1. Время.
Казалось бы какая простая и понятная штука - время. Но сколько проблем может
доставить его неправильные показания :)
Синхронизация с ntp сервером (это знают почти все)
ntp server 1.2.3.4
ntp clock-period 17180179
но время буде GMT, укажем зону:
clock timezone Riga 2
Riga — это имя, какое введете - такое и будет, 2 - +2 часа к GMT,
варианты предлагаются от -23 до 23
И все бы было хорошо если бы не переходы на летнее время, но есть возможность учесть и это
clock summer-time Riga recurring last Sun Mar 02:00 last Sun Oct 03:00
т.е. Летнее время "работает" с последнего воскресенья марта по последнее
воскресенье октября (Riga - это имя зоны, которое было задано в clock timezone)
И теперь для полного счастья, чтобы логи и отладочную информацию смотреть в
локальном времени, а не с момента включения устройства:
service timestamps debug datetime msec localtime
service timestamps log datetime msec localtime
2. Radius
Возникла у начальства 2-х контор "светлая мысль" - совместно использовать Сisco
как pppoe сервер, а т.к. биллинги разные - то и работать надо одновременно с
2-мя radius серверами.
Оказывается - элементарно!
Interface Loopback1
description For_RAD1
ip address a.a.a.a
Interface Loopback2
description For_RAD2
ip address b.b.b.b
aaa group server radius RAD1
server 1.1.1.1 auth-port 1645 acct-port 1646
server-private 1.1.1.1 auth-port 1645 acct-port 1646 key secret
ip radius source-interface Loopback1
attribute nas-port format a
!
aaa group server radius RAD2
server 2.2.2.2 auth-port 1812 acct-port 1813
server-private 2.2.2.2 auth-port 1812 acct-port 1813 key tayna
ip radius source-interface Loopback2
attribute nas-port format a
!
aaa authentication ppp rad1 group RAD1
aaa authentication ppp rad2 group RAD2
aaa authorization network rad1 group RAD1
aaa authorization network rad2 group RAD2
aaa accounting update periodic 2
aaa accounting network rad1
action-type start-stop
group RAD1
!
aaa accounting network rad2
action-type start-stop
group RAD2
bba-group pppoe rad1
virtual-template 1
vendor-tag circuit-id service
sessions per-vlan limit 800
sessions per-mac throttle 4 60 300
bba-group pppoe rad2
virtual-template 2
vendor-tag circuit-id service
sessions per-vlan limit 800
sessions per-mac throttle 4 60 300
interface Virtual-Template1
ip unnumbered Loopback1
peer default ip address pool PPPoE_POOL1
ppp authentication pap rad1
ppp authorization rad1
ppp accounting rad1
interface Virtual-Template2
ip unnumbered Loopback2
peer default ip address pool PPPoE_POOL2
ppp authentication pap rad2
ppp authorization rad2
ppp accounting rad2
interface GigabitEthernet0/0.100
encapsulation dot1Q 100
pppoe enable group rad1
interface GigabitEthernet0/1.200
encapsulation dot1Q 200
pppoe enable group rad2
И вуаля - абоненты из VLAN 100 - уходят на биллинг одного провайдера, а VLAN 200 - другого.
ip radius source-interface LoopbackN - очень полезный параметр - cisco всегда
отправляет пакеты с src IP интерфейса LoopbackN.
3. Syslog log
Ну тут все просто:
logging 3.3.3.3
logging source-interface LoopbackN
логи всегда идут с ip на LoopbackN, маршрутизатор всегда однозначно
идентифицируется (если этого не сделать то логи приходят и IP-а "ближайшего" к
серверу интерфейса - неудобно если вдруг маршрутизация перестроилась)
logging buffered 4000000
Установка размера буфера (в байтах) для хранения log-ов прямо в памяти cisco.
Теперь можно посмотреть историю событий
show logging
4. BGP
Надо проанонсировать 2 AS-ки с одной Сisco.
router bgp 111
neighbor 1.1.1.1 route-map INET-OUT out
ip prefix-list as222 seq 100 permit 2.2.2.0/24
route-map INET-OUT permit 100
match ip address prefix-list as222
set as-path prepend 222
и на neighbor 1.1.1.1 сеть 2.2.2.0/24 придет с as-path
111 222
что и требовалось обеспечить.
Есть более изящное решение:
router bgp 111
address-family ipv4
network 2.2.2.0 mask 255.255.255.0 route-map AS222
route-map AS222 permit 100
set origin egp 222
но к сожалению работает оно не в каждом IOS-е.
Комментариев нет:
Отправить комментарий