среда, 16 ноября 2011 г.

Password Recovery Procedure for Catalyst 4500/4000

Настраивал каталист. Нужно было сбросить пароль на enable.

Сбросить пароль на enable для Catalyst

Перешивал.
Если это 4948, а не 4948E, при удаление файлов на бутфлеше, железка их просто помечает удаленными. Чтоб очистить место нужно дать команду "squeeze bootflash:". Чтобы увидеть помеченные файлы - "dir /all".

среда, 9 ноября 2011 г.

PEVAL. Префиксы AS.

Есть такая удобная юниксовая утилита. Вытягивает префиксы из ripe, принадлежащие определенной AS.

[-bkmh8toe5c1d@mnt1 ~]$ peval AS35641
({178.76.192.0/18, 178.76.216.0/21, 178.76.192.0/22, 178.76.196.0/22, 86.110.160.0/19, 86.110.160.0/23, 86.110.160.0/24, 86.110.161.0/24})
[-bkmh8toe5c1d@mnt1 ~]$

пятница, 28 октября 2011 г.

IPMI в серверах Supermocro

Уже писал о подобной фиче в IBM серверах. Есть такое, оказывается, и в свежих моделях от Supermicro. Независимый биос с веб мордой, через которую можно подцепиться к консоле, включить, выключить, бутнуть железку. Выглядит так.



Можно настроить IP/MASK/GW из биоса. Можно через утилиту ipmitool, если на сервере Unix-like OS.
Мануал по настройке - http://lab.advancedclustering.com/twiki/bin/view/Documentation/IPMITools.

четверг, 29 сентября 2011 г.

Cisco SCE. Enable User-Agent analysis

Как включить анализ по User Agent в Cisco SCE. Изначально железка смотрит UA до первого "/". Чтобы парсить все, нужно сделать следующее.

I got a confirmation that this is a known issue and was fixed in 3.6.0 release. However, in order to enable the correct parsing of the full user agent string you’ll need to enable the following tuneable:

GT_CLS_ENABLE_FULL_USER_AGENT_BASED_FLAVOR_CALCULATION

conf t
int line 0
tunable GT_CLS_ENABLE_FULL_USER_AGENT_BASED_FLAVOR_CALCULATION value TRUE

Аналаогичный эффект можно получить и изменив настройки в SCA BB.

Advanced service configuration option - Reporting - Extract Full User Agents detail.

Из sca bb не заработало. Только после добавления через cli из enable 15.

среда, 31 августа 2011 г.

Увеличиваем размер гостевой системы Xen domU используя LVM

Отсюда

Manager(LVM), очень просто. В данной заметке показан пошаговый способ выполнить данное действие.

Создайте новый образ, с размером, который вам требуется. Дайте этому образу любое имя. В моем случае я использовал имя extended.img
# dd if=/dev/zero of=extended.img bs=1 count=1 seek=20G conv=notrunc
Добавьте новый образ в конфигурационный файл вашего гостевого домена xen. В этом примере domU называется xen0
# vi /etc/xen/xen0
Модифицируйте эту строку
disk = [ 'tap:aio:/path/to/xen/xen0.img,xvda,w','file:/path/to/xen/extended.img,xvdb,w' ]
Сохраните
Запустите ваш domU
# xm create xen0
Зайдите на него консолью
# xm console xen0
Находясь в консоли, проверьте определился ли новый образ диска
# fdisk -lu
После того, как мы убедились, что новый образ виден, самое время поработать с LVM
Создайте новый физический раздел (PV) используя образ диска
# pvcreate -v /dev/xvdb
Проверьте, что вы успешно добавили PV
# pvdisplay
Расширяем нашу существующую группу (volume group), включая в неё новый PV
# vgextend -v VolGroup00 /dev/xvdb
Проверям, что мы успешно добавили раздел в VG
# vgdisplay
Расширяем наш логический раздел (LV)
# lvextend -L +20G -v /dev/VolGroup00/LogVol00
Проверяем
# lvdisplay
Если все шаги проделаны без ошибок и успешно, мы можем изменить корневой раздел
# resize2fs /dev/mapper/VolGroup00-LogVol00
Все готово, проверьте новое дисковое пространство.
# df -lh

среда, 17 августа 2011 г.

Сервера IBM и SYSTEM MGNT интерфейс (IMM)

Можно бутить, включать, выключать.

Enabling the remote presence feature To enable the remote presence feature, complete the following steps: 1.Install the virtual media key into the dedicated slot on the system board (see “System-board optional device connectors” on page 38). 2.Turn on the server. Note:Approximately 1 to 3 minutes after the server is connected to ac power, the power-control button becomes active. Obtaining the IP address for the IMM To access the Web interface, you need the IP address for the IMM. You can obtain
the IMM IP address through the Setup utility. The server comes with a default IP
address for the IMM of 192.168.70.125. To locate the IP address, complete the
following steps:
1.Turn on the server. Note:Approximately 1 to 3 minutes after the server is connected to ac power, the power-control button becomes active. Chapter 3. Configuring the server 93

2.When the prompt Setup is displayed, press F1. (This prompt is displayed on the screen for only a few seconds. You must press F1 quickly.) If you have set both a power-on password and an administrator password, you must type the administrator password to access the full Setup utility menu.
3.From the Setup utility main menu, selectSystem Settings.
4.On the next screen, selectIntegrated Management Module.
5.On the next screen, selectNetwork Configuration.
6.Find the IP address and write it down.
7.Exit from the Setup utility.
Logging on to the Web interface To log on to the Web interface to use the remote presence functions, complete the following steps: 1.Open a Web browser and in theaddress orURL field, type the IP address or host name of the IMM to which you want to connect. Note:The IMM defaults to DHCP. If a DHCP host is not available, the IMM assigns a static IP address of 192.168.70.125. 2.On the Login page, type the user name and password. If you are using the IMM for the first time, you can obtain the user name and password from your system administrator. All login attempts are documented in the event log. Note:The IMM is set initially with a user name of USERID and password of PASSW0RD (passw0rd with a zero, not a the letter O). You have
read/write access. You must change the default password the first time
you log on.
3.On the Welcome page, type a timeout value (in minutes) in the field that is
provided. The IMM will log you off of the Web interface if your browser is
inactive for the number of minutes that you entered for the timeout value.
4.ClickContinue to start the session. The System Health page provides a quick view of the system status.

пятница, 5 августа 2011 г.

В мире

Ключи, которые будут полезны при анализе ситуаций, которые происходят с вами в жизни.
1. Внешнее аналогично внутреннему.
2. Подобное притягивает подобное.
3. Начинайте обращать внимание на то, что происходит вокруг и внутри вас.
4. Если вы что - то замечаете вокруг и это вызывает у вас определенные мысли и эмоции, следовательно, это присутствует в вас; вы должны извлечь из этой ситуации какой-то урок.
5. Если вам что - то не нравится в других, следовательно, это присутствует в вас.
6. Если мы чего-то избегаем, значит, за этим скрывается боль или страх.
7. Совершая что-то, присутствуйте при том, что вы делаете.
8. Попав в какую-либо ситуацию, присутствуйте при том, что происходит.
Если у вас появится желание сбежать, видьте, как вы это делаете.
9. Совершив поступок, не обвиняйте себя, а проанализируйте все, что происходило до, во время и после, включая ваши мысли, чувства и предчувствия, и извлеките из ситуации урок.
10. Ситуации порождаются или притягиваются вашими мыслями и блоками.
11. Наши блоки - это то, что мы должны узнать и понять об этом мире.
12. Если вы попадаете в одну и ту же ситуацию или постоянно болеете, следовательно, вы проходите какой - то урок. Что вы должны понять из этой ситуации?
13. Вы - причина того, что с вами происходит.
14. Не пытайтесь изменить мир или окружающих вас людей, измените сначала себя. Когда вы измените себя, изменятся и окружающие вас люди, изменится мир.
15. Если вы говорите себе и окружающим, что вы уже изменились, следовательно, вы не изменились совсем, это маска.
16. Если вы говорите себе и окружающим, что у вас в какой - то области жизни все в порядке, следовательно, там полный беспорядок. Это говорит маска. Именно здесь надо пристальнее всего вглядываться в себя.
17. Не рассматривайте даваемые вам советы и предлагаемую вам помощь как намек на ваши недостатки и неспособность самому/самой решить задачу.
18. Когда у вас нет чего - то, что вы хотите иметь, следовательно, вы либо не хотите, либо не намерены по-настоящему иметь это. Чтобы получить нечто определенное, опишите себе четко, чего вы хотите. Учитесь гранить кристалл мысли.
19. Никогда не думайте о том, что люди могут вам дать или что вы хотите от них получить. Поступая таким образом, вы теряете свою привлекательность.
20. Забудьте о стремлении быть сильным. Настоящая сила заключается в любви и внимании к себе и окружению.
21. Мужчина становится свободным и способным действовать, когда женщина, любя его, отказывается от обладания им.
22. Думайте о том, что хотите иметь, а не о том, чего не хотите.
23. Достаток не приходит от того, что вам не нравится жить в недостатке.
24. Ваше внимание - это канал, по которому течет энергия, чтобы напитать мысль. За мыслью следует творческая энергия.
25. Негативные эмоции не приносят того, что вы хотите, они приносят только то, чего вы не хотите.
26. Мечты и фантазии показывают вам ваш потенциал.
27. Воображение выводит за пределы ограничений и высвобождает наружу ваш потенциал.
28. Если вы все время повторяете себе, почему вы не можете иметь предмет своих мечтаний, вы никогда не получите его. Начинайте говорить себе, почему вы можете иметь желаемое.
29. Рассматривайте деньги и материальные предметы не с точки зрения удовлетворения собственных потребностей, а как инструмент для самопознания, более полного самовыражения и реализации своего потенциала.
30. Фокусируйтесь на том, что хотите иметь, а не на избавлении от того, чего не хотите.
Многие не знают, чего именно хотят, зато точно знают, чего не хотят.
31. Если вы не можете поверить в возможность чего-либо, у вас никогда этого не будет.
32. Обладание благополучием не так важно, как овладение процессом его создания.
33. Научиться создавать благополучие в своей жизни - это процесс вашего роста.
34. Вы пришли в этот мир расширять свое сознание получая опыт...

понедельник, 11 июля 2011 г.

TCPMSS

TCPMSS — устанавливает максимальный размер TCP-сегмента. Бывает крайне полезной при использовании VPN-подключения[3] в том случае, если VPN-сервер блокирует ICMP-сообщения destination unreachable/fragmentation needed (тип 3, код 4), тем самым нарушая работу процедуры Path MTU discovery.
С точки зрения клиента, эта проблема выглядит так: пинги проходят нормально, но при попытке открыть какую-либо веб-страницу, браузер «подвисает». При этом с самого шлюза все работает нормально. В этом случае достаточно применить на шлюзе следующую команду

iptables -t mangle -I FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu

которая обеспечит автоматическую установку размера сегмента в TCP-заголовках SYN- и SYN,ACK-пакетов в соответствии с минимальным из известных нашему шлюзу значений MTU на пути следования пакета. Например, если пакет пришел с интерфейса eth0 (MTU 1500) и уходит через интерфейс ppp0 (MTU 1492), а суммарный размер заголовков сетевого итранспортного уровней составляет 40 байт (20 байт TCP и 20 байт IP), то целесообразно установить MSS равным 1452 байтам.
Помимо возможности автоматического выбора TCP MSS, вы можете задать необходимое значение и вручную, используя параметр --set-mss значение. Это бывает полезным в том случае, если вам заведомо известно, что дальше на маршруте встречаются участки с еще меньшим MTU, а пограничные сервера этих участков опять же блокируют ICMP destination unreachable/fragmentation needed.
То есть надо добавить в таблицу mangle строку:
-I FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
iptables -A FORWARD -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --set-mss 1300

вторник, 5 июля 2011 г.

QOS Policy на 3Com H3C S5500/S5820

Была интересная задачка, решил законспектировать. Китайский шейпер :)
Имеется стык в городе А с городами Б и В. Стык осуществляется через оператора mpls сети т.е. в городе А - это один интерфейс, в котором трафик разделяется тэгами. В города Б из города А идёт vlan с номером 20. Есть задача приоритезировать трафик в сторону города Б, при этом не затронув остальной трафик интерфейса.
В Core сети трафик получает метки ip-precedence. Будем различать 3 типа трафика: IPTV (precedence 6), INET (precedence 4), LOCAL (precedence 0). Из города А в город Б полоса 2 гагабита в секунду. Все, что выше - дропается. IPTV трафик чувствителен к потерям т.к. является потоковым видео. Итак, для него ставим полосу 50 мбит/c с возможностью превышать ограничения. Для траифка INET (трафик от абонентов в мир) ставим гарантированную полосу (cir) 1200 мбит/c с превышением до 1500 в пики (pir). Более 1500 трафик не проходит. Для LOCAL ставим cir 400 мбит/c, pir 700.
Тем самым мы гарантируем полосу для трафика IPTV.

Ниже выдержки из конфига. Создаётся классификатор траффика, в котором описываем критерии отбора пакетов, далее описываем действие и собираем это в политику.

#
traffic classifier VIPTV operator and
if-match ip-precedence 6
if-match service-vlan-id 20
traffic classifier INET operator and
if-match service-vlan-id 20
if-match ip-precedence 4
traffic classifier LOCAL operator and
if-match service-vlan-id 20
if-match ip-precedence 0
#

#
traffic behavior IPTV
car cir 51200 cbs 4000 ebs 4000 green pass red pass yellow pass
traffic behavior INET
car cir 1228800 cbs 4000 ebs 4000 pir 1536000 green pass red discard yellow pass
traffic behavior LOCAL
car cir 409600 cbs 4000 ebs 4000 pir 716800 green pass red discard yellow pass
#

qos policy IPTV-INET
classifier IPTV behavior IPTV
classifier INET behavior INET
classifier LOCAL behavior LOCAL

#
interface Ten-GigabitEthernet1/2/1
description TO-MPLS
port link-type trunk
undo port trunk permit vlan 1
port trunk permit vlan 20 3070
qos apply policy IPTV-INET outbound
qos trust dscp
#

вторник, 28 июня 2011 г.

Банк клиент через Linux Nat Ubuntu

Столкнулся с проблемой. Имеется сеть с гейтом на Linux Ubuntu Server. На нем pppoe сессия с белым адресом /32, соответственно вся локалка натится. Банк клиент выполнен в виде java апплета. Всё работает, но очень медленно. Без nat всё работает отлично. Вот строчка доя iptables, которая решит ваши проблемы:

$IPT -t mangle -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --set-mss 1300

Отсюда

понедельник, 27 июня 2011 г.

Прописать dhcp helper на интерфейсе

http://mellowd.co.uk/ccie/?tag=juniper-dhcp-relay

Both IOS and JunOS allows you to configure the router as a DHCP relay agent. This is how it’s done.

On IOS it’s extremely simple. All you need to do is put the following command on the interface receiving the broadcast. In this topology it’ll be the interface connected to the switch and workstation the user is on

>conf t
# int fa0
# ip helper-address 10.1.1.1
On JunOS it’s just as simple. The configuration is not put on a particular interface, rather you specify which interface will be receiving the broadcast.

> configure
# set forwarding-options helpers bootp interface em1
# set forwarding-options helpers bootp server 10.1.1.1

UPD: На практике в junos заработало так:
forwarding-options {
    dhcp-relay {
        server-group {
            OG {
                10.19.255.255;
            }
        }
        active-server-group OG;
        group ALL {
            active-server-group OG;
            interface xe-1/2/0.215 {
                overrides {
                    allow-snooped-clients;
                }
            }
            interface xe-1/3/0.3861;
        }
    }
}

Конструкция overrides allow-snooped-clients нужна для того, чтобы через данный relay могли пролетать уже завернутые в пакет dhcp запросы. Если у вас уже на каком-то влане настроен dhcp-helper, то без этой записи запрос с него не пролетит через данный dhcp-relay

понедельник, 23 мая 2011 г.

MikroTIk RouterBOARD 750

Он умеет bgp, ospf, rip, isis, cos, vlan, qinq, port security. на борту куча инструментов- в том числе снифер. Iptables с кучей модулей. Сколько хочешь ван подключнний. Конфигурится через веб, телнет, виндозный шелл. Стоит около 60 долларов. Очень интересный экземпляр.

пятница, 6 мая 2011 г.

Утилита screen

Очень удобная штука. Создается виртуальный терминал. Если отваливается коннект от реального терминала (например, проблемы с сетью), заходим снова на хост (по ssh или telnet) заходим с скрин, а тут все работает, что работало не в bg а в fr режиме. Классная штука.

k4@k4-desktop:~$ screen



Screen version 4.00.03jw4 (FAU) 2-May-06

Copyright (c) 1993-2002 Juergen Weigert, Michael Schroeder
Copyright (c) 1987 Oliver Laumann

This program is free software; you can redistribute it and/or modify it under
the terms of the GNU General Public License as published by the Free Software
Foundation; either version 2, or (at your option) any later version.

This program is distributed in the hope that it will be useful, but WITHOUT
ANY WARRANTY; without even the implied warranty of MERCHANTABILITY or FITNESS
FOR A PARTICULAR PURPOSE. See the GNU General Public License for more details.

You should have received a copy of the GNU General Public License along with
this program (see the file COPYING); if not, write to the Free Software
Foundation, Inc., 51 Franklin Street, Fifth Floor, Boston, MA 02110-1301 USA.

Send bugreports, fixes, enhancements, t-shirts, money, beer & pizza to
screen@uni-erlangen.de


[Press Space for next page; Return to end.]
Жмем enter.

k4@k4-desktop:~$ tail -f /var/log/syslog
May 6 11:55:16 k4-desktop snmpd[1597]: error on subcontainer 'ia_addr' insert (-1)
May 6 11:56:25 k4-desktop snmpd[1597]: last message repeated 2 times
May 6 11:57:25 k4-desktop snmpd[1597]: last message repeated 2 times
May 6 11:58:25 k4-desktop snmpd[1597]: last message repeated 2 times
May 6 11:59:25 k4-desktop snmpd[1597]: last message repeated 2 times
May 6 11:59:46 k4-desktop snmpd[1597]: error on subcontainer 'ia_addr' insert (-1)
May 6 12:00:01 k4-desktop CRON[21925]: (www-data) CMD (php /usr/share/cacti/site/poller.php >/dev/null 2>/var/log/cacti/poller-error.log)
May 6 12:00:16 k4-desktop snmpd[1597]: error on subcontainer 'ia_addr' insert (-1)
May 6 12:01:25 k4-desktop snmpd[1597]: last message repeated 2 times
May 6 12:02:25 k4-desktop snmpd[1597]: last message repeated 2 times

Закрываю putty. Захожу заново.

k4@k4-desktop:~$ screen -ls
There is a screen on:
22124.pts-3.k4-desktop (06.05.2011 12:02:51) (Detached)
1 Socket in /var/run/screen/S-k4.

k4@k4-desktop:~$
k4@k4-desktop:~$ screen -r 22124.pts-3.k4-desktop

k4@k4-desktop:~$ tail -f /var/log/syslog
May 6 11:55:16 k4-desktop snmpd[1597]: error on subcontainer 'ia_addr' insert (-1)
May 6 11:56:25 k4-desktop snmpd[1597]: last message repeated 2 times
May 6 11:57:25 k4-desktop snmpd[1597]: last message repeated 2 times
May 6 11:58:25 k4-desktop snmpd[1597]: last message repeated 2 times
May 6 11:59:25 k4-desktop snmpd[1597]: last message repeated 2 times
May 6 11:59:46 k4-desktop snmpd[1597]: error on subcontainer 'ia_addr' insert (-1)
May 6 12:00:01 k4-desktop CRON[21925]: (www-data) CMD (php /usr/share/cacti/site/poller.php >/dev/null 2>/var/log/cacti/poller-error.log)
May 6 12:00:16 k4-desktop snmpd[1597]: error on subcontainer 'ia_addr' insert (-1)
May 6 12:01:25 k4-desktop snmpd[1597]: last message repeated 2 times
May 6 12:02:25 k4-desktop snmpd[1597]: last message repeated 2 times
May 6 12:03:25 k4-desktop snmpd[1597]: last message repeated 2 times
May 6 12:04:25 k4-desktop snmpd[1597]: last message repeated 2 times


Вот так.

среда, 30 марта 2011 г.

h3c s5500 traffic shaping, policer

Срочно понадобилось зашейпить трафик на интерфейсе h3c s5500. До этого момента такое делать не приходилось. Китайцев сложно понять. Вроде как и хочется им сделать свой IOS, да и нельзя, засудят... вот они и шифруют команды. Короче, вот:

qos lr

Syntax
qos lr { inbound | outbound } cir committed-information-rate [ cbs committed-burst-size ]
undo qos lr { inbound | outbound }
View
Interface view, port group view
Default Level
2: System level
Parameters
inbound: Limits the rate of incoming packets on the interface.
outbound: Limits the rate of outgoing packets on the interface.
cir committed-information-rate: Committed information rate (CIR). The committed-information-rate argument ranges from 8 to 1000000 and must be a multiple of 8.
cbs committed-burst-size: Committed burst size (CBS). The committed-burst-size argument ranges from 512 to 16000000, and defaults to 8000.
Description
Use the qos lr command to limit the rate of incoming packets or outgoing packets on the interface.
Use the undo qos lr command to remove the rate limit.
Settings in interface view are effective on the current interface. Settings in port group view are effective on all ports in the port group.
Examples
# Configure line rate for outgoing packets on interface GigabitEthernet 1/0/1 as follows: set CIR to 256 kbps and CBS to 4096 bytes.
system-view
[Sysname] interface gigabitethernet1/0/1
[Sysname-GigabitEthernet1/0/1] qos lr outbound cir 256 cbs 4096

вторник, 29 марта 2011 г.

Диагностика catalyst cpu

Три команды, которые покажут все про cpu.


show proc cpu history
show platform health
show platform cpu packet statistics

и следом

http://www.cisco.com/en/US/products/hw/switches/ps663/products_tech_note09186a00804cef15.shtml

Проверить md5 образа
Router# verify /md5 filesystem:filename

среда, 2 марта 2011 г.

Общение. Unix way. Write.

Два юзера на одной линукс машине. В cli. Как послать друг другу сообщение. Вот так :)

nat9@nat9:~$ write mitya pts/0
write: write: you have write permission turned off.

usage: write user [tty]
nat9@nat9:~$ mesg
is n
nat9@nat9:~$ man mesg
nat9@nat9:~$ mesg y
nat9@nat9:~$ who
mitya pts/0 2011-03-02 04:27 (10.19.90.131)
nat9 pts/2 2011-03-02 04:37 (10.19.79.40)
nat9@nat9:~$ write nat9 pts/2

Message from nat9@nat9 on pts/2 at 04:42 ...
hi
hi
^CEOF
nat9@nat9:~$ write mitya pts/0
write: mitya has messages disabled on pts/0

понедельник, 24 января 2011 г.

JUNOS native vlan. Hybrid port.

show configuration interfaces xe-0/0/0 
flexible-vlan-tagging;
native-vlan-id 10;
unit 10 {
    description Backbone;
    vlan-id 10;
    family inet {
        filter {
            input from-backbone;
        }
        address 1.1.1.1/29;
    }
}
inactive: unit 30 {
    description To-Nats;
    vlan-id 30;
    family inet {
        address 2.2.2.2/28;
    }
    inactive: family inet6 {
        address 109f:27D8::1:2/126;
    }
}
unit 109 {
    vlan-id 109;
    family inet {
        filter {
            input from-shaper;
        }
        address 3.3.3.3/28;
        address 4.4.4.4/28;
    }
}
}