eltex база знаний:
https://docs.eltex-co.ru/display/EKB/Eltex+Knowledge+Base
eltex
общие команды: logout - Быстрый выход из сессии интерфейса командной строки config, global-viewconfig do- Выполнение команды глобального режима CLI (command_sequence) без выхода из режима конфигурирования config root - Выход на верхний уровень режима конфигурирования config end - Выход из любого уровня режима конфигурирования в глобальный режим config quit - Выход из сессии интерфейса командной строки global-view В глобальном режиме интерфейса командной строки доступны команды просмотра оперативного состояния системы (show-команды), команды управления компонентами системы (например, reload, hw-module), запуска различных диагностических тестов и работы с образами операционной системы. Для уменьшения объема отображаемых данных в ответ за запросы пользователя и облегчения поиска необходимой информации можно воспользоваться фильтрацией. Для фильтрации вывода команд нужно добавить в конец командной строки символ "|" и использовать одну из опций фильтрации: formal — модификация выводов "show running-config" и "show candidate-config" из древовидного в линейный begin — выводить всё после строки, содержащей заданный шаблон include — выводить все строки, содержащие заданный шаблон exclude — выводить все строки, не содержащие заданный шаблон count — произвести подсчёт количества строк в выводе команды. без конфигуре global-view : rootshell - попасть в linux shell :) show interfaces description - показать статус интерфейсов show running-config - показать конфигурацию устройства show candidate-config - Вывести кандидат-конфигурацию устройства. configure - Перейти из глобального режима CLI в режим конфигурирования. в configure: commit - Применить кандидат-конфигурацию(применить изменения, внесенные во время сеанса редактирования). abort - Отменить изменения в кандидат конфигурации и выйти из режим конфигурирования. При выполнении этой команды кандидат-конфигурация становится идентичной текущей (стартовой) конфигурации. Тип интерфейса: Физические интерфейсы: Обозначение физического интерфейса включает в себя его тип и идентификатор. Идентификатор имеет вид / / , где: - номер устройства в кластере устройств; - номер модуля в составе устройства; - порядковый номер интерфейса данного типа в модуле. Интерфейсы 10Гбит/с Ethernet tengigabitethernet / / tengigabitethernet 0/0/10 te 0/0/10 Интерфейсы 40Гбит/с Ethernet fourtygigabitethernet / / fourtygigabitethernet 0/0/2 fo 0/0/2 Интерфейсы 100Гбит/с Ethernet hundredgigabitethernet / / hundredgigabitethernet 0/0/3 hu 0/0/3 Физические интерфейсы всегда присутствуют в системе. Группы агрегации каналов bundle-ether bundle-ether 8 Группы агрегации каналов в системе можно создавать и удалять. Сабинтерфейсы bundle-ether . tengigabitethernet / / . fourtygigabitethernet / / . hundredgigabitethernet / / . Сабинтерфейсы в системе можно создавать и удалять. Интерфейсы локальной петли loopback loopback 100 Интерфейсы локальной петли в системе можно создавать и удалять. Интерфейсы управления mgmt / / Интерфейсы out-of-band управления - это выделенные ethernetинтерфейсы для доступа и управления маршрутизатором. В качестве могут выступать 'fmc0' и 'fmc1', в зависимости от аппаратной конфигурации. 'mgmt 0/fmc0/1' - для ME5100 'mgmt 0/fmc0/0' и 'mgmt 0/fmc0/1' для FMC0 в маршрутизаторе ME5000 'mgmt 0/fmc1/0' и 'mgmt 0/fmc1/1' для FMC1 в маршрутизаторе ME5000 Интерфейсы управления всегда присутствуют в системе. IMPORTANT Интерфейсы управления не предназначены для передачи транзитного трафика (не участвуют в работе dataplane) и жестко прикреплены к VRF 'mgmt-intf'. change-privilege Данной командой осуществляется переход на соответствующий уровень привилегий. change-privilege { p1 | p2 | … | p15 } [ PASSWORD ] change-privilege p15 mypassword clear alarm - Данная команда очищает активные аварии в системе. clear alarm {all | ID } all — очищаются все активные аварии ID — очищается авария с указанным идентификатором. clear alarm 300 clear arp - Данная команда удаляет записи из ARP-таблицы. address IPv4 — очищается запись при совпадении IPv4-адреса interface IF — очищаются записи на указанном интерфейсе vrf VRF — указание VRF, из которого будет браться ARP-таблица clear arp vrf test 10.0.0.200 clear bgp - Данная команда изменяет состояние BGP-сессии и счётчиков. clear bgp {{ vrf ARGS | neighbor ARGS} {counters | flap-statistics |soft ARGS}} vrf VRF — указание VRF, в котором будет выполнятся действие neighbor {all | ipv4 | ipv6 | IPv4 | IPv6 } — сброс BGP-сессии: всех, всех ipv4/ipv6 unicast или конкретного адреса соседа counters — очистка счётчиков BGP-сообщений flap-statistics — очистка счётчиков flap-statistics soft in|out — реконфигурация маршрутов(in — восстановить свои маршруты, out — отправить соседу свои маршруты). clear bgp neighbor 10.0.0.10 clear configuration backups - Удаление бэкап-конфигруации. clear configuration backups [ String ] - String — указание имени backup-файла. clear configuration backups clear crash-info all - Удаление логов crash-info. clear crash-info { all | String } clear domain-cache - Сброс кэша доменных имён. clear domain-cache { String } clear domain-cache eltex-co.ru clear flow monitor - Сброс статистики потоков. clear ipv6 neighbors - Данная команда удаляет записи из NDP-таблицы. clear ipv6 neighbors address 2005:1::1 clear logging - Данная команда очищает файлы системных логов persistent — указание на очистку лог-файлов, хранящихся в постоянной памяти system — указание на очистку control-plane лог-файлов file WORD — указание имени persistent-логов clear logging persistent file BGP_LOG clear mpls - Данная команда сбрасывает состояния LDP-сессий и RSVP-сессий и меток. clear mpls ldp neighbor all clear ospfv2 - Данная команда сбрасывает состояния OSPFv2-соседств. clear ospfv2 statistics clear ospfv3 - Данная команда сбрасывает состояния OSPFv3-соседств. clear ospfv3 statistics clear pim - Данная команда сбрасывает состояния PIM-соседств и очищает топологию. clear pim counters clear qos counters - Команда сбрасывает счётчики срабатывания политик QoS. clear qos counters interface te 0/0/2 dir - Данная команда выводит список файлов со смонтированного USB-носителя. delete - Данная команда удаляет файл на смонтированном USB-носителе show system - Выведет текущие общие состояние show system resources cpu - Данной командой осуществляется просмотр информации о текущем использовании процессора устройства. show system resources cpu show version - покажет текущую версию backup to tftp://192.168.16.113/backup_directory/ - Команда создает элемент резервирования конфигурации и переходит в режим настройки этого элемента. fan lower-speed 60 - Данной командой устанавливается минимальная скорость вращения вентиляторов системы охлаждения устройства, в процентах. flow rate - Команда позволяет ограничить полосу пропускания для заданного типа трафика, перехватываемого на процессор. configure system punt rate-limit flow ip-ttl rate 100 commit broadcast-client - Данной командой включается режим приёма широковещательных сообщений NTP-серверов, при этом устройство работает в качестве NTP-клиента. ntp vrf mgmt-intf broadcast-client clock read-calendar - Данная команда синхронизирует значение программных часов системы со значением аппаратных часов. clock read-calendar clock update-calendar - Данная команда записывает в аппаратные часы устройства значение программных часов. clock update-calendar ntp vrf Команда включает протокол ntp в заданном vrf и переходит в режим его конфигурирования ntp vrf mgmt-intf Интервала времени между отправкой сообщений NTP-серверу maxpoll - Данная команда устанавливает максимальное значение интервала времени между отправкой сообщений NTP-серверу. Использование отрицательной формы команды устанавливает значение по умолчанию (10, что соответствует 1024 секундам). minpoll - Данная команда устанавливает минимальное значение интервала времени между отправкой сообщений NTP-серверу. Использование отрицательной формы команды устанавливает значение по умолчанию (6, что соответствует 64 секундам). ntp vrf default server ipv4 192.168.16.36 maxpoll 15 minpoll 3 peer ipv4 - Данная команда используется для установления партнерских отношений между NTP-серверами и перехода в командный режим config-ntp-vrf-peer-ipv4. ntp vrf default peer ipv4 192.168.16.36 prefer - Данная команда отмечает текущий NTP-сервер как предпочтительный. ntp vrf default server ipv4 192.168.16.36 prefer show clock - Данная команда выводит текущее время и дату. tcp - Данная команда устанавливает режим работы по протоколу TCP для текущего удаленного сервера журналирования и задает номер используемого порта. logging host 10.7.32.4 vrf default tcp 513 udp - Данная команда устанавливает режим работы по протоколу UDP для текущего удаленного сервера журналирования и задает номер используемого порта. logging host 10.7.32.4 vrf default udp 513 ip mtu - Данная команда позволяет установить в конфигурации правило для задания IPv4/IPv6 Maximum Transmission Unit (MTU). interface tengigabitethernet 0/0/1 ip mtu 6000 mtu - Данная команда позволяет установить в конфигурации правило для задания Layer 2 Maximum Transmission Unit (L2 MTU). interface tengigabitethernet 0/0/1 mtu 1700 shutdown - Данная команда позволяет создать в конфигурации правило для административного выключения интерфейса и перевода его в состояние administratively down. interface tengigabitethernet 0/0/1.100 shutdown speed - Данная команда позволяет задать режим скорости на Ethernet-интерфейсе. Отрицательная форма команды возвращает значение по умолчанию (auto). speed { 10 | 100 | 100G | 10G | 1G | 40G | 25G |auto } no speed interface tengigabitethernet 0/0/1 speed 1G vrf Данная команда позволяет создать в конфигурации экземпляр VRF и перейти в режим его конфигурации (config-vrf). vrf test vrf - Данная команда относит интерфейс к указанной Virtual Routing & Forwarding сущности (VRF). interface tengigabitethernet 0/0/1 vrf TEST description - Данная команда позволяет задать в конфигурации описание для текущего VRF vrf test description test maximum prefix - Данная команда позволяет ограничить максимальное количество маршрутов в данном VRF. vrf test maximum prefix 100 rd - Данная команда позволяет задать в конфигурации Route Distinguisher для данного VRF. vrf test rd 10.0.0.1:200 show vrf - Данная команда отображает информацию по активным VRF. show vrf test vpn-id - Данная команда задает в конфигурации VRF определенный VPN ID, как описано в RFC 2685. vrf test vpn-id 100:100
Часто используемые настройки:
Пример задать имя, время, баннер:
configure
hostname NEW-HOSTNAME
clock set 12:00:00 nov 8 2023
banner exec @ hell0 @
commit
Создание пользователя:
configure
username stepan privilege 1 password password
enable password level 15 godemode
privilege exec 1 show running-config
exec 1 configure
commit
Конфигурация ip адреса для интерфейса:
interface GigabitEthernet 1/0/20
ip address 10.10.10.20/24
Конфигурация ip адреса для vlan:
interface vlan 1
ip address 150.20.137.40/24
Создание vlan для интерфейса:
configure
vlan database
vlan 20 name test
interface GigabitEthernet 1/0/1
switchport access vlan 20
commit
Создание/удаления trank vlan:
configure
interface GiggabitEhernet 1/0/1
switchport mode trunk
switchport trunk allowed vlan 10 - если не указать то затрет все vlan и оставит 10
switchport trunk allowed vlan add 10
switchport trunk allowed vlan add 12
switchport trunk allowed vlan add 20-50
switchport trunk allowed vlan remove 10 - для удаления vlan 10
switchport trunk allowed vlan all - разрешает все вланы
commit
Создание voice vlan:
voice vlan oui-table add a8f94b ( первые три байта телефона который мы в войс отправляем)
voice vlan id 10
voice vlan state oui-enable
lldp med network-policy 1 voice vlan 10 vlan-type tagged up 4
interface gigabitethernet 1/0/1
switchport mode general
voice vlan enable
lldp med enable network-policy
lldp med network-policy add 1
switchport general allowed vlan add 20 untagged
switchport general pvid 20
Создание STP:
spanning-tree
spanning-tree mode rstp (включен по умолчанию)
spanning-tree priority {0-61440}
interface GigabitEthernet 1/0/1
spannig-tree cost {1-200000000} - стоимость
spanning-tree disable - выключить rstp
spanning-tree bpdu filtering
spanning-tree bpduguard enable
Защита вланов rapid-pvst:
spanning-tree
spanning-tree mode rapid-pvst (в cisco по умолчанию включено)
vlan 10-20
interface gigabitethentet 1/0/1
switchport mode trunk
switchport trunk allowed vlan add 10-20
Конфигурация VRRP:
interface vlan 100
ip address 172.16.2.2/24 ( на другом устройстве указываем 172.16.2.3 )
vrrp 100 ip 172.16.2.1
vrrp 100 priority 1
vrrp 100 preempt
no vrrp 100 shutdown - отключить
Настройка dhcp server:
ip dhcp server
ip dhcp pool network Test
address low 10.0.1.100 high 10.0.1.150 255.255.255.0
default-route 10.0.1.1
dns-server 10.0.1.1
ip dhcp exluded-address 10.0.1.120 - исключить адрес
exit
interface vlan 10
ip address 10.0.1.1/24
interface GigaEthernet 1/0/11
switchport access vlan 10
Настройка OSPF:
interface vlan 1
ip address 192.168.1.10/24
exit
router ospf 1 - здесь указываем роутер id
router-id 192.168.1.10
network 192.168.1.10 area 0.0.0.0
redistribute connected subnets
Настройка do1x:
dot1x system-auth-control
aaa authentication dot1x default radius none
radius-server host 10.0.1.2 key eltex
interface gigabitethernet1/0/1
switchport access vlan 500
switchport mode access
dot1x host-mode multi-sessions
dot1x port-control auto
dot1x reauthentication
dot1x timeout tx-period 30
Шторм контроль:
errdisable recovery cause storm-control
interface gigabitethernet1/0/3
storm-control broadcat level 15 trap shutdown
storm-control unicast pps 12500 trap shutdown
storm-control multicast kbps 20480 trap shutdown
Борьба с петлями:
loopback-detection enable
loopback-detection mode {src-mac-addr|base-mac-addr|multicast-mac-addr|broadcast-mac-addr}
loopback-detection interval {1-60}
interface gigabitethernet 1/0/1
loopback-detection enable - включаем собстенно
errdisable recovery cause loopback-detection - обратно включаем если петля
Включение защиты порта:
interface GigabitEthernet 1/0/1
port security mode max-address - ограничиваем кол-во адресов
port security max 10
port security discadr trap 100
Включение защиты dhcp-snooping:
ip dhcp snooping
ip dhcp snooping vlan 10
interface gigabiteyhernet 1/0/1
ip dhcp snooping trust
Включение IP secure Guard:
ip dhcp snooping
ip dhcp snooping vlan 1 - для влана
ip source guard
interface gigabitethernet 0/1 для интерфейса
ip source guard
Настройка статической маршрутизации:
Настройка статической маршрутизации:
Статическая маршрутизация — это механизм, при помощи которого в системе можно вручную создавать, удалять и модифицировать IP-маршруты.
Статические маршруты могут быть заданы как в глобальной таблице маршрутизации, так и внутри VRF.
action Задание действия для пакетов для данного маршрута при маршрутизации трафика.
Отрицательная форма команды устанавливает значение по умолчанию (forward).
action { discard | forward | local | reject}
no action
discard — отбросить пакеты, редистрибуция разрешена
forward — отправить пакеты по маршруту
local — отбросить пакеты, редистрибуция запрещена
reject — не инсталлировать маршрут
router static
address-family ipv4 unicast
destination 40.10.0.0/16 40.10.0.1
interface tengigabitethernet 0/0/7
action reject
destination - Создание статического маршрута в конфигурации семейства AFI/SAFI.
Отрицательная форма команды удаляет заданный статический маршрут.
[no] destination { IPv4_pref | IPv6_pref } { IPv4_nhop | IPv6_nhop }
IPv4_pref (X.X.X.X/N) — IPv4 префикс маршрута
IPv6_pref (X:X:X:X::X/N) — IPv6 префикс маршрута
IPv4_nhop (X.X.X.X) — IPv4 адрес следующего узла (nexthop) для маршрута
IPv6_nhop (X:X:X:X::X) — IPv6 адрес следующего узла (nexthop) для маршрута
router static
address-family ipv4 unicast
destination 40.10.0.0/16 40.10.0.1
interface - Команда принудительно задает интерфейс, через который будет направлен трафик по данному статическому маршруту,
и производит переход в режим настройки дополнительных параметров статического маршрута.
Отрицательная форма команды удаляет данный интерфейс из текущего маршрута.
router static
address-family ipv4 unicast
destination 40.10.0.0/16 40.10.0.1
interface tengigabitethernet 0/0/7
router static - Включение поддержки статической маршрутизации и переход в режим настройки статических маршрутов.
tag - Задание тега маршрута. Данный тег является внутренним параметром маршрута, который может быть использован в дальнейшем, например, в правилах редистрибуции.
router static
address-family ipv4 unicast
destination 40.10.0.0/16 40.10.0.1
tag 3
OSPF
Настройка динамической маршрутизации OSPF
Существует три версии протокола OSPF:
v1 — в данный момент практически нигде не используется
v2 — используется для обмена маршрутной информацией протокола IPv4
v3 — используется для обмена маршрутной информацией протокола IPv6
address-prefix - Данная команда позволяет отфильтровать OSPFv2 IP LFA FRR маршруты в правиле lfa filter по префиксу, для которого будет рассчитываться альтернативный маршрут.
router ospfv2 PROCESS_NAME
lfa filter FILTER
address-prefix 10.0.0.0/8
advertise-max-metric - Команда устанавливает максимальную метрику для non-stub линков на период вермени, заданный командой time-to-advertise
router ospfv2 PROCESS_NAME
advertise-max-metric
area - Данная команда создает в конфигурации устройства определенную зону OSPFv2 и позволяет перейти в режим настройки конфигурации этой зоны.
В режиме конфигурации зоны возможно, в первую очередь, непосредственно конфигурировать интерфейсы, которые будут участвовать в процессе маршрутизации OSPFv2.
[no] area AREA
router ospfv2 PROCESS_NAME
area 0.0.0.0
area-aggregate - Данная команда позволяет создать в конфигурации правило для суммарного маршрута с LSA Type 3 или LSA Type 7.
[no] area-aggregate { nssa-external-lsa | summary-lsa } IPv4_PREFIX_FORMAT
area-id - Команда задает номер области (Area ID) для маршрута, анонсируемого командой host.
no area-id - Отрицательная форма команды удаляет настройку.
router ospfv2 PROCESS_NAME
host 10.10.10.10
area-id 10.0.0.0
as-br disable - Данная команда выключает в данном OSPFv2-процессе функционал Autonomous System Border Router (ASBR).
router ospfv2 PROCESS_NAME
as-br disable
authentication-key - Данная команда создает в конфигурации ключ аутентификации OSPF сессий на указанном интерфейсе.
router ospfv2 PROCESS_NAME
area 0.0.0.0
interface tengigabitethernet 0/0/1
authentication-key test
authentication-type - Команда задает тип шифрования, используемый при аутентификации.
router ospfv2 PROCESS_NAME
area 0.0.0.0
interface tengigabitethernet 0/0/1
authentication-type md5
auto-cost reference-bandwidth - Команда задает референсное (максимальное) значение пропускной способности (bandwidth),
относительно которого будет высчитываться стоимость интерфейса.
Стоимость интерфейса с референсным значением будет равна единице.
router ospfv2 PROCESS_NAME
auto-cost reference-bandwidth 1000000
bandwidth - Команда задает значение пропускной способности (bandwidth) на интерфейсе, которое будет использовано
при подсчете стоимости (cost) данного интерфейса относительно референсного значения.
router ospfv2 PROCESS_NAME
area 0.0.0.0
interface tengigabitethernet 0/0/1
bandwidth 100000
dead-interval - Данная команда позволяет задать в конфигурации значение OSPF Dead Interval.
router ospfv2 PROCESS_NAME
area 0.0.0.0
interface tengigabitethernet 0/0/1
dead-interval 10
disable - Данная команда запрещает добавление отфильтрованных OSPFv2 IP LFA FRR маршрутов при использовании фильтра lfa filter.
router ospfv2 PROCESS_NAME
lfa filter FILTER
disable
dscp - Команда указывает значение DSCP для исходящих сообщений OSPF протокола.
router ospfv2 1
area 0.0.0.0
interface twentyfivegigabitethernet 0/0/2
dscp 32
effect - Команда указывает значение DSCP для исходящих сообщений OSPF протокола.
router ospfv2 PROCESS_NAME
area 0.0.0.0
area-aggregate summary-lsa 10.0.0.0/8
effect advertise-matching
external-lsa-refresh-interval - Команда задает интервал между обновлениями external LSA, принадлежащих маршрутизатору.
router ospfv2 PROCESS_NAME
external-lsa-refresh-interval 60
Настройка LACP / LAG
Рассмотрим настройку LACP-группы в режиме active.
В режиме active порты коммутатора являются инициаторами согласования по протоколу LACP.
На встречной стороне порт должен быть настроен как в режиме active, так и в режиме passive.
Необходимо выполнить следующее:
1) Включаем работу LAG глобально на коммутаторе:
configure terminal
set port-channel enable
2) Активируем группу, в которую будем включать интерфейсы:
interface port-channel 2
no shutdown
exit
3) Перейти в режим конфигурирования порта:
interface GigabitEthernet0/2
4) Настроить LACP-группу:
channel-group 2 mode active , где 2 – номер группы
active – добавить порт в LACP-группу в режиме active.
для роутера:
lacp
interface bundle-ether 1
exit
interface tengigabitethernet 0/0/3
bundle id 1
bundle mode active
exit
interface tengigabitethernet 0/0/7
bundle id 1
bundle mode active
exit
exit
Пример конфига свитча с lacp
! Configuration version 3.9.7.31R
hostname R2
interface bundle-ether 1
bfd address-family ipv4 fast-detect
bfd address-family ipv4 local-address 10.0.0.5
bfd address-family ipv4 neighbor 10.0.0.6
bfd rx-interval 25
bfd tx-interval 25
description to_SW2
ipv4 address 10.0.10.1/24
exit
interface bundle-ether 1.135
encapsulation outer-vid 135
exit
interface hundredgigabitethernet 0/0/1
exit
interface hundredgigabitethernet 0/0/2
exit
interface hundredgigabitethernet 0/0/3
exit
interface hundredgigabitethernet 0/0/4
exit
interface mgmt 0/fmc0/1
ipv4 address 172.31.0.21/24
vrf mgmt-intf
exit
interface tengigabitethernet 0/0/1
description "Client enp1s0f1np0"
load-interval 20
exit
interface tengigabitethernet 0/0/2
load-interval 20
exit
interface tengigabitethernet 0/0/3
description "SW2 ten1/0/1"
load-interval 20
exit
interface tengigabitethernet 0/0/4
load-interval 20
exit
interface tengigabitethernet 0/0/5
load-interval 20
exit
interface tengigabitethernet 0/0/6
load-interval 20
exit
interface tengigabitethernet 0/0/7
description "SW2 ten1/0/7"
load-interval 20
exit
interface tengigabitethernet 0/0/8
load-interval 20
exit
interface tengigabitethernet 0/0/9
load-interval 20
exit
interface tengigabitethernet 0/0/10
load-interval 20
exit
interface tengigabitethernet 0/0/11
load-interval 20
exit
interface tengigabitethernet 0/0/12
load-interval 20
exit
interface tengigabitethernet 0/0/13
load-interval 20
exit
interface tengigabitethernet 0/0/14
load-interval 20
exit
interface tengigabitethernet 0/0/15
load-interval 20
exit
interface tengigabitethernet 0/0/16
load-interval 20
exit
interface tengigabitethernet 0/0/17
load-interval 20
exit
interface tengigabitethernet 0/0/18
load-interval 20
exit
interface tengigabitethernet 0/0/19
load-interval 20
exit
interface tengigabitethernet 0/0/20
load-interval 20
exit
interface tengigabitethernet 0/0/21
exit
interface tengigabitethernet 0/0/22
exit
interface tengigabitethernet 0/0/23
exit
interface tengigabitethernet 0/0/24
exit
interface tengigabitethernet 0/0/25
exit
interface tengigabitethernet 0/0/26
exit
interface tengigabitethernet 0/0/27
exit
interface tengigabitethernet 0/0/28
exit
interface tengigabitethernet 0/0/29
exit
interface tengigabitethernet 0/0/30
exit
interface tengigabitethernet 0/0/31
exit
interface tengigabitethernet 0/0/32
exit
vrf mgmt-intf
rd 0:0
exit
lacp
interface bundle-ether 1
exit
interface tengigabitethernet 0/0/3
bundle id 1
bundle mode active
exit
interface tengigabitethernet 0/0/7
bundle id 1
bundle mode active
exit
exit
load-balancing hash-fields mac-dst
load-balancing hash-fields mac-src
load-balancing hash-fields port-dst
load-balancing hash-fields port-src
load-balancing lag shift 3
logging console debug
router static
vrf mgmt-intf
address-family ipv4 unicast
destination 172.30.0.0/20 172.31.0.1
exit
exit
exit
exit
ssh server vrf mgmt-intf
exit
telnet server vrf mgmt-intf
exit
user admin
password encrypted $6$хеш
privilege p15
exit
ospf (ME5200S+MES5324)
схема: r1 -> sw1 -> sw2 -> r2
r1
router ospfv2 1
area 0.0.0.0
interface loopback 1
mtu-ignore
passive
exit
interface tengigabitethernet 0/0/1
mtu-ignore
network point-to-point
passive
exit
interface tengigabitethernet 0/0/4
metric 10
mtu-ignore
network point-to-point
exit
exit
redistribution connected 1
exit
redistribution connected CONNECT-OSPF-20
metric-type ospf-type1-external
metric-value 300
priority 20
exit
router-id 1.1.1.1
exit
sw1
router ospf 1
network 10.0.50.1 area 0.0.0.0
network 10.0.100.2 area 0.0.0.0
router-id 1.1.1.2
redistribute connected metric-type type-2 subnets
exit
!
interface ip 10.0.50.1
ip ospf network point-to-point
exit
!
interface ip 10.0.100.2
ip ospf network point-to-point
exit
sw2
router ospf 1
network 10.0.10.2 area 0.0.0.0
network 10.0.50.2 area 0.0.0.0
router-id 1.1.1.3
redistribute connected metric-type type-2 subnets
exit
!
interface ip 10.0.10.2
ip ospf network point-to-point
exit
!
interface ip 10.0.50.2
ip ospf network point-to-point
exit
r2
router ospfv2 1
area 0.0.0.0
interface bundle-ether 1
mtu-ignore
network point-to-point
exit
interface loopback 1
mtu-ignore
exit
interface tengigabitethernet 0/0/1
mtu-ignore
network point-to-point
exit
exit
redistribution connected subnets
exit
redistribution local subnets
exit
router-id 1.1.1.4
OSPF
Существует 5 типов пакетов протокола OSPF, которые позволяют устанавливать соседство и выполнять обновление маршрутной информации: Type 1 — Hello. Обнаруживает соседей и поддерживает соседские отношения. Type 2 — Database Description. Описывает содержимое базы данных состояния канала маршрутизатора. Type 3 — Link State Request (LSR). Запрос на получение базы данных состояния канала. Type 4 — Link State Update (LSU). Обновление базы данных состояния канала (передача LSA соседним маршрутизаторам). Type 5 — Link State Acknowledgment (LSAck). Подтверждение получения обновления. Каждый пакет Link State Update, генерируемый маршрутизатором, содержит один или несколько LSA. Существует 5 различных типов LSA: Type 1 — Router-LSA. Генерируется каждым маршрутизатором для каждой области, которой он принадлежит. Он описывает состояние интерфейсов маршрутизатора, подключенных к этой области. Type 2 — Network-LSA. Генерируется назначенным маршрутизатором (DR). Он описывает набор маршрутизаторов, подключенных к определенной сети. Рассылается только в области, содержащей эту сеть. Type 3 или 4 — Summary-LSA. Описывают маршруты между областями. Type 3 Summary-LSA генерируются ABR и описывают маршруты между ABR и внутренними маршрутизаторами локальной области. Они рассылаются через магистраль другим ABR. Type 4 Summary-LSA описывают маршруты к ASBR. Type 5 - AS-external-LSA. Генерируются ASBR и описывают маршруты к пунктам назначения за пределами автономной системы. Маршрут по умолчанию для автономной системы также описывается AS-external-LSA Команды для диогностики ospf MES5324: общая инфа: show ip ospf соседи: show ip ospf neighbor обмен: show ip ospf database ME5200 общая инфа: show ospfv2 соседи: show ospfv2 neighbors обмен: show ospfv2 database
lacp MES5324 + MES5324:
Настройки sw1 interface tengigabitethernet1/0/2 channel-group 5 mode auto exit ! interface tengigabitethernet1/0/3 channel-group 5 mode auto exit ! interface tengigabitethernet1/0/5 channel-group 5 mode auto exit ! interface tengigabitethernet1/0/6 channel-group 5 mode auto exit ! interface Port-channel5 ip address 10.0.50.1 255.255.255.0 exit Настройки sw2 interface tengigabitethernet1/0/2 channel-group 5 mode auto exit ! interface tengigabitethernet1/0/3 channel-group 5 mode auto exit ! interface tengigabitethernet1/0/5 channel-group 5 mode auto exit ! interface tengigabitethernet1/0/6 channel-group 5 mode auto exit ! interface Port-channel5 ip address 10.0.50.2 255.255.255.0 exit
lacp MES5324 + ME5200S:
Настройка MES5324:
interface tengigabitethernet1/0/1
channel-group 2 mode auto
exit
!
interface tengigabitethernet1/0/7
channel-group 2 mode auto
exit
!
interface Port-channel2
ip address 10.0.10.2 255.255.255.0
exit
Настройка ME5200S:
lacp
interface bundle-ether 1
exit
interface tengigabitethernet 0/0/3
bundle id 1
bundle mode active
exit
interface tengigabitethernet 0/0/7
bundle id 1
bundle mode active
exit
exit
!
interface bundle-ether 1
ipv4 address 10.0.10.1/24
exit
тесты кабеля
Показать интерфейсы: show interfaces status Тест медного кабеля: test cable-diagnostics tdr interface gi0/1 Показать длину медного кабеля: show cable-diagnostics cable-length Показать оптические интерфейсы: show fiber-ports optical-transceiver show fiber-ports optical-transceiver interface TengigabitEthernet1/0/7 show fiber-ports optical-transceiver detailed interface TengigabitEthernet1/0/7
Зеркало трафика:
monitor session 1 destination interface gi1/0/3 - куда перенаправить трафик monitor session 1 source interface gi1/0/2 both - откуда откуда перенаправить трафик
mpls
mpls label = 32 bit
layer2 Header | MPLS Header | IP Packet
MPLS Header:32 Bits (4 Bytes)
The label Value | Exp | S | TTL
20 bits | 3 bits | 1 bits | 8 bits
1 - 1 048 576 | 8 значений | два значения 0 или 1 | 0-255
Стак S
Первый пришёл последний вышел FILO
Fist IN / Fist OUT
0 - еще будет mpls label
1 - все последний mpls label
LSR - LABEL SWITCH ROUTER
Ingress LSR (imposition) - получает IP пакет, пушит в него MPLS Label(stack)
Следовательно вылетает из него MPLS пакет
Egress LSR (disposition) - получает MPLS пакет, удаляет из него лейбл.
Следовательно вылетает из него уже IP пакет.
Ingress/Egress LSR - находятся по краям (edge)mpls сети.
Часто их называют PE(provider edge) устройствами
Intermediate LSR - получает MPLS пакет, производит операции над ним и отправляет MPLS трафик дальше.
Часто называются P (Provider) устройствами
ip -> LSR -> ip = IP FORWARDING
mpls -> LSR -> mpls = INTERMEDIA LSR (P - provider)
mpls -> LSR -> ip = EGRESS LSR
ip -> LSR -> mpls = INGRESS LSR
CE ->> PE --> MPLS(P) <-- PE <--CE
CE - Costome Edge (оборудование которое ничего не знает про MPLS)
PE - Provider Edge ( на границе сети ) (Оборудование которое как то взаимодействует с MPLS, например ip -> mpls)
P - Provider Router ( внутри сети) (оборудование общающееся исключительно через MPLS)
imposition - добавление метки mpls
desposition - убирание метки mpls
LABEL SWITCH PATH (LSP). FEC
LSP - это простой список из LSR которые коммутируют MPLS пакет через всю MPLS сеть, либо через часть MPLS сети
Forwarding Equivalence Class (FEC) - группа пакетов которые коммутируются по одному и тому же пути и обслуживают одинаково
Все пакеты принадлежавшие одному FEC будут иметь один и тот же лейбл.
При этом пакеты с одним и тем же лейблом не всегда принадлежат к одному FEC, например, в случае если их mpls EXP отличаются.
Ingress LSR принимает решения о том, к каким FEC принадлежат приходящие в него пакеты.
LFIB - база меток mpls (Label Forwarding instance(information)Base
Содержит ipv4/ipv6 prefix, VPN prefix, TE tunnel, l2 forwarding entry, local label, remote label
85 17 eth1
11 22 eth2
13 33 eth3
Local Label - метка, которую локальный LSR назначил на префикс
Remote Label - метка, которую LSR получил от соседнего LSR
Протоколы получения лейблов:
1. Static ( возможность есть, но никогда так не делай! )
2. LDP ( сам все сделал, сам настроил )
3. RSGP-TE ( можно явно задать хождение трафика ) / Trafic Engineering
4. BGP
5. SR - mpls
SRv6
(модное под капотом OSPF/ISIS)
LDP = LABEL DISTRIBUTION PROTOCOL
назначает лейблы на все префиксы в таблице маршрутизации и передает соседям label binding
Prefix+label=binding
Labal binding передается соседям автоматически без каких то дополнительных запросов
SWAP - замена лейбла на другой
PUSH - был ip пакет ушел mpls
POP - был mpls ушел ip
Включение mpls на cisco
mpls ldp router-id lo0
mpls ip
int gi 0/0
mpls ip
show mpls forwarding-table
show ip route
Включение mpls на eltex ME5200S
mpls
forwarding
interface loopback 1
interface tengigabitethernet 0/0/4
exit
ldp
discovery interface tengigabitethernet 0/0/4
exit
neighbor 10.50.50.4 - сосед
exit
exit
router-id 10.50.50.1 - наш ип на loopback
transport-address 10.50.50.1 - наш ип на loopback
exit
show mpls ldp forwarding - покажет метки
show mpls ldp bindings local - покажет распределение меток локально
show mpls ldp bindings remote - покажет распределение меток удаленных
show mpls ldp bindings mldp - покажет распределение меток
GRE пример конфигурации
Маршрутизатора A:
interface tunnel-ip 1
ipv4 address 10.0.1.1/30
tunnel destination 192.168.55.5
tunnel encapsulation gre
tunnel source 192.168.55.21
exit
interface tengigabitethernet 0/0/11.10043
encapsulation outer-vid 100 inner-vid 43
ipv4 address 192.168.43.1/24
exit
router static
address-family ipv4 unicast
destination 192.168.41.0/24 10.0.1.2
exit
exit
exit
Маршрутизатор Б:
interface tunnel-ip 1
ipv4 address 10.0.1.2/30
tunnel destination 192.168.55.21
tunnel encapsulation gre
tunnel source 192.168.55.5
exit
interface tengigabitethernet 0/1/5.10041
encapsulation outer-vid 100 inner-vid 41
ipv4 address 192.168.41.1/24
exit
router static
address-family ipv4 unicast
destination 192.168.43.0/24 10.0.1.1
exit
exit
exit
Пример 1-2:
router 1
interface tunnel-ip 1
ipv4 address 10.99.99.1/30
tunnel destination 10.50.50.4
tunnel encapsulation gre
tunnel source 10.50.50.1
exit
router 2
interface tunnel-ip 1
ipv4 address 10.99.99.2/30
tunnel destination 10.50.50.1
tunnel encapsulation gre
tunnel source 10.50.50.4
exit
ECMP
По умолчанию в OSPF - 5. Чтобы заработал ECMP, необходимо прописать дополнительно: router equal-cost exit
Пример конфигурации IP SLA:
https://docs.eltex-co.ru/pages/viewpage.action?pageId=303825161&src=contextnavpagetreemode
vlan
MES5324: interface tengigabitethernet1/0/1 switchport mode general switchport general allowed vlan add 1002 tagged switchport forbidden default-vlan exit interface tengigabitethernet1/0/2 spanning-tree disable spanning-tree bpdu filtering switchport mode general switchport general allowed vlan add 1002 tagged switchport forbidden default-vlan exit interface Port-channel2 switchport mode general switchport general allowed vlan add 1002 tagged switchport forbidden default-vlan exit ME5200: interface bundle-ether 1.1002 encapsulation outer-vid 1002 ipv4 address 10.75.75.2/24 exit interface tengigabitethernet 0/0/4.1002 encapsulation outer-vid 1002 ipv4 address 10.75.75.1/24 exit
ESR VRRP кластер
sh run cluster sh run bridges 100 bridge 100 vlan 1 ip firewall disable !!! ПОтотм включим как убедимся что заработало ip фввкуыы 192.168.100.1/24 unit 1 ip address 192.168.100.2/24 unit 2 vrpp forse-up vrrp id 100 vrrp 192.168.100.100/24 vrrp group 1 vrrp preempt disable vrrp timers garp refrash 1 vrrp enable exit Проверка show cluster status show cluster sync status Интерфесы на первом юните нумеруется 1/0/1 а на втором 2/0/1 sh run int gi 1/0/1 - покажет первый юнит sh run int gi 2/0/1 - покажет второй юнит bridge 20 vlan 20 security-zone trusted ip address 172.16.1.2/24 unit 1 ip address 172.16.1.3/24 unit 2 vrrp id 20 vrrp ip 172.16.1.1/24 vrrp group 1 vrrp timers garp refrash 1 vrrp enable exit object-group network sync_dst ip address-range 192.168.100.2 unit 1 ip address-range 192.168.100.1 unit 2 exit object-group network sync_src ip address-range 192.168.100.1 uni1 ip address-range 192.168.100.2 unit2 exit по поводу фаервола: sh run failovers ip failover local-address object-group sync_src remote-address object-group sync_dst vrrp-group 1 exit ip firewall failover sync-type unicast port 9999 enable exit ip dhcp-server failover mode active-standby enable exit crypro-sync enable exit Проверка доступных сервисов: show higj-availability state Включение фаервола: Проверяем сессии: show ip firewall sessions inside-source-address 192.168.100.1