cisco端口限速

最近老被投诉说无线太慢,追其原因是原来使用squid做速度限制的时候由于不太懂,把限速搞的很低还不起作用,今天花点时间,总算把cisco限速搞定了。

定义access group

access-list 130 permit ip any 10.30.168.0 0.0.0.255
access-list 150 permit ip any 10.50.168.0 0.0.0.255

定义class

class-map match-all BYOD
  match access-group 150
class-map match-all GUEST
  match access-group 130

定义policy

policy-map nonwork
  class BYOD
    police 4000000 1000000 exceed-action drop
    trust dscp
  class GUEST
    police 4000000 500000 exceed-action drop
    trust dscp

应用policy

#conf t
(config)#interface FastEthernet1/0/1
(config-if)#service-policy input nonwork

别问我什么意思,我也是按网上教程做的,我对cisco交换机了解极浅。

Cisco交换机与NetGear交换机进行级联

资料来源:http://www.velocityreviews.com/forums/t503781-cisco-and-netgear-switch-trunking.html
今天才知道,原来是Cisco交换机与NetGear交换机当里的trunk概念是不一样的。
在Cisco当中,Trunk意思是一个接口连接多个VLAN;而在NetGear中,Trunk的意思是把多个端口捆绑在一起。看样子,有个国际标准还是好啊,就这个概念,又浪费了我一个上午的时间。
搞明天这个之后,事情就很简单了。
用网线连接Cisco交换机的A口与NetGear交换机的B口,然后将A口设置成trunk(Cisco)。
B口的设置有点麻烦,不过,搞明白概念以后也就简单了。先到VLAN里面,把VLAn模式选为IEEE802.1Q VLAN。然后把你在Cisco里面的VLAN ID全部创建一下。然后,在所有你创建的VLAN中,把B口全部标记成“T”。
大功告成!

子网计算工具–netmask

来源http://www.linuxbyte.org/zi-wang-ji-suan-gong-ju-netmask.html

netmask 命令是一个方便的子网掩码计算工具,可以计算IP段的掩码,也能根据掩码给你IP段和IP个数。

举例:

netmask 58.252.160.0:58.252.164.255
58.252.160.0/22
58.252.164.0/24
netmask 58.252.160.0/22 -r
58.252.160.0-58.252.163.255  (1024)

另外它支持以八进制,十六进制,二进制格式输出。

netmask 58.252.160.0:58.252.164.255 -b
00111010 11111100 10100000 00000000 / 11111111 11111111 11111100 00000000
00111010 11111100 10100100 00000000 / 11111111 11111111 11111111 00000000

更多使用细节请执行man netmask 吧 ^-^

WIFI无线信号最好还是使用1-11频道

最近忙得要死,忙里偷闲中,解决了一个WIFI的故障。

故障现象:新买的一个思科的AIR-AP113,配置好之后发现所有的东西工作正常,除了Wireless IP Phone。

解决思路:仔细检查了所有的配置,实在是没发现哪个地方不对,而且使用其他设备(如笔记本)都能获到IP,能正常连接到网络。后来怀疑网线质量问题导致PoE供电不足,换了网线,甚至与正常的AP进行位置对调,故障仍在。最后把频道从13调到11,一切都正常了。

故障原因:好像在美国的WIFI设备只使用1-11频道,而可能我们那个Wireless IP Phone是从美国买的。。。

禁用 IPv6[转]

来源:http://wiki.ubuntu.org.cn/如何禁用IPv6

for ubuntu
1. 在终端下输入 gksudo gedit /etc/modprobe.d/aliases
2. 注释掉这一行 alias net-pf-10 ipv6
3. 存盘
4. 在终端下输入 gksudo gedit /etc/modprobe.d/blacklist
5. 加入这一行 blacklist ipv6
6. 保存文件&重启电脑

for kubuntu
1. 在终端下输入 kdesu kate /etc/modprobe.d/aliases
2. 注释掉这一行 alias net-pf-10 ipv6
3. 存盘
4. 在终端下输入 kdesu kate /etc/modprobe.d/blacklist
5. 加入这一行 blacklist ipv6
6. 保存文件&重启电脑

必须重启电脑才生效。

做完以上这些后,打开一个终端并输入:

ip a | grep inet6

如果没有任何输出就说明 ipv6 确实关闭了。

………………………………….
以上方法不适用于ubuntu 8.10之后的版本 ubuntu 8.10之后的版本想要禁止 IPV6 需要在启动内核后面加入“disable_ipv6=1” 做内核参数直接传递。
………………………………….

对于ubuntu 9.10及以后版本 ,可用以下方法:

1. gksu gedit /etc/default/grub

GRUB_CMDLINE_LINUX_DEFAULT=”quiet splash”
变为
GRUB_CMDLINE_LINUX_DEFAULT=”ipv6.disable=1 quiet splash”

2. sudo update-grub

利用网络汇聚让思科交换机支持网络负载均衡

先介绍一下port group 的概念
(来源http://bbs.51cto.com/viewthread.php?tid=509441&page=1&authorid=395509)

port group 是配置层面上的一个物理端口组,配置到port group里面的物理端口才可以参加链路汇聚,并成为port channel里的某个成员端口。在逻辑上,port group 并不是一个端口,而是一个端口序列。加入port group 中的物理端口满足某种条件时进行端口汇聚,形成一个port channel,这个port channel 具备了逻辑端口的属性,才真正成为一个独立的逻辑端口。端口汇聚是一种逻辑上的抽象过程,将一组具备相同属性的端口序列,抽象成一个逻辑端口。port channel是一组物理端口的集合体,在逻辑上被当作一个物理端口。对用户来讲,完全可以将这个port channel 当作一个端口使用,因此不仅能增加网络的带宽,还能提供链路的备份功能。
  端口汇聚功能通常在交换机连接路由器、主机或者其他交换机时使用。
  port channel 的带宽为4 个端口带宽的总和。而s1如果有流量要经过port channel 传输到s2,s1 的portchannel 将根据流量的源mac 地址及目的mac地址的最低位进行流量分配运算,根据运算结果决定由port channel 中的某一成员端口承担该流量。当port channel 中的一个端口连接失败,原应该由该端口承担的流量将再次通过流量分配算法分配给其他连接正常的端口分担。流量分配算法由交换机的硬件决定的。
  为使port channel 正常工作,port channel 的成员端口必须具备以下相同的属性:
  1 端口均为全双工模式;
  2 端口速率相同;
  3 端口的类型必须一样,比如同为以太口或同为光纤口;
  4 端口同为access 端口并且属于同一个vlan 或同为trunk 端口;
  5 如果端口为trunk 端口,则其allowed vlan 和native vlan 属性也应该相同。

具体操作:

SW006#configure terminal
SW006(config)#interface Port-channel 1
SW006(config-if)#switchport access vlan 100
SW006(config-if)#switchport mode access
SW006(config-if)#exit
SW006(config)#interface range gigabitEthernet 0/1-4
SW006(config-if-range)#switchport access vlan 100
SW006(config-if-range)#switchport mode access
SW006(config-if-range)#channel-group 1 mode on

思科交换机接HUB后只允许一台设备上网

机房扩建后,厂区有三台电脑始终说不能上网,因为对思科的设备不熟悉,用设备测了一下午也没找出来问题在哪里。

那三台电脑与另外三台指纹考勤机连到同一个很小的8口交换机汇总后再连到新的Cisco 2960上。设备测的时候发现,从Cisco 2960到小8口交换机之前是好的,到小8口交换机之后也是好的。但那三台电脑却始终都不能上网。

最后同事提醒说,会不会是交换机的配置问题。我虽然不太相信,但抱着试试的心理,还是从原来的记录里面找到了它们以前端口。还好这个端口没被重新配置,不然,我估计我怎么个死法都不知道。

下面这个是旧端口的配置:

SW003#show running-config interface GigabitEthernet 1/0/2
Building configuration...

Current configuration : 137 bytes
!
interface GigabitEthernet1/0/2
 switchport access vlan 10
 switchport mode access
 priority-queue out
end

下面这个是普通口的配置,通过web interface启用的smartport配置

SW003#show running-config interface GigabitEthernet 1/0/3
Building configuration...

Current configuration : 336 bytes
!
interface GigabitEthernet1/0/3
 switchport access vlan 10
 switchport mode access
 switchport port-security
 switchport port-security aging time 2
 switchport port-security violation restrict
 switchport port-security aging type inactivity
 macro description cisco-desktop
 spanning-tree portfast
 spanning-tree bpduguard enable
end

问了问换网络的朋友,原来默认的smartport是开启了安全端口,在同一个口只允许一个MAC地址进行通讯。。。

最后把新口也配置成老口的样子:

SW006#show running-config interface gigabitEthernet 0/18
Building configuration...

Current configuration : 136 bytes
!
interface GigabitEthernet0/18
 switchport access vlan 20
 switchport mode access
 priority-queue out
end

可惜下班了,只能明天再测了。

其实同事一开始就在提醒说会不会是配置的问题,唉,一开始就听他的查一下就好了,白白浪费一个下午。。。

修改思科1240无线网络密码

v好久没玩思科的设备了,居然连conf t都忘了,真悲剧啊

ap1200# configure terminal

ap1200(config-if)# ssid migrate

ap1200(config-if)# encryption mode cipher tkip wep128

ap1200(config-if)# encryption key 3 size 128 12345678901234567890123456 transmit-key

ap1200(config-ssid)# authentication open

ap1200(config-ssid)# authentication network-eap adam

ap1200(config-ssid)# authentication key-management wpa optional

ap1200(config-ssid)# wpa-psk ascii batmobile65

ap1200(config)# interface dot11radio 0

ap1200(config-if)# ssid migrate

ap1200(config-ssid)# end