1.4.b End-to-end QoS

Ideology von QoS
 
Traffic wird am Eingangspunkt markiert, dieser bildet gleichzeitig die Aussengrenze des sogenannten “Trusted bounderie“
innerhalb dieser Zone wird der Markierung vertraut. Wenn ein Gerät bereits ein Marking liefert, und man diesem vertraut, erweitert man den „Trusted bounderie“
 
 
Accessport:     DSCP
Layer3 Port:     DSCP
Trunk:              DSCP / COS
WLC:               COS
HREAP/AAP:   COS  
 
 
 
Die wichtigsten Klassifikationen
 
 
 
 
 
 
 
 
 
 
 
Übersetzungstabelle zwischen DSCP und PHB
 
 
 
Umrechnen:
 
 
Problem mit Default mapping tables!
 
Beim wechsel von DSCP zu COS und rückwärts verändert sich der Wert:
 
 
 
 
 
 
 
 
 
 
 
QoS Konfigurieren
 
1) QoS aktivieren
2) Definiere QoS Maps
3) set Trust Boundaries
4) Markiere selber / Überschreibe die Markings
 
 
 
 
Mapping sollte angepasst werden damit DSCP 46 auf COS 5 matched und COS5 zurück auf DSCP46
 
 
 
 
 
 
Zum selber markieren verwendet man policy maps:
 
– ACL definieren
– Class-map definieren
– policy-map definieren
– via service-policy auf interface anziehen.
 
 
 
ACL:
 
 
 
Es wird in von dem remote office ins lokale Netz gematched, weil in die andere Richtung (WAN) die markings gedropped wurden. (Zumindest muss man davon ausgehen)
 
 
Class-map:
 
 
 
Policy-map:
 
 
service-policy auf interface anziehen.
 
 
overview:
 
 
 
 
 
LAB Tipp: Always check pre configs!
 
 
 
 
 
 
 
 
 
 
 

1.6.d Basic EIGRP

 
Autonomous System Number muss matchen!
 
 
 
 

Passive Interface

 
gleiches Konzept wie OSPF per default abschalten und per Interface anschalten:
 
 

Default Route

 
Static route lokal anlegen und dann redistributen:
 
 
 

Router ID

 
„Highest IP Adress of loopback or physical Interface“
 
 
Wichtig das Keyword „always“ wie bei OSPF damit die Route nicht im OSPF verschwindet, sollte die statische 0 Route ungültig sein.
 
 
 
Vorsicht mit MSDP im Multicast teil, es kann sein dass dort Loopback0 auf beiden Switche die gleiche IP erhält, man sollte in so Fällen sicherstellen, dass die Router ID unique bleibt / ist.
 
 

Tshoot

 
 
 
 
 
 
 

1.6.c Basic OSPF

OSPF ist wahrscheinlich das es dran kommt, auch hier wird jedoch ein CCNA/CCNP Level gefragt, fancy redistributing oder cost / load Manipulationen sind nicht zu erwarten.
Wichtig ist, dass man während der Prüfung an die Router ID denkt, möglich dass OSPF am Anfang konfiguriert wird und man später beim Multicast Teil mit MSDP rumfummelt und keine eindeutigen Router ID’s mehr hat.
 
Die Devise hier heisst: Read carefully und Keep it as simple as possible!
 
 
 
 
 
 
 
 
Da man via Console verbunden ist, kann man relativ einfach Live- verifien:
 
 Auf den Trunks erscheint jedes VLAN als Nighbor:
 
Möglicherweise ist verlangt, dass man nur in einem bestimmten VLAN eine nighborship formt, das macht man mit Passive Interfaces
 
 
 

Passive Interface

 
 
Per interface ist ziemlich umständlich, daher macht es mehr Sinn generell abzuschalten und explizit anzuschalten:
 
 
 
 
 

Default Route

 
 
Funktioniert nur wenn eine Default route von einer anderen Quelle (zb. static route) gelernt wurde, wenn diese jedoch gelöscht wird, wird sie auch im OSPF wieder gelöscht, daher unbedingt “always” dahinter setzen:
 
 
 
 

Router ID

 
„Highest IP Adress of loopback or physical Interface“
 
Sorg unter anderem dafür, dass keine Routing Loops entstehen.
 
 
 
 
 
 
 

1.7.b Static routing

Static Routing ist ziemlich straight forward, das bewegt sich auf CCNA Level.

Falls jedoch was in Form von static Routing drankommt, dann wollten sie wahrscheinlich prüfen, ob man Blöcke entsprechend zusammenfasst und an den Rückweg denkt.

 

Möglich wäre auch, dass man statische Routen einrichten muss um sie in OSPF / EIGRP zu redistributen, wahrscheinlich ist jedoch, dass dies nicht über Routemaps sondern über ein default origin passiert. 

 

1.8 Configure and troubleshoot wired security

Portsecurity
 
 
Voraussetzung:
 
 
 

switchport port-security violation

To set the action to be taken when a security violation is detected, use the 

switchport port-security violation command. To revert to the default settings, use the no form of this command.

switchport port-security violation { protect | restrict | shutdown }

no switchport port-security violation { protect | restrict | shutdown }

 
Syntax Description
protect
Drops all the packets from the insecure hosts at the port-security process level but does not increment the security-violation count.
restrict
Drops all the packets from the insecure hosts at the port-security process level and increments the security-violation count.   (generiert SYSLOG Trap!)
shutdown
Shuts down the port if there is a security violation.
 

(mehr …)