐00_00000006_52BE10C0 01FFC 01000000Port Vlan SrcMac DstMac Cos DscpvGi2/0/2 0001 0006.52BE.10C0 000D.283D.7381

Gdzie przekażemy ramkę Ethernet?L2 tracerouteL2 traceroute

Fa0/3 3750VLAN2Gig1/0/4 Gig2/0/3VLAN2 Fa0/23 Fa0/3 3750 2.2.2.3

000d.283d.73c1

Gig1/0/4 Gig2/0/335502.2.2.4

0012.442b.3fffVLAN2 2.2.2.1

Fa0/23

VLAN2 2.2.2.2

• Przełączniki obsługujące L2 traceroute muszą mieć uruchomione CDP

3750# traceroute mac ip 2.2.2.3 2.2.2.4 detailTranslating IP to mac .....2.2.2.3 => 000d.283d.73c12.2.2.4 => 0012.442b.3fff Z tabeli ARP

CDP

• Obsługiwany jest traceroute tylko dla adresów unicast

Source 000d.283d.73c1 found on 3750[WS‐C3750G‐16TD] (2.2.2.1)1 3750 / WS‐C3750G‐16TD / 2.2.2.1 :

Gi2/0/3 [auto, auto] => Gi1/0/4 [auto, auto]2 3550 / WS‐C3550‐24‐PWR / 2.2.2.2 :

Fa0/3 [auto, auto] => Fa0/23 [auto, auto]• Adresy muszą być

w tej samej podsieci/VLANie

• Maksymalna trasa

Fa0/3 [auto, auto] > Fa0/23 [auto, auto]Destination 0012.442b.3fff found on 3550[WS‐C3550‐24‐PWR] (2.2.2.2)Layer 2 trace completed.

3750# traceroute mac 000d.283d.73c1 0012.442b.3fff detail • Maksymalna trasa może mieć 10 hopów

Source 000d.283d.73c1 found on 3750[WS‐C3750G‐16TD] (2.2.2.1)1 3750 / WS‐C3750G‐16TD / 2.2.2.1 :

Gi2/0/3 [auto, auto] => Gi1/0/4 [auto, auto]2 3550 / WS‐C3550‐24‐PWR / 2.2.2.2 :

Fa0/3 [auto, auto] => Fa0/23 [auto, auto]( )


Destination 0012.442b.3fff found on 3550[WS‐C3550‐24‐PWR] (2.2.2.2)Layer 2 trace completed.

Czy działa routing IP?(czyli czy działa CEF)(czyli, czy działa CEF)

• Oczywiście zakładamy wprowadzenie ‘ip routing’ (nie jest domyślna!)

c3560‐dc# sh ip cef treeVRF Default tree information:MTRIE/RTREE storing IPv4 addresses9 entries (9/0 fwd/non‐fwd)Forwarding tree:Forwarding tree:Forwarding lookup routine: IPv4 mtrie 8‐8‐8‐8 optimized9 inserts, 0 deletes8‐8‐8‐8 stride patternshort mask protection enabled for <= 4 bits without process suspension9 leaves (252 bytes), 12 nodes (12480 bytes)14388 total bytesleaf ops: 9 inserts, 0 deletesleaf ops with short mask protection: 1 insert, 0 deletesper prefix length stats: lookup off insert off delete offper‐prefix length stats: lookup off, insert off, delete offrefcounts: 806 leaf, 795 nodenode pools:pool[C/8 bits]: 12 allocated (0 failed), 12480 bytes

Non‐Forwarding tree:


g9 inserts, 9 deletes0 leaves (0 bytes), 0 nodes (0 bytes)0 total bytes

Problem z routingiem IPCisco Catalyst 3750/3560/3550 część programowaCisco Catalyst 3750/3560/3550 – część programowa

3550‐2# show ip route 209.10.9.21 Software copy of theRouting entry for 209 10 9 0/24 Routing and ARP tablesRouting entry for 209.10.9.0/24 Routing and ARP tables

Known via "eigrp 1", distance 90, metric 156160, type internalRedistributing via eigrp 1Last update from 201.30.15.2 on GigabitEthernet0/12, 00:01:42 agoRouting Descriptor Blocks:* 201.30.15.2, from 201.30.15.2, 00:01:42 ago, via GigabitEthernet0/12

3550‐2# show ip arp 201.30.15.2Protocol Address Age (min) Hardware Addr Type InterfaceInternet 201.30.15.2 5 0090.2141.5427 ARPA GigabitEthernet0/12

3550‐2# show ip cef 209.10.9.21 detail Software copy of the209.10.9.0/24, version 19, epoch 0, cached adjacency 201.30.15.2 FIB and Adjacency tables0 packets, 0 bytes

via 201.30.15.2, GigabitEthernet0/12, 0 dependenciesnext hop 201.30.15.2, GigabitEthernet0/12 FE1/0/0 FE2/0/0

4500 Gig0/123550-2valid cached adjacency

3550‐2# show adjacency gigabitEthernet 0/12 detailProtocol Interface AddressIP GigabitEthernet0/12 201.30.15.2(7)

0 packets, 0 bytes

209.10.9.21

4500 3550 2

IP: 201.30.15.2Mac: 0090.2141.5427

201.30.15.10005.ddc5.8300

0 packets, 0 bytes0090214154270005DDC583000800ARP 03:49:45Epoch: 0

3550‐2# show interface gig 0/12GigabitEthernet0/12 is up, line protocol is up (connected)

Hardware is Gigabit Ethernet address is 0005 ddc5 8300 (bia 0005 ddc5 8300)


Hardware is Gigabit Ethernet, address is 0005.ddc5.8300 (bia 0005.ddc5.8300)Internet address is 201.30.15.1/24

Problem z routingiem IPCisco Catalyst 3750/3560 część sprzętowaCisco Catalyst 3750/3560 – część sprzętowa

Jak port Gig1/0/3 obsłuży przychodzący pakiet IP z adresu 172.1.1.2 do adresu172 1 3 2?172.1.3.2?

172 1 3 2

FE0/6 FE0/23550

IP 172 1 2 2 172 1 2 1 1 2 1 1 1 172 1 1 2

Gig2/0/1 Gig1/0/33750

In port SA mac DA mac SA IP DA IP protocol3750# session 1 | | | | | | 3750 1# h l tf f d i 1/0/3 0009 43 7 bb0 000d bd5 16 1 i 172 1 1 2 172 1 3 2 255

172.1.3.2 IP: 172.1.2.2Mac: 000b.462e.6f80

172.1.2.1000d.bd5c.16c6

172.1.1.1000d.bd5c.16c1

172.1.1.20009.43a7.bb00

3750‐1# show platform forward gig 1/0/3 0009.43a7.bb0 000d.bd5c.16c1 ip 172.1.1.2 172.1.3.2 255Global Port Number: 3, Asic Number: 1Src Real Vlan Id: 1006, Mapped Vlan Id: 18<output omitted>Egress: Asic 2, switch 2Output Packets:

3750‐1# show platform pm if‐numbersInterface gid gpn lpn port slot unit slun ‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐Output Packets:

‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐Packet 1Lookup Key‐Used Index‐Hit A‐Data

OutptACL 50_AC010302_AC010102‐00_00000000_0000FF00 01FFE 03000000Port Vlan SrcMac DstMac Cos Dscpv

Gi1/0/3 3 3 3 1/0 1 3 3

Port Vlan SrcMac DstMac Cos DscpvGi2/0/1 1009 XXXX.XXXX.02C6 000B.462E.6F80

3750# show switchCurrentSwitch# Role Mac Address Priority State

3750‐1# show vlan internal usageVLAN Usage‐‐‐‐ ‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐


‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐1 Slave 000c.30ae.4f00 9 Ready

*2 Master 000d.bd5c.1680 15 Ready1006 GigabitEthernet1/0/31009 GigabitEthernet2/0/1

Problem z routingiem IPCisco Catalyst 3750/3560 część sprzętowaCisco Catalyst 3750/3560 – część sprzętowa

Jak przełącznik #1 w stosie 3750 obsłuży pakiet wysłany do 172 1 3 2?Jak przełącznik #1 w stosie 3750 obsłuży pakiet wysłany do 172.1.3.2?

FE0/6 FE0/23550 Gig2/0/1 Gig1/0/33750

3750# session 1

172.1.3.2 IP: 172.1.2.2Mac: 000b.462e.6f80

172.1.2.1000d.bd5c.16c6

172.1.1.1000d.bd5c.16c1

172.1.1.20009.43a7.bb00

3750‐1# show platform ip unicast route 172.1.3.0 255.255.255.0Fib 172.1.3.0/24 Fibflag:0x0 Bucket:0

Path(0)AdjIP:172.1.2.2 Vl:1009 000b.462e.6f80 AdjFl:0x00 OI:0x1HL3UFlags:0x0SFT Entry:hdl:0x5A HwFL:0x4

3750‐1# show platform ip unicast adjacency 172.1.2.2172.1.2.2 Vlan:1009 Mac:000B:462E:6F80 OI:3 PDFlags:0x10 MAD:0x146DF6C(RWI:3) Ref:0

COMPLETE PIFlags:0x0 MAD OK MADProg OK Stn OK Mvid OK MvidLock VlLock:1009HLFM_hdl: 0x172AAC4, Stn:0x96

3750‐1# show vlan internal usageVLAN Usage‐‐‐‐ ‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐1006 GigabitEthernet1/0/3


1006 GigabitEthernet1/0/31009 GigabitEthernet2/0/1

Problem z routingiem IPCisco Catalyst 3550 część sprzętowaCisco Catalyst 3550 – część sprzętowa

Jak port GE0/10 na przełączniku 3550-2 obsłuży przychodzący pakiet IP z d 72 16 84 200 d d 209 10 9 21?

3550-2

adresu 72.16.84.200 pod adres 209.10.9.21?

FE1/0/0 FE2/0/04500 Gig0/12 Gig0/10

Port wejściowy Źródłowy MAC Docelowy MAC Źródłowe IP Docelowe IP Nr. protokół

209.10.9.21 IP: 201.30.15.2Mac: 0090.2141.5427

201.30.15.10005.ddc5.8300

172.16.84.2010005.ddc5.8300

172.16.84.2000009.43a7.bb00

j y y y p| | | | | |

3550‐2# show forward gig 0/10 0009.43a7.bb00 0005.ddc5.8300 ip 172.16.84.200 209.10.9.21 255

got vlan 1025, vlaninfo 8401signature: 00000007 comparison ind: 10 control info: 2000941A control map: 00000000signature: 00000007, comparison ind: 10, control info: 2000941A control map: 00000000vlan: 1025, vlanid entry: 00040007 00000000 88000000 00000000adjacency: ptr: 0x8 hash: 0 addr: 0xE898 data: E0002401 00902141 54270000<output omitted>lookup key bk adata rawoff secoff secroute 42AC1054C8D10A0915 000000000000000000 0 00078008 009794 000034 3GigabitEthernet0/12 vlan 1025, dst 0090.2141.5427 src 0005.ddc5.8300, cos 0x0, dscp 0x0

• Informacje powyżej używane są do wykonania h t ji ki t t t GE0/10 i

3550‐2# show vlan internal usageVLAN Usage


hermetyzacji pakietu otrzymanego z portu GE0/10 i wysyłanego do IP 209.10.9.21 przez 3550-2

g‐‐‐‐ ‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐1025 GigabitEthernet0/12

Agenda


Agenda



IP Multicast w przełącznikach CatalystIP Multicast w przełącznikach Catalyst

• Pełen multicastowy routing IP3750, 3560 i 3550 – tylko w EMI/IP Services

IGMP i• IGMP snoopingwszystkie

S CGMP• Serwer CGMP3750, 3560 i 3550 – tylko w EMI/IP Services

MVR (M lti t VLAN R i t ti )• MVR (Multicast VLAN Registration)wszystkie

IGMP Querier• IGMP Querier3750, 3560 3550 i 2970 od 12.2(25)SEA


http://www.cisco.com/en/US/tech/tk828/technologies_tech_note09186a0080122a70.shtml

Problemy z multicastowym routingiem IPCisco Catalyst 3750/3560/3550 część programowaCisco Catalyst 3750/3560/3550 – część programowa

Gig0/12 Gig0/11 FE/0/1 FE0/3 FE0/24

Multicast SourceSA 10.1.10.10

GDA 239.10.10.10

Gig0/12 Gig0/113550-2

VLAN210 1 2 2

VLAN3

FE/0/1 FE0/32950

FE0/243500XLFE0/23FE0/2

3550‐2# show ip mroute(*, 239.10.10.10), 01:00:56/stopped, RP 0.0.0.0, flags: DC

Incoming interface: Null, RPF nbr 0.0.0.0

3550‐2# show ip igmp interface vlan 3Vlan3 is up, line protocol is up

I t t dd i 10 1 3 1/24

(01-00-5e-0a-0a-0a) 10.1.2.2 10.1.3.2

g ,Outgoing interface list:Vlan3, Forward/Dense, 00:00:20/00:00:00Vlan2, Forward/Dense, 00:00:55/00:00:00

(10.1.10.10, 239.10.10.10), 00:55:25/00:02:58, flags: TIncoming interface: GigabitEthernet0/12 RPF nbr 0 0 0 0

Internet address is 10.1.3.1/24IGMP is enabled on interfaceCurrent IGMP host version is 2Current IGMP router version is 2CGMP is enabled on interfaceIGMP query interval is 60 secondsIncoming interface: GigabitEthernet0/12, RPF nbr 0.0.0.0

Outgoing interface list:Vlan3, Forward/Dense, 00:00:20/00:00:00, HVlan2, Forward/Dense, 00:00:55/00:00:00, H

IGMP querier timeout is 120 secondsIGMP max query response time is 10 secondsLast member query response interval is 1000 msInbound IGMP access group is not setIGMP activity: 10 joins, 9 leavesMulticast routing is enabled on interface

3550‐2# show ip igmp groupIGMP Connected Group MembershipGroup Address Interface Uptime Expires Last Reporter224.0.1.40 Vlan2 02:52:47 00:02:15 10.1.2.1239 10 10 10 Vl 3 00 00 04 00 02 55 10 1 3 2

Multicast routing is enabled on interfaceMulticast TTL threshold is 0Multicast designated router (DR) is 10.1.3.1 (this system)IGMP querying router is 10.1.3.1 (this system)No multicast groups joined


239.10.10.10 Vlan3 00:00:04 00:02:55 10.1.3.2239.10.10.10 Vlan2 01:25:52 00:02:22 10.1.2.2

3550‐2# debug ip igmp ‐> queries/reports, joins/leaves

Problemy z multicastowym routingiem IPCisco Catalyst 3750/3560 część sprzętowa

Gig1/0/3 Gig2/0/2 Gig0/1 Gig0/2 FE0/1

Cisco Catalyst 3750/3560 – część sprzętowa


GDA 239.10.10.10

Gig1/0/3 Gig2/0/23750

VLAN210 1 2 2

VLAN3

Gig0/1 Gig0/22970

FE0/12950

FE0/2Gig0/3

In port SA mac DA mac SA IP DA IP protocol3750# session 1 | | | | | | 3750‐1# show platform forward gig 1/0/3 0.0.1 0100.5e0a.0a0a ip 10.1.10.10 239.10.10.10 255

(01-00-5e-0a-0a-0a) 10.1.2.2 10.1.3.2

p g g / / pGlobal Port Number: 3, Asic Number: 1Src Real Vlan Id: 1006, Mapped Vlan Id: 19<output omitted>Egress: Asic 2, switch 2Port Vlan SrcMac DstMac Cos DscpvpGi2/0/2 0002 XXXX.XXXX.02C7 0100.5E0A.0A0AGi2/0/2 0003 XXXX.XXXX.02C8 0100.5E0A.0A0A

3750# show vlan internal usageVLAN Usage

3750# show platform pm if‐numbersinterface gid gpn lpn port slot unit slun port‐type

3750# show int vlan 2Hardware is EtherSVI, address is 000d.bd5c.16c7 (bia 000d.bd5c.16c7)

‐‐‐‐ ‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐1006 GigabitEthernet1/0/3

‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐Gi1/0/3 3 3 3 1/0 1 3 3 remote


3750# show int vlan 3Hardware is EtherSVI, address is 000d.bd5c.16c8 (bia 000d.bd5c.16c8)

Problemy z multicastowym routingiem IPCisco Catalyst 3550 część sprzętowaCisco Catalyst 3550 – część sprzętowa

Gig0/12 Gig0/11 FE/0/1 FE0/3 FE0/24


GDA 239.10.10.10

Gig0/12 Gig0/113550-2

VLAN210 1 2 2

VLAN3

FE/0/1 FE0/32950

FE0/243500XLFE0/23FE0/2

In port SA mac DA mac SA IP DA IP protocol| | | | | |

3550‐2# show forward gig 0/12 0.0.1 0100.5e0a.0a0a ip 10.1.10.10 239.10.10.10 255

(01-00-5e-0a-0a-0a) 10.1.2.2 10.1.3.2

g g pgot vlan 1025, vlaninfo 8401<output omitted>GigabitEthernet0/11 vlan 3, dst 0100.5e0a.0a0a src 0005.ddc5.8300, cos 0x0, dscp 0x0GigabitEthernet0/11 vlan 2, dst 0100.5e0a.0a0a src 0005.ddc5.8300, cos 0x0, dscp 0x0

3550‐2# show vlan internal usageVLAN Usage‐‐‐‐ ‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐1025 GigabitEthernet0/12

3550‐2# show interfaces vlan 2Vlan2 is up, line protocol is up

Hardware is EtherSVI, address is 0005.ddc5.8300 (bia 0005.ddc5.8300)

3550‐2# show interfaces vlan 3


3550 2# show interfaces vlan 3Vlan3 is up, line protocol is up

Hardware is EtherSVI, address is 0005.ddc5.8300 (bia 0005.ddc5.8300)

Problemy z multicastamiCisco Catalyst 2970/2960 część programowaCisco Catalyst 2970/2960 – część programowa

Gig1/0/3 Gig2/0/2 Gig0/1 Gig0/2 FE0/1


GDA 239.10.10.10

Gig1/0/3 Gig2/0/23750

VLAN210 1 2 2

VLAN3

Gig0/1 Gig0/22970

FE0/12950

FE0/2Gig0/3

2970# show ip igmp snooping<output omited>

2970# show ip igmp snooping mrouterVlan ports

(01-00-5e-0a-0a-0a) 10.1.2.2 10.1.3.2

<output omited>Vlan 2:‐‐‐‐‐‐‐‐IGMP snooping : EnabledImmediate leave : DisabledMulticast router learning mode : pim‐dvmrp

p‐‐‐‐ ‐‐‐‐‐

2 Gi0/1(dynamic)3 Gi0/1(dynamic)

g p pSource only learning age timer : 10CGMP interoperability mode : IGMP_ONLY

Vlan 3:‐‐‐‐‐‐‐‐

2970# show ip igmp snooping multicast dynamicVlan Group Address Type Version Port List‐‐‐‐ ‐‐‐‐‐‐‐‐‐‐‐‐‐ ‐‐‐‐ ‐‐‐‐‐‐‐ ‐‐‐‐‐‐‐‐‐2 239.10.10.10 IGMP v2 Gi0/1, Gi0/3

i / i /IGMP snooping : EnabledImmediate leave : DisabledMulticast router learning mode : pim‐dvmrpSource only learning age timer : 10CGMP interoperability mode : IGMP_ONLY<output omited>

3 239.10.10.10 IGMP v2 Gi0/1, Gi0/2

2970# show ip igmp snooping multicast countTotal number of multicast groups: 2


<output omited> Total number of multicast groups: 2

Problemy z multicastamiCisco Catalyst 2970/2960 część sprzętowaCisco Catalyst 2970/2960 – część sprzętowa

Gig1/0/3 Gig2/0/2 Gig0/1 Gig0/2 FE0/1


GDA 239.10.10.10

Gig1/0/3 Gig2/0/23750

VLAN210 1 2 2

VLAN3

Gig0/1 Gig0/22970

FE0/12950

FE0/2Gig0/3

2970# show platform ip igmp snooping hardwareVlan Group Address di atm sdi Switches‐‐‐‐ ‐‐‐‐‐‐‐‐‐‐‐‐‐ ‐‐ ‐‐‐ ‐‐‐ ‐‐‐‐‐‐‐‐

(01-00-5e-0a-0a-0a) 10.1.2.2 10.1.3.2

2 239.10.10.10 0x1AC7 0x20C4 0x009B 13 239.10.10.10 0x1AC5 0x20C2 0x0097 1

2970# show platform port‐asic dest‐map index 0x1ac7Ports: Gi0/3 Gi0/1Ports: Gi0/3 Gi0/1

2970# show platform port‐asic dest‐map index 0x1ac5Ports: Gi0/2 Gi0/1

In port In vlan SA mac DA mac SA IP DA IP protocolIn port In vlan SA mac DA mac SA IP DA IP protocol| | | | | | |

2970#sh plat forward gig 0/1 vlan 2 000d.bd5c.1682 0100.5e0a.0a0a ip 10.1.10.10 239.10.10.10 255<output omited>Lookup Key‐Used Index‐Hit A‐DataOutptACL 50 EF0A0A0A 0A010A0A‐00 00000000 0000FF00 01FFE 03000000


OutptACL 50_EF0A0A0A_0A010A0A 00_00000000_0000FF00 01FFE 03000000Port Vlan SrcMac DstMac Cos DscpvGi0/3 0002 000D.BD5C.1682 0100.5E0A.0A0A

Problemy z multicastamiCisco Catalyst 2950Cisco Catalyst 2950

Gig0/12 Gig0/11 FE/0/1 FE0/3 FE0/24


GDA 239.10.10.10

Gig0/12 Gig0/113550-2

VLAN210 1 2 2

VLAN3

FE/0/1 FE0/32950FE0/24 3550

FE0/23FE0/2

2950# show ip igmp snooping2950# show ip igmp snooping mrouterVlan ports

(01-00-5e-0a-0a-0a) 10.1.2.2 10.1.3.2

50 s o p g p s oop g<output omited>vlan 2‐‐‐‐‐‐‐‐‐‐IGMP snooping is globally enabledIGMP snooping is enabled on this VlanIGMP snooping immediate leave is enabled on this Vlan

Vlan ports‐‐‐‐ ‐‐‐‐‐

2 Fa0/1(dynamic)3 Fa0/1(dynamic)

IGMP snooping immediate‐leave is enabled on this VlanIGMP snooping mrouter learn mode is pim‐dvmrp on this VlanIGMP snooping is running in IGMP_ONLY mode on this Vlan

vlan 3‐‐‐‐‐‐‐‐‐‐IGMP snooping is globally enabled

2950# show mac address‐table multicastVlan Mac Address Type Ports‐‐‐‐ ‐‐‐‐‐‐‐‐‐‐‐ ‐‐‐‐ ‐‐‐‐‐

2 0100.5e0a.0a0a IGMP Fa0/1, Fa0/23 0100.5e0a.0a0a IGMP Fa0/1, Fa0/3

IGMP snooping is enabled on this VlanIGMP snooping immediate‐leave is disabled on this VlanIGMP snooping mrouter learn mode is pim‐dvmrp on this VlanIGMP snooping is running in IGMP_CGMP mode on this Vlan

<output omited>

2950# show mac address‐table multicast countVlan Mac Address Type Ports‐‐‐‐ ‐‐‐‐‐‐‐‐‐‐‐ ‐‐‐‐ ‐‐‐‐‐Total Number of Multicast Addresses: 2


Problemy z multicastamiCisco Catalyst 2950Cisco Catalyst 2950

Gig0/12 Gig0/11 FE/0/1 FE0/3 FE0/24


GDA 239.10.10.10

Gig0/12 Gig0/11

VLAN210 1 2 2

VLAN3

FE/0/1 FE0/3 FE0/24

FE0/23FE0/23550-2 2950 3500XL

Host 10.1.2.2 opuszcza grupę...

2950# debug ip igmp snooping group

(01-00-5e-0a-0a-0a) 10.1.2.2 10.1.3.2

2950# debug ip igmp snooping groupgroup debugging is on21:20:23: IGMPSN: group: Leave for group 239.10.10.10 received on Vlan 2, port Fa0/221:20:23: IGMPSN: group: Deleting port 1 from group 239.10.10.10 on Vlan 221:20:23: IGMPSN: group: Deleting group 239.10.10.1021:20:23: IGMPSN: group: Sending Leave for group 239.10.10.10 on Vlan 2 do routera multicastowego 355021 20 23 IGMPSN D l ti 0100 5 0 0 021:20:23: IGMPSN: group: Deleting gce 0100.5e0a.0a0a

2950# show mac address‐table multicastVlan Mac Address Type Ports‐‐‐‐ ‐‐‐‐‐‐‐‐‐‐‐ ‐‐‐‐ ‐‐‐‐‐

3 0100.5e0a.0a0a IGMP Fa0/1, Fa0/3

3550‐2# show ip mroute (można użyć ‘debug ip igmp’ by obejrzeć(10.1.10.10, 239.10.10.10), 03:32:17/00:02:59, flags: T proces usuwania/uzupełniania tablicy

Incoming interface: GigabitEthernet0/12, RPF nbr 0.0.0.0 na 3550)


Outgoing interface list:Vlan3, Forward/Dense, 00:00:07/00:00:00, H

IGMP QuerierCatalyst 3750/3560/3550/2970/2960)Catalyst 3750/3560/3550/2970/2960)

W d 12 2(25)SEA

Switch# show ip igmp snooping querier vlan 2 detailVlan IP Address IGMP Version Port

• Wprowadzony w 12.2(25)SEA(dowolny feature-set)

• Funkcjonalność IGMP Snooping pracuje w konkretnym VLANie bez

‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐2 10.1.1.65 v2 Switch

Global IGMP switch querier status‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐d i t t E bl d konkretnym VLANie bez

obecności routera multicastowego

• Wybieramy przełącznik L2 z najniższym adresem IP jako

admin state : Enabledadmin version : 2source IP address : 0.0.0.0query‐interval (sec) : 60max‐response‐time (sec) : 10querier timeout (sec) : 120 najniższym adresem IP jako

IGMP Querier• IGMP Querier generuje IGMP

General Query w regularnych odstępach czasu i w

querier‐timeout (sec) : 120tcn query count : 2tcn query interval (sec) : 10

Vlan 2: IGMP switch querier status‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐ ęp

odpowiedzi na pakiet IGMP Global Leave

• Parametry dla VLANu brane są pod uwagę przed parametrami

l b l i

elected querier is 10.1.1.65 (this switch is querier)‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐admin state : Enabledadmin version : 2source IP address : 10.1.1.65

globalnymi• Należy włączyć IGMP snooping

query‐interval (sec) : 60max‐response‐time (sec) : 10querier‐timeout (sec) : 120tcn query count : 2tcn query interval (sec) : 10


operational state : Querieroperational version : 2tcn query pending count : 0

Switch# debug condition vlan 2Switch# debug ip igmp snooping querier

Agenda


Agenda



Problemy z ACLProblemy z ACL

Sł kl ‘l ’ K i ki t j t ł d CPU (!)• Słowo kluczowe ‘log’: Kopia pakietu jest wysyłana do CPU (!)Użyj `no ip unreachables’ by zapobiec wysyłaniu pakietów do CPU

• Jeśli platforma sprzętowa osiągnie limit upakowania konfiguracji ACL, cała ACL będzie obsługiwana programowo (przez CPU)

informacja w logach zaczynająca się od FM‐3‐UNLOADING:

• Na platformie 2940/2950 ACL filtrujące MAC dotyczą całego ruchu (IP i nie-IP), na pozostałych platformach – tylko ruchu ( ), p y p ynie-IP

• Port ACLe przypisujemy do interfejsów fizycznych (L2) by filtrować ruch wchodzący do przełącznika (segmentu/VLANu)filtrować ruch wchodzący do przełącznika (segmentu/VLANu) lub wychodzący (na platformach 2960/3560/3750)

• VLAN mapy nie mają kierunku, dotyczą wszystkich pakietów –zarówno w ramach segmentu jak i wymienianych pomiędzy


zarówno w ramach segmentu jak i wymienianych pomiędzy VLANami

Catalyst 3550Skojarzenie interfejs<>TCAMSkojarzenie interfejs<>TCAM

Ilość Model podsystemów

TCAMUwagi

Catalyst 3550-24 1 Wszystkie interfejsy używają TCAM #1TCAM #1 odpowiada za FE0/1 0/36

Catalyst 3550-48 2TCAM #1 odpowiada za FE0/1–0/36

TCAM #2 odpowiada za FE0/37-48 i GE0/1-02TCAM #1 GE0/1-4

Catalyst 3550-12T 3 TCAM #2 GE0/5-0/8TCAM #3 GE0/9-12TCAM #1 GE0/1-4

Catalyst 3550-12G 3TCAM #1 GE0/1-4

TCAM #2 GE0/5-0/8TCAM #3 GE0/9-12

• Cztery ASICi obsługujące porty per TCAMJeden ASIC przypada na jeden port GE lub 12 portów 10/100


• Jeden ASIC przypada na jeden port GE lub 12 portów 10/100 FE

Catalyst 3550Rozwiązywanie problemów z ACLamiRozwiązywanie problemów z ACLami

3550‐2# show access‐listE t d d IP li t 102Extended IP access list 102

permit tcp host 172.16.84.200 host 209.10.9.21 eq wwwdeny ip any any

3550‐2(config)# interface gig 0/103550‐2(config‐if)# ip access‐group 102 in

3550 2# h f i t f i 0/103550‐2# show fm interface gig0/10Input Port Label: 1

3550‐12T: TCAM #3 obsługuje gig 0/10 172.16.84.200 = AC.10.54.C8 (hex)

3550‐2# show tcam inacl 3 port‐labels 1Label Value : 4097(port label 1)Number of entries : 9Entry List

3550 12T: TCAM #3 obsługuje gig 0/10 | 209.20.9.21 = D1.0A.09.15 (hex)

/32 host masks = FFFFFFFF (hex)Src port any = 0Dst port www(80) = 50 (hex)Entry List

‐‐‐‐‐‐‐‐‐‐[...]Mask Index : 5F5 FF FF FF FF FF FF FF FF FF 00 80 00 C0 00 00 FF FF

p ( ) ( )


Entry Index : 33 Timestamp: 494 AC 10 54 C8 D1 0A 09 15 81 00 00 00 80 00 00 00 50 As Data(hex) : 00000082

Catalyst 3550Rozwiązywanie problemów z ACLami

3550-12T: TCAM #3 obsługuje port gig 0/10

Rozwiązywanie problemów z ACLami

3550‐2# show tcam inacl 3 sizeIngress ACL TCAM Size: 3328 Entries

3550 12T: TCAM #3 obsługuje port gig 0/10|

3550‐2# show tcam inacl 3 statisticsIngress ACL TCAM#3: Number of active labels: 5Ingress ACL TCAM#3: Number of masks allocated: 17, available: 399Ingress ACL TCAM#3: Number of entries allocated: 35, available: 3293

3550‐2# show access‐lists hardware countersInput Drops: 127377 matches (10104503 bytes)Output Drops: 0 matches (0 bytes)Input Forwarded: 1383549 matches (116965172 bytes)Output Forwarded: 11561 matches (768998 bytes)Input Bridge Only: 0 matches (0 bytes)Bridge and Route in CPU: 0 matches (0 bytes)

( )


Route in CPU: 7890 matches (505774 bytes)

Catalyst 3550ACL nie mieści się w TCAMACL nie mieści się w TCAM

c3550(config)# int vlan 3 c3550(config‐if)# ip access‐group 191 in 00:37:51: %FM‐3‐UNLOADING: Unloading input vlan label 1 feature from all TCAMs g p

c3550# show tcam inacl 1 statisticsIngress ACL TCAM#1: Number of active labels: 6 Ingress ACL TCAM#1: Number of masks allocated: 14, available: 402 Ingress ACL TCAM#1: Number of entries allocated: 43, available: 3285

c3550# show fm vlan 3Input VLAN Label: 1 Output VLAN Label: 0 (default) Priority: normal

c3550# show tcam inacl 1 vlan‐labels 1Label Value : 8193(vlan label 1) Number of entries : 0


Catalyst 3750/3560/2960Skojarzenie interfejs-ASIC

3750# show platform pm if‐numbers

Skojarzenie interfejs-ASIC

interface gid gpn lpn port slot unit slun port‐type lpn‐idb gpn‐idb‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐Gi1/0/1 1 1 1 1/3 1 1 1 local Yes YesGi1/0/2 2 2 2 1/2 1 2 2 local Yes YesGi1/0/3 3 3 3 1/0 1 3 3 local Yes YesGi1/0/4 4 4 4 1/1 1 4 4 local Yes YesGi1/0/5 5 5 5 2/3 1 5 5 local Yes YesGi1/0/6 6 6 6 2/2 1 6 6 local Yes YesGi1/0/7 7 7 7 2/0 1 7 7 local Yes YesGi1/0/8 8 8 8 2/1 1 8 8 local Yes Yes[ ][...]

• Każdy z ASICów pracuje w jednym z dwóch trybów w zależności od modelu:

D t GE 24 t 10/100Dwa porty GE + 24 porty 10/100Cztery porty GE

• Każdy z ASICów ma swój TCAM (za wyjątkiem 3750G-12S, który ma dwa TCAMy na ASIC)


dwa TCAMy na ASIC)

Problemy z ACLCatalyst 3750/3560/2970/2960

3750# show access‐listsExtended IP access list 101 3750(config)# int gig 2/0/1

Catalyst 3750/3560/2970/2960

Extended IP access list 101permit tcp host 172.1.3.2 host 172.1.1.2 eq wwwdeny ip any any

3750(config)# int gig 2/0/13750(config‐if)#ip access‐group 101 in

Gig2/0/1 należy do mastera w stosie, sprawdzamy tablicę sprzętową – ponieważ on obsługiwać będzie wejściową ACLkę

3750# show platform tcam table acl=====================================================ACL Cam Table (#entries: 8192, startIndex: 13696)I d ACL CAM T bl ACL

172.1.3.2 = AC.1.3.2 (hex)172.1.1.2 = AC.1.1.2 (hex)/32 host masks = FFFFFFFF (hex)

on obsługiwać będzie wejściową ACLkę

Index ACL CAM Table ACL‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐<output omitted>mask‐> F8_FFFFFFFF_FFFFFFFF‐FF_CC00FFFF_0000000049 40_AC010102_AC010302‐01_80000050_00000000 03000000 L3 Input

Src port any = 0Dst port www(80) = 50 (hex)

3750# show platform acl interface gig 2/0/1Input Label: 1Output Label: 65535Priority: normal

3750# show platform tcam table acl index 49 detail <some output omitted>l3CamInputAclDescriptor Value Mask‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐

l3Destination: AC.01.01.02 FF.FF.FF.FFl3Source: AC.01.03.02 FF.FF.FF.FF


l3Source: AC.01.03.02 FF.FF.FF.FFl4Destination: 50 FFFFl4Source: 0 0

Problemy z ACLCatalyst 3750/3560/2970/2960

Port ASIC #

Catalyst 3750/3560/2970/2960

ACL d k j h3750# show platform acl statistics 2L2 ACL INPUT Statistics

Drop: frame count: 1Drop: bytes count: 64Bridge Only: frame count: 8701B id O l b t t 556864

• ACL dotykające ruchu wyjściowego przetwarzane są przez wyjściowy port (i ASIC) – w odróżnieniu od 3550, w którym wejściowy ASIC obsługujeBridge Only: bytes count: 556864

Forwarding To CPU: frame count: 1452Forwarding To CPU: bytes count: 550308

L3 ACL INPUT StatisticsDrop: frame count: 705901134

wejściowy ASIC obsługuje wszystko

• Kopia pakietu trafiającego w regułę ‘deny’ jest wysyłana do

Drop: frame count: 705901134Drop: bytes count: 1526497456Bridge Only: frame count: 0Bridge Only: bytes count: 0Forwarding To CPU: frame count: 0Forwarding To CPU: bytes count: 0

CPU z rate-limitem 20 p/s (nie wiemy na wyjściowym ASICu czy wejściowy miał ‘ip unreachables’)

Forwarding To CPU: bytes count: 0Forwarded: frame count: 39870408Forwarded: bytes count: 1212789576

etc...3750# show platform acl usage 2ACL Type Label Entries UsedL2INPUT 0 1

Port ASIC #

3750# show plat acl label 1 L2INPUT 0 11 1

L3INPUT 0 11 7

Used Available Total

3750# show plat acl label 1Input Op Select Index 255:Output Op Select Index 255:Input Features:

Interfaces or VLANs: Gi2/0/1Priority: normalVlan Map: (none), 0 VMRs.


Used Available TotalMask 25 999 1024Value 25 999 1024

p ( )Access Group: 101, 10 VMRs.Multicast Boundary: (none), 0 VMRs.

etc...

Problemy z VLAN mapąCatalyst 3750/3560/2970/2960

2970(config)#ip access‐list extended http2970(config‐ext‐nacl)#permit tcp host 10.1.1.32 host 10.1.1.34 eq www

Catalyst 3750/3560/2970/2960

2970(config ext nacl)#permit tcp host 10.1.1.32 host 10.1.1.34 eq www

2970(config)#vlan access‐map map2 102970(config‐access‐map)#match ip address http2970(config‐access‐map)#action drop

2970(config)#ip access‐list extended match_all2970(config‐ext‐nacl)#permit ip any any

2970(config)#vlan access‐map map2 202970(config‐access‐map)#match ip address match_all

( fi ) i f d2970(config‐access‐map)#action forward

2970(config)# vlan filter map2 vlan 1

2970# show platform tcam table aclp====================================================================mask‐> F8_FFFFFFFF_FFFFFFFF‐FF_CC00FFFF_0000000049 40_0A010122_0A010120‐01_80000050_00000000 00040000 L3 Input

kmask‐> F8_FFFFFFFF_FFFFFFFF‐FF_CC00FFFF_0000000096 50_0A010122_0A010120‐01_80000050_00000000 00040000 L3 Output

2970# show platform acl interface gig 0/2Input Label: 1

t t b l

2970# show interface gig 0/2 switchportSwitchport: Enabled

d (d f lt)


Output Label: 1Priority: normal

Access Mode VLAN: 1 (default)

ACL na 2960ACL na 2960

• ACL i QoS obsługiwane są sprzętowoACL i QoS obsługiwane są sprzętowo• Brak ograniczeń na IMASK/IPORT znanych z 2950• Te same funkcjonalności jak na 3560 z następującymi różnicami:• Te same funkcjonalności jak na 3560 z następującymi różnicami:

Funkcjonalność 2960 3560PACL Tak Tak

VACL Nie Tak

RACL Nie Tak

Dynamiczne ACLe Nie Tak

Dokładność wejściowego rate-limitu 1Mbit/s 8kbit/s

Policing per ASIC per VLAN Nie Tak


Policing per VLAN Nie Tak

Agenda


Agenda



Problemy z QoSCatalyst 2950 ruch wejściowyCatalyst 2950 – ruch wejściowy

2950# show mls qos int fast 0/4

dot1q dot1q2950# show mls qos int fast 0/4FastEthernet0/4trust state: trust dscptrust mode: trust dscpCOS override: disdefault COS: 0

DSCP 0 and 40 IP Traffic

2950FE0/4Trust DSCP Policer IPin

FE0/1Map CoS = 5 to Expedite Queue

pass‐through: nonetrust device: none

2950# show mls qos int fast 0/4 policersFastEthernet0/4 2950# show running‐config

!policymap=IPin

2950# show policy‐mapPolicy Map IPinclass ipclass1

!class‐map match‐all ipclass1

match access‐group 101!!class ipclass1

police 1000000 32768 exceed‐action drop

2950# show class‐mapClass Map match‐any class‐default (id 0)

M t h

policy‐map IPinclass ipclass1

police 1000000 32768 exceed‐action drop!Match any

Class Map match‐all ipclass1 (id 2)Match access‐group 101

2950# show access‐lists

!interface FastEthernet0/4switchport mode trunkservice‐policy input IPinmls qos trust dscp

!


Extended IP access list 101permit ip any any

! access‐list 101 permit ip any any

Problemy z QoSCatalyst 2950 ruch wyjściowyCatalyst 2950 – ruch wyjściowy

2950# h i fi

Expedite Queue #4

dot1q dot1q2950# show running‐config!wrr‐queue bandwidth 75 150 255 0wrr‐queue cos‐map 1 0 1wrr‐queue cos‐map 2 2 3wrr‐queue cos‐map 3 4

|Queue #4

DSCP 0 and 40 IP Traffic

2950FE0/4Trust DSCP Policer IPin

FE0/1Map CoS = 5 to Expedite Queue

2950# show mls qos maps dscp‐cos Bez policera:

q pwrr‐queue cos‐map 4 5 6 7

Queue #|

2950# show mls qos maps dscp cosDscp‐cos map:

dscp: 0 8 10 16 18 24 26 32 34 40 46 48 56‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐

cos: 0 1 1 2 2 3 3 4 4 5 5 6 7

Bez policera:

2950# show interface countersPort InOctets InUcastPkts InMcastPkts InBcastPktsFa0/4 1320000 20000 0 0Port OutOctets OutUcastPkts OutMcastPkts OutBcastPkts

/

2950# show wrr‐queue cos‐mapCoS Value : 0 1 2 3 4 5 6 7Priority Queue : 1 1 2 2 3 4 4 4

Fa0/1 1321992 20002 21 0

Z policerem:

2950# show wrr‐queue bandwidthWRR Queue : 1 2 3 4Bandwidth : 75 150 255 0

2950# show interface countersPort InOctets InUcastPkts InMcastPkts InBcastPktsFa0/4 1320000 20000 0 0Port OutOctets OutUcastPkts OutMcastPkts OutBcastPktsFa0/1 50798 743 27 0


Problemy z QoSCatalyst 3550 ruch wejściowy

3550# show running‐configmls qos

Catalyst 3550 – ruch wejściowydot1q dot1q

3550mls qosaccess‐list 1 permit 10.10.10.0 0.0.0.255access‐list 2 permit any

mls qos aggregate‐police 48kpolicer 48000 8000 exceed‐action policed‐dscp‐transmit

Ruch DSCP 0 z10.10.10.0 i ruch oznaczony DSCP 40

3550GEO/12Trust/Mark Agg Policer

GE 0/11Mapuj CoS = 5 na kolejkę expedite

mls qos map policed‐dscp 24 40 to 0

class‐map ipclass1match access‐group 1

class‐map ipclass2match access‐group 2

3550# show mls qos interface gig0/12 policersGigabitEthernet0/12policymap=ingress1type=Shared id=0 name=48kpolicer

y

match access group 2

policy‐map ingress1class ipclass1

set ip dscp 24police aggregate 48kpolicer

class ipclass2

type=Shared, id=0 name=48kpolicer

3550# show mls qos interface gig 0/12 statisticsGigabitEthernet0/12Ingressclass ipclass2

trust ip‐precedencepolice aggregate 48kpolicer

interface GigabitEthernet0/12switchport trunk encapsulation dot1q

Ingressdscp: incoming no_change classified policed dropped bytes0 : 960000 0 0 0 024: 0 0 960000 959424 040: 640000 640000 0 631552 0

Others: 0 0 0 0 0t t itt dswitchport mode trunk

flowcontrol send offmls qos monitor dscp 0 24 40service‐policy input ingress1

<egress output omitted>

• Ruch z 10.10.10.0 miał DSCP = 0, co zreklasyfikowano na DSCP 24 (CoS = 3)

Zarówno ruch z zaufanego DSCP 40 (CoS = 5) i ruch


• Zarówno ruch z zaufanego DSCP 40 (CoS = 5) i ruch poddany reklasyfikacj do DSCP 24 zostały następnie przycięte do 48kbit/s

Uwaga: Ustawienie trust w policy-mapie nadpisuje ustawienie interfejsu

Problemy z QoSCatalyst 3550 ruch wyjściowy

3550# show mls qos interface gig0/11 queueingGigabitEthernet0/11

Catalyst 3550 – ruch wyjściowydot1q dot1q

3550GigabitEthernet0/11Egress expedite queue: ena queue #4wrr bandwidth weights:qid‐weights1 – 75 jak często obsługujemy kolejke2 – 150 (współczynnik dla wrr)

DSCP 0 Traffic Sourced from 10.10.10.0 and

3550GEO/12Trust/Mark Agg Policer

GEO/11Map CoS = 5 to Expedite Queue

3550(config‐if)# int gig 0/11wrr‐queue cos‐map 4 5 6 7wrr‐queue bandwidth 75 150 255 500

3 ‐ 2554 ‐ 500 when expedite queue is disabled

<output omitted>Cos‐queue map:Cos‐qid5‐4 CoS 5 zamapowano do kolejki #4

DSCP 40 Traffic

Map CoS =5 to expedite queue

3550# show mls qos interface gig 0/11 statisticsGigabitEthernet0/11i i

priority‐queue outmls qos monitor dscp 0 24 40

p j

<ingress output omitted>Egress

dscp: incoming no_change classified policed dropped (in bytes)0 : 1591728 n/a n/a 0 024: 576 n/a n/a 0 040: 8448 n/a n/a 0 0

Ingress Policed DSCP 24 and 40 marked down to DSCP 0

DSCP 24 d 40 t ffi th t did t/ /Others: 240 n/a n/a 0 0WRED drop counts:

qid thresh1 thresh2 FreeQ1 : 0 0 18442 : 0 0 12293 : 0 0 614

DSCP 24 and 40 traffic that did not exceed the ingress policed rate andso was not policed down to DSCP 0


3 : 0 0 6144 : 0 0 409

Wynik wejściowego policeraWynik wejściowego policera3550# show mls qos interface gig 0/12 statisticsGigabitEthernet0/12 Interfejs z włączonymGigabitEthernet0/12Ingress

dscp: incoming no_change classified policed dropped (in bytes)0 : 960000 0 0 0 024: 0 0 960000 959424 040: 640000 640000 0 631552 0

Interfejs z włączonympolicingiem ruchuwejściowego

• Łącznie bajtów otrzymanych: 960,000 + 640,000 (z powyższego) = 1,600,000 bytes • Wymagany czas by otrzymać ten ruch: 1,600,000 bajtów/64 bajty (rozmiar pakietów) =

25,000 pakietów/148,809.52 p/s (ruch ze źródła) = 0.168 sekundy

Others: 0 0 0 0 0

25,000 pakietów/148,809.52 p/s (ruch ze źródła) 0.168 sekundy• Część ogólnej ilości bajtów pasujących do rate-limitera (nie obciętych) : 48,000 b/s

(ustawiony policer rate) x 0.168 sekundy = 8064 bitów/8 = 1008 bajtów + 8000 bajtów (dozwolony burst) = 9008 bajtów (1)R h k j t i li it 959 424 + 631 552 ( ż j) 1 590 976 b jtó (2)• Ruch przekraczający ustawiony limit: 959,424 + 631,552 (z powyżej) = 1,590,976 bajtów (2)

3550# show mls qos interface gig 0/11 statisticsGigabitEthernet0/11<ingress output omitted>Egress

Interfejswyjściowydscp: incoming no_change classified policed dropped (in bytes)

0 : 1591728 n/a n/a 0 024: 576 n/a n/a 0 040: 8448 n/a n/a 0 0

Others: 240 n/a n/a 0 0

wyjściowy


• Ruch z DSCP 0 (1591728) jest bliski wartości (2), ruch nie obcięty z DSCP 24 i 40 (576 + 8448 = 9024) jest bliski wartości (1)

Problemy z QoSCatalyst 3750/3560/2970/2960 ruch wejściowyCatalyst 3750/3560/2970/2960 – ruch wejściowy

3750

3750(config)# mls qos3750(config)# int gig 1/0/33750(config‐if)# mls qos trust dscp

Gig1/0/3Trust DSCP Map DSCP40 to Expedite Queue

Gig2/0/2Shape/Share Map DSCP40 to Expedite Queue

DSCP0, DSCP24, & DSCP40 Traffic

3750(config)#mls qos srr‐queue input threshold 1 50 100mls qos srr‐queue input dscp‐map queue 1 threshold 2 24

Kolejka 1|

p p

3750# show mls qos input‐queueQueue : 1 2‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐buffers : 90 10bandwidth : 4 4priority : 0 10 domyślnie kolejka 2 jest kolejką priorytetową stąd więcej pasma/większa waga ndwidth weight

domyślny % rozmiar kolejki priorytetowej jest mniejszy (mniej ruchu, obsługiwane częściej) domyślnie kolejki obsługiwane przez SRR po obsłużeniu kolejki priorytetowej

• SRR obsługuje najpierw Q2 do skonfigurowanego limitu 10%

h i it

p ythreshold1: 50 100threshold2: 100 100

3750# show mls qos maps dscp‐input‐qi

y j j j ą p y ą ą ę j p ę g g

domyślnie DSCP0 używa Q1, DSCP40 używa Q2/T1. DSCP24 skonfigurowano by używać Q1/T2

w ramach pasma priority• SRR dzieli następnie pozostałe

90% równo pomiędzy Q1 i Q2 zgodnie z współczynnikiem 4:4 bandwidth przyznając każdej z

Dscp‐inputq‐threshold map:d1 :d2 0 1 2 3 4 5 6 7 8 9‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐0 : 01‐01 01‐01 01‐01 01‐01 01‐01 01‐01 01‐01 01‐01 01‐01 01‐011 : 01‐01 01‐01 01‐01 01‐01 01‐01 01‐01 01‐01 01‐01 01‐01 01‐012 : 01‐01 01‐01 01‐01 01‐01 01‐02 01‐01 01‐01 01‐01 01‐01 01‐013 : 01 01 01 01 01 01 01 01 01 01 01 01 01 01 01 01 01 01 01 01


bandwidth przyznając każdej z kolejek 45%

3 : 01‐01 01‐01 01‐01 01‐01 01‐01 01‐01 01‐01 01‐01 01‐01 01‐014 : 02‐01 02‐01 02‐01 02‐01 02‐01 02‐01 02‐01 02‐01 01‐01 01‐015 : 01‐01 01‐01 01‐01 01‐01 01‐01 01‐01 01‐01 01‐01 01‐01 01‐016 : 01‐01 01‐01 01‐01 01‐01

Problemy z QoSCatalyst 3750/3560/2970/2960 ruch wejściowy

3750

Catalyst 3750/3560/2970/2960 – ruch wejściowy




3750# clear mls qos int gig 1/0/3 statistics3750# show mls qos int gig 1/0/3 statisticsGigabitEthernet1/0/3

dscp: incoming‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐

p p

0 ‐ 4 : 1000 0 0 0 0<output omitted20 ‐ 24 : 0 0 0 0 3000<output omitted>35 ‐ 39 : 0 0 0 0 040 ‐ 44 : 2000 0 0 0 0

dscp: outgoing‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐<output omitted>

cos: incoming‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐

0 ‐ 4 : 6002 0 0 0 05 ‐ 7 : 0 0 0cos: outgoing

‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐0 4 13 0 0 0 0


0 ‐ 4 : 13 0 0 0 05 ‐ 7 : 0 7 0

Policer: Inprofile: 0 OutofProfile: 0

Problemy z QoSCatalyst 3750/3560/2970/2960 ruch wejściowyCatalyst 3750/3560/2970/2960 – ruch wejściowy

3750Gig1/0/3Trust DSCP Map DSCP40 to Expedite Queue



3750# show platform pm if‐numbersinterface gid gpn lpn port slot unit slun port‐type ‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐Gi1/0/3 3 3 3 1/0 1 3 3 remote

p p

3750# session 13750‐1# show plat port‐asic stats enqueue port 0 asic 1<output omitted>RxQueue Enqueue Statistics

Queue 0Weight 0 Frames 0

3750‐1# show plat port‐asic stats drop port 0 asic 1<output omitted>RxQueue Drop Statistics

Queue 0Weight 0 Frames: 0Weight 1 Frames: 0Weight 0 Frames 0

Weight 1 Frames 8Weight 2 Frames 0

Queue 1Weight 0 Frames 0Weight 1 Frames 0Weight 2 Frames 0

Weight 1 Frames: 0Weight 2 Frames: 0Queue 1Weight 0 Frames: 0Weight 1 Frames: 0Weight 2 Frames: 0Queue 2

Pierwsze dwie kolejki są wewnętrzne

gQueue 2

Weight 0 Frames 1000Weight 1 Frames 3000Weight 2 Frames 39

Queue 3Weight 0 Frames 2000

Queue 2Weight 0 Frames: 0Weight 1 Frames: 0Weight 2 Frames: 0Queue 3Weight 0 Frames: 0Weight 1 Frames: 0

Q1

Q2 (Expedite)



Weight 2 Frames: 0Q2 (Expedite)

Problemy z QoSCatalyst 3750/3560/2970/2960 ruch wyjściowyCatalyst 3750/3560/2970/2960 – ruch wyjściowy

3750(config)# int gig 2/0/2 3750

3750# show mls qos int gig 2/0/2 queueingGigabitEthernet2/0/2

( g) g g3750(config‐if)# priority‐queue out Gig1/0/3

Trust DSCP Map DSCP40 to Expedite Queue


DSCP0, DSCP24, & DSCP40 TrafficGigabitEthernet2/0/2

Egress Priority Queue : enabledShaped queue weights (absolute) : 25 0 0 0Shared queue weights : 25 25 25 25The port bandwidth limit : 100The port is mapped to qset : 1

Q1 jest kolejką priorytetową: ustawienia shaping/sharing nie są brane pod uwagę

domyślnie wszystkie cztery kolejki obsługiwane są przez SRR Q1 ma gwarantowane 25% pasma i limitujemy ją do tego pułapu

domyślnie nie ograniczamy pasma

p p

• “PRIORITY-QUEUE OUT” – jeśli kolejka jest priorytetowa, ani shaping ani sharing nie będzie jej dotyczył

• “SRR-QUEUE BANDWIDTH SHAPE” – jeśli kolejka nie jest priorytetowa, używamy ustawień dla shapinguustawień dla shapingu

• “SRR-QUEUE BANDWIDTH SHARE” – jeśli kolejka nie jest ani priorytetowa ani nie podlega shapingowi, jest w trybie współdzielenia pasma

3750# show mls qos maps dscp‐output‐qDscp outputq threshold map:Dscp‐outputq‐threshold map:d1 :d2 0 1 2 3 4 5 6 7 8 9‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐0 : 02‐01 02‐01 02‐01 02‐01 02‐01 02‐01 02‐01 02‐01 02‐01 02‐011 : 02‐01 02‐01 02‐01 02‐01 02‐01 02‐01 03‐01 03‐01 03‐01 03‐012 : 03‐01 03‐01 03‐01 03‐01 03‐01 03‐01 03‐01 03‐01 03‐01 03‐013 : 03‐01 03‐01 04‐01 04‐01 04‐01 04‐01 04‐01 04‐01 04‐01 04‐01

DSCP40 = Q1/T1, DSCP0 = Q2/T1, DSCP24 = Q3/T1 (domyślnie)


3 : 03 01 03 01 04 01 04 01 04 01 04 01 04 01 04 01 04 01 04 014 : 01‐01 01‐01 01‐01 01‐01 01‐01 01‐01 01‐01 01‐01 04‐01 04‐015 : 04‐01 04‐01 04‐01 04‐01 04‐01 04‐01 04‐01 04‐01 04‐01 04‐016 : 04‐01 04‐01 04‐01 04‐01

Problemy z QoSCatalyst 3750/3560/2970/2960 ruch wyjściowyCatalyst 3750/3560/2970/2960 – ruch wyjściowy

3750# show mls qos int gig 2/0/2 queueingGigabitEthernet2/0/2

i i3750

Egress Priority Queue : enabledShaped queue weights (absolute) : 25 0 0 0Shared queue weights : 25 25 25 25The port bandwidth limit : 100The port is mapped to qset : 1




3750# show mls qos queue‐set 1Queueset: 1Queue : 1 2 3 4‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐buffers : 25 25 25 25threshold1: 100 200 100 100

p p

threshold2: 100 200 100 100reserved : 50 50 50 50maximum : 400 400 400 400

Domyślne ustawienia kolejki wyjściowej:• Każda z czterech kolejek otrzymuje 25% buforów interfejsu• Kolejki rezerwują jedynie 50% bufora i przekazują pozostałe 50% do wspólnej puli

Domyślne ustawienia kolejki wyjściowej:

• Wspólna pula jest współdzielona przez wszystkie interfejsy przełącznika• Kolejki mogą pożyczyć maksimum 400% zarezerwowanych buforów ze wspólnej puli,

jeśli będą tego potrzebować i jeśli bufory są dostępne


• Progi odrzucania ruchu ograniczają to pożyczanie

Problemy z QoSCatalyst 3750/3560/2970/2960 zmiana bufora

Wysyłanie/otwieranie pliku (długie transmisje TCP) staje się

Catalyst 3750/3560/2970/2960 – zmiana bufora

Od 12.2(25)SEB zmieniono przydział pamięci bufora dla ruchu wychodzącego

powolne po włączeniu QoS

3750# show mls qos queue‐set 1Queueset: 1Queue : 1 2 3 4‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐

3750# show mls qos queue‐set 1Queueset: 1Queue : 1 2 3 4‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐

buffers : 25 25 25 25threshold1: 100 50 100 100threshold2: 100 50 100 100reserved : 50 100 50 50

i

‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐buffers : 25 25 25 25threshold1: 100 200 100 100threshold2: 100 200 100 100reserved : 50 50 50 50

imaximum : 400 400 400 400 maximum : 400 400 400 400

3750(config)#mls qos queue set output 1 threshold 2 200 200 50 400


3750(config)#mls qos queue‐set output 1 threshold 2 200 200 50 400

Problemy z QoSCatalyst 3750/3560/2970/2960 ruch wyjściowy

3750

Catalyst 3750/3560/2970/2960 – ruch wyjściowy




3750# clear mls qos int gig 2/0/2 statistics3750# show mls qos int gig 2/0/2 statisticsGigabitEthernet2/0/2

dscp: incoming

p p

‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐<output omitted>dscp: outgoing

‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐0 ‐ 4 : 1003 0 0 0 05 ‐ 9 : 0 0 0 0 05 ‐ 9 : 0 0 0 0 0

<output omitted>20 ‐ 24 : 0 0 0 0 3000<output omited>40 ‐ 44 : 2000 0 0 0 0cos: incomingcos: incoming

‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐<output omitted>cos: outgoing

‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐0 ‐ 4 : 1003 0 0 3000 0


5 ‐ 7 : 2000 0 0Policer: Inprofile: 0 OutofProfile: 0

Problemy z QoSCatalyst 3750/3560/2970/2960 ruch wyjściowy

3750

Catalyst 3750/3560/2970/2960 – ruch wyjściowy


Gig1/0/3Trust DSCP Map CoS = 5 to Expedite Queue


3750# show platform pm if‐numbersinterface gid gpn lpn port slot unit slun port‐type ‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐Gi2/0/2 54 54 2 2/3 2 2 2 local

p p

3750# sho plat port‐asic stats enqueue port 3 asic 2[...]

Port 3 TxQueue Enqueue StatisticsQueue 0

Weight 0 Frames 2000

3750# show plat port‐asic stats drop port 3 asic 2[...]Port 3 TxQueue Drop Statistics

Queue 0Weight 0 Frames 0Weight 0 Frames 2000



gWeight 1 Frames 0Weight 2 Frames 0


Q1 (Expedite)

Q2gQueue 2

Weight 0 Frames 3000Weight 1 Frames 0Weight 2 Frames 0

Queue 3Weight 0 Frames 0W i ht 1 F 0


Queue 3Weight 0 Frames 0W i ht 1 F 0

Q3




Q4

Problemy z QoSFunkcjonalność 2960 a 2950Funkcjonalność 2960 a 2950

Funkcjonalność 2960 2950 EIFunkcjonalność 2960 2950 EIIlość policerów dla interfejsów GE 64 60Ilość policerów dla interfejsów FE 64 6Ilość policerów dla interfejsów FE 64 6Rodzaje policerów Indywidualny i zagregowanyPolice to original DSCP value Tak NieSprawdzenie do ACLki Tak NieSprawdzenie CoS i IP Precedence Tak Tylko CoSUstawienie DSCP Tak TakModyfikacja DSCP po przekroczeniu

warunków Tak Takwarunków Tak Tak

Policing wejściowy/wyjściowy TakSI-NIE

EI-tylko wejściowy


Mechanizm kolejkowania SRR WRR

Agenda


Agenda



VRF-Lite/Multi-VRF CEna Catalyst 3750...na Catalyst 3750

D t j t t lk ś i f k j l ść PE• Dostępna jest tylko częściowa funkcjonalność PE:nie wspieramy wymiany etykietnie wspieramy LDPnie wspieramy LDPnie hermetyzujemy pakietów

• Wspierana jest niezależna adresacja w różnych VRFachp j j y• Wspierane są protokoły routingu w VRFach: RIP, OSPF i BGP• Obecnie Telnet, FTP, TFTP, SNMP są „VRF-aware”• Na 3750-12 wspieramy do 26 VRFów posiadających łącznie do

20000 trasP t ł 3750 i j d 26 VRFó i 11000 t• Pozostałe 3750 wspierają do 26 VRFów i 11000 tras

• Wymagany jest obraz EMI/IP ServicesWspieramy tylko IPv4


• Wspieramy tylko IPv4

Przykładowa topologia

VRF-Lite nie obsługuje pełnego MPLS VPN. Brak

Przykładowa topologia

Dostawca

g j p gwymiany etykiet, obsługi LDP oraz hermetyzacji pakietów po stronie CE.

VPN 1

3750 CE

usług

PE

VPN 2

Pomiędzy CE a PE trunk 802.1Q

Globalny

Adresy IP mogą

przenosi ruch VPN i globalny

VPN 1

3750 CE PE

mogą nakładać się w poszczególny

VPN 2


poszczególnych VPNach. CE - Customer Edge

PE – Provider EdgeGlobalny

Ograniczenie zasobów TCAMper VRFper-VRF

• Można zdefiniować ilość tras i próg, którego przekroczenie będzie albo odrzucać dodatkowe prefiksy albo wygeneruje informacje do loguprefiksy, albo wygeneruje informacje do logu

ip vrf TEST01maximum routes 4096 90

ip vrf TEST02ip vrf TEST02maximum routes 2048 warning‐only

ip vrf TEST03maximum routes 2048 90maximum routes 2048 90


Czy CEF wie o VRFach?Czy CEF wie o VRFach?

• ...bez tego nie ma szans na poprawne działanie:

switch# sh ip cef vrf * summary

IPv4 CEF is enabled and runningIPv4 CEF is enabled and runningVRF Default:9 prefixes (9/0 fwd/non‐fwd)Table id 0, 0 resetsDatabase epoch: 0 (9 entries at this epoch)Database epoch: 0 (9 entries at this epoch)

VRF MyVRF01‐ISP:7 prefixes (7/0 fwd/non‐fwd)Table id 1 0 resetsTable id 1, 0 resetsDatabase epoch: 0 (7 entries at this epoch)


Rozwiązywanie problemów z VRFamiRozwiązywanie problemów z VRFami

• Zawartość tablicy routingu unicastowego:

3750# show platform ip unicast tablePlatform unicast IPv4 Table dump (# of entries 3)Name ID Label Mask IPv4:Default 0 0 0x7FIPv4:vrf1 1 64 0x7FIPv4:vrf2 2 65 0x7FIPv4:vrf1 1 64 0x7FIPv4:vrf2 2 65 0x7F


Rozwiązywanie problemów z VRFami

Z t ść t bli ti f1


• Zawartość tablicy routingu w vrf1:3750# show ip route vrf vrf1Routing Table: vrf1gCodes: C ‐ connected, S ‐ static, R ‐ RIP, M ‐ mobile, B ‐ BGP

D ‐ EIGRP, EX ‐ EIGRP external, O ‐ OSPF, IA ‐ OSPF inter area N1 ‐ OSPF NSSA external type 1, N2 ‐ OSPF NSSA external type 2E1 ‐ OSPF external type 1, E2 ‐ OSPF external type 2, E ‐ EGPyp , yp ,i ‐ IS‐IS, su ‐ IS‐IS summary, L1 ‐ IS‐IS level‐1, L2 ‐ IS‐IS level‐2ia ‐ IS‐IS inter area, * ‐ candidate default, U ‐ per‐user static routeo ‐ ODR, P ‐ periodic downloaded static route

Gateway of last resort is not set

20.0.0.0/24 is subnetted, 1 subnetsC 20.1.0.0 is directly connected, GigabitEthernet3/0/6y , g

10.0.0.0/24 is subnetted, 1 subnetsC 10.1.0.0 is directly connected, Vlan2

30.0.0.0/24 is subnetted, 1 subnetsO 30.1.0.0 [110/2] via 20.1.0.2, 2d22h, GigabitEthernet3/0/6


[ ] g


Z t ść t bli CEF dl f1


• Zawartość tablicy CEF dla vrf1:

3750# show ip cef vrf vrf1Prefix Next Hop Interface0.0.0.0/32 receive10.1.0.0/24 attached Vlan210.1.0.0/32 receive

i10.1.0.1/32 receive10.1.0.255/32 receive20.1.0.0/24 attached GigabitEthernet3/0/620.1.0.0/32 receive

/ i20.1.0.1/32 receive20.1.0.2/32 attached GigabitEthernet3/0/620.1.0.255/32 receive30.1.0.0/24 20.1.0.2 GigabitEthernet3/0/622 0 0 0/ d224.0.0.0/4 drop224.0.0.0/24 receive255.255.255.255/32 receive


Rozwiązywanie problemów z VRFamiPrzekazywanie pakietówPrzekazywanie pakietów

3750# show platform forward gigabitEthernet 1/0/11 0001.0000.000a 000b.4630.85c8 ip 10.1.0.3 30.1.0.3 udp 0 0

Ingress:gGlobal Port Number: 11, lpn: 0 Asic Number: 1SASQUATCH ASIC type for asic num(1)Source Vlan Id: Real 2, Mapped 2. L2EncapType 0, L3EncapType 0Hashes: L2Src 0x07 L2Dst 0x0C L3Src 0x0D L3Dst 0x08Lookup Key‐Used Index‐Hit A‐Data

Classify 78_1E010003_0A010003‐00_41000000_00009783 00FFE 00000000InputACL 40_1E010003_0A010003‐00_41000000_0000EE1E 01FFA 03000000L2LrnMsk FF_03FFFFFF_FFFFFFFF‐00_000003FF_00000000 _ _ _ _L2Learn 80_00020001_0000000A‐90_4000080B_00000000 00C40 00000000L3LclMsk FF_FF8FFC00_FFFFFFFFL3Local 90_4000080B_1E010003 010F0 00000000L3Scndr 10_1E010003_0A010003‐40_40000000_00000FDF 01821 000900AD_00000000Lookup Used: SecondaryStation Descriptor: F06E0005, DestIndex: F06E, RewriteIndex: 0005

_ _ _ _ _


Agenda


Agenda



Cross Stack EtherChannelCatalyst 3750Catalyst 3750

Source-Based Forwarding GEC

3750# show etherchannel summaryGroup Port‐channel Protocol Ports‐‐‐‐‐‐+‐‐‐‐‐‐‐‐‐‐‐‐‐+‐‐‐‐‐‐‐‐‐‐‐+‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐1 Po1(SU) ‐ Gi1/0/1(P) Gi2/0/1(P)

Forwarding GECPort Group

Cisco Router

3750

3750# show etherchannel load‐balanceSource MAC address SA mac DA mac

| |3750# test etherchannel load‐balance int port‐channel 1 mac 0002.1234.5678 0009.8765.2565Would select Gi1/0/1 of Po1

Router

Would select Gi1/0/1 of Po1

3750# session 13750‐1# show platform pm group‐masks

====================================================================Etherchannel members and group masks table

Group #ports group frame‐dist slot port mask interface index‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐1 2 1 src‐mac

2 1 5555 Gi2/0/1 02 1 5555 Gi2/0/1 01 1 AAAA Gi1/0/1 1

<output omited>====================================================================

Etherchannel members infogroup agport #ports members


g p gp p‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐1 Po1 2 Gi1/0/1 Gi2/0/1

Cross Stack EtherChannel (Catalyst 3750)LACP: porty ‘Hot-Standby’LACP: porty Hot-Standby

J k d d j któ t kt któJak decydujemy które porty są aktywne a które w stanie hot-standby?

Zakładając pełną kompatybilność interfejsów fizycznych, proces ma dwa kroki:- Która strona kontroluje zestawienie agregacji?- Które porty mają najwyższy priorytet?


Cross Stack EtherChannel (Catalyst 3750)Określenie priorytetów portów

• Każdy port LACP ma identyfikator

Określenie priorytetów portów

• Każdy port LACP ma identyfikator• Port-Identifier = • Porty z wyższym priorytetem staną się aktywne w pierwszej kolejności

priorytet numer portu

y y y p y ą ę y p j j• Pozostałe porty ustawiane są w hot-standby

• Za pomocą `show lacp internal’ można sprawdzić zarówno priorytetZa pomocą show lacp internal można sprawdzić zarówno priorytet portu jak i numer portu:

c3750# show lacp internalc3750# show lacp internal

LACP port Admin Oper Port PortPort Flags State Priority Key Key Number State

[...]/ / b dlFa4/0/5 SA bndl 32768 0x1 0x1 0xA3 0x3D

Fa5/0/1 SA hot‐sby 32768 0x1 0x1 0xD3 0x5 Fa5/0/2 SA hot‐sby 32768 0x1 0x1 0xD4 0x5 Fa5/0/3 SA hot‐sby 32768 0x1 0x1 0xD5 0x5 Fa5/0/4 SA bndl 3500 0x1 0x1 0xD6 0x3D


Fa5/0/4 SA bndl 3500 0x1 0x1 0xD6 0x3D[...]

Cross Stack EtherChannel (Catalyst 3750)Priorytety portów stan agregacji i zmiana priorytetuPriorytety portów – stan agregacji i zmiana priorytetu

c3750# show etherchannel summaryc3750# show etherchannel summary

Flags: D ‐ down P ‐ in port‐channelI ‐ stand‐alone s ‐ suspendedH ‐ Hot‐standby (LACP only)R ‐ Layer3 S ‐ Layer2U ‐ in use f ‐ failed to allocate aggregatoru ‐ unsuitable for bundlingw ‐ waiting to be aggregatedd ‐ default portd ‐ default port

Number of channel‐groups in use: 1Number of aggregators: 1

Group Port‐channel Protocol Ports‐‐‐‐‐‐+‐‐‐‐‐‐‐‐‐‐‐‐‐+‐‐‐‐‐‐‐‐‐‐‐+‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐1 Po1(SU) LACP Gi2/0/1(P) Gi2/0/2(P) Fa4/0/1(P)

Fa4/0/2(P) Fa4/0/3(P) Fa4/0/4(P)Fa4/0/2(P) Fa4/0/3(P) Fa4/0/4(P) Fa4/0/5(P) Fa5/0/1(H) Fa5/0/2(H) Fa5/0/3(H) Fa5/0/4(P) Fa5/0/5(H)

3750(config)# interface FastEthernet5/0/4


( g)3750(config‐if)# lacp port‐priority 3500

Catalyst 2950Duże obciążenie CPU

Obciążenie od 20% do 50% jest normalne – nawet

Duże obciążenie CPU

Obciążenie od 20% do 50% jest normalne nawet przy minimalnym obciążeniu

Łącze Przerwania = realizowane przez CPU (process switched)2950# show proc cpuCPU utilization for five seconds: 20%/4%; one minute: 20%; five minutes: 20%PID Runtime(ms) Invoked uSecs 5Sec 1Min 5Min TTY Process1 17224 118347 145 0 00% 0 00% 0 00% 0 Load Meter

Łącze - Przerwania = realizowane przez CPU (process switched)| |

1 17224 118347 145 0.00% 0.00% 0.00% 0 Load Meter 2 28 19 1473 0.16% 0.02% 0.00% 0 Exec 3 125504 60098 2088 0.00% 0.02% 0.00% 0 Check heaps 4 0 1 0 0.00% 0.00% 0.00% 0 Chunk Manager 5 0 1 0 0 00% 0 00% 0 00% 0 Pool Manager5 0 1 0 0.00% 0.00% 0.00% 0 Pool Manager 6 4 2 2000 0.00% 0.00% 0.00% 0 Timers 7 0 1 0 0.00% 0.00% 0.00% 0 Entity MIB API 8 3424 10582 323 0.00% 0.00% 0.00% 0 ARP Input ... 15 32376304 30554579 1059 4.75% 4.38% 4.35% 0 LED Control Proc16 77842720 69172017 1125 9 66% 11 39% 11 59% 0 Port Status Proc


16 77842720 69172017 1125 9.66% 11.39% 11.59% 0 Port Status Proc17 0 1 0 0.00% 0.00% 0.00% 0 Address Learning

Wysokie obciążenie CPUKiedy zacząć się bać?Kiedy zacząć się bać?

• Jeśli CPU osiąga stale (90-99%) nie wpłynie to bezpośrednio na k d l ł i f k j l ść liprzekazywane dane – ale wpłynie na funkcjonalność realizowaną

przez CPU (Spanning Tree, pakiety hello różnych protokołów itp.)CO MOŻEMY Z TYM ZROBIĆ?• Upewnij się, że VLAN zarzadzający nie przenosi ruchu użytkowników• Sprawdź, które procesy generują najwięcej obciążenia przez

polecenie:polecenie:show proc cpu

• Sprawdź czy nie występują częste zmiany adresów MAC lub i t bil ś i d STPniestabilności drzewa STPshow mac address‐table dynamic

show spanning‐tree summaryshow spanning tree summary

• Sprawdź czy nie występują sztormy broadcastowe lub większy niż normalnie ruch SNMP skierowany w CPU przełącznikaDl i t f j ó L3 dź j k h kł d i i d


• Dla interfejsów L3 sprawdź jak ruch rozkłada się pomiędzy process a fast switched (dzięki `show interface stats’)

Duże obciążenie CPU wywołane ruchem L3Catalyst 3750/3560/3550Catalyst 3750/3560/3550

• Wzorce SDM – ruch dla perfiksów nie mieszczących się w TCAM kierowany jest do CPU – pierwszy potencjalny problem

• Prosimy o stosowanie się do maksymalnej ilości portów• Prosimy o stosowanie się do maksymalnej ilości portów routujących (SVI/L3) dla każdej platformy – przekroczenie ich zawsze grozi problemamiACL i d i t f j b ` ’• ACL przypisana do interfejsu bez `ip unreachable’

• ACL przypisane dla ruchu wychodzącego (tylko 3750/3560)ACL ACE i j ł `l ’• ACL z ACE zawierającym słowo log’

• Nieprawidłowo zaprogramowano TCAM• TTL otrzymanego pakietu jest równy 1 lub 0• TTL otrzymanego pakietu jest równy 1 lub 0• Dużo ruchu ARP• Pakiety IP z ustawionymi opcjami


• Pakiety IP z ustawionymi opcjami

Duże obciążenie CPUgdzie szukać rozwiązania...gdzie szukać rozwiązania

• Kolejki wewnętrzne: zaprogramowane tak, by dać priorytet ważnemu r cho i pod ielonem na iele kategoriiruchowi podzielonemu na wiele kategorii

3560# show controllers cpu‐interfacestp packets : 38099 retrieved, 0 droppedram access packets : 159684 retrieved 0 droppedram access packets : 159684 retrieved, 0 droppedrouting protocol packets : 632 retrieved, 0 droppedforwarding packets : 0 retrieved, 0 droppedrouting packets : 734 retrieved, 0 droppedL2 protocol packets : 1350 retrieved 0 droppedL2 protocol packets : 1350 retrieved, 0 droppedigmp snooping protocol packets : 6349 retrieved, 0 droppedaddr learning packets : 0 retrieved, 0 droppedicmp redirect packets : 0 retrieved, 0 droppedicmp unreachable packets : 0 retrieved 0 droppedicmp unreachable packets : 0 retrieved, 0 droppedlogging packets : 0 retrieved, 0 droppedaddr learning packets : 0 retrieved, 0 droppedrpffail packets : 0 retrieved, 0 dropped

• Tylko 3750: funkcje L2 i związane z portami realizowane są przez lokalne CPU na każdym z przełączników osobno; mechanizm rezerwacji pasma na ringu zapewnia przeniesienie tego ruchu


3750# remote command [switch# | all] show proc cpu3750# remote command [switch# | all] show controllers cpu‐interface

Duże obciążenie CPU wywołane ruchem L3PrzykładPrzykład

3750# show proc cpuCPU utilization for five seconds: 27%/22%; one minute: 22%; five minutes: 12%CPU utilization for five seconds: 27%/22%; one minute: 22%; five minutes: 12%

3750# show controllers cpu‐interfacecpu‐queue‐frames retrieved dropped invalid hol‐block stray‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐ ‐‐‐‐‐‐‐‐‐‐ ‐‐‐‐‐‐‐‐‐‐ ‐‐‐‐‐‐‐‐‐‐ ‐‐‐‐‐‐‐‐‐‐ ‐‐‐‐‐‐‐‐‐‐sw forwarding 1696415 0 0 0 0

3750# sho platform ip unicast failed adjacencyDumping Fibs with Adj fails info(0 entries:0)

3750# remote command all show platform ip unicast failed route

g

3750# show int gig 2/0/1 statsGigabitEthernet2/0/1

Switching path Pkts In Chars In Pkts Out Chars OutProcessor 559 501894 249 25281

Route cache 3525303 3511201788 0 0

3750# debug platform cpu‐queues software‐fwd‐q (uwaga na debug!)

4d05h: SW‐FWD‐Q:Pak FastSW'ed: Local Port Blocked L3If: L2If:GigabitEthernet2/0/1 DI:0x2C1, LT:7, Vlan:0 SrcGPN:53, SrcGID:53, ACLLogIdx:0x0, MacDA:000d.bd5c.

Total 3525862 3511703682 249 25281

, , , , g ,16c6, MacSA: 000b.462e.6f80 IP_SA:172.1.3.2 IP_DA:172.1.1.10 IP_Proto:6

TPFFD:D8000035_000003F1_00B003E8‐000002C1_1D140000_00000000

3750# show ip arp 172.1.1.10 (problemem był niekompletny wpis ARP!)Protocol Address Age (min) Hardware Addr Type Interface


g ( ) ypInternet 172.1.1.10 0 Incomplete ARPA

Podział stosuJak NIE usuwać przełączników ze stosu 3750Jak NIE usuwać przełączników ze stosu 3750

M #1

S #3

M #1

S #3

M #1

S #3

S #2 S #2 S #2

S #4

S #5

M #4 M #4

S #6

S #5

S #6

S #5

S #6

Ob f t b d i ł t k fi j• Oba fragmenty będą miały tą samą konfigurację• Te same IP w obu stosach – problem z routingiem!• Przed wyłączeniem (świadomym) połóż przełącznik a następnie zmień

mu adresy przed ponownym włączeniem w inny stos


mu adresy przed ponownym włączeniem w inny stos• Nie usuwaj przełączników ze środka stosu usuwając oba kable

połączeniowe

Stos w Catalyst 3750Stos w Catalyst 37503750# show switch detail

CurrentCurrentSwitch# Role Mac Address Priority State‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐1 Slave 000c.30ae.4f00 9 Ready

*2 Master 000d.bd5c.1680 15 Ready

Stack Port Status NeighborsSwitch# Port 1 Port 2 Port 1 Port 2‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐

1 Ok Ok 2 21 Ok Ok 2 22 Ok Ok 1 1

3750# show switch stack‐ring activitySwitch Frames sent to stack ring (approximate)g ( pp )‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐1 57812 4928Total frames sent to stack ring : 10709N t th t d t i l d f t t th iNote: these counts do not include frames sent to the ringby certain output features such as output SPAN and output ACLs.

Możesz również użyć przycisku Mode na przełączniku by określić numer przełącznika w stosie – zapali się właściwa LED (na przykład jeśli przełącznik


przełącznika w stosie – zapali się właściwa LED (na przykład, jeśli przełącznik jest numerem #4 zapala się dioda #4)

Mechanizm Auto UpgradeCatalyst 3750Catalyst 3750

• Po wykryciu różnic w wersji IOS na przełącznikach, proces auto upgrade’u rozpocznie się w ciągu około minutyauto upgrade u rozpocznie się w ciągu około minuty3750(config)# boot auto‐copy‐sw3750(config)#^Z3750# show boot3750# show bootBOOT path‐list : flash:/c3750‐i5k2‐mz.121‐19.EA1a.binConfig file : flash:/config.textPrivate Config file : flash:/private‐config.textEnable Break : noEnable Break : noManual Boot : noHELPER path‐list : Auto upgrade : yes

Kiedy ten proces może nie zadziałać:• Brak odpowiednio dużej ilości miejsca na pamięci flash

(należy wykasować odpowiednio dużo plików)(należy wykasować odpowiednio dużo plików)• Wersja różni się funkcjonalnością (EMI/SMI, IP

Services/Advanced IP Services) lub główną wersją IOS


Mechanizm Auto UpgradeCatalyst 3750Catalyst 3750

3750# show version<output omitted><output omitted>Switch Ports Model SW Version SW Image ‐‐‐‐‐‐ ‐‐‐‐‐ ‐‐‐‐‐ ‐‐‐‐‐‐‐‐‐‐ ‐‐‐‐‐‐‐‐‐‐* 1 28 WS‐C3750G‐24TS 12.1(19)EA1d C3750‐I5‐M

2 0 WS‐C3750G‐12S 12.1(14)EA1 C3750‐I5‐M

3750# show switchCurrent

Switch# Role Mac Address Priority State ‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐*1 Master 000c.30ae.4f00 9 Ready y2 Slave 000d.bd5c.1680 1 Version Mismatch

3750# show platform stack‐manager all<output omitted>Switch Master/ Mac Address Version Uptime Current

( )Number Slave (maj.min) State ‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐1 Master 000c.30ae.4f00 1.5 2 Ready 2 Slave 000d.bd5c.1680 1.1 2 Version Mimatch

Oprogramowanie ściągnięte na Master stosu jest następnie automatycznie redystrybuowane na pozostałe przełączniki w stosie, zakładając, że nie trafiamy na potencjalne problemy opisane na

d i l jd i


poprzednim slajdzie

Problemy z interfejsami GigaStackCatalyst 3550 i 2950Catalyst 3550 i 2950

• Duplex musi zawsze być autonegocjowany dla

Link podnosi się i pada, nie stabilizując się

• Duplex musi zawsze być autonegocjowany dla interfejsów GigaStack

duplex autop

• Zapewnij automatyczną negocjację łącza:negotiation autonegotiation auto

• Po rekonfiguracji, wyjmij i włóż moduł GBIC (reset przełącznika nie jest konieczny )przełącznika nie jest konieczny )


Power over EthernetCatalyst 3750/3560 z PoECatalyst 3750/3560 z PoE

• Po ustawieniu mode w tryb ‘Power’ LED portów wskazują stan pracy funkcjonalności PoE per-port

• Do nadzoru nad mechanizmami PoE można użyć polecenia• Do nadzoru nad mechanizmami PoE można użyć polecenialogging event power‐inline‐status

• Zdarzenia związane z PoE można monitorować po wykonaniuZdarzenia związane z PoE można monitorować po wykonaniu polecenia

debug ilpower event

3560# show power inlineAvailable:370.0(w) Used:0.0(w) Remaining:370.0(w)

Interface Admin Oper Power Device Class Max (Watts)

‐‐‐‐‐‐‐‐‐ ‐‐‐‐‐‐ ‐‐‐‐‐‐‐‐‐‐ ‐‐‐‐‐‐‐ ‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐ ‐‐‐‐‐ ‐‐‐‐Gi0/1 auto off 0.0 n/a n/a 15.4 Gi0/2 auto off 0 0 n/a n/a 15 4


Gi0/2 auto off 0.0 n/a n/a 15.4

Pytania?



Documents

Rozwi zywanie problemów z Cat2/3xxx © 2006 Cisco Systems