ASR1K и BGP

На маршрутизаторах ASR1K примерно половина физической памяти отдается под ядро линукса, половина отводится под демон IOSd. Память рспределяется при загрузке и не может быть изменена. Согласно документу http://www.cisco.com/en/US/prod/collateral/routers/ps9343/data_sheet_c78-441072.html 4 гигов памяти на маршрутизаторах этой серии хватает для 500 000 маршрутов, т.е. примерно 1 BGP Full View. На самом деле при количестве маршрутов примерно равном 500К (1 Full View) остается 5-10 Мб свободной памяти, что почти гарантированно приводит к падению маршрутизатора в течение суток (чаще с выносом CEF - %FIB-2-FIBDOWN: CEF has been disabled due to a low memory condition. It can be re-enabled by configuring "ip cef [distributed]").

ASR#sh proc memory sorted holding
Processor Pool Total: 1141147824 Used: 1130455704 Free:   10692120
 lsmpi_io Pool Total:    6295128 Used:    6294296 Free:        832

 PID TTY  Allocated      Freed    Holding    Getbufs    Retbufs Process
 455   0 2277706752  981777672  572549920          0          0 BGP Router


ASR#sh ip bgp su
BGP router identifier 10.20.30.20, local AS number 4444
BGP table version is 2042851, main routing table version 2042851
484174 network entries using 120075152 bytes of memory
484175 path entries using 58101000 bytes of memory
79934/79930 BGP path/bestpath attribute entries using 19184160 bytes of memory
73011 BGP AS-PATH entries using 3216732 bytes of memory
0 BGP route-map cache entries using 0 bytes of memory
0 BGP filter-list cache entries using 0 bytes of memory
BGP using 200577044 total bytes of memory
Dampening enabled. 0 history paths, 0 dampened paths
BGP activity 2100382/1616208 prefixes, 2103667/1619492 paths, scan interval 60 secs

Neighbor        V           AS MsgRcvd MsgSent   TblVer  InQ OutQ Up/Down  State/PfxRcd
10.20.30.40   4        4444   216910    1934  2042851    0    0 1d05h      484174


Таким образом, для поддержания хотя бы 1 full view желательно иметь не менее 8 Gb памяти, 2 и более - 16 Gb.

Проблема получения IP адреса с DHCP Server Cisco ASA клиентами Apple

При организации DHCP сервера на Cisco ASA Cisco Adaptive Security Appliance Software Version 9.1(2) клиенты Apple не получают IP адреса. Это баг https://tools.cisco.com/bugsearch/bug/CSCuh79288. Лечится посредством команды "dhcprelay timeout 60" или даунгрейдом софта до 9.1.(1). Подобные трудности были замечены при использовании IP телефонов D-Link. Вероятно, лечится так же, проверить не было возможности.

Доступ к ASDM

При установке новой ASA  при  попытке доступа к ADSM по адресу https://asa/admin получаем ошибку типа:

Веб-страница по адресу https://10.50.18.201/admin, возможно, временно недоступна или постоянно перемещена по новому адресу.
Ошибка 113 (net::ERR_SSL_VERSION_OR_CIPHER_MISMATCH): Неизвестная ошибка.

Получается она вследствие неспособности ASA поддерживать  алгоритмы шифрования, используемые браузером.

При попытке их конфигурации на ASA получаем:

ASA(config)# ssl encryption aes256-sha1 aes128-sha1 3des-sha1 

The 3DES/AES algorithms require a Encryption-3DES-AES activation key.

Видим, что не хватает лицензии:

ASA-1# sh version

Cisco Adaptive Security Appliance Software Version 9.1(1)
Device Manager Version 7.1(3)

........

Licensed features for this platform:
Maximum Physical Interfaces       : Unlimited      perpetual
Maximum VLANs                     : 300            perpetual
Inside Hosts                      : Unlimited      perpetual
Failover                          : Active/Active  perpetual
Encryption-DES                    : Enabled        perpetual
Encryption-3DES-AES               : Disabled       perpetual
Security Contexts                 : 2              perpetual
GTP/GPRS                          : Disabled       perpetual

Лицензию генерим здесь

https://tools.cisco.com/SWIFT/LicensingUI/loadDemoLicensee?FormId=139

Используем SN из show version (! а не из show inventory!)

Активируем лицензию:

ASA(config)# activation-key xxxx xxxx xxxx xxxx xxxxx

Включаем шифрование:
ASA(config)# ssl encryption aes256-sha1 aes128-sha1 3des-sha1

Если лицензия была сгенерирована на chasiss SN, получим:

ASA(config)# activation-key activation-key xxxx xxxx xxxx xxxx xxxx

Validating activation key. This may take a few minutes...

not supported yet.

Операционная система коммутаторов HP Procurve

Не секрет, что после поглощения компанией HP компании 3Com коммутаторы последней начали выпускаться под лейблом HP, но(!) операционная система там оcталась по-прежнему Comware, а не была переделана на ProVision, которая используется в "родной" линейке HP. Некоторое время назад  указания на используемую операционную систему имелись в  описании  линеек на сайте HP Procurve. Однако в последнее время все чаще приходится только догадываться, что там внутри, в свзяи с чем полезно знать вот что:.

"Коммутаторы на основе ОС ProVision, как правило, имеют код продукта JXXXXY (где ХХХХ - арабские цифры). Это серии 25ХХ, 26ХХ, 28ХХ, 29ХХ, 38ХХ и др.

Коммутаторы на основе Comware (пришедшие из 3Com/H3C), как правило имеют код продукта JYXXXZ (где Y- латинская буква, ХХХ - арабские цифры). Это серии 3100, 3600, 5120, 5500, 5800 и др."