Элементарная Cisco

Провайдер

1. sh run sla monitor - состояние провайдера
2. sh track
3. sh run route

IPSEC

1. sh cry isakm sa - список сессий
2. clear crypto isakm sa - почистить список сессии

IPsec (сокращение от IP Security) — набор протоколов для обеспечения защиты данных, передаваемых по межсетевому протоколу IP. Позволяет осуществлять подтверждение подлинности (аутентификацию), проверку целостности и/или шифрование IP-пакетов.
Порты:

• Protocol: UDP, port 500 (for IKE, to manage encryption keys)
• Protocol: UDP, port 4500 (for IPSEC NAT-Traversal mode)
• Protocol: ESP, value 50 (for IPSEC)
• Protocol: AH, value 51 (for IPSEC)

Any Connect

1. sh run webvpn - конфигурация web авторизации
2. sh run access-list | (name) - route map, какие маршруты получит группа
3. sh vpn-sessiondb anyconnect - активные сессии, подробная информация
4. sh run group-policy - политики каждой группы
5. sh run tun - конфигурация и атрибуты туннеля

Для корректной настройки Any Connect требуется настроить дополнительные сервисы:

• webvpn
• route-map (ACL)
• tunnel-group
• group-policy
• nat
• ip pool
• object-network
• username

Работа с mac-адрессами и arp

1. sh mac ad dy | in {mac} - найти mac-аддресс
2. sh lldp neighbors gi 1/0/24 detail - найти порт и что подключено
3. sh run int gi 1/0/8 - просмотр информации по порту
4. sh ip arp | i 192.168.9.5 - узнать mac по IP
5. ip arp | include (последние 4 символа в mac)1eeb - узнать IP по mac
6. sh arp - просмотреть arp таблицу
7. sh arp vlan 9 - arp таблица конкретного VLAN
8. sh arp summary - количество записей в arp таблице
9. sh int status - проверка статуса портов

MAC-адрес (от англ. Media Access Control — управление доступом к среде, также Hardware Address) — уникальный идентификатор, присваиваемый каждой единице активного оборудования или некоторым их интерфейсам в компьютерных сетях Ethernet.
ARP (англ. Address Resolution Protocol — протокол определения адреса) — протокол в компьютерных сетях, предназначенный для определения MAC-адреса, имея IP-адрес другого компьютера.
Принцип работы

1. Узел, которому нужно выполнить отображение IP-адреса на локальный адрес^[2], формирует ARP-запрос, вкладывает его в кадр протокола канального уровня, указывая в нем известный IP-адрес, и рассылает запрос широковещательно.
2. Все узлы локальной сети получают ARP-запрос и сравнивают указанный там IP-адрес с собственным.
3. В случае их совпадения узел формирует ARP-ответ, в котором указывает свой IP-адрес и свой локальный адрес и отправляет его уже направленно, так как в ARP-запросе отправитель указывает свой локальный адрес.

Преобразование адресов выполняется путём поиска в таблице. Эта таблица, называемая ARP-таблицей, хранится в памяти и содержит строки для каждого узла сети. В двух столбцах содержатся IP- и Ethernet-адреса. Если требуется преобразовать IP-адрес в Ethernet-адрес, то ищется запись с соответствующим IP-адресом.

Stack

1. sh sw - проверить стек
2. sh run | sec provi - проверить модели оборудования в стеке
3. sh int gi 1/0/51 transceiver detail - информация по SFP

На оборудовании Cisco в зависимости от платформы используются несколько технологий стекирования.

StackWise	3750, 3750G	9	32 Гбит/с	Нет
StackWise Plus	3750-E, 3750-X	9	64 Гбит/с	Нет
StackWise-160	3650	9	160 Гбит/с	Да
StackWise-480	3850	9	480 Гбит/с	Нет
FlexStack	2960-S, 2960-SF	4	40 Гбит/с	Да
FlexStack Plus	2960-X, 2960-XR	8	80 Гбит/с	Да

StackWise

Рассмотрим технологию StackWise. Она является самой пожилой среди остальных. Для соединения коммутаторов в стек по технологии StackWise используется специализированный стековый кабель. При этом отдельного стекового модуля нет, стековые порты сразу встроены в коммутатор (по два порта).

Пропускная способность стекового кабеля 16 Гбит/с (в каждую сторону). Так как на каждом коммутаторе два стековых порта, пропускная способность стековой шины должна равняться:
16 Гбит/с * 2 (в каждую сторону) * 2 (количество портов) = 64 Гбит/с

Смотрим в спецификацию, а там 32 Гбит/с. Куда делась половина пропускной способности?
В коммутаторах 3750 (3750v2) и 3750G отсутствует как таковая выделенная внутренняя коммутационная фабрика (используется старая архитектура shared-ring switch fabric). Стековые порты подключаются напрямую к внутренней шине коммутатора, становясь её продолжением. Таким образом, коммутаторы одного стека имеют одну большую шину в виде кольца. Данная шина на логическом уровне представляет собой два пути в виде кольца каждый.

Пропускная способность каждого из них — 16 Гбит/с. Эти пути разнонаправленные: пакеты по ним передаются в противоположные стороны. Так как мы имеем общую шину на весь стек, пакет, попав на порт любого коммутатора стека, обязательно пройдёт не только через все внутренние ASIC’и, но и через всё кольцо стека, даже если исходящий порт находится на том же коммутаторе, что и входящий. Причём пакет будет убран с шины, только когда он пройдёт весь круг и вернётся обратно. Это позволяет ASIC’у, который «захватил» один из путей, узнать о том, что пакет дошёл и путь можно освобождать. Такой алгоритм работы можно называть «удаление отправителем» (в терминах Cisco — Source stripped). Выбор пути, по которому отправить пакет, определяется исходя из доступности каждого из них (используется механизм токенов: тот ASIC, который обладает токеном, передаёт данные).

LACP

1. sh etherch summary - список port-channel
2. sh run int port-ch 1 - конфигурация конкретного ПЧ
3. channel-group 1 mode active - добавление интерфейса в ПЧ и включение режима работы LACP.
4. no channel-group 1 mode active - удаление интерфейса из ПЧ.

Агрегирование каналов в Cisco

Для агрегирования каналов в Cisco может быть использован один из трёх вариантов:

• LACP (Link Aggregation Control Protocol) стандартный протокол
• PAgP (Port Aggregation Protocol) проприетарный протокол Cisco
• Статическое агрегирование без использования протоколов

Так как LACP и PAgP решают одни и те же задачи (с небольшими отличиями по возможностям), то лучше использовать стандартный протокол. Фактически остается выбор между LACP и статическим агрегированием.
Статическое агрегирование:

• Преимущества:
  • Не вносит дополнительную задержку при поднятии агрегированного канала или изменении его настроек
  • Вариант, который рекомендует использовать Cisco
• Недостатки:
  • Нет согласования настроек с удаленной стороной. Ошибки в настройке могут привести к образованию петель

Агрегирование с помощью LACP:

• Преимущества:
  • Согласование настроек с удаленной стороной позволяет избежать ошибок и петель в сети.
  • Поддержка standby-интерфейсов позволяет агрегировать до 16ти портов, 8 из которых будут активными, а остальные в режиме standby
• Недостатки:
  • Вносит дополнительную задержку при поднятии агрегированного канала или изменении его настроек

Терминология и настройка

При настройке агрегирования каналов на оборудовании Cisco используется несколько терминов:

• EtherChannel — технология агрегирования каналов. Термин, который использует Cisco для агрегирования каналов.
• port-channel — логический интерфейс, который объединяет физические интерфейсы.
• channel-group — команда, которая указывает какому логическому интерфейсу принадлежит физический интерфейс и какой режим используется для

Конфигурация портов

1. conf t - войти в режим конфигурации
2. interface fastEthernet 0/3 - конфигурация конкретного порта
3. description ## LAN ## - описание 
4. switchport access vlan 9 - назначить access vlan
   
5. switchport mode access - режим работы порт
   
6. switchport voice vlan 21 - назначить голосовой vlan
   
7. load-interval 30 - обновление информации порта в сек
   
8. history BPS - включение мониторинга порта
   
9. storm-control { broadcast | multicast } level 0.50 - проверка на наличие всплеска лишнего трафика
   
10. spanning-tree portfast edge - режим отслеживания "петли"
    

Важное

1. sh ip dh sn bi - посмотреть пользователей получивших IP по DHCP