victor_sudakov: (Default)
Не знает ли кто, как можно заставить PuTTY ставить ненулевой DSCP class в своих пакетах? Например у юниксовых ssh и sshd есть опция IPQoS для этого, у цисок "ip ssh dscp" и т.д.

Если есть другой ssh клиент под Windows, который в отличие от PuTTY это умеет, можете такой посоветовать.

MAB

Jan. 19th, 2017 12:25 pm
victor_sudakov: (Default)
Для включения контроля доступа по списку разрешенных MAC адресов, при этом на порту можно иметь >1 разрешенного адреса:

aaa authentication dot1x default group radius

dot1x system-auth-control

interface GigabitEthernet1/0/29
  authentication host-mode multi-auth
  authentication order mab
  authentication port-control auto
  authentication timer reauthenticate 120
  authentication violation restrict
  mab
end

В RADIUS в users:

e8de27c96a2e Auth-Type = Local, Password = "e8de27c96a2e"
victor_sudakov: (Default)
Если есть необходимость разрешить доступ к "show running-config" непривилегированному пользователю (в моем примере 3-го уровня доступа), то обычных команд
privilege exec level 3 show running-config view full
privilege exec level 3 show running-config view
privilege exec level 3 show running-config
privilege exec level 1 show
может оказаться недостаточно, конфиг будет отдаваться пустой или почти пустой.

Тогда надо добавить
file privilege 3

Источник: http://commandline.ninja/2016/05/30/rancid-and-ios-15-2-blank-config-and-how-to-work-around-newer-file-privileges/
victor_sudakov: капитан Зеленый (Captain)
По-моему свинство со стороны Cisco включить в Catalyst 3560X в конфигурации по умолчанию (!) shaping на одной из четырех egress очередей (а именно на той, в которую по умолчанию попадают кадры с COS=5). Всю голову сломал, пока разобрался, где режется трафик.

Switch#sh mls qos maps cos-output-q
   Cos-outputq-threshold map:
              cos:  0   1   2   3   4   5   6   7
              ------------------------------------
  queue-threshold: 2-1 2-1 3-1 3-1 4-1 1-1 4-1 4-1

Switch#sh mls qos interface queueing

GigabitEthernet0/5
Egress Priority Queue : disabled
Shaped queue weights (absolute) :  25 0 0 0
Shared queue weights  :  25 25 25 25
The port bandwidth limit : 100  (Operational Bandwidth:100.0)
The port is mapped to qset : 1


Switch(config-if)#srr-queue bandwidth ?
  limit  Configure bandwidth-limit for this interface
  shape  Configure shaping on transmit queues
  share  Configure shared bandwidth
victor_sudakov: (Default)
Оказывается, на 3560X если на access интерфейсе есть "service-policy input XXX", то "mls qos cos override" на этом интерфейсе уже не работает. Вместо него должно быть "trust cos" в описании самой policy-map.
victor_sudakov: (Default)
Ура, сабж снова выходит. Мне пришел номер за сентябрь 2014.
victor_sudakov: (Default)
По материалам CVOICE

Для голоса (в одну сторону):
Latency <= 150ms
Jitter <= 30ms
Loss <=1%
17-106 kb/s guaranteed priority bandwidth per call
150 b/s (+ Layer 2 overhead) guaranteed bandwidth for voice-control traffic per call.

Видеотелефония:
Latency <= 150ms
Jitter <= 30ms
Loss <=1%
Minimum priority bandwidth required: video stream + 20% (e.g. 384 kb/s stream = 460 kb/s of priority bandwidth).

UPD Примерный расчет размера VoIP пакета:
Ethernet - 18 байт, IP - 20 байт, UDP - 8 байт, RTP - 12 байт
ИТОГО overhead 58 байт.

Полезная нагрузка (на примере G.711 кодек, пакетизация 20мс): 160 байт.
Всего пакет 58+160=218 байт.

Полезная нагрузка других кодеков еще меньше, например G.729 - 20 байт (при 10 мс), iLBC - 50 байт при пакетизации 30 ms.
victor_sudakov: (Default)
Если по пути между сетевой картой с PXE и TFTP сервером есть IPSec туннель, то большое количество сетевых карточек (Intel, Realtek, софтовый GPXE) не смогут скачать образ для загрузки по TFTP. А например Broadcom BCM5709C NetXtreme II GigE сможет. Происходит это потому, что при проходе через IPSec UDP пакеты фрагментируются, а TCP/IP стек в массовых сетевых карточках и в GPXE видимо слишком примитивен, чтобы собрать фрагменты обратно.

В рассылке в качестве решения предложили использовать TFTP сервер, в котором есть возможность ограничивать максимальный размер пакета, даже если клиент явно запрашивает большой размер. Я пока такого не нашел под FreeBSD.
victor_sudakov: (Default)
На курсе CVOICE ощущение примерно такое, как у Страшилы, когда Гудвин вложил ему ум, в результате чего голова его раздулась раза в полтора и из нее полезли булавки и иголки. А впереди еще CIPT1 и CIPT2.

Альбом: Cisco


Когда уже похоронят E.164 (и другие замшелые телефонные ужасы вместе с ним) и все будут звонить друг другу как нормальные пользователи Интернет - по адресам вида sip:user@domain.
victor_sudakov: (Default)
The Cisco IronPort ESA and the Cisco IronPort SMA run AsyncOS, a modified version of the FreeBSD kernel.

Правда обидно узнавать об этом из security advisory:

The Cisco IronPort ESA and the Cisco IronPort SMA run AsyncOS, a modified version of the FreeBSD kernel.

These devices are affected by the FreeBSD telnetd remote code execution vulnerability documented by Common Vulnerabilities and Exposures (CVE) identifier CVE-2011-4862. This vulnerability could allow a remote, unauthenticated attacker to run arbitrary code with elevated privileges.
victor_sudakov: (Default)
RFC1323. Начиная с Windows Vista по умолчанию сабж включен и может приводить к плавающим проблемам при скачивании больших файлов, отправке по SMTP писем большого размера и т.п., если трафик проходит через роутеры и межсетевые экраны, не поддерживающие сабж. Например с CBAC от IOS  12.2 проблема точно присутствует.

Отключается:
netsh interface tcp set global autotuninglevel=disabled

UPD вернуть значение по умолчанию
netsh interface tcp set global autotuninglevel=normal


Возможная причина (источник)

The details are still being figured out, but it would appear that some routers on the net are rewriting the window scale TCP option on SYN packets as they pass through. In particular, they seem to be setting the scale factor to zero, but leaving the option in place. The receiving side sees the option, and responds with a window scale factor of its own. At this point, the initiating system believes that its scale factor has been accepted, and scales its windows accordingly. The other end, however, believes that the scale factor is zero. The result is a misunderstanding over the real size of the receive window, with the system behind the firewall believing it to be much smaller than it really is. If the expected scale factor (and thus the discrepancy) is large, the result is, at best, very slow communication. In many cases, the small window can cause no packets to be transmitted at all, breaking TCP between the two affected systems entirely.
victor_sudakov: (Default)
2. Конфигурация для ТЧ:
CISCO 2811 (A)
interface FastEthernet0/0
ip address 192.168.0.1 255.255.255.0
!
voice-port 0/2/0
operation 4-wire
type 2
timeouts call-disconnect 3
connection trunk 1111111
!
dial-peer voice 1111111 voip
destination-pattern 1111111
session target ipv4:192.168.0.2
!
dial-peer voice 2222 pots
destination-pattern 2222
port 0/2/0

CISCO 2811 (B)

interface FasrEthernet0/1
ip address 192.168.0.2 255.255.255.0
!
voice-port 0/1/0
operation 4-wire
type 2
timeouts call-disconnect 3
connection trunk 2222 answer
!
dial-peer voice 2222 voip
destination-pattern 2222
session target ipv4:192.168.0.1
!
dial-peer voice 1111111 pots
destination-pattern 1111111
port 0/1/0

Взято с http://www.zelax.ru/forum/viewtopic.php?f=3&t=1187#p2713
victor_sudakov: (Default)
As37 AAA/AUTHOR/IPCP: Processing AV addr*10.14.129.1
As37 AAA/AUTHOR/IPCP: Authorization succeeded
As37 AAA/AUTHOR/IPCP: Done.  Her address 0.0.0.0, we want 10.14.129.1
As37 AAA/AUTHOR/IPCP: Start.  Her address 0.0.0.0, we want 10.14.129.1
As37 AAA/AUTHOR/IPCP: Processing AV service=ppp
As37 AAA/AUTHOR/IPCP: Processing AV protocol=ip



Странно, что не "their address".

Profile

victor_sudakov: (Default)
Виктор Судаков

May 2017

S M T W T F S
  123456
7 8 9101112 13
14151617 181920
21222324252627
28293031   

Syndicate

RSS Atom

Most Popular Tags

Style Credit

Expand Cut Tags

No cut tags
Page generated May. 24th, 2017 07:35 pm
Powered by Dreamwidth Studios