| Заметки по настройке времени, логов, BGP и Radius в Cisco IOS |
[исправить] |
1. Время.
Казалось бы какая простая и понятная штука - время. Но сколько проблем может
доставить его неправильные показания :)
Синхронизация с ntp сервером (это знают почти все)
ntp server 1.2.3.4
ntp clock-period 17180179
но время буде GMT, укажем зону:
clock timezone Riga 2
Riga - это имя, какое введете - такое и будет, 2 - +2 часа к GMT,
варианты предлагаются от -23 до 23
И все бы было хорошо если бы не переходы на летнее время, но есть возможность учесть и это
clock summer-time Riga recurring last Sun Mar 02:00 last Sun Oct 03:00
т.е. Летнее время "работает" с последнего воскресенья марта по последнее
воскресенье октября (Riga - это имя зоны, которое было задано в clock timezone)
И теперь для полного счастья, чтобы логи и отладочную информацию смотреть в
локальном времени, а не с момента включения устройства:
service timestamps debug datetime msec localtime
service timestamps log datetime msec localtime
2. Radius
Возникла у начальства 2-х контор "светлая мысль" - совместно использовать Сisco
как pppoe сервер, а т.к. биллинги разные - то и работать надо одновременно с
2-мя radius серверами.
Оказывается - элементарно!
Interface Loopback1
description For_RAD1
ip address a.a.a.a
Interface Loopback2
description For_RAD2
ip address b.b.b.b
aaa group server radius RAD1
server 1.1.1.1 auth-port 1645 acct-port 1646
server-private 1.1.1.1 auth-port 1645 acct-port 1646 key secret
ip radius source-interface Loopback1
attribute nas-port format a
!
aaa group server radius RAD2
server 2.2.2.2 auth-port 1812 acct-port 1813
server-private 2.2.2.2 auth-port 1812 acct-port 1813 key tayna
ip radius source-interface Loopback2
attribute nas-port format a
!
aaa authentication ppp rad1 group RAD1
aaa authentication ppp rad2 group RAD2
aaa authorization network rad1 group RAD1
aaa authorization network rad2 group RAD2
aaa accounting update periodic 2
aaa accounting network rad1
action-type start-stop
group RAD1
!
aaa accounting network rad2
action-type start-stop
group RAD2
bba-group pppoe rad1
virtual-template 1
vendor-tag circuit-id service
sessions per-vlan limit 800
sessions per-mac throttle 4 60 300
bba-group pppoe rad2
virtual-template 2
vendor-tag circuit-id service
sessions per-vlan limit 800
sessions per-mac throttle 4 60 300
interface Virtual-Template1
ip unnumbered Loopback1
peer default ip address pool PPPoE_POOL1
ppp authentication pap rad1
ppp authorization rad1
ppp accounting rad1
interface Virtual-Template2
ip unnumbered Loopback2
peer default ip address pool PPPoE_POOL2
ppp authentication pap rad2
ppp authorization rad2
ppp accounting rad2
interface GigabitEthernet0/0.100
encapsulation dot1Q 100
pppoe enable group rad1
interface GigabitEthernet0/1.200
encapsulation dot1Q 200
pppoe enable group rad2
И вуаля - абоненты из VLAN 100 - уходят на биллинг одного провайдера, а VLAN 200 - другого.
ip radius source-interface LoopbackN - очень полезный параметр - cisco всегда
отправляет пакеты с src IP интерфейса LoopbackN.
3. Syslog log
Ну тут все просто:
logging 3.3.3.3
logging source-interface LoopbackN
логи всегда идут с ip на LoopbackN, маршрутизатор всегда однозначно
идентифицируется (если этого не сделать то логи приходят и IP-а "ближайшего" к
серверу интерфейса - неудобно если вдруг маршрутизация перестроилась)
logging buffered 4000000
Установка размера буфера (в байтах) для хранения log-ов прямо в памяти cisco.
Теперь можно посмотреть историю событий
show logging
4. BGP
Надо проанонсировать 2 AS-ки с одной Сisco.
router bgp 111
neighbor 1.1.1.1 route-map INET-OUT out
ip prefix-list as222 seq 100 permit 2.2.2.0/24
route-map INET-OUT permit 100
match ip address prefix-list as222
set as-path prepend 222
и на neighbor 1.1.1.1 сеть 2.2.2.0/24 придет с as-path
111 222
что и требовалось обеспечить.
Есть более изящное решение:
router bgp 111
address-family ipv4
network 2.2.2.0 mask 255.255.255.0 route-map AS222
route-map AS222 permit 100
set origin egp 222
но к сожалению работает оно не в каждом IOS-е.
|
| |
|
|
|
| Раздел: Корень / Маршрутизаторы Cisco, VoIP / Ограничение и учет трафика на Cisco |
| 1.1, vpnet (ok), 01:56, 20/03/2010 [ответить]
| +/– |
 хорошая стайка - типа черновичка или памятки. для молодежи очень полезно будет ))
| | |
| 1.2, shadow_alone (ok), 08:24, 20/03/2010 [ответить]
| +/– |
 Отличные заметки.
По BGP второй вариант зацепил - не думал.
Автору респект.
| | |
| 1.3, fantom (??), 09:58, 20/03/2010 [ответить]
| +/– | |
Спасибо :)
По bgp второму варианту - при таком подходе маршрут правильно выглядит даже локально - как пришедший из AS222
| | |
| 1.4, sybasesql (?), 19:05, 23/03/2010 [ответить]
| +1 +/– |
 quagga умеет и egp и igp на route-map:
(config-route-map)# set origin
egp remote EGP
igp local IGP
incomplete unknown heritage
| | |
| |
| 2.5, fantom (??), 09:14, 24/03/2010 [^] [^^] [^^^] [ответить]
| +/– |
Что-то я в своей заметке про квагу ничего не помню :)
Вроде как тему кваги вообще не поднимал...
| | |
|
| 1.6, True_Zaratustra (ok), 17:49, 24/03/2010 [ответить]
| +/– |
 Хорошая статья, спасибо, особенно порадовало про 2 радиус-сервера, как то раньше задумывался, но не пробовал
| | |
| 1.7, Аноним (-), 18:30, 24/03/2010 [ответить]
| +/– |
Caution Do not enter the ntp clock-period command; it is documented for informational purposes only. The system automatically generates this command as NTP determines the clock error and compensates.
| | |
| |
| 2.8, fantom (??), 09:49, 25/03/2010 [^] [^^] [^^^] [ответить]
| +/– |
>Caution Do not enter the ntp clock-period command; it is documented for
>informational purposes only. The system automatically generates this command as NTP
>determines the clock error and compensates.
Копировалось из run конфига....
| | |
|
| 1.9, Albatross (??), 16:40, 15/01/2013 [ответить]
| +/– |
По поводу "set origin egp"
К сожалению, допустимые значения AS ограничены 16-битным диапазоном. Новые 32-битные номера не поддерживаются.
| | |
| |
| 2.10, fantom (??), 17:00, 15/01/2013 [^] [^^] [^^^] [ответить]
| +/– |
> По поводу "set origin egp"
> К сожалению, допустимые значения AS ограничены 16-битным диапазоном. Новые 32-битные номера
> не поддерживаются.
Писать support-у цисковому, может это баг, а может и фича ;)
| | |
|
|