cisco端口限速

最近老被投诉说无线太慢,追其原因是原来使用squid做速度限制的时候由于不太懂,把限速搞的很低还不起作用,今天花点时间,总算把cisco限速搞定了。

定义access group

access-list 130 permit ip any 10.30.168.0 0.0.0.255
access-list 150 permit ip any 10.50.168.0 0.0.0.255

定义class

class-map match-all BYOD
  match access-group 150
class-map match-all GUEST
  match access-group 130

定义policy

policy-map nonwork
  class BYOD
    police 4000000 1000000 exceed-action drop
    trust dscp
  class GUEST
    police 4000000 500000 exceed-action drop
    trust dscp

应用policy

#conf t
(config)#interface FastEthernet1/0/1
(config-if)#service-policy input nonwork

别问我什么意思,我也是按网上教程做的,我对cisco交换机了解极浅。

Cisco交换机与NetGear交换机进行级联

资料来源:http://www.velocityreviews.com/forums/t503781-cisco-and-netgear-switch-trunking.html
今天才知道,原来是Cisco交换机与NetGear交换机当里的trunk概念是不一样的。
在Cisco当中,Trunk意思是一个接口连接多个VLAN;而在NetGear中,Trunk的意思是把多个端口捆绑在一起。看样子,有个国际标准还是好啊,就这个概念,又浪费了我一个上午的时间。
搞明天这个之后,事情就很简单了。
用网线连接Cisco交换机的A口与NetGear交换机的B口,然后将A口设置成trunk(Cisco)。
B口的设置有点麻烦,不过,搞明白概念以后也就简单了。先到VLAN里面,把VLAn模式选为IEEE802.1Q VLAN。然后把你在Cisco里面的VLAN ID全部创建一下。然后,在所有你创建的VLAN中,把B口全部标记成“T”。
大功告成!

WIFI无线信号最好还是使用1-11频道

最近忙得要死,忙里偷闲中,解决了一个WIFI的故障。

故障现象:新买的一个思科的AIR-AP113,配置好之后发现所有的东西工作正常,除了Wireless IP Phone。

解决思路:仔细检查了所有的配置,实在是没发现哪个地方不对,而且使用其他设备(如笔记本)都能获到IP,能正常连接到网络。后来怀疑网线质量问题导致PoE供电不足,换了网线,甚至与正常的AP进行位置对调,故障仍在。最后把频道从13调到11,一切都正常了。

故障原因:好像在美国的WIFI设备只使用1-11频道,而可能我们那个Wireless IP Phone是从美国买的。。。

利用网络汇聚让思科交换机支持网络负载均衡

先介绍一下port group 的概念
(来源http://bbs.51cto.com/viewthread.php?tid=509441&page=1&authorid=395509)

port group 是配置层面上的一个物理端口组,配置到port group里面的物理端口才可以参加链路汇聚,并成为port channel里的某个成员端口。在逻辑上,port group 并不是一个端口,而是一个端口序列。加入port group 中的物理端口满足某种条件时进行端口汇聚,形成一个port channel,这个port channel 具备了逻辑端口的属性,才真正成为一个独立的逻辑端口。端口汇聚是一种逻辑上的抽象过程,将一组具备相同属性的端口序列,抽象成一个逻辑端口。port channel是一组物理端口的集合体,在逻辑上被当作一个物理端口。对用户来讲,完全可以将这个port channel 当作一个端口使用,因此不仅能增加网络的带宽,还能提供链路的备份功能。
  端口汇聚功能通常在交换机连接路由器、主机或者其他交换机时使用。
  port channel 的带宽为4 个端口带宽的总和。而s1如果有流量要经过port channel 传输到s2,s1 的portchannel 将根据流量的源mac 地址及目的mac地址的最低位进行流量分配运算,根据运算结果决定由port channel 中的某一成员端口承担该流量。当port channel 中的一个端口连接失败,原应该由该端口承担的流量将再次通过流量分配算法分配给其他连接正常的端口分担。流量分配算法由交换机的硬件决定的。
  为使port channel 正常工作,port channel 的成员端口必须具备以下相同的属性:
  1 端口均为全双工模式;
  2 端口速率相同;
  3 端口的类型必须一样,比如同为以太口或同为光纤口;
  4 端口同为access 端口并且属于同一个vlan 或同为trunk 端口;
  5 如果端口为trunk 端口,则其allowed vlan 和native vlan 属性也应该相同。

具体操作:

SW006#configure terminal
SW006(config)#interface Port-channel 1
SW006(config-if)#switchport access vlan 100
SW006(config-if)#switchport mode access
SW006(config-if)#exit
SW006(config)#interface range gigabitEthernet 0/1-4
SW006(config-if-range)#switchport access vlan 100
SW006(config-if-range)#switchport mode access
SW006(config-if-range)#channel-group 1 mode on

思科交换机接HUB后只允许一台设备上网

机房扩建后,厂区有三台电脑始终说不能上网,因为对思科的设备不熟悉,用设备测了一下午也没找出来问题在哪里。

那三台电脑与另外三台指纹考勤机连到同一个很小的8口交换机汇总后再连到新的Cisco 2960上。设备测的时候发现,从Cisco 2960到小8口交换机之前是好的,到小8口交换机之后也是好的。但那三台电脑却始终都不能上网。

最后同事提醒说,会不会是交换机的配置问题。我虽然不太相信,但抱着试试的心理,还是从原来的记录里面找到了它们以前端口。还好这个端口没被重新配置,不然,我估计我怎么个死法都不知道。

下面这个是旧端口的配置:

SW003#show running-config interface GigabitEthernet 1/0/2
Building configuration...

Current configuration : 137 bytes
!
interface GigabitEthernet1/0/2
 switchport access vlan 10
 switchport mode access
 priority-queue out
end

下面这个是普通口的配置,通过web interface启用的smartport配置

SW003#show running-config interface GigabitEthernet 1/0/3
Building configuration...

Current configuration : 336 bytes
!
interface GigabitEthernet1/0/3
 switchport access vlan 10
 switchport mode access
 switchport port-security
 switchport port-security aging time 2
 switchport port-security violation restrict
 switchport port-security aging type inactivity
 macro description cisco-desktop
 spanning-tree portfast
 spanning-tree bpduguard enable
end

问了问换网络的朋友,原来默认的smartport是开启了安全端口,在同一个口只允许一个MAC地址进行通讯。。。

最后把新口也配置成老口的样子:

SW006#show running-config interface gigabitEthernet 0/18
Building configuration...

Current configuration : 136 bytes
!
interface GigabitEthernet0/18
 switchport access vlan 20
 switchport mode access
 priority-queue out
end

可惜下班了,只能明天再测了。

其实同事一开始就在提醒说会不会是配置的问题,唉,一开始就听他的查一下就好了,白白浪费一个下午。。。

修改思科1240无线网络密码

v好久没玩思科的设备了,居然连conf t都忘了,真悲剧啊

ap1200# configure terminal

ap1200(config-if)# ssid migrate

ap1200(config-if)# encryption mode cipher tkip wep128

ap1200(config-if)# encryption key 3 size 128 12345678901234567890123456 transmit-key

ap1200(config-ssid)# authentication open

ap1200(config-ssid)# authentication network-eap adam

ap1200(config-ssid)# authentication key-management wpa optional

ap1200(config-ssid)# wpa-psk ascii batmobile65

ap1200(config)# interface dot11radio 0

ap1200(config-if)# ssid migrate

ap1200(config-ssid)# end

有关option 150的一个小秘密

原文:http://www.cisco-club.com.cn/space-109764-do-blog-id-1918.html

搞语音的朋友一定不会陌生下面的一段命令:

ip dhcp pool voice
network 192.168.1.0 /24
default-router 192.168.1.254
option 150 ip 1.1.1.1

这是CME为IP Phone分配IP地址的dhcp服务配置。其中option 150是告诉IP Phone tftp服务器的IP地址,IP Phone需要从tftp服务器下载相关的配置文件。一般情况下上面的命令就可以满足应用了。但还有一个不是那么常用的参数,它不能代替option 150,但它却有特定的用途。这就是optoin 66。

也许很多人知道它是用于sip电话的,但它的完整理解是:标准的、用于第三方sip电话、且只能公布一个tftp地址的option。这里面隐含的意思就是:

1、它是“标准”的,是IEEE standard ,而option 150是思科专有的。好比你熟悉了思科的HSRP,但你不能不知道VRRP。

2、option 150可以配置多个tftp服务器的地址。例如上面的命令可以写成这样:

ip dhcp pool voice
network 192.168.1.0 /24
default-router 192.168.1.254
option 150 ip 1.1.1.1
option 150 ip 2.2.2.2

多个tftp服务器可以提供冗余。

3、option 66只能配置一个tftp服务器IP,也就是说它不能提供冗余特性。

上面的配置是针对CME路由器的,在CUCM上的做法道理也是一样。我们在做包含第三方厂商产品的语音项目时,如果option 150不行,别忘了用option 66;而且,别指望你可以像option 150一般配置N个tftp地址。

当然,这并不是什么秘密。可我不这么写,你就没那么好奇了。哈哈,原谅我吧。

PS:
option 66提供的TFTP服务器地址既可以是IP格式也可以是URL格式
option 150提供的TFTP服务器地址只能是IP地址的形式

强大的思科

先不说多了,记下几个命令

show cdp neighbors
show cdp neighbors details
show cdp entry *

AP用的

show dot11 statistics client-traffic
show vlans