이번 포스팅은 ACI Bug Report 관련 내용입니다.

 

ACI OS Upgrade를 위해서 관리서버인 APIC을 먼저 OS Upgrade를 진행을 합니다.

APIC OS 업그레이드 과정 시, APIC의 재부팅을 하는 도중에 정상적으로 부팅을 하지 못하는 문제가 발생할 수 있습니다.

이 경우 장비에 Console을 붙여서 확인을 하면 다음과 같이 표기됨을 확인할 수 있습니다.

 

APIC 1 Console shows:
do_boot_cpu failed(-1) to wakeup CPU#2
do_boot_cpu failed(-1) to wakeup CPU#3
do_boot_cpu failed(-1) to wakeup CPU#4
do_boot_cpu failed(-1) to wakeup CPU#5
.
.
.
.
do_boot_cpu failed(-1) to wakeup CPU#23

 

 

관련하여 Bug Report(CSCvd84590:scale1-apic1: do_boot_cpu() failed at GRUB starting to boot the Kernel)가 있습니다.

 

해당 버그에 대해서 알려진 버전은 2.2(1.210a), 2.2(2i)이며,

fixed 버전은 3.1(1i), 3.1(0.154), 2.2(3.13)입니다.

 

실제 영향 받는 버전은 더 있을 것으로 보입니다.

 

해당 버그에 대한 조치 방법은 APIC 자체를 실제 전원까지 제거하여 Cold Reboot를 진행하시면 됩니다.

Posted by 네떡지기

부서의 非네트워크 신입 교육용으로 아주 간단하게 만든 자료 중에 마지막 자료입니다.

내용이 별로 크게 없긴하지만~ 혹시라도 도움이 되실만한 분이 계실까해서 올려봅니다.







Posted by 네떡지기

Posted by 네떡지기
◈ IPv4 주소가 고갈됨에 따라 향후 IPv6 로의 전환이 불가피하겠지만, 한 순간에 전세계에서 사용 중인 IPv4를 IPv6로 변경한다는 것은 불가능하다. 따라서, IPv4 에서 IPv6의 전환에 있어서 오랜시간 공존할 수 밖에 없을 것이고 이를 위해서 IPv4와 IPv6 간의 전환 기술이 필요하게 된다. 이러한 전환 기술은 크게 다음과 같은 3가지로 분류 될 수 있다.

  ● Dual Stack(듀얼스택)
     - 시스템에서 IPv4와 IPv6 프로토콜을 동시에 지원하는 기술.
     - 디바이스와 상관없이 운영체제의 커널단에 소프트웨어 형태로 구현.
     - IPv4 와 IPv6 노드와 직접 통신할 수 있어야 하기 때문에 DNS에서 IPv4의 A 레코드 및 IPv6의 AAAA레코드 처리가 동시에 가능해야 한다.


  ● Tunneling (터널링)
      - 기존의 IPv4의 터널링과 마찬가지로 두 호스트 사이에 가상의 Tunnel을 생성하여 통신을 하게 되는 데, 이 때에 두 호스트 사이의 전송 경로에서 사용하는 방식이 두 호스트와 다른 버전의 IP 방식(가령 IPv6의 호스트 간의 통신 경로가 IPv4 주소를 사용하고 있는 경우)일 때 호스트 간의 Tunnel을 생성하여 통신을 가능하게 하는 방식이다. 
      - IPv4 와 IPv6의 전환 기술에서의 터널링은 다음의 두가지로 방식으로 분류할 수 있다.
        1. Configured Tunnel(설정/수동 터널링)

        2. Automatic Tunnel(자동 터널링)
      
      - Tunneling 기술의 문제
        1. Tunnel의 양단간의 장비는 반드시 두 개의 프로토콜을 지원하는 장비(Dual Stack)이어야 한다.
        2. Tunnel의 양단간의 장비에서는 반드시 변환 프로토콜 번호를 허용해야 하기 때문에 보안상 문제가 발생한다.
              * IPv6의 프로토콜이 41번이므로, Tunnel 양단 장비에서 41번 프로토콜을 허용해야 터널링 구성 가능
        3. Tunneling에 의한 패킷 크기 증가로 패킷의 분할될 수 있으며 이는 장비의 부하량을 증가 시킨다.
        4. PAT가 지원되는 사설 네트워크 환경에서는 터널링 기술을 사용할 수 없다.
              * Teredo 터널 사용 시 PAT 환경에서도 가능함
       

  ● Address Translation (주소 변환)

      -  IPv6와 IPv4 간의 주소 전환 장비를 이용하여, 기존의 IPv4에서 사용되던 NAT 기술과 마찬가지로 IPv6와 IPv4 간의 Address Table을 생성하여 양단간의 통신이 가능하도록 한다. 
      - 이러한 기술은 IPv4 패킷과 IPv6의 패킷에서 IPv4 헤더와 IPv6 헤더를 제외한 상위 계층은 동일한 구조로 생성되어 있기 때문에 IPv4, IPv6 헤더 부분을 전환하며 그대로 데이터를 전송할 수 있게 한다. 다만, 상위 계층의 패킷에 IP정보가 포함된 프로토콜이 포함된 경우에는 동작 과정이 더 복잡하고 제한적으로 동작할 수 있다. (DNS, FTP 등)
      - 주소 전환 프로토콜 계층에 따라서 다음의 3가지로 분류할 수 있다.
        1. SIIT(Stateless Ip/Icmp Translation)

        2. TRT(Transport relay Translator)


        3. ALG(Application Level Gateway)

   
Posted by 네떡지기
 
◎ Password 관련

 service password-encryption 
       -  장비 password를 Config에서 Plain Text로 보이지 않고 암호화해서 보이게 함.  
       -  Default : 미설정 상태

 enable secret cisco               
       -  Config 에서 암호화되게 표시 됨. (보안상  유리)
       -  enable password와 동시 설정 시, Password보다 Secret 명령이 우선 순위가 높음.

 
 Telnet 접속 Password 설정
  line vty 0 4
        password cisco         => service password-encryption  활성화 전에는 암호화 되지 않음.
                                        => password 미 설정시에는 telnet 접속 불가능.
                                             미 설정상태에서 접속 시, Password required, but none set 와 같은 오류메시지가 뜸.

        login local                  => local 옵션까지 사용 시에는 접속 시에 username과 password를 함께 물어봄.
                                        => 이 경우에는 username 과 password(sercret)를 다음과 같이 사전에 설정해야 사용이 가능.
                                            Router(config)#username  plming secret cisco 



  Enable 패스워드 미 설정 시
    enable 패스워드(secret/password) 미 설정 시에는 접속해서 enable모드로 들어가려고 할 때 
     Router>en
         % No password set  
     
오류메시지 발생하며, enable모드 접근 불가 함.




설정 시, 옵션을 보면 다음과 같은 데, 
Router(config)#enable secret ?
  0      Specifies an UNENCRYPTED password will follow
  5      Specifies an ENCRYPTED secret will follow
  LINE   The UNENCRYPTED (cleartext) 'enable' secret
  level  Set exec level password                                           

다음과 같이 입력하면 다음 오류를 볼 수 있다.
Router(config-line)#password 7 cisco
Invalid encrypted password: cisco
  
기존 sh run에서 보면.
enable password passwd  와 같이 암호화 되지 않고 저장된 것을 볼 수도 있고
enable secret 5 $1$ntxm$/NroauQHlVGRQCIxCWY1l1   와 같이 암호화 되서 저장된 것을 볼 수 있는 데,
이는 입력할 때, 5라는 옵션을 줘서 하는 것이 아니라
service password-encryption 를 활성화 시켜주면, 자동으로 5가 붙으면서 패스워드가 sh run상태에서 암호화 되는 것이다.
따라서 패스워드(secret) 설정 시에, 중간에 저런 숫자를 넣어서 설정하지는 않는다.


 

Posted by 네떡지기

◎ ICMP : RFC 792
   - Ping과 같은 ICMP Echo Request에 따른 Echo Reply 과 같은 요청 및 응답 메시지로 사용
   - TCP/UDP 가 IP를 이용해서 데이터그램을 전달 중 문제가 발생되면 ICMP를 이용해서 에러메시지를 전송하기도 함.
    ( Ex :  DNS 쿼리를 날렸는 데, 해당 SVR에서 DNS 서비스를 하지 않을 경우에는 ICMP로 오류메시지를 보냄.)

◎ 운영체제애 따른 TTL 값
   - 리눅스 : 64                 - 솔라리스 : 255                   - WinNT/2000 : 128                       - Win95/98 : 32


◎ Destination Unreachable [ code num : 3 ] 
   - 라우터에 해당 목적지 경로가 없다.   :  Echo Reply 용
   - 목적지의 해당 포트에 동작하는 서비스가 없다.  : Error Message 용

   ※ Port 프로토콜 : RFC 1340    
      - 각 서비스에 대한 프로토콜 번호의 표준 안. 실제 적용은 해당 운영체제에 설정되어 있음.
      - Port 설명
          리눅스 유닉스 : /etc/protocols
          윈도우 : Windows/system32/drivers/etc/protocol
      - Port 정의
          리눅스 유닉스 : /etc/services
          윈도우 : Windows/system32/drivers/etc/services
      - 정의된 포트의 번호를 변경할 경우 정상적인 서비스가 불가

◎ TraceRoute VS Tracert
    - Tracert (windows) : ICMP 기반
    - Traceroute (Unix/Linux) : UDP 기반

Posted by 네떡지기
장비를 설치하기 위한 표준 규격으로

Rack에 마운트되는 장비의 가로 규격은 19인치이며,

RU (Rack Unit)는 세로 규격으로 나사 구멍간의 거리가 1.75인치인 것을 1RU라고 함.
Posted by 네떡지기
 [ 2900 / 3500XL 장비 ]

Config)# interface f0/1                                              <=== Sniffer Port
Config-if)# port monitor f0/10                                  <=== 모니터링 Port
Config-if)# port monitor f0/11                                  <=== 모니터링 Port

       ※ f0/1에 스니퍼 장비를 물리고, f0/10과 f0/11 포트를 감시함.


  [2950 시리즈 ]

Config)# monitor session 1 source interface f0/10- 11 both                     <=== 모니터링 Port
Config)# monitor session 1 destination interface f0/1                             <=== Sniffer Port

        ※ Source Port는 물리적 interface 뿐만 아니라, VLAN도 설정 가능.
        ※ Destination Port의 Interface 상태를 보면 Up / Down (monitoring)으로 표시된다.


  [4000 / 5000 / 6000 시리즈]

Config#(enable) set span 3/10 - 11 3/1 [ rx | tx | both ]

         ※ 3/1에 스니퍼 장비를 물리고, 3/10과 3/11 포트를 감시함.


[Extreme Switch]
== 소스 포트설정 ==
Switch # Config mirroring add port 19
== 목적지 포트 설정 ==
Switch # enable mirroring to port 23 
WARNING: This command will remove VLAN membership from the monitor port.
         Do you want to continue? (y/N) Yes


Posted by 네떡지기
시스코 Console 접속 시 Com Port 기본 설정 값.

Speed : 9600 bps
Data bit : 8 bit
Parity bit : None
Stop bit : 1 bit
Flow Control : None
Posted by 네떡지기

Unicast Flooding in the Network Every 5 Minutes

LAN switches use forwarding tables, such as Layer 2 and CAM tables, to direct traffic to specific ports based on the VLAN number and the destination MAC address of the frame. When there is no entry that corresponds to the destination MAC address of the frame in the incoming VLAN, the (unicast) frame is sent to all forwarding ports within the respective VLAN. This causes flooding. The very cause of flooding is that the destination MAC address of the packet is not in the Layer 2 forwarding table of the switch. In this case, the packet is flooded out of all forwarding ports in its VLAN, except the port it is received on.

The default ARP table aging time is 4 hours while the CAM holds the entries for only 5 minutes. The switch sends out a frame to all forwarding ports within the respective VLAN when the destination MAC address is aged out from the CAM table. You need a CAM aging timer greater or equal to the ARP timeout in order to prevent unicast flooding. As a workaround, you can issue one of these commands in order to increase the CAM aging timer for the VLAN you are having trouble with to match the ARP aging time:

Note: In any Catalyst environment that runs a Hot Standby Router Protocol (HSRP), it is recommended that you ensure the CAM and ARP timers are synchronized.

Refer to Unicast Flooding in Switched Campus Networks for information on possible causes and implications of unicast packet flooding in switched networks


CAM 테이블은 5분, ARP Table은 4시간이 default aging Time.
결국 이 두 테이블의 시간 차이로 인해서 CAM Table에서는 사라지고 ARP Table에서는 남아있는 경우에
Unicast Flooding이 발생한다는..
HSRP를 사용할 경우에는 반드시 CAM Table과 ARP Table의 시간을 동기화 시켜줘야 한다고 한다.

특히나, Cat OS와 IOS간의 연결된 포트의 VLAN의 경우에는 양단간의 ARP Table과 CAM Table과의 시간을 동기화 해주어야 하는데, Table Size가 너무 커질 수 있으므로, 5분에 맞춘다. 뭐 크게 성능상에 문제가 없다면.. 4시간으로 맞춰도 상관 없음.

Posted by 네떡지기

티스토리 툴바