penjelasan yg paling mudahnya adalah
tetap penjelasanya dengan menggunakan toplogy 3 switch:
pertama untuk UPLINKFAST:
uplinkfast harus di configure di switch yg berperan sebagai switch yg memilki link down langsung dalam hal ini di gambar switch C.jgn di switch lain gak ngaruh!!!
dannn yg menjadi jawabannya adalah switch akan mengbypass prosess listening, learning dan langsung ke forwading!
jika di switch C sebelumnya port yg arah ke switch B adalah blocking tetapi akan langsung ke forwading begitu link ke Switch A fail dan tentu saja Uplinkfast di configure di swC.
Kedua untuk BACKBONEFAST:
Jika L1 fail, sedangkan switch A adalah Backbone tetapi swB tidak dapat reachable ke swA maka swC akan bertindak sebagai backbone menuju swA dari swB.
Hi,
Consider the following Scenario:
d -SW1-d
-r -r
SW2-d b-SW3
SW1 is the root bridge and have connections to both SW2 and SW3 out of designated ports.
SW2 has connections to both SW1 and SW3 out of its root port to SW1 & designated port to Switch3.
Sw3 has connections to both SW1 and SW2 out of its root port to SW1 & Blocked port to switch2.
consdider the link between Sw1 and SW2 fails, SW2 cease to recieve hello from the root, SW2 considers itself as the new root and send it out it designated port toward SW3.
SW3 recieves inferior BPDU from SW2 and Ignore it since it has better BPDU from SW1,
SW3 waits for the maxage timer to expire , the blocking port is then moved to the listining state and starts forwards BPDUs toward SW2.
SW2 recieves Superior BPDUs and considers its new link toward the root out its designated port toward SW3.
This process is usually takes about 50 second in Normal STP operation (Hello timer + 2 * Forward delay timers), with backbone fast enabled on Sw3 and SW2 , this process doesnt wait for the Maxage timer (20 sec) to expire , as soon as SW 3 recieves inferior BPDU from SW2 it times out the maxage timer and doesnt wait for it to expire. So the whole operations takes about 30 sec.
“Ilmu pengetahuan semakin banyak melahirkan keajaiban. Dongengan leluhur sampai malu tersipu. Tak perlu lagi orang bertapa bertahun untuk dapat bicara dengan seseorang di seberang lautan. Orang Jerman telah memasang kawat laut dari Inggris sampai India! Dan kawat semacam itu membiak berjuluran ke seluruh permukaan bumi. Seluruh dunia kini dapat mengawasi tingkah-laku seseorang. Dan orang dapat mengawasi tingkah-laku seluruh dunia" (Pramoedya Ananta Toer: Bumi Manusia, hal. 316, 1980).
Minggu, 22 Mei 2011
QoS = Pendefenisian
Qos terbagi menjadi 3:
3 level dari pengelompokan QOS berdasarkan service model:
service model ini mengacu pada bagaimana gambaran kemampuan bagaimana qos mengatur mainset dari end to end networknya.
1.Best Effort service
sesuai namanya mungkin bisa di pahami bahwa ini adalah saah satu mechanism qos yang tidak memiliki garansi untuk mengatur paket yg ada.
2.Integrated Service
ini merupakan model qos yang mengaransi level service dengan cara menegotiation network parameter end to end nya. kata lainnya ini harus di configure di semua interface yg di lewati oleh data tersebut.
Aplikasi nantinya akan "merequest" level untuk dirinya. dan penting untuk di ingat aplikasi tidak akan mulai mengirim sampai dia menerima signal dari network sampai network tersebut dapat menghandle load dan menyediakan request end to end networknya.
nah untuk mendukung hal ini maka digunakan sebuah proses di sebut CALLED ADMINISION CONTROL.Admision control adalah mekanisme untuk mencegah network menjadi overload.
kembali lagi seperti yg telah di sebutkan di atas, bahwa network tidak akan mengirim sebuah signal ke aplikasi untuk memulai mengirimkan data jika sebuah request qos tidak sampai.
Cisco ios memiliki 2 fitur untuk menyediakan integrated service:
1.RSVP Resource reservation Protocol
2.Intelegent queuing
Weighted Random Early Detection (WRED) adalah salah satu cara untuk memperlakukan data setelah antrian (queue) penuh, sebenarnya interface mempunyai default behavior untuk ini yaitu dengan tail drop = yang artinya data selanjutnya setelah queue penuh yaitu dengan di drop.nah kembali ke WRED yaitu cara WRED memperlakukan data yg data setelah queue penuh yaitu dengan mendrop paket secara acak dan WRED mengunakan ip precedence sebagai dasar untuk membedakan cara drop dari masing2 paket.
caranya? WRED akan memonitor rata2 kedalaman queue dan memulai mendrop paket dimana dengan cara mengkalkulasi atau menghitung minimum threshold value.
3 level dari pengelompokan QOS berdasarkan service model:
service model ini mengacu pada bagaimana gambaran kemampuan bagaimana qos mengatur mainset dari end to end networknya.
1.Best Effort service
sesuai namanya mungkin bisa di pahami bahwa ini adalah saah satu mechanism qos yang tidak memiliki garansi untuk mengatur paket yg ada.
2.Integrated Service
ini merupakan model qos yang mengaransi level service dengan cara menegotiation network parameter end to end nya. kata lainnya ini harus di configure di semua interface yg di lewati oleh data tersebut.
Aplikasi nantinya akan "merequest" level untuk dirinya. dan penting untuk di ingat aplikasi tidak akan mulai mengirim sampai dia menerima signal dari network sampai network tersebut dapat menghandle load dan menyediakan request end to end networknya.
nah untuk mendukung hal ini maka digunakan sebuah proses di sebut CALLED ADMINISION CONTROL.Admision control adalah mekanisme untuk mencegah network menjadi overload.
kembali lagi seperti yg telah di sebutkan di atas, bahwa network tidak akan mengirim sebuah signal ke aplikasi untuk memulai mengirimkan data jika sebuah request qos tidak sampai.
Cisco ios memiliki 2 fitur untuk menyediakan integrated service:
1.RSVP Resource reservation Protocol
2.Intelegent queuing
Weighted Random Early Detection (WRED) adalah salah satu cara untuk memperlakukan data setelah antrian (queue) penuh, sebenarnya interface mempunyai default behavior untuk ini yaitu dengan tail drop = yang artinya data selanjutnya setelah queue penuh yaitu dengan di drop.nah kembali ke WRED yaitu cara WRED memperlakukan data yg data setelah queue penuh yaitu dengan mendrop paket secara acak dan WRED mengunakan ip precedence sebagai dasar untuk membedakan cara drop dari masing2 paket.
caranya? WRED akan memonitor rata2 kedalaman queue dan memulai mendrop paket dimana dengan cara mengkalkulasi atau menghitung minimum threshold value.
Kamis, 19 Mei 2011
OSPF Area
OSPF memiliki beberapa Area:
1.Backbone Area
Yaitu area yang biasa disebut area 0, yaitu area tempat beberapa area berpusat.
router2 di area ini dapat bertindak sebagai ASBR. Area ini melewatkan semua type LSA kecuali type 7.kenapa type 7 tidak? karena type 7 di transfer menjadi LSA type 5 oleh ABR saat akan masuk ke area 0!
mengerti gak? kenapa ABR mengkonversi ke type 5, karena NSSA bro, type 7 itu adalah type yg di generate atau di buat oleh NSSA karena bertindak juga sebagai ASBR.
Aneh ya? pasti banyak pertanyaan koq begitu.ya begitu memang behaviour atau tingkah lakunya dari NSSA.LSA 7 pasti akan di translate ke LSA type 5 begitu meninggalkan NSSA.
2.Standar Area
Merupakan semua area yang selain area 0, hmmm apapun itu areanya selain 0?
ya tapi selain stub, NSSA sdb. ini hanya penyebutan jika area tersebut bukan 0 dan bukab jg di stub.BENAR BENAR AREA BIASA SAJA DAN PASTI BUKAN AREA 0.
3.Stub Area
Sudah jelas arti stub, ujung! jadi udah jelas router ini tidak memilki area lain, routing protokol lain yg perlu di advertise ke luar dari router ini!
tidak menerima LSA type 4 dan 5.
4 dan 5 gak ya? hmm, type 4 itu apa? type 4 itu adalah LSA yang didatang dari ASBR untuk
4.NSSA (Not so Stuby Area)
Agak unik, kenapa? karena ini adalah sebuah stub area TAPIII masih memiliki network protokol routing lain di belakangnya.jadi kalau anda tetap ingin router - router di dalam ospf anda mengenal routingan di belakang sebuah area STUB, gunakan NSSA ini.
contoh yg gw buat sendiri :
router R3 dan R2 di set area 1 nssa, ok ya
kemudian kita redistribute di R3 EIGRP 1, dan show di R2 bahwa hasil redistribute di tampilkan :
Gateway of last resort is not set
34.0.0.0/24 is subnetted, 1 subnets
O N2 34.34.34.0 [110/20] via 23.23.23.3, 00:14:14, FastEthernet0/1
1.0.0.0/32 is subnetted, 1 subnets
O 1.1.1.1 [110/11] via 12.12.12.1, 00:16:00, FastEthernet0/0
2.0.0.0/32 is subnetted, 1 subnets
C 2.2.2.2 is directly connected, Loopback0
3.0.0.0/32 is subnetted, 1 subnets
O 3.3.3.3 [110/11] via 23.23.23.3, 00:16:00, FastEthernet0/1
4.0.0.0/32 is subnetted, 1 subnets
O N2 4.4.4.4 [110/20] via 23.23.23.3, 00:14:14, FastEthernet0/1
23.0.0.0/24 is subnetted, 1 subnets
C 23.23.23.0 is directly connected, FastEthernet0/1
12.0.0.0/24 is subnetted, 1 subnets
C 12.12.12.0 is directly connected, FastEthernet0/0
artinya : N2 - OSPF NSSA external type 2 = LSA type 7 dari ASBR DAN PASTI DARI AREA NSSA! ingat pasti dari NSSA, kenapa? karena kalau bukan dari NSSA pasti hanya LSA TYPE 5, mau tau? lihat sh ip route di R2 yang telah menerima hasil redistribute dari R1 yg meredestribute dari RIP:
O E1 5.5.5.5 [110/30] via 12.12.12.1, 00:00:48, FastEthernet0/0
artinya : E1 - OSPF external type 1, E2 - OSPF external type 2
artinya lagi ini adalah OSPF LSA type 5, yg artinya lagi bahwa R1 HANYA bertindak sebagai ASBR biasa tanpa stub. jelas ya saya pikir.
5.NSSA No-Summary
NSSA area yg benar2 stub, jadi tidak menerima semua type LSA karena ada default gateway dari router di depannya.
masih dengan topology yg sama:
Gateway of last resort is 23.23.23.2 to network 0.0.0.0
34.0.0.0/24 is subnetted, 1 subnets
C 34.34.34.0 is directly connected, FastEthernet0/1
3.0.0.0/32 is subnetted, 1 subnets
C 3.3.3.3 is directly connected, Loopback0
4.0.0.0/32 is subnetted, 1 subnets
D 4.4.4.4 [90/409600] via 34.34.34.4, 00:45:07, FastEthernet0/1
23.0.0.0/24 is subnetted, 1 subnets
C 23.23.23.0 is directly connected, FastEthernet0/0
O*IA 0.0.0.0/0 [110/11] via 23.23.23.2, 00:01:43, FastEthernet0/0
lihat ada 0.0.0.0 0.0.0.0 ke 23.23.23.2, tapiii , uniknya area ini masih mengadvertise LSA type 7 ke luar, ingat! pada stub area juga terdapat default routing. tapi uniknya di NSSA no-sumary ini masih bisa mengadvertise network yg di distribution nya.
1.Backbone Area
Yaitu area yang biasa disebut area 0, yaitu area tempat beberapa area berpusat.
router2 di area ini dapat bertindak sebagai ASBR. Area ini melewatkan semua type LSA kecuali type 7.kenapa type 7 tidak? karena type 7 di transfer menjadi LSA type 5 oleh ABR saat akan masuk ke area 0!
mengerti gak? kenapa ABR mengkonversi ke type 5, karena NSSA bro, type 7 itu adalah type yg di generate atau di buat oleh NSSA karena bertindak juga sebagai ASBR.
Aneh ya? pasti banyak pertanyaan koq begitu.ya begitu memang behaviour atau tingkah lakunya dari NSSA.LSA 7 pasti akan di translate ke LSA type 5 begitu meninggalkan NSSA.
2.Standar Area
Merupakan semua area yang selain area 0, hmmm apapun itu areanya selain 0?
ya tapi selain stub, NSSA sdb. ini hanya penyebutan jika area tersebut bukan 0 dan bukab jg di stub.BENAR BENAR AREA BIASA SAJA DAN PASTI BUKAN AREA 0.
3.Stub Area
Sudah jelas arti stub, ujung! jadi udah jelas router ini tidak memilki area lain, routing protokol lain yg perlu di advertise ke luar dari router ini!
tidak menerima LSA type 4 dan 5.
4 dan 5 gak ya? hmm, type 4 itu apa? type 4 itu adalah LSA yang didatang dari ASBR untuk
4.NSSA (Not so Stuby Area)
Agak unik, kenapa? karena ini adalah sebuah stub area TAPIII masih memiliki network protokol routing lain di belakangnya.jadi kalau anda tetap ingin router - router di dalam ospf anda mengenal routingan di belakang sebuah area STUB, gunakan NSSA ini.
contoh yg gw buat sendiri :
router R3 dan R2 di set area 1 nssa, ok ya
kemudian kita redistribute di R3 EIGRP 1, dan show di R2 bahwa hasil redistribute di tampilkan :
Gateway of last resort is not set
34.0.0.0/24 is subnetted, 1 subnets
O N2 34.34.34.0 [110/20] via 23.23.23.3, 00:14:14, FastEthernet0/1
1.0.0.0/32 is subnetted, 1 subnets
O 1.1.1.1 [110/11] via 12.12.12.1, 00:16:00, FastEthernet0/0
2.0.0.0/32 is subnetted, 1 subnets
C 2.2.2.2 is directly connected, Loopback0
3.0.0.0/32 is subnetted, 1 subnets
O 3.3.3.3 [110/11] via 23.23.23.3, 00:16:00, FastEthernet0/1
4.0.0.0/32 is subnetted, 1 subnets
O N2 4.4.4.4 [110/20] via 23.23.23.3, 00:14:14, FastEthernet0/1
23.0.0.0/24 is subnetted, 1 subnets
C 23.23.23.0 is directly connected, FastEthernet0/1
12.0.0.0/24 is subnetted, 1 subnets
C 12.12.12.0 is directly connected, FastEthernet0/0
artinya : N2 - OSPF NSSA external type 2 = LSA type 7 dari ASBR DAN PASTI DARI AREA NSSA! ingat pasti dari NSSA, kenapa? karena kalau bukan dari NSSA pasti hanya LSA TYPE 5, mau tau? lihat sh ip route di R2 yang telah menerima hasil redistribute dari R1 yg meredestribute dari RIP:
O E1 5.5.5.5 [110/30] via 12.12.12.1, 00:00:48, FastEthernet0/0
artinya : E1 - OSPF external type 1, E2 - OSPF external type 2
artinya lagi ini adalah OSPF LSA type 5, yg artinya lagi bahwa R1 HANYA bertindak sebagai ASBR biasa tanpa stub. jelas ya saya pikir.
5.NSSA No-Summary
NSSA area yg benar2 stub, jadi tidak menerima semua type LSA karena ada default gateway dari router di depannya.
masih dengan topology yg sama:
Gateway of last resort is 23.23.23.2 to network 0.0.0.0
34.0.0.0/24 is subnetted, 1 subnets
C 34.34.34.0 is directly connected, FastEthernet0/1
3.0.0.0/32 is subnetted, 1 subnets
C 3.3.3.3 is directly connected, Loopback0
4.0.0.0/32 is subnetted, 1 subnets
D 4.4.4.4 [90/409600] via 34.34.34.4, 00:45:07, FastEthernet0/1
23.0.0.0/24 is subnetted, 1 subnets
C 23.23.23.0 is directly connected, FastEthernet0/0
O*IA 0.0.0.0/0 [110/11] via 23.23.23.2, 00:01:43, FastEthernet0/0
lihat ada 0.0.0.0 0.0.0.0 ke 23.23.23.2, tapiii , uniknya area ini masih mengadvertise LSA type 7 ke luar, ingat! pada stub area juga terdapat default routing. tapi uniknya di NSSA no-sumary ini masih bisa mengadvertise network yg di distribution nya.
Rabu, 18 Mei 2011
AToM (Any Transport over MPLS)
Monday, 21 February 2011 Written By Admin
Sejarah AToM
Teknologi AToM dikembangkan setelah melihat sukses besar yang pada teknologi MPLS–VPN yang memberikan solusi pengiriman data yang aman dan cepat. Aman karena jaringan yang digunakan adalah jaringan pribadi (VPN), dan cepat karena menggunakan jaringan MPLS sebagai backbone. Walaupun begitu, teknologi layer–2 seperti leased line, ATM, dan frame relay masih merupakan penyumbang pendapatan terbesar untuk para penyedia layanan. Teknologi ini tetap dipilih oleh para pelanggan karena mereka menginginkan kontrol menyeluruh atas jaringan yang mereka pakai, dan kebanyakan perusahaan memakai produk yang menggunakan protokol yang tidak dapat dibawa oleh IP (contoh: IBM FEP).
Saat ini para penyedia layanan memiliki jaringan tersendiri yang khusus digunakan untuk membawa trafik layer–2 kepada pelanggan. Sehingga dengan telah dibangunnya teknologi MPLS–VPN yang menggunakan layer–3 untuk transportnya maka para penyedia layanan memiliki dua jaringan yang berbeda untuk keperluan yang sama, jelas hal ini merupakan suatu pemborosan. Jika dilihat dari sisi penyedia layanan maka biaya investasi yang dibutuhkan menjadi besar, sedangkan jika dilihat dari sisi pelanggan maka biaya sewa jaringan menjadi dua kali lipat.
Atas dasar inilah kemudian teknologi AToM dikembangkan. Dengan AToM maka para penyedia jaringan dapat melewatkan trafik layer–2 seperti ATM, Frame Relay, dsb. melalui jaringan MPLS. Sehingga hanya dengan memiliki satu jaringan tetapi dapat menawarkan dua layanan besar, yaitu MPLS–VPN dan AToM maka besarnya investasi yang harus dikeluarkan dapat ditekan.
Walaupun sama–sama menggunakan backbone MPLS, tetapi MPLS–VPN memiliki perbedaan dengan AToM dalam hal pembentukan layanan VPN. Pada MPLS–VPN proses pembentukan layanan VPN dlakukan pada layer–3, sedangkan pada AToM dilakukan pada layer–2, sehingga sering juga disebut sebagai teknologi L2VPN.
Arsitektur AToM
Pada dasarnya, arsitektur AToM menggunakan metode pseudowire untuk membawa trafik layer–2 melalui jaringan paket, dalam hal ini MPLS. Pseudowire merupakan hubungan antar router PE (Provider Edge) dan mengemulasikan suatu penghubung untuk membawa trafik layer–2. pseudowire menggunakan proses tunneling serta mengenkapsulasikan frame–frame layer–2 menjadi paket yang akan diberi label.
Dalam jaringan yang mengaplikasikan AToM, semua router pada jaringan backbone harus mampu melewatkan protokol MPLS, dan router PE (Provider Edge) memiliki AC (Attachment Circuit) yang terhubung dengan router CE (Costumer Edge). Sedangkan tunneling yang dimaksudkan tak lain dan tak bukan adalah LSP antara PE. Label yang digunakan ada 2 jenis, yang pertama disebut label VC (Virtual Circuit) atau PW (PseudoWire), dan yang kedua adalah tunnel label untuk digunakan meneruskan paket yang diterima.
Gambar 1. Forwarding paket pada AToM
Proses Forwading pada AToM
Pada proses forwarding paket, setiap ingress LSR dan egress LSR harus sudah menentukan LDP yang akan menghasilkan label VC yang terletak di lapisan paling bawah dari label stack yang akan digunakan untuk mengidentifikasi AC pada egress LSR. Sedangkan tunnel label terletak pada lapisan paling atas dari label stack yang akan digunakan untuk memberitahu semua intermediate LSR agar dapat meneruskan paket ke egress LSR secara tepat.
Gambar 2. Forwarding paket pada AToM
Data Plane ATOM
Saat PE menerima frame dari CE yang kemudian diteruskan ke LSR melalui jaringan MPLS tidaklah sama persis seperti penerusan paket biasanya, tetapi menggunakan 2 label: tunnel label dan VC label.
Selain itu setiap pasang PE harus saling mensinkronkan LDP terlebih dahulu. Proses tersebut bertujuan untuk mendapatkan karakteristik dari pseudowire yang akan digunakan dan yang paling penting untuk menentukan VC label. VC label yang berfungsi untuk mengidentifikasi AC pada PE selalu terletak di bagian paling bawah dari label stack. Sedangkan tunnel label yang berfungsi untuk memberitahu semua intermediate LSR agar mengarahkan kemana frame yang ada harus diteruskan terletak dibagian paling atas dari label stack.
Ingress PE (PE1) pertama kali melekatkan VC label (label 33) kepada frame, kemudian diikuti dengan penempelan tunnel label. Kemudian paket ini diteruskan berdasarkan tunnel label hingga mencapai egress PE (PE2), dimana pada PE2 tunnel label telah dilepaskan. Ini terjadi karena adanya karakteristik antara router P terakhir dengan egress PE yaitu PHP (Penultimate Hop Popping).
Kemudian egress PE mencocokkan VC label yang ada dengan melihat pada LFIB (Label Forwarding Information Base) yang berisi database AC, untuk kemudian meneruskan frame kepada AC yang sesuai.
Disini router P tidak perlu melihat VC label karena router P tidak memiliki keperluan dengan VC label, sehingga dapat dikatakan bahwa router P tidak mengetahui dan tidak perlu tahu apakah paket yang diteruskannya itu merupakan paket biasa atau AToM. Ini dikarenakan tunnel label hanyalah label MPLS biasa yang menggunakan LDP atau RSVP, sehingga tidak ada penyettingan khusus untuk AToM di router P.
Pensinyalan Pada Pseudowires
Pensinyalan LDP diperlukan untuk menentukan pseudowire antar router PE, seperti yang dijelaskan oleh gambar dibawah ini.
Gambar 3. Proses pensinyalan pada Pseudowire
LDP yang ada ditambah bit–bit TLV (Type Length Value) untuk melakukan fungsi ini. Dengan begitu tujuan utama dari sesi LDP adalah untuk menghasilkan VC label yang akan digunakan sebagai dasar pseudowire dapat tercapai.
TLV yang ditambahkan pada LDP itu sendiri terdiri dari:
Pseudowire Identifier (PW ID) FEC TLV
Berfungsi mengidentifikasi pseudowire mana yang akan digunakan.
Label TLV
Berfungsi untuk menghasilkan label yang akan digunakan pada jaringan MPLS.
PW ID FEC TLV sendiri terdiri dari beberapa elemen, yaitu:
C-bit
PW Type
Group ID
PW ID
Parameter Interface
Gambar 4. Format PW ID FEC TLV
PW TLV selalu bernilai 128 yang menjelaskan bahwa ini merupakan PW ID FEC TLV.
C–bit
Bernilai 1 jika Control Word aktif.
PW Type
Merupakan field yang terdiri dari 15 bit yang menunjukkan tipe dari pseudowire.
Tabel 1.PW Type
DLCI = data–link connection identifier
SDU = service data unit
VCC = virtual channel connection
CEM = Circuit Emulation Service over MPLS
PDU = protocol data unit
CEP = Circuit Emulation over Packet
CESoPSN = Circuit Emulation Service over Packet Switched Network
TDMoIP = time-division multiplexing over IP
TDM = time–division multiplexing
CAS = channel associated signaling
Group ID
Berfungsi mengidentifikasi grup dari pseudowire. Pada Cisco IOS, Group ID yang sama digunakan untuk semua AC pada interface yang sama.
PW ID
PW ID adalah 32 bit identifikasi yang bekerjasama dengan PW Type mengidentifikasi pseudowire. PW ID dapat di tentukan secara manual di setiap router PE dengan menggunakan perintah xconnect peer–router–id vcid. Pada perintah di Cisco IOS, PW ID di kenal dengan VC ID.
Parameter interface
Parameter interface menjelaskan secara spesifik beberapa parameter interface seperti MTU (Maximum Transfer Unit) di tiap interface ke router CE. Jika parameter MTU tidak sinkron di kedua sisinya, maka pseudowire tidak dapat digunakan.
Control Word
Control Word (CW) terdiri dari 32 bit yang diletakkan diantara VC label dan protokol layer–2. CW membawa informasi tambahan seperti protokol kontrol informasi dan nomor sekuensial dalam format yang telah dikompres. Informasi ini diperlukan untuk mengoreksi dan mengefisiensikan protokol layer–2 untuk melewati jaringan MPLS. Ingress PE menambahkan CW dan Egress PE menghapusnya setelah selesai digunakan.
Gambar 5. Format Control Word
Gambar 6. Posisi Control Word pada AToM
Fungsi Control Word
CW memiliki 5 fungsi penting:
Pad Small Packet
Membawa bit kontrol dari header layer–2 protokol transport.
Menentukan urutan dari frame transport.
Memfasilitasi load balancing dari paket AToM pada jaringan MPLS.
Memfasilitasi fragmentasi dan reassembly.
Pad Small Packets
Ada saat ketika paket AToM yang dikirimkan lebih kecil dari minimum panjang paket yang diharuskan. Sebagai contoh adalah Ethernet yang mengharuskan panjang minimum paket adalah 64 byte, jika paket AToM lebih kecil dari 64 byte maka frame akan dipenuhi hingga bats minimum dari ethernet. Jika paket AtoM yang diterima oleh router PE memiliki CW selain 0, maka router menganggap paket tersebut lebih kecil dari panjang minimum, sehingga akan dihilangkan terlebih dahulu tambahan-tambahan tersebut untuk selanjutnya diteruskan.
Membawa bit kontrol dari header layer–2 protokol transport
Fungsi CW lainnya adalah sebagai pembawa bit–bit kontrol yang terdiri dari flag-flag layer–2. flag–flag tersebut dikopikan ke CW berdasarkan dari protokol pembawanya sendiri.
Menentukan urutan dari frame transport
Alasan selanjutnya mengapa CW begitu penting adalah sebagai pembawa sequence number. Dengan sequence number, maka penerima dapat mendeteksi nomor dari paket yang diteruskan. Paket pertama dikirim melalui pseudowire dengan nomor 1, begitu seterusnya hingga 65.535, dan akan kembali lagi ke nomor 1 setelah itu.
Memfasilitasi load balancing dari paket AToM pada jaringan MPLS
Alasan keempat dari pentingnya CW adalah untuk mrenangani proses load balancing dari AToM pada jaringan MPLS. Router dapat menentukkan bagaimana langkah load balancing yang seharusnya digunakan dengan melihat payload dari paket MPLS yang dikirim.
Memfasilitasi Fragmentasi dan Reassembly
Alasan kelima adalah CW dapat berfungsi untuk melakukan fragmentsi dan reassembly frame–frame. Router PE dapat membantu proses fragmentasi dangan mengirimkan sinyal fragmentasi bersamaan dengan penempelan VC label, atau dapat ditentukan secara manual. Pada CW, proses fragmentasi ditunjukkan oleh bit B (Begining) dan E (Ending). Fragmentasi dan reassembly menggunakan sequence number pada CW untuk mengetahui grup dari fragmen tersebut.
Jika kombinasi dari label stack, AToM payload, dan header pseudowire menghasilkan paket AtoM dengan MTU yang lebih besar dari MTU jaringan MPLS, maka paket akan dibuang. Dengan kata lain, paket AToM dapat diteruskan jika telah dilakukan fragmentasi dan reassembly terlebih dahulu yang hanay dapat dilakukan oleh PE.
Tabel 2.Nilai B dan E
Proses fragmentasi dapat mempengaruhi performa dalam jaringan, oleh karena itu hindarilah sebisa mungkin proses fragmentasi itu. Fragmentasi dapat dihindari dengan memilih secara tepat MTU pada jaringan MPLS.
Gambar 7. enkapsulasi Ethernet over MPLS / VPLS
Sumber : http://digilib.ittelkom.ac.id/index.php?option=com_content&view=article&id=759:atom-any-transport-over-mpls&catid=6:internet&Itemid=14
Monday, 21 February 2011 Written By Admin
Sejarah AToM
Teknologi AToM dikembangkan setelah melihat sukses besar yang pada teknologi MPLS–VPN yang memberikan solusi pengiriman data yang aman dan cepat. Aman karena jaringan yang digunakan adalah jaringan pribadi (VPN), dan cepat karena menggunakan jaringan MPLS sebagai backbone. Walaupun begitu, teknologi layer–2 seperti leased line, ATM, dan frame relay masih merupakan penyumbang pendapatan terbesar untuk para penyedia layanan. Teknologi ini tetap dipilih oleh para pelanggan karena mereka menginginkan kontrol menyeluruh atas jaringan yang mereka pakai, dan kebanyakan perusahaan memakai produk yang menggunakan protokol yang tidak dapat dibawa oleh IP (contoh: IBM FEP).
Saat ini para penyedia layanan memiliki jaringan tersendiri yang khusus digunakan untuk membawa trafik layer–2 kepada pelanggan. Sehingga dengan telah dibangunnya teknologi MPLS–VPN yang menggunakan layer–3 untuk transportnya maka para penyedia layanan memiliki dua jaringan yang berbeda untuk keperluan yang sama, jelas hal ini merupakan suatu pemborosan. Jika dilihat dari sisi penyedia layanan maka biaya investasi yang dibutuhkan menjadi besar, sedangkan jika dilihat dari sisi pelanggan maka biaya sewa jaringan menjadi dua kali lipat.
Atas dasar inilah kemudian teknologi AToM dikembangkan. Dengan AToM maka para penyedia jaringan dapat melewatkan trafik layer–2 seperti ATM, Frame Relay, dsb. melalui jaringan MPLS. Sehingga hanya dengan memiliki satu jaringan tetapi dapat menawarkan dua layanan besar, yaitu MPLS–VPN dan AToM maka besarnya investasi yang harus dikeluarkan dapat ditekan.
Walaupun sama–sama menggunakan backbone MPLS, tetapi MPLS–VPN memiliki perbedaan dengan AToM dalam hal pembentukan layanan VPN. Pada MPLS–VPN proses pembentukan layanan VPN dlakukan pada layer–3, sedangkan pada AToM dilakukan pada layer–2, sehingga sering juga disebut sebagai teknologi L2VPN.
Arsitektur AToM
Pada dasarnya, arsitektur AToM menggunakan metode pseudowire untuk membawa trafik layer–2 melalui jaringan paket, dalam hal ini MPLS. Pseudowire merupakan hubungan antar router PE (Provider Edge) dan mengemulasikan suatu penghubung untuk membawa trafik layer–2. pseudowire menggunakan proses tunneling serta mengenkapsulasikan frame–frame layer–2 menjadi paket yang akan diberi label.
Dalam jaringan yang mengaplikasikan AToM, semua router pada jaringan backbone harus mampu melewatkan protokol MPLS, dan router PE (Provider Edge) memiliki AC (Attachment Circuit) yang terhubung dengan router CE (Costumer Edge). Sedangkan tunneling yang dimaksudkan tak lain dan tak bukan adalah LSP antara PE. Label yang digunakan ada 2 jenis, yang pertama disebut label VC (Virtual Circuit) atau PW (PseudoWire), dan yang kedua adalah tunnel label untuk digunakan meneruskan paket yang diterima.
Gambar 1. Forwarding paket pada AToM
Proses Forwading pada AToM
Pada proses forwarding paket, setiap ingress LSR dan egress LSR harus sudah menentukan LDP yang akan menghasilkan label VC yang terletak di lapisan paling bawah dari label stack yang akan digunakan untuk mengidentifikasi AC pada egress LSR. Sedangkan tunnel label terletak pada lapisan paling atas dari label stack yang akan digunakan untuk memberitahu semua intermediate LSR agar dapat meneruskan paket ke egress LSR secara tepat.
Gambar 2. Forwarding paket pada AToM
Data Plane ATOM
Saat PE menerima frame dari CE yang kemudian diteruskan ke LSR melalui jaringan MPLS tidaklah sama persis seperti penerusan paket biasanya, tetapi menggunakan 2 label: tunnel label dan VC label.
Selain itu setiap pasang PE harus saling mensinkronkan LDP terlebih dahulu. Proses tersebut bertujuan untuk mendapatkan karakteristik dari pseudowire yang akan digunakan dan yang paling penting untuk menentukan VC label. VC label yang berfungsi untuk mengidentifikasi AC pada PE selalu terletak di bagian paling bawah dari label stack. Sedangkan tunnel label yang berfungsi untuk memberitahu semua intermediate LSR agar mengarahkan kemana frame yang ada harus diteruskan terletak dibagian paling atas dari label stack.
Ingress PE (PE1) pertama kali melekatkan VC label (label 33) kepada frame, kemudian diikuti dengan penempelan tunnel label. Kemudian paket ini diteruskan berdasarkan tunnel label hingga mencapai egress PE (PE2), dimana pada PE2 tunnel label telah dilepaskan. Ini terjadi karena adanya karakteristik antara router P terakhir dengan egress PE yaitu PHP (Penultimate Hop Popping).
Kemudian egress PE mencocokkan VC label yang ada dengan melihat pada LFIB (Label Forwarding Information Base) yang berisi database AC, untuk kemudian meneruskan frame kepada AC yang sesuai.
Disini router P tidak perlu melihat VC label karena router P tidak memiliki keperluan dengan VC label, sehingga dapat dikatakan bahwa router P tidak mengetahui dan tidak perlu tahu apakah paket yang diteruskannya itu merupakan paket biasa atau AToM. Ini dikarenakan tunnel label hanyalah label MPLS biasa yang menggunakan LDP atau RSVP, sehingga tidak ada penyettingan khusus untuk AToM di router P.
Pensinyalan Pada Pseudowires
Pensinyalan LDP diperlukan untuk menentukan pseudowire antar router PE, seperti yang dijelaskan oleh gambar dibawah ini.
Gambar 3. Proses pensinyalan pada Pseudowire
LDP yang ada ditambah bit–bit TLV (Type Length Value) untuk melakukan fungsi ini. Dengan begitu tujuan utama dari sesi LDP adalah untuk menghasilkan VC label yang akan digunakan sebagai dasar pseudowire dapat tercapai.
TLV yang ditambahkan pada LDP itu sendiri terdiri dari:
Pseudowire Identifier (PW ID) FEC TLV
Berfungsi mengidentifikasi pseudowire mana yang akan digunakan.
Label TLV
Berfungsi untuk menghasilkan label yang akan digunakan pada jaringan MPLS.
PW ID FEC TLV sendiri terdiri dari beberapa elemen, yaitu:
C-bit
PW Type
Group ID
PW ID
Parameter Interface
Gambar 4. Format PW ID FEC TLV
PW TLV selalu bernilai 128 yang menjelaskan bahwa ini merupakan PW ID FEC TLV.
C–bit
Bernilai 1 jika Control Word aktif.
PW Type
Merupakan field yang terdiri dari 15 bit yang menunjukkan tipe dari pseudowire.
Tabel 1.PW Type
DLCI = data–link connection identifier
SDU = service data unit
VCC = virtual channel connection
CEM = Circuit Emulation Service over MPLS
PDU = protocol data unit
CEP = Circuit Emulation over Packet
CESoPSN = Circuit Emulation Service over Packet Switched Network
TDMoIP = time-division multiplexing over IP
TDM = time–division multiplexing
CAS = channel associated signaling
Group ID
Berfungsi mengidentifikasi grup dari pseudowire. Pada Cisco IOS, Group ID yang sama digunakan untuk semua AC pada interface yang sama.
PW ID
PW ID adalah 32 bit identifikasi yang bekerjasama dengan PW Type mengidentifikasi pseudowire. PW ID dapat di tentukan secara manual di setiap router PE dengan menggunakan perintah xconnect peer–router–id vcid. Pada perintah di Cisco IOS, PW ID di kenal dengan VC ID.
Parameter interface
Parameter interface menjelaskan secara spesifik beberapa parameter interface seperti MTU (Maximum Transfer Unit) di tiap interface ke router CE. Jika parameter MTU tidak sinkron di kedua sisinya, maka pseudowire tidak dapat digunakan.
Control Word
Control Word (CW) terdiri dari 32 bit yang diletakkan diantara VC label dan protokol layer–2. CW membawa informasi tambahan seperti protokol kontrol informasi dan nomor sekuensial dalam format yang telah dikompres. Informasi ini diperlukan untuk mengoreksi dan mengefisiensikan protokol layer–2 untuk melewati jaringan MPLS. Ingress PE menambahkan CW dan Egress PE menghapusnya setelah selesai digunakan.
Gambar 5. Format Control Word
Gambar 6. Posisi Control Word pada AToM
Fungsi Control Word
CW memiliki 5 fungsi penting:
Pad Small Packet
Membawa bit kontrol dari header layer–2 protokol transport.
Menentukan urutan dari frame transport.
Memfasilitasi load balancing dari paket AToM pada jaringan MPLS.
Memfasilitasi fragmentasi dan reassembly.
Pad Small Packets
Ada saat ketika paket AToM yang dikirimkan lebih kecil dari minimum panjang paket yang diharuskan. Sebagai contoh adalah Ethernet yang mengharuskan panjang minimum paket adalah 64 byte, jika paket AToM lebih kecil dari 64 byte maka frame akan dipenuhi hingga bats minimum dari ethernet. Jika paket AtoM yang diterima oleh router PE memiliki CW selain 0, maka router menganggap paket tersebut lebih kecil dari panjang minimum, sehingga akan dihilangkan terlebih dahulu tambahan-tambahan tersebut untuk selanjutnya diteruskan.
Membawa bit kontrol dari header layer–2 protokol transport
Fungsi CW lainnya adalah sebagai pembawa bit–bit kontrol yang terdiri dari flag-flag layer–2. flag–flag tersebut dikopikan ke CW berdasarkan dari protokol pembawanya sendiri.
Menentukan urutan dari frame transport
Alasan selanjutnya mengapa CW begitu penting adalah sebagai pembawa sequence number. Dengan sequence number, maka penerima dapat mendeteksi nomor dari paket yang diteruskan. Paket pertama dikirim melalui pseudowire dengan nomor 1, begitu seterusnya hingga 65.535, dan akan kembali lagi ke nomor 1 setelah itu.
Memfasilitasi load balancing dari paket AToM pada jaringan MPLS
Alasan keempat dari pentingnya CW adalah untuk mrenangani proses load balancing dari AToM pada jaringan MPLS. Router dapat menentukkan bagaimana langkah load balancing yang seharusnya digunakan dengan melihat payload dari paket MPLS yang dikirim.
Memfasilitasi Fragmentasi dan Reassembly
Alasan kelima adalah CW dapat berfungsi untuk melakukan fragmentsi dan reassembly frame–frame. Router PE dapat membantu proses fragmentasi dangan mengirimkan sinyal fragmentasi bersamaan dengan penempelan VC label, atau dapat ditentukan secara manual. Pada CW, proses fragmentasi ditunjukkan oleh bit B (Begining) dan E (Ending). Fragmentasi dan reassembly menggunakan sequence number pada CW untuk mengetahui grup dari fragmen tersebut.
Jika kombinasi dari label stack, AToM payload, dan header pseudowire menghasilkan paket AtoM dengan MTU yang lebih besar dari MTU jaringan MPLS, maka paket akan dibuang. Dengan kata lain, paket AToM dapat diteruskan jika telah dilakukan fragmentasi dan reassembly terlebih dahulu yang hanay dapat dilakukan oleh PE.
Tabel 2.Nilai B dan E
Proses fragmentasi dapat mempengaruhi performa dalam jaringan, oleh karena itu hindarilah sebisa mungkin proses fragmentasi itu. Fragmentasi dapat dihindari dengan memilih secara tepat MTU pada jaringan MPLS.
Gambar 7. enkapsulasi Ethernet over MPLS / VPLS
Sumber : http://digilib.ittelkom.ac.id/index.php?option=com_content&view=article&id=759:atom-any-transport-over-mpls&catid=6:internet&Itemid=14
Senin, 16 Mei 2011
Tutorial: How to use Cisco MQC & NBAR to filter websites like Youtube
Tutorial: How to use Cisco MQC & NBAR to filter websites like Youtube
By Arden Packeer, CCIE #20716⋅ December 14, 2007 ⋅ShareThis Email this post ⋅ Print this post ⋅ Post a comment
Site Search Tags: dynagen, dynamips, filtering, flash, http, mime, mqc, nbar, qos, web
Thanks for visiting! If you're new here, you may want to subscribe to my RSS feed. This blog posts regular tutorials, news, and study tips about networking, especially about Cisco CCIE related topics. Go ahead, subscribe to the rss feed! You can also receive updates from this blog via email. Thanks for visiting!
I was asked a great question by one of my clients regarding filtering of websites. He had filtered youtube and google video at his proxy server but with the number of different video sites popping up (metacafe, jibjab etc etc), his filters just couldn’t keep up…and neither could his bandwidth!
One solution to this problem is the use of Cisco’s Network Based Application Recognition (NBAR). NBAR is a deep packet inspection and classification engine. It was first introduced in experimental versions of IOS v12.1 and can be used with Cisco’s Modular Quality Of Service Command Line (MQC).
In this article we will look at using MQC to filter websites. I will demonstrate using the match protocol http command to match a URL, a host or MIME type. We will use the following topology for demonstration:
R3 will act as a webserver and R1 as a client. The filtering will be applied on R2. You can download the dynamips .net file the following topology here.
R1 Base Configuration:
hostname R1
!
int s1/0
ip add 10.0.12.1 255.255.255.0
no shut
!
router ospf 1
network 10.0.12.1 0.0.0.0 area 0
R2 Base Configuration:
hostname R2
!
int s1/0
ip add 10.0.12.2 255.255.255.0
no shut
!
int s1/1
ip add 10.0.23.2 255.255.255.0
no shut
!
router ospf 1
network 10.0.12.2 0.0.0.0 area 0
network 10.0.23.2 0.0.0.0 area 0
R3 Base Configuration:
hostname R3
!
int s1/0
ip add 10.0.23.3 255.255.255.0
no shut
!
int f0/0
ip add 192.168.1.100 255.255.255.0
no shut
!
router ospf 1
network 10.0.23.3 0.0.0.0 area 0
!
ip http server
ip http path flash:
We have set up R3 as a webserver. Details on how to setup R3 as a webserver using IOS can be found here.
R3#sh run | in ip http
ip http server
no ip http secure-server
ip http path flash:
R3#dir
Directory of flash:/
1 -rw- 90
2 -rw- 329
3 -rw- 174
8388604 bytes total (8387812 bytes free)
Basic HTTP Filtering using NBAR
Lets set up basic http filtering with MQC on R2.
R2(config)#class-map match-all MATCH-HTTP
R2(config-cmap)#match protocol http
R2(config-cmap)#exit
R2(config)#policy-map HTTP-POLICY
R2(config-pmap)#class MATCH-HTTP
R2(config-pmap-c)#set dscp af13
R2(config-pmap-c)#exit
R2(config-pmap)#int s1/0
R2(config-if)#service-policy input HTTP-POLICY
In the code above we have a class map called MATCH-HTTP. The match protocol http command tells NBAR to match the http protocol. This will match all http traffic. The MATCH-HTTP class is then utilized in the HTTP-POLICY policy map. This policy map is used to set a DSCP marking on all traffic that matches the MATCH-HTTP class (ie all http traffic). The policy is then implemented on R2’s s1/0. Traffic is inspected and marked as it comes into that interface.
We can check how many packets have been marked using the show policy-map command.
R2#sh policy-map int s1/0
Serial1/0
Service-policy input: HTTP-POLICY
Class-map: MATCH-HTTP (match-all)
0 packets, 0 bytes
5 minute offered rate 0 bps, drop rate 0 bps
Match: protocol http
QoS Set
dscp af13
Packets marked 0
Class-map: class-default (match-any)
2 packets, 168 bytes
5 minute offered rate 0 bps, drop rate 0 bps
Match: any
R2#
Lets generate some http traffic, and see if our policy marks some packets.
R1#copy http://10.0.23.3/index.html null:
Loading http://10.0.23.3/index.html
174 bytes copied in 0.544 secs (320 bytes/sec)
R2#sh policy-map int s1/0
Serial1/0
Service-policy input: HTTP-POLICY
Class-map: MATCH-HTTP (match-all)
5 packets, 344 bytes
5 minute offered rate 0 bps, drop rate 0 bps
Match: protocol http
QoS Set
dscp af13
Packets marked 5
Class-map: class-default (match-any)
124 packets, 10340 bytes
5 minute offered rate 0 bps, drop rate 0 bps
Match: any
We used the copy http://10.0.23.3/index.html null: command to generate some http traffic. We can see above that 5 packets were generated and were marked as af13. All other traffic will fall into the class-default class. With the packets marked, we could forward them or drop them.
Instead of matching all of the http protocol we can use NBAR to look further into the packet and classify or drop packets based on the host requested.
Match protocol HTTP host
The match protocol HTTP url command is used to match a url. It takes a regular expression as an argument. For example:
match protocol http host *youtube.com*
! This would match anything in youtube.com like http://www.youtube.com or http://video.youtube.com
!
match protocol http host *google*
! This would match anything with google in the host like http://mail.google.com or
http://www.google.com.au
!
match protocol http host google*
! This would match http://google.com but not http://video.google.com
Lets set up R2 to filter based on a host.
R2(config)#class-map MATCH-HTTP
R2(config-cmap)#no match protocol http
R2(config-cmap)#match protocol http host 10.0.23.3
R2#clear counters s1/0
Clear "show interface" counters on this interface [confirm]
*Mar 1 00:04:42.071: %CLEAR-5-COUNTERS: Clear counter on interface Serial1/0 by console
R2#
R2#sh policy-map int s1/0
Serial1/0
Service-policy input: HTTP-POLICY
Class-map: MATCH-HTTP (match-all)
0 packets, 0 bytes
5 minute offered rate 0 bps, drop rate 0 bps
Match: protocol http host "10.0.23.3"
QoS Set
dscp af13
Packets marked 0
Class-map: class-default (match-any)
1 packets, 84 bytes
5 minute offered rate 0 bps, drop rate 0 bps
Match: any
We’ve cleared the counters on R2, so lets generate some traffic on R1 again.
R1#copy http://10.0.23.3/index.html null:
Loading http://10.0.23.3/index.html
174 bytes copied in 0.596 secs (292 bytes/sec)
R2#sh policy-map int s1/0
Serial1/0
Service-policy input: HTTP-POLICY
Class-map: MATCH-HTTP (match-all)
5 packets, 344 bytes
5 minute offered rate 0 bps, drop rate 0 bps
Match: protocol http host "10.0.23.3"
QoS Set
dscp af13
Packets marked 5
Class-map: class-default (match-any)
64 packets, 5300 bytes
5 minute offered rate 0 bps, drop rate 0 bps
Match: any
We can see here it matched 5 packets based on the host. We can use this to match whole sites like youtube.com or video.google.com.
Match protocol HTTP url
We can match strings AFTER the host portion of a URL using the match protocol http url command. It also takes a regular expression as an argument. For example:
match protocol http url *video*
! This would match http://www.cisco.com/video/index.php or
http://www.google.com/stuff/video.html
!
match protocol http url video*
! This would match http://www.cisco.com/video but not http://www.cisco.com/stuff/video.html
! because stuff precedes the video portion of the url and in the expression above we have said
! it has to start with the string video
!
match protocol http url *.jpeg|*.jpg|*.gif
! This would match any .jpeg or .jpg or .gif extention in the url
Lets set up R2 to match based on a URL.
R2(config)#class-map MATCH-HTTP
R2(config-cmap)#no match protocol http host 10.0.23.3
R2(config-cmap)#match protocol http url *.jpg
As you can see above we have used the match protocol http url function of NBAR to match any url that ends in a .jpg. This effectively blocks jpeg images (unless they have a different extension).
Let test it, before we send some traffic we’ll reset the counters on the interface.
R2#clear counters s1/0
Clear "show interface" counters on this interface [confirm]
*Mar 1 00:43:39.135: %CLEAR-5-COUNTERS: Clear counter on interface Serial1/0 by console
R2#
R2#sh policy-map int s1/0
Serial1/0
Service-policy input: HTTP-POLICY
Class-map: MATCH-HTTP (match-all)
0 packets, 0 bytes
5 minute offered rate 0 bps, drop rate 0 bps
Match: protocol http url "*.jpg"
QoS Set
dscp af13
Packets marked 0
Class-map: class-default (match-any)
1 packets, 84 bytes
5 minute offered rate 0 bps, drop rate 0 bps
Match: any
If we request a gif file we shouldn’t match the class MATCH-HTTP. Lets test that first.
R1#copy http://10.0.23.3/picture.gif null:
Loading http://10.0.23.3/picture.gif
90 bytes copied in 0.644 secs (140 bytes/sec)
R2#sh policy-map int s1/0
Serial1/0
Service-policy input: HTTP-POLICY
Class-map: MATCH-HTTP (match-all)
0 packets, 0 bytes
5 minute offered rate 0 bps, drop rate 0 bps
Match: protocol http url "*.jpg"
QoS Set
dscp af13
Packets marked 0
Class-map: class-default (match-any)
18 packets, 1209 bytes
5 minute offered rate 0 bps, drop rate 0 bps
Match: any
Great Success! Looks pretty good. Now lets try a .jpg extension. We should match this.
R1#copy http://10.0.23.3/picture.jpg null:
Loading http://10.0.23.3/picture.jpg
329 bytes copied in 0.820 secs (401 bytes/sec)
R2#sh policy-map int s1/0
Serial1/0
Service-policy input: HTTP-POLICY
Class-map: MATCH-HTTP (match-all)
7 packets, 433 bytes
5 minute offered rate 0 bps, drop rate 0 bps
Match: protocol http url "*.jpg"
QoS Set
dscp af13
Packets marked 7
Class-map: class-default (match-any)
22 packets, 1469 bytes
5 minute offered rate 0 bps, drop rate 0 bps
Match: any
Awesome! You can see above we matched based on a URL.
match protocol http mime
We can also use the match protocol http mime to match internet mime types. The mime type has to be the same mime type that the web server responds with. For a list of valid mime types check out: http://www.sfsu.edu/training/mimetype.htm. Lets look at an example:
match protocol http mime image/jpeg
! This would match jpeg,jpg,jpe,jfif,pjpeg, and pjp types
!
match protocol http mime image/jpg
! This would not match anything as it is not a proper mime type. Get a list of the mime types
! here: http://www.sfsu.edu/training/mimetype.htm
!
match protocol http mime image*
! This would match all image mime types
!
match protocol http mime application/x-shockwave-flash
! This would not only match swf flash movies, but all of flash.
Lets set up R2 to filter the image/jpeg mime type:
R2#conf t
Enter configuration commands, one per line. End with CNTL/Z.
R2(config)#class-map MATCH-HTTP
R2(config-cmap)#no match protocol http url *.jpg
R2(config-cmap)#match protocol http mime ?
WORD Enter a string as the sub-protocol parameter
R2(config-cmap)#match protocol http mime image/jpeg
R2(config-cmap)#exit
R2(config)#exit
Once again, we’ll clear the counters so we can verify that this works correctly.
R2#clear counters s1/0
Clear "show interface" counters on this interface [confirm]
*Mar 1 01:12:10.759: %CLEAR-5-COUNTERS: Clear counter on interface Serial1/0
R2#sh policy-map int s1/0
Serial1/0
Service-policy input: HTTP-POLICY
Class-map: MATCH-HTTP (match-all)
0 packets, 0 bytes
5 minute offered rate 0 bps, drop rate 0 bps
Match: protocol http mime "image/jpeg"
QoS Set
dscp af13
Packets marked 0
Class-map: class-default (match-any)
1 packets, 84 bytes
5 minute offered rate 0 bps, drop rate 0 bps
Match: any
On R1 lets generate some traffic. A gif file will be requested first. This should not match our policy.
R1#copy http://10.0.23.3/picture.gif null:
Loading http://10.0.23.3/picture.gif
90 bytes copied in 0.808 secs (111 bytes/sec)
R2#sh policy-map int s1/0
Serial1/0
Service-policy input: HTTP-POLICY
Class-map: MATCH-HTTP (match-all)
0 packets, 0 bytes
5 minute offered rate 0 bps, drop rate 0 bps
Match: protocol http mime "image/jpeg"
QoS Set
dscp af13
Packets marked 0
Class-map: class-default (match-any)
10 packets, 689 bytes
5 minute offered rate 0 bps, drop rate 0 bps
Match: any
All good! Ok lets do the final test and actually request a jpeg image and see if it matches our policy.
R1#copy http://10.0.23.3/picture.jpg null:
Loading http://10.0.23.3/picture.jpg
329 bytes copied in 1.216 secs (271 bytes/sec)
R2#sh policy-map int s1/0
Serial1/0
Service-policy input: HTTP-POLICY
Class-map: MATCH-HTTP (match-all)
5 packets, 220 bytes
5 minute offered rate 0 bps, drop rate 0 bps
Match: protocol http mime "image/jpeg"
QoS Set
dscp af13
Packets marked 5
Class-map: class-default (match-any)
16 packets, 1162 bytes
5 minute offered rate 0 bps, drop rate 0 bps
Match: any
You can see above that the jpeg image was matched. It works!
Putting it all together
So lets put it all together. We can use all three match protocol http commands in a match-any class map. For example:
class-map match-any INTERNET-SCUM
match protocol http host *youtube.com*|*video.google.com*
match protocol http mime video/flv|video/x-flv|video/mp4|video/x-m4v|audio/mp4a-latm
match protocol http mime video/3gpp|video/quicktime
match protocol http url *.flv|*.mp4|*.m4v|*.m4a|*.3gp|*.mov
! uncomment below if you don't want ANY flash.
! match protocol http mime application/x-shockwave-flash
! match protocol http url *.swf
!
policy-map NOINTERNETVIDEO
class INTERNET-SCUM
drop
!
int s1/0
service-policy input NOINTERNETVIDEO
!
This would match any traffic going to youtube or video.google.com, or any flash applications, or common video mime types, and any swf (flash or flash movie) files! Be aware that NBAR does make your router take a hit in CPU processor usage, I’d suggest evaluating your processor usage before using this in production.
HTH! Now back to labs!
Summary:
Use the match http protocol command to match the http protocol.
match protocol http host matches the host portion
match protocol http url matches the url after the hostname
match protocol http mime matches mime types
sumber : http://ardenpackeer.com/qos-voip/tutorial-how-to-use-cisco-mqc-nbar-to-filter-websites-like-youtube/
Minggu, 15 Mei 2011
cluee
1.masalah di rip:
-version
-network
-auto-summary
-authentication
2.ospf
-area
-type lsa
-type network
-hello dan dead timer
-authentication
-wildcard mask
-redistribute harus subnet
--------
1.bcakup interface
2.access-trunk
3.vlan
4.spanningtree
5.port channel
6.ppp
7.vtp
.frame relay
1.frame relay switching
2.di edge(routernya)
frame relay route
lmy type
clockrate
frame relay switching
--di router=
dlci mapping
type lmi
split horizon untuk rip dan eigrp
ospf type network
authentication (ppp)
broadcast (bisa satu dlci satu broadcast->hanya untuk static mapping)
status di frame relay = active, inactive dan delete
3.ppp auntehentication dengan cara debug untuk mengetahuin (debug ppp authentication)
5.redistribution
tagging untuk filtering
mutual redistribution ngeceknya di edge router paling ujung
6.nssa
7.eigrp=bw dan delay manipulation
8.bgp = ebgp-multihop
update source loopback
next-hop-self
rr
confederation
network command
9.mpls
RT change issue with right RD
11.med
12.eigrp = variance
13.bgp = next hop self
issue di MPLS:
1.RT
2.MPLS IP
3.IP CEF
4.LDP
5.VRF FORWARDING
6.JIKA ADA OSPF CHECK TYPE NYA EXTERNAL EXTERNAL TYPE-1 TYPE 2
7
-version
-network
-auto-summary
-authentication
2.ospf
-area
-type lsa
-type network
-hello dan dead timer
-authentication
-wildcard mask
-redistribute harus subnet
--------
1.bcakup interface
2.access-trunk
3.vlan
4.spanningtree
5.port channel
6.ppp
7.vtp
.frame relay
1.frame relay switching
2.di edge(routernya)
frame relay route
lmy type
clockrate
frame relay switching
--di router=
dlci mapping
type lmi
split horizon untuk rip dan eigrp
ospf type network
authentication (ppp)
broadcast (bisa satu dlci satu broadcast->hanya untuk static mapping)
status di frame relay = active, inactive dan delete
3.ppp auntehentication dengan cara debug untuk mengetahuin (debug ppp authentication)
5.redistribution
tagging untuk filtering
mutual redistribution ngeceknya di edge router paling ujung
6.nssa
7.eigrp=bw dan delay manipulation
8.bgp = ebgp-multihop
update source loopback
next-hop-self
rr
confederation
network command
9.mpls
RT change issue with right RD
11.med
12.eigrp = variance
13.bgp = next hop self
issue di MPLS:
1.RT
2.MPLS IP
3.IP CEF
4.LDP
5.VRF FORWARDING
6.JIKA ADA OSPF CHECK TYPE NYA EXTERNAL EXTERNAL TYPE-1 TYPE 2
7
ospf fast convergen
ip ospf dead-interval minimal hello-multiplier 3 (3 kali kirim hello perdetik ) :)
Selasa, 10 Mei 2011
IP Telephony
The Cisco® High-Density Packet Voice Digital Signal Processor Module (PVDM3) enables Cisco 2900 and 3900 Series Integrated Services Routers Generation 2 (ISR G2) to provide rich-media capabilities such as high-density voice video connectivity, conferencing, transcoding, transrating, and secure voice in Cisco Unified Communications Solutions.
The next-generation high-density packet voice digital-signal-processor (DSP) modules are available in six densities: PVDM3-16, PVDM3-32, PVDM3-64, PVDM3-128, PVDM3-192, and PVDM3-256, with 16, 32, 64, 128, 192, and 256 channels, respectively (Figure 1). Tables 1 and 2 show the number of voice channels and codecs that each PVDM3 module supports.
voice translation-rule 1--> ini di gunakan untuk mentranslate atau membuat rule
rule 1 /^91/ /1/
rule 2 /^92/ /2/
rule 3 /^93/ /3/
rule 4 /^94/ /4/
rule 5 /^95/ /5/
rule 6 /^96/ /6/
rule 7 /^97/ /7/
rule 8 /^98/ /8/
rule 9 /^99/ /9/
rule 10 /^90/ /0/
!
!
voice translation-profile 1
translate called 1
!
Note:Kedua perintah di atas harus di gunakan,urutannya yaitu :
buat dahulu "voice translation-rule 1" kemudian defenisikan apa saja rulenya.
kemudian di buat kembali "voice translation-profile 1" ini untuk membuat semacam policy[ profile] untuk di panggil sebagai apa, kemudian defenisikan translation rule angka berapa yg di panggil!
voice translation-rule 1
rule 1 /^91/ /1/
rule 2 /^92/ /2/
note: Untuk rule 1 /^91/ /1/
ip dhcp pool voice
network 10.15.98.0 255.255.255.0
default-router 10.15.98.1
option 150 ip 10.15.98.1
note: di atas adalah perintah untuk membuat dhcp voice, tidak ada yg berbeda kecuali
penambahan option 150 untuk menentukan TFTP server ada di ip mana.
kemudian menambahkan untuk dial 2000 yaitu number untuk unity.
dial-peer voice 2 voip
destination-pattern 2...
session protocol sipv2
session target ipv4:10.10.10.10
dtmf-relay sip-notify
codec g711ulaw
no vad
unity dikenalkan dengan number 2000 di perintah ini : voicemail 2000
telephony-service
no auto-reg-ephone
max-ephones 110
max-dn 400
ip source-address 10.10.10.1 port 2000
voicemail 2000
mwi relay
max-conferences 8 gain -6
web admin system name compnet password compnet
transfer-system full-consult
create cnf-files version-stamp Jan 01 2002 00:00:00
berikut configure untuk vg-nya:
voice-gateway system 1
network-locale ID
type VG202
mac-address 001F.CAF1.B788
voice-port 0-1
create cnf-files
mac-address nya adalah mac dari interface keluar dari vg tersebut!
voice-port nya 0-1 berarti ada 2 port.
network-locale ID = berarti indonesia ID
create cnf-files berarti membuat xml untuk vg tersebut (sedikit ambigu tapi perlu dicoba lagi)
Untuk dial-peer voice 3 dengan tujuan 3000 atau 3 apa aja sesudahnya(dengan indikator ... dengan protokol sipv2 lempar ke ipv4:10.10.10.10 lainnya ikutin aja :)
dial-peer voice 3 voip
destination-pattern 3...
session protocol sipv2
session target ipv4:10.10.10.10
dtmf-relay sip-notify
codec g711ulaw
mwi, ini digunakan untuk menampilkan lampu jika ada ada voice mailbox:
ephone-dn 30
number 8000....
mwi on
!
!
ephone-dn 31
number 8001....
mwi off
note: pada implementasinya akan kesulitan saat lampu ternyata tidak muncul walaupun sudah ada voice mailbox. ini bersamaan dengan tidak munculnya juga notification massage.caranya dengan mengoprek bagian di cue untuk notificationnya.
activin untuk semua notification di menunya dan pilihan enable untuk notification.
harus di set on dan off atau onoff bersamaan dengan primary number dan secondary number.
configure CUE call Unity Express dapat di lakukan di HTTP, dan untuk pengaturan auto attendant yang menghubungkan bahwa autoatendant menggunakan number 3000 yaitu pada kolom optional masukkan angka 3000
untuk voice mailnya sendiri ada pada pengaturan di telephony-service yaitu port 2000
dan kemudian buatkan sebuah dial-peer voice untuk number 2... dan 3... dan lempar ke 10.10.10.10 <---- ini adalah ip dari service-module dari srst atau CUE. dial-peer voice 1 voip destination-pattern 2... session protocol sipv2 session target ipv4:10.10.10.10 dtmf-relay sip-notify codec g711ulaw no vad nah untuk vg sendiri ada di atas!
The next-generation high-density packet voice digital-signal-processor (DSP) modules are available in six densities: PVDM3-16, PVDM3-32, PVDM3-64, PVDM3-128, PVDM3-192, and PVDM3-256, with 16, 32, 64, 128, 192, and 256 channels, respectively (Figure 1). Tables 1 and 2 show the number of voice channels and codecs that each PVDM3 module supports.
voice translation-rule 1--> ini di gunakan untuk mentranslate atau membuat rule
rule 1 /^91/ /1/
rule 2 /^92/ /2/
rule 3 /^93/ /3/
rule 4 /^94/ /4/
rule 5 /^95/ /5/
rule 6 /^96/ /6/
rule 7 /^97/ /7/
rule 8 /^98/ /8/
rule 9 /^99/ /9/
rule 10 /^90/ /0/
!
!
voice translation-profile 1
translate called 1
!
Note:Kedua perintah di atas harus di gunakan,urutannya yaitu :
buat dahulu "voice translation-rule 1" kemudian defenisikan apa saja rulenya.
kemudian di buat kembali "voice translation-profile 1" ini untuk membuat semacam policy[ profile] untuk di panggil sebagai apa, kemudian defenisikan translation rule angka berapa yg di panggil!
voice translation-rule 1
rule 1 /^91/ /1/
rule 2 /^92/ /2/
note: Untuk rule 1 /^91/ /1/
ip dhcp pool voice
network 10.15.98.0 255.255.255.0
default-router 10.15.98.1
option 150 ip 10.15.98.1
note: di atas adalah perintah untuk membuat dhcp voice, tidak ada yg berbeda kecuali
penambahan option 150 untuk menentukan TFTP server ada di ip mana.
kemudian menambahkan untuk dial 2000 yaitu number untuk unity.
dial-peer voice 2 voip
destination-pattern 2...
session protocol sipv2
session target ipv4:10.10.10.10
dtmf-relay sip-notify
codec g711ulaw
no vad
unity dikenalkan dengan number 2000 di perintah ini : voicemail 2000
telephony-service
no auto-reg-ephone
max-ephones 110
max-dn 400
ip source-address 10.10.10.1 port 2000
voicemail 2000
mwi relay
max-conferences 8 gain -6
web admin system name compnet password compnet
transfer-system full-consult
create cnf-files version-stamp Jan 01 2002 00:00:00
berikut configure untuk vg-nya:
voice-gateway system 1
network-locale ID
type VG202
mac-address 001F.CAF1.B788
voice-port 0-1
create cnf-files
mac-address nya adalah mac dari interface keluar dari vg tersebut!
voice-port nya 0-1 berarti ada 2 port.
network-locale ID = berarti indonesia ID
create cnf-files berarti membuat xml untuk vg tersebut (sedikit ambigu tapi perlu dicoba lagi)
Untuk dial-peer voice 3 dengan tujuan 3000 atau 3 apa aja sesudahnya(dengan indikator ... dengan protokol sipv2 lempar ke ipv4:10.10.10.10 lainnya ikutin aja :)
dial-peer voice 3 voip
destination-pattern 3...
session protocol sipv2
session target ipv4:10.10.10.10
dtmf-relay sip-notify
codec g711ulaw
mwi, ini digunakan untuk menampilkan lampu jika ada ada voice mailbox:
ephone-dn 30
number 8000....
mwi on
!
!
ephone-dn 31
number 8001....
mwi off
note: pada implementasinya akan kesulitan saat lampu ternyata tidak muncul walaupun sudah ada voice mailbox. ini bersamaan dengan tidak munculnya juga notification massage.caranya dengan mengoprek bagian di cue untuk notificationnya.
activin untuk semua notification di menunya dan pilihan enable untuk notification.
harus di set on dan off atau onoff bersamaan dengan primary number dan secondary number.
configure CUE call Unity Express dapat di lakukan di HTTP, dan untuk pengaturan auto attendant yang menghubungkan bahwa autoatendant menggunakan number 3000 yaitu pada kolom optional masukkan angka 3000
untuk voice mailnya sendiri ada pada pengaturan di telephony-service yaitu port 2000
dan kemudian buatkan sebuah dial-peer voice untuk number 2... dan 3... dan lempar ke 10.10.10.10 <---- ini adalah ip dari service-module dari srst atau CUE. dial-peer voice 1 voip destination-pattern 2... session protocol sipv2 session target ipv4:10.10.10.10 dtmf-relay sip-notify codec g711ulaw no vad nah untuk vg sendiri ada di atas!
Jumat, 06 Mei 2011
Multicast
Dense Mode
Di flood ke semua yg terdapat di group yg hanya aktif multicastnya saja:
Sparse Mode
Di flood ke siapa yg mau join dalam satu group
-RP di Parse Mode = titik central
jadi semua router yg ingin join hanya perlu ke RP tanpa perlu ke Source
Perbedaan utama di Unicast dengan Multicast jika semua router pada unicast meminta maka kebutuhan untuk bandwidth akan bertambah increas dengan banyaknya jumlah router unicast.
sedangkan pada multicast hal ini tidak berpengaruh, berapapun jumlah di group yg join jumlah bandwitdh sama saja.
unicast
| 20mega
|
10 mega | 10 mega
unicast1 unicast2
kelemahannya : maka bandwidth di source akan total client = 20mega
Multicast
|
|10 mega
|
Sparse:
Static
Auto RP
BSR
Digunakan IGMP
Candidat RP = Yang akan menjadi RP
Mapping Agent = Yang memberitahukan siapa akan menjadi RP
2.3 Auto-RP dengan Multiple RP
R1(config)#ip pim send-rp-announce loopback 0 scope 255 group-list 1
R1(config)#ip pim send-rp-discovery scope 255
R1(config)#access-list 1 permit 239.1.1.1 0.0.0.0
kenapa menggunakan group-list 1? karena HANYA untuk mengetes ingin membuat R1 menjadi RP-mapping agent untuk IGMP group 239.1.1.1 yang ada di lo0 R2!!!
hasilnya:
R1(config)#do sh ip pim rp mapping
PIM Group-to-RP Mappings
This system is an RP (Auto-RP)
This system is an RP-mapping agent<---- mapping agent untuk R2 IGMP 239.1.1.1
Group(s) 239.0.0.1/32
RP 2.2.2.2 (?), v2v1
Info source: 2.2.2.2 (?), elected via Auto-RP
Uptime: 00:42:13, expires: 00:02:20
Group(s) 239.1.1.1/32
RP 1.1.1.1 (?), v2v1 ---> terlihat R1 sebagai mapping agent untuk IGMP 239.1.1.1 R2
Info source: 1.1.1.1 (?), elected via Auto-RP
Uptime: 01:13:56, expires: 00:02:00
Di flood ke semua yg terdapat di group yg hanya aktif multicastnya saja:
Sparse Mode
Di flood ke siapa yg mau join dalam satu group
-RP di Parse Mode = titik central
jadi semua router yg ingin join hanya perlu ke RP tanpa perlu ke Source
Perbedaan utama di Unicast dengan Multicast jika semua router pada unicast meminta maka kebutuhan untuk bandwidth akan bertambah increas dengan banyaknya jumlah router unicast.
sedangkan pada multicast hal ini tidak berpengaruh, berapapun jumlah di group yg join jumlah bandwitdh sama saja.
unicast
| 20mega
|
10 mega | 10 mega
unicast1 unicast2
kelemahannya : maka bandwidth di source akan total client = 20mega
Multicast
|
|10 mega
|
Sparse:
Static
Auto RP
BSR
Digunakan IGMP
Candidat RP = Yang akan menjadi RP
Mapping Agent = Yang memberitahukan siapa akan menjadi RP
2.3 Auto-RP dengan Multiple RP
R1(config)#ip pim send-rp-announce loopback 0 scope 255 group-list 1
R1(config)#ip pim send-rp-discovery scope 255
R1(config)#access-list 1 permit 239.1.1.1 0.0.0.0
kenapa menggunakan group-list 1? karena HANYA untuk mengetes ingin membuat R1 menjadi RP-mapping agent untuk IGMP group 239.1.1.1 yang ada di lo0 R2!!!
hasilnya:
R1(config)#do sh ip pim rp mapping
PIM Group-to-RP Mappings
This system is an RP (Auto-RP)
This system is an RP-mapping agent<---- mapping agent untuk R2 IGMP 239.1.1.1
Group(s) 239.0.0.1/32
RP 2.2.2.2 (?), v2v1
Info source: 2.2.2.2 (?), elected via Auto-RP
Uptime: 00:42:13, expires: 00:02:20
Group(s) 239.1.1.1/32
RP 1.1.1.1 (?), v2v1 ---> terlihat R1 sebagai mapping agent untuk IGMP 239.1.1.1 R2
Info source: 1.1.1.1 (?), elected via Auto-RP
Uptime: 01:13:56, expires: 00:02:00
Senin, 02 Mei 2011
ASA di GNS XP n 7 Running tested
Akan ada hari cerah mulain sekarang :)
Dimulai dengan cara yang terbodoh, karena saya juga memulainya dari kesulitan untuk mencobanya maka jika menemukan tulisan ini maka harusnya cocok untuk anda.
saya sudah mencobanya dan running, ingat ya running!!! jadi jangan putus asa jika ada kesulitan ini belum seberapa :
download file berikut :
hxxp://www.4shared.com/account/file/254501758/d82e3ec5/asa.html
hxxp://www.4shared.com/file/cm7sFS6d/asa802-k8initrd.html---> pakai ini terbaru
hxxp://www.4shared.com/account/file/254512204/85f1c21e/run_ASA_in_GNS3_1_.html
hxxp://www.4shared.com/account/file/254502490/6ab3e84c/vmlinuz.html
hxxp://www.4shared.com/file/255524061/64f96bc1/configuring_ASA___steps_video.html
ikuti instruksi berikut :
Edit --> Preference --> Qemu --> ASA
Initrd --> asa802-k8.initrd.gz (unpacked file) ingat ini tetap gz jangan di bongkar
Kernel -- > vmlinuz
kernel cmd Line --> auto console=ttyS0,9600 bigphysarea=16384 ide1=noprobe
semua ada di program files/gns ingat ya tanpa terkecuali!!!
dan BOOM seperti biasa di gns drag n run console deh :)
jalankan untuk mengaktifkan console
# modprobe e100
# ifconfig eth0 up
# ifconfig eth1 up
# ifconfig eth2 up
# ifconfig eth3 up
# ifconfig eth4 up
# ifconfig eth5 up
# cp /asa/bin/lina /mnt/disk0/lina
# cp /asa/bin/lina_monitor /mnt/disk0/lina_monitor
# cd /mnt/disk0
# /mnt/disk0/lina_monitor
cara wr di sini adalah karena tidak bisa WR:
ciscoasa# copy run disk0:/.private
Source filename [running-config]?
Destination filename [/.private/running-config]? start
%Warning:There is a file already existing with this name
Do you want to over write? [confirm]
Cryptochecksum: 75a1ab8d 67a3d116 2bd87367 7942168c
1966 bytes copied in 7.30 secs (280 bytes/sec)
ciscoasa#
kalau ada kesulitan mungkin membantu (tapi saya tidak sampai menggunakanya)
For all of you who cannot ping or establish connectivity - this is due to the fact that the "default" mac addresses overlap between your ASA instances. if you run QEMUWRAPPER you will see this. The way I fixed it was:
ASA1:
# ifconfig eth0 down hw ether 00:00:AB:CD:10:10
# ifconfig eth1 down hw ether 00:00:AB:CD:10:11
# ifconfig eth2 down hw ether 00:00:AB:CD:10:12
# ifconfig eth3 down hw ether 00:00:AB:CD:10:13
# ifconfig eth4 down hw ether 00:00:AB:CD:10:14
# ifconfig eth5 down hw ether 00:00:AB:CD:10:15
ifconfig eth0 up
# e1000: eth0: e1000_watchdog_task: NIC Link is Up 1000 Mbps Full Duplex
# ifconfig eth1 up
# e1000: eth1: e1000_watchdog_task: NIC Link is Up 1000 Mbps Full Duplex
# ifconfig eth2 up
# e1000: eth2: e1000_watchdog_task: NIC Link is Up 1000 Mbps Full Duplex
# ifconfig eth3 up
# e1000: eth3: e1000_watchdog_task: NIC Link is Up 1000 Mbps Full Duplex
# ifconfig eth4 up
# e1000: eth4: e1000_watchdog_task: NIC Link is Up 1000 Mbps Full Duplex
# ifconfig eth5 up
e1000: eth5: e1000_watchdog_task: NIC Link is Up 1000 Mbps Full Duplex
(proceed with boot after)
ASA2:
# ifconfig eth0 down hw ether 00:00:AB:CD:11:10
# ifconfig eth1 down hw ether 00:00:AB:CD:11:11
# ifconfig eth2 down hw ether 00:00:AB:CD:11:12
# ifconfig eth3 down hw ether 00:00:AB:CD:11:13
# ifconfig eth4 down hw ether 00:00:AB:CD:11:14
# ifconfig eth5 down hw ether 00:00:AB:CD:11:15
ifconfig eth0 up
# e1000: eth0: e1000_watchdog_task: NIC Link is Up 1000 Mbps Full Duplex
# ifconfig eth1 up
# e1000: eth1: e1000_watchdog_task: NIC Link is Up 1000 Mbps Full Duplex
# ifconfig eth2 up
# e1000: eth2: e1000_watchdog_task: NIC Link is Up 1000 Mbps Full Duplex
# ifconfig eth3 up
# e1000: eth3: e1000_watchdog_task: NIC Link is Up 1000 Mbps Full Duplex
# ifconfig eth4 up
# e1000: eth4: e1000_watchdog_task: NIC Link is Up 1000 Mbps Full Duplex
# ifconfig eth5 up
e1000: eth5: e1000_watchdog_task: NIC Link is Up 1000 Mbps Full Duplex
(proceed with boot after)
ASA1:
ciscoasa(config)# int e0/0
ciscoasa(config-if)# no shut
ciscoasa(config-if)# nameif inside
INFO: Security level for "inside" set to 100 by default.
ciscoasa(config-if)# ip address 10.10.10.1 255.255.255.0
ASA2:
ciscoasa(config)# int e0/0
ciscoasa(config-if)# no shut
ciscoasa(config-if)# nameif inside
INFO: Security level for "inside" set to 100 by default.
ciscoasa(config-if)# ip address 10.10.10.2 255.255.255.0
ciscoasa(config-if)#
Results:
ciscoasa# ping 10.10.10.2
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.10.10.2, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/1 ms
ciscoasa# ping 10.10.10.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.10.10.1, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/10/40 ms
ciscoasa# show arp
inside 10.10.10.1 0000.abcd.1010
There !
I still have the save issue. A note to posters - when you offer help, please VERIFY that your help works. I have seen this thread on many different boards and it is the same guys posting the same stuff. The key items you will have issues with are:
1. Channel cannot connect to interface - this is a bad image issue / mem issue. Acquire the proper image.
2. No ping / network connectivity - resolved above. If you are studying for the CCIE Security, you should understand that nameif doesn't fix issues and that the ASA can ping regardless of inspect ICMP. You will at least get an ARP entry even if the ping isn't allowed. For this issue however, no arp entries were being generated as they were duplicate !
3. No save to flash:/.private/ - I still have this issue.
Thx Aluminati
ok ya..
Langganan:
Postingan (Atom)