Aiuto su Cisco 877 e Ios 15.x

[dsagra]

Buonasera,
ho configurato un Cisco 877 per la connessione Adsl Alice 7Mb.
Di seguito la configurazione che sto utilizzando

Codice: Seleziona tutto

!
version 12.4
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname best
!
boot-start-marker
boot-end-marker
!
logging message-counter syslog
logging buffered 10240000
no logging rate-limit
no logging console
!
no aaa new-model
clock timezone CET 1
clock summer-time summertime recurring last Sun Mar 3:00 last Sun Oct 3:00
clock save interval 8
crypto pki token default removal timeout 0
!
crypto pki trustpoint TP-self-signed-2760771060
 enrollment selfsigned
 subject-name cn=IOS-Self-Signed-Certificate-2760771060
 revocation-check none
 rsakeypair TP-self-signed-2760771060
!
!
crypto pki certificate chain TP-self-signed-2760771060
 certificate self-signed 01
  3082023C 308201A5 A0030201 02020101 300D0609 2A864886 F70D0101 04050030 
  31312F30 2D060355 04031326 494F532D 53656C66 2D536967 6E65642D 43657274 
  69666963 6174652D 32373630 37373130 3630301E 170D3131 30363132 31323431 
  30375A17 0D323030 31303130 30303030 305A3031 312F302D 06035504 03132649 
  4F532D53 656C662D 5369676E 65642D43 65727469 66696361 74652D32 37363037 
  37313036 3030819F 300D0609 2A864886 F70D0101 01050003 818D0030 81890281 
  8100D905 0B1EDBDA 4514C8CE FF6DF193 85D40DFD 96B27DA0 0C98F558 3CFE4967 
  8EA07768 44D0F40D 26F416CE 51162446 FEC690BA 30687AE1 00D15004 5FBFB1CE 
  BA57BB17 442EA5EF 4177BD13 740F3694 A859B114 1E9F81E9 E501109C 1E157F02 
  744810ED 258322CC 37A08ED1 663A8DEE E2D7C49F 4B60BC7A 6022211A 92B3BCD3 
  75DD0203 010001A3 64306230 0F060355 1D130101 FF040530 030101FF 300F0603 
  551D1104 08300682 04626573 74301F06 03551D23 04183016 8014D42B 015CB908 
  9D2CC5ED C17BCE23 0CA45A32 E155301D 0603551D 0E041604 14D42B01 5CB9089D 
  2CC5EDC1 7BCE230C A45A32E1 55300D06 092A8648 86F70D01 01040500 03818100 
  D44F4212 CD60DD90 F706D8F4 19F58E35 806161A8 8406EEFD 28B78515 96C53FB6 
  BBC94D80 723EE897 698EB327 5AABC909 3F9995E5 D6B6C799 73EAC914 642B26B2 
  DCE34E1F AB7EA4C4 3C64EB59 1490EBFA 32A3BA52 C1B60C5F 7D83E743 112838AE 
  9CEC28FC A1009257 109903ED 8E4C9B4D EB7E557D BC1E8776 1C1EC383 AAB69457
        quit
dot11 syslog
ip source-route
!         
!         
no ip dhcp use vrf connected
ip dhcp excluded-address 10.0.0.1 10.0.0.100
!         
ip dhcp pool sdm-pool
   network 10.0.0.0 255.255.255.0
   default-router 10.0.0.252 
   dns-server 10.0.0.252 
   lease 0 12
!         
!         
ip cef
ip name-server 8.8.8.8
ip name-server 8.8.4.4
ip ddns update method myupdate
 HTTP     
  add http://utente:[email protected]/nic/update?hostname=hostname
 interval maximum 0 0 10 0
!         
no ipv6 cef
!         
multilink bundle-name authenticated
!         
          
parameter-map type inspect pmap-audit
 audit-trail on
!         
!         
username admin privilege 15 secret 5 password
!         
!         
!         
archive   
 log config
  hidekeys
!         
!         
!         
class-map type inspect match-any to-inside-cmap
 match access-group 101
class-map type inspect match-any allow-self
 match protocol icmp
class-map type inspect match-any to-outside-cmap
 match protocol tcp
 match protocol udp
 match protocol icmp
!         
!         
policy-map type inspect to-inside
 class type inspect to-inside-cmap
  inspect 
 class class-default
  drop    
policy-map type inspect to-self
 class type inspect allow-self
  inspect 
 class class-default
  drop    
policy-map type inspect to-outside
 class type inspect to-outside-cmap
  inspect 
 class class-default
  drop    
policy-map type inspect router-to-outside
 class type inspect to-outside-cmap
  inspect 
 class class-default
  drop    
!         
zone security private
zone security public
zone-pair security inside-to-outside source private destination public
 service-policy type inspect to-outside
zone-pair security self-to-outside source self destination public
 service-policy type inspect router-to-outside
zone-pair security outside-to-inside source public destination private
 service-policy type inspect to-inside
zone-pair security outside-to-self source public destination self
 service-policy type inspect to-self
!         
!         
!         
interface ATM0
 no ip address
 no atm ilmi-keepalive
!         
interface ATM0.1 point-to-point
 pvc 8/35 
  oam-pvc manage
  encapsulation aal5mux ppp dialer
  dialer pool-member 1
 !        
 snmp trap link-status
!         
interface FastEthernet0
!         
interface FastEthernet1
!         
interface FastEthernet2
!         
interface FastEthernet3
!         
interface Vlan1
 ip address 10.0.0.252 255.255.255.0
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 ip nat inside
 ip virtual-reassembly
 zone-member security private
 ip tcp adjust-mss 1412
 ntp broadcast
!         
interface Dialer0
 ip ddns update hostname dsagra.bounceme.net
 ip ddns update myupdate
 ip address negotiated
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 ip mtu 1452
 ip nat outside
 ip virtual-reassembly
 zone-member security public
 encapsulation ppp
 dialer pool 1
 dialer-group 1
 no cdp enable
 ppp authentication chap callin
 ppp chap hostname aliceadsl
 ppp chap password 7 1108150C14170A081726
!         
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 Dialer0 2
no ip http server
ip http authentication local
ip http secure-server
!         
!         
ip dns server
ip nat inside source static tcp 10.0.0.2 22 interface Dialer0 22
ip nat inside source static tcp 10.0.0.4 5900 interface Dialer0 5900
ip nat inside source list 1 interface Dialer0 overload
!         
logging trap debugging
logging origin-id hostname
logging source-interface Vlan1
logging 10.0.0.2
access-list 1 permit 10.0.0.0 0.0.0.255
access-list 101 permit tcp any any eq 5900
access-list 101 permit tcp 212.48.162.224 0.0.0.31 any eq 22
access-list 101 permit tcp host 94.85.242.9 any eq 22
access-list 101 permit tcp 46.226.179.80 0.0.0.15 any eq 22
access-list 101 permit tcp 85.41.159.96 0.0.0.15 any eq 22
access-list 101 permit tcp host 46.226.176.44 any eq 22
dialer-list 1 protocol ip permit
!         
!         
!         
control-plane
!         
banner motd ^C
******************************************************************************
* __        __   _                            _          _               _   *
* \ \      / /__| | ___ ___  _ __ ___   ___  | |_ ___   | |__   ___  ___| |_ *
*  \ \ /\ / / _ \ |/ __/ _ \| '_ ` _ \ / _ \ | __/ _ \  | '_ \ / _ \/ __| __|*
*   \ V  V /  __/ | (_| (_) | | | | | |  __/ | || (_) | | |_) |  __/\__ \ |_ *
*    \_/\_/ \___|_|\___\___/|_| |_| |_|\___|  \__\___/  |_.__/ \___||___/\__|*
******************************************************************************
^C        
alias exec ri show running-config | inc 
alias exec li show log | inc
alias exec uptime show ver | inc uptime
!         
line con 0
 login local
 no modem enable
line aux 0
line vty 0 4
 privilege level 15
 login local
 transport input ssh
!         
scheduler max-task-time 5000
ntp source Vlan1
ntp master
ntp server 193.204.114.232 prefer
ntp server 193.204.114.233
end

Con Ios 12.4(24)T5 (quello attualmente attivo) non sto riscontrando problemi, mentre con qualsiasi versione 15.0 e 15.1 disponibile sul sito Cisco, dopo un pò di tempo, variabile da qualche ora a un paio di giorni il router si disconnette. Dai log si vede che l'errore è analogo al seguente

Codice: Seleziona tutto

Jun  7 19:06:16 best 45: best: Jun  7 17:06:16.085: PPPATM: ATM0.1 8/35, Event = VC event:3, VT:Di0
Jun  7 19:06:16 best 46: best: Jun  7 17:06:16.085: PPPATM: ATM0.1 8/35 [0], Event = Down Pending
Jun  7 19:06:16 best 47: best: Jun  7 17:06:16.913: PPPATM: ATM0.1Sub-encap Error
Jun  7 19:06:16 best 48: best: Jun  7 17:06:16.917: PPPATM: ATM0.1Sub-encap Error
Jun  7 19:06:16 best 49: best: Jun  7 17:06:16.917: PPPATM: ATM0.1Sub-encap Error
Jun  7 19:06:16 best 50: best: Jun  7 17:06:16.917: PPPATM: ATM0.1Sub-encap Error
Jun  7 19:06:16 best 51: best: Jun  7 17:06:16.917: PPPATM: ATM0.1Sub-encap Error
Jun  7 19:06:16 best 52: best: Jun  7 17:06:16.921: PPPATM: ATM0.1Sub-encap Error
Jun  7 19:06:16 best 53: best: Jun  7 17:06:17.025: PPPATM: ATM0.1 8/35 [0], Event = Down Processed
Jun  7 19:06:16 best 54: best: Jun  7 17:06:17.025: PPPATM: ATM0.1 8/35 [0], Event = Disconnecting
Jun  7 19:06:16 best 55: best: Jun  7 17:06:17.025: PPPATM: ATM0.1 8/35 [0], Event = Vaccess Down
Jun  7 19:06:16 best 56: best: Jun  7 17:06:17.029: %LINK-3-UPDOWN: Interface Virtual-Access2, changed state to down
Jun  7 19:06:16 best 57: best: Jun  7 17:06:17.029: Vi2 PPP DISC: Authentication configuration changed
Jun  7 19:06:16 best 58: best: Jun  7 17:06:17.029: %DIALER-6-UNBIND: Interface Vi2 unbound from profile Di0
Jun  7 19:06:16 best 59: best: Jun  7 17:06:17.029: Vi2 PPP: Sending cstate DOWN notification
Jun  7 19:06:16 best 60: best: Jun  7 17:06:17.033: %LINEPROTO-5-UPDOWN: Line protocol on Interface Virtual-Access2, changed state to down
Jun  7 19:06:17 best 61: best: Jun  7 17:06:17.049: Di0 IPCP: Remove route to 192.168.100.1
Jun  7 19:06:17 best 62: best: Jun  7 17:06:17.049: Vi2 IPCP: Event[DOWN] State[Open to Starting]
Jun  7 19:06:17 best 63: best: Jun  7 17:06:17.049: Vi2 IPCP: Event[CLOSE] State[Starting to Initial]
Jun  7 19:06:17 best 64: best: Jun  7 17:06:17.049: Vi2 LCP: Event[DOWN] State[Open to Starting]
Jun  7 19:06:17 best 65: best: Jun  7 17:06:17.049: Vi2 PPP: Phase is DOWN
Jun  7 19:06:17 best 66: best: Jun  7 17:06:17.053: Vi2 PPP: Processing CstateDown message

Da cosa dipende? C'è qualche errore nella configurazione? Va cambiato qualcosa nel passaggio da Ios 12.x a 15.x?
Grazie mille.

[ghira]

Che firmware adsl stai usando? Quello incorporato nell'IOS e' cambiato da 12.4T a 15.

"show dsl int atm0" ovviamente.

Poi, riesci a far funzionare la 15.1 su un 877? Tutti gli 877 sui quali ho provato la 15.1 fanno bum,
dopo un intervallo che varia fra pochi secondi e un paio di giorni.

Io rimango con la 15.0(1)M6 per adesso, ma se/quando uscira' una nuova 15.1M la provero',
magari brevemente

Il tuo problema potrebbe anche essere lo ZBFW, anche se gli errori che vedi non
sembrano connessi con questo. Il CBAC non ti basta, eh?

[ghira]

Un problema che vedo con la 15.1 e' che l'ADSL va giu' e non torna nemmeno con shut / no shut.

Quindi ho questo:

event manager applet ATMFIX
event syslog occurs 3 pattern "No retrain. sleep 20 seconds"
action 1.0 syslog msg "Rebooting to recover from no retrain problem."
action 2.0 reload

Ovviamente, si capisce che nessuno vuole usare molto a lungo una versione
dove e' necessario fare cosi', ma mi permette di provare le nuove versioni della 15.1
senza dover fare reload a mano ogni tanto.

[dsagra]

Ciao ghira, grazie per la risposta, sapevo che il firmware integrato nell'ios è cambiato tra 12 e 15, tuttavia ho il 4.0.209 (installato manualmente)

Codice: Seleziona tutto

best#sh dsl interface atm 0
ATM0
Alcatel 20190 chipset information
 		ATU-R (DS)			ATU-C (US)
Modem Status:	 Showtime (DMTDSL_SHOWTIME)
DSL Mode:	 ITU G.992.5 (ADSL2+) Annex A
ITU STD NUM: 	 0x03				 0x2 
Chip Vendor ID:	 'STMI'				 'BDCM'
Chip Vendor Specific:  0x0000			 0x544D
Chip Vendor Country:   0x0F			 0xB5
Modem Vendor ID: 'CSCO'				 '    '
Modem Vendor Specific: 0x0000			 0x0000
Modem Vendor Country:  0xB5			 0x00
Serial Number Near:    FHK1130138 877-K9   12.4
Serial Number Far:  Chip ID: 	 C196 (0)
DFE BOM:	 DFE3.0 Annex A (1)
Capacity Used:	 59%				 47%
Noise Margin:	 22.0 dB			 26.0 dB
Output Power:	 20.0 dBm			  4.5 dBm
Attenuation:	 19.5 dB			 15.0 dB
FEC ES Errors:	 33				 832
ES Errors:	  1				 208
SES Errors:	  1				 143
LOSES Errors:	  1				  2
UES Errors:	  0				 637066
Defect Status:	 None                            None                        
Last Fail Code:	 None
Watchdog Counter: 0xB3
Watchdog Resets: 0
Selftest Result: 0x00
Subfunction:	 0x00 
Interrupts:	 6011 (0 spurious)
PHY Access Err:	 0
Activations:	 1
LED Status:	 ON
LED On Time:	 100
LED Off Time:	 100
Init FW:	 init_AMR_4.0.209.bin
Operation FW:	 AMR-E-4.0.209.bin
FW Source:	 external
FW Version:	 4.0.209

Come sintomi anch'io ho gli stessi tuoi, sia con la 15.0 che con la 15.1 (in particolare utilizzando lo ZBFW), il router si disconnette 'da solo' (e l'interfaccia Atm non ritorna su nemmeno con shutdown/no shutdown, va proprio riavviato il router) con tempi che variano da poche ore (2-3 circa) a qualche giorno (di solito non più di 4-5): attualmente la configurazione stabile è quella con ios 12.4.
Purtroppo vedevo anche in questo thread che siamo in tanti ad avere problemi con la 15.x

[ghira]

Ciao ghira, grazie per la risposta, sapevo che il firmware integrato nell'ios è cambiato tra 12 e 15, tuttavia ho il 4.0.209

Purtroppo vedevo anche in questo thread che siamo in tanti ad avere problemi con la 15.x

Altrove ho visto problemi solo con la 15.1, non con la 15.0.

La 15 viene col firmware 4.0.15. Hai provato con quello?

[dsagra]

Ciao ghira, grazie per la risposta, sapevo che il firmware integrato nell'ios è cambiato tra 12 e 15, tuttavia ho il 4.0.209

Purtroppo vedevo anche in questo thread che siamo in tanti ad avere problemi con la 15.x

Altrove ho visto problemi solo con la 15.1, non con la 15.0.

La 15 viene col firmware 4.0.15. Hai provato con quello?

Per il momento no, ma ho appena messo la versione (l'ultima 15.0 disponibile sul sito cisco.com)

Codice: Seleziona tutto

Cisco IOS Software, C870 Software (C870-ADVIPSERVICESK9-M), Version 15.0(1)M6, RELEASE SOFTWARE (fc1)

con il firmware integrato

Codice: Seleziona tutto

Init FW:	         init_AMR-4.0.015_no_bist.bin
Operation FW:	 AMR-4.0.015.bin
FW Source:	         embedded
FW Version:	 4.0.15

Vediamo come va.
Grazie ancora

[ghira]

Vedo che non hai:

vbr-nrt 1104 1104
tx-ring-limit 3

(o simile)

sul pvc. (dove 1104 deve essere rimpiazzato con la velocita' che hai in uscita).

Non e' particolarmente ben documentato, ma con questi puoi mettere
service-policy sul pvc (non sul dialer) e fare QoS sulla tua linea ADSL. Ovviamente
modifichi l'ordine in cui tu mandi i pacchetti e basta, ma gia' questo puo' aiutare.
Io ho una classe "priority" per i pacchetti fino a 200 byte, e faccio red + fair-queue
con quasi tutto il resto.

[dsagra]

Vedo che non hai:

vbr-nrt 1104 1104
tx-ring-limit 3

(o simile)

sul pvc. (dove 1104 deve essere rimpiazzato con la velocita' che hai in uscita).

Non e' particolarmente ben documentato, ma con questi puoi mettere
service-policy sul pvc (non sul dialer) e fare QoS sulla tua linea ADSL. Ovviamente
modifichi l'ordine in cui tu mandi i pacchetti e basta, ma gia' questo puo' aiutare.
Io ho una classe "priority" per i pacchetti fino a 200 byte, e faccio red + fair-queue
con quasi tutto il resto.

Ciao ghira, ho impostato i parametri consigliati sull'Atm0.1 che adesso è configurata così (ho Alice 7Mb/384k)

Codice: Seleziona tutto

interface ATM0.1 point-to-point
 pvc 8/35 
  vbr-nrt 384 384
  tx-ring-limit 3
  oam-pvc manage
  encapsulation aal5mux ppp dialer
  dialer pool-member 1

Per il firewall,in effetti mi basterebbe tranquillamente quello con le acl standard/estese, ma avevo letto dello Zbfw e mi ha incuriosito, soprattutto per la possibilità di fare filtraggio e qos sui protocolli di livello 5 (http, ssh, ecc), tutto qui

Grazie ancora per la disponibilità.

[ghira]

Vedo che non hai:

vbr-nrt 1104 1104
tx-ring-limit 3

(o simile)

sul pvc. (dove 1104 deve essere rimpiazzato con la velocita' che hai in uscita).

Non e' particolarmente ben documentato, ma con questi puoi mettere
service-policy sul pvc (non sul dialer) e fare QoS sulla tua linea ADSL. Ovviamente
modifichi l'ordine in cui tu mandi i pacchetti e basta, ma gia' questo puo' aiutare.
Io ho una classe "priority" per i pacchetti fino a 200 byte, e faccio red + fair-queue
con quasi tutto il resto.

Ciao ghira, ho impostato i parametri consigliati sull'Atm0.1 che adesso è configurata così (ho Alice 7Mb/384k)

Codice: Seleziona tutto

interface ATM0.1 point-to-point
 pvc 8/35 
  vbr-nrt 384 384
  tx-ring-limit 3
  oam-pvc manage
  encapsulation aal5mux ppp dialer
  dialer pool-member 1

Per il firewall,in effetti mi basterebbe tranquillamente quello con le acl standard/estese, ma avevo letto dello Zbfw e mi ha incuriosito, soprattutto per la possibilità di fare filtraggio e qos sui protocolli di livello 5 (http, ssh, ecc), tutto qui

Grazie ancora per la disponibilità.

Beh, puoi usare il CBAC. megli delle acl normali, e se hai solo 2 interfacce
non vedo il vantaggio dello zbfw ma devo dire che non l'ho mai usato.

e' abbastanza simile al meccanismo "inspect" dello zbfw. "ispezioni"
in una direzione e le risposte a cio' che ispezioni saranno permesse
nell'altra direzione, nonostante un'ACL che sembra bloccarle.

ecco alcuni pezzi del mio:



interface Dialer0
ip access-group IOS_FW in
ip inspect MYFW out

ip access-list extended IOS_FW
deny ip 224.0.0.0 31.255.255.255 any
permit icmp any any echo-reply
permit icmp any any unreachable
permit icmp any any administratively-prohibited
permit icmp any any packet-too-big
permit icmp any any echo
permit icmp any any time-exceeded
deny icmp any any
deny ip any any

a quanto pare sto bloccando tutto in entrata!

ip inspect name MYFW icmp router-traffic
ip inspect name MYFW ftp
ip inspect name MYFW tftp
ip inspect name MYFW imap
ip inspect name MYFW bittorrent
ip inspect name MYFW dns
ip inspect name MYFW ntp
ip inspect name MYFW ssh
ip inspect name MYFW telnet
ip inspect name MYFW smtp
ip inspect name MYFW tcp router-traffic
ip inspect name MYFW udp router-traffic

ma le risposte a questa roba passano comunque.

in realta' IOS_FW permette anche un po' di altre cose tipo ssh da alcuni posti.

[ghira]

Non e' necessario usare lo ZBFW per fare il QoS. metti service-policy sul pvc e basta.

(ma puo' anche essere necessario mettere un service-policy in entrata su vlan1.
per esempio, se vuoi fare qos sulla base dell'indirizzo o la porta _sorgente_
sul pvc e' troppo tardi perche' la NAT ha gia' nascosto le informazioni. quindi
con un service-policy su vlan1 in entrata metti dscp o qualcosa del genere sui
pacchetti e poi cerchi quello in uscita sul pvc)

lo zbfw aiuta in qualche modo?

[dsagra]

Ciao ghira, grazie ancora per le risposte e scusami nel ritardo, alla fine ho messo su un semplice firewall CBAC (su ios 15.0 indicato nell'ultima risposta e firmware adsl integrato), con le seguenti regole

Codice: Seleziona tutto

ip inspect name MYFW tcp router-traffic
ip inspect name MYFW udp router-traffic
ip inspect name MYFW icmp router-traffic

ip access-list extended IOS_FW
 permit tcp host 1.2.3.4 any eq 22
 deny ip any any

infine ho applicato le regole sull'interfaccia dialer0

Codice: Seleziona tutto

interface Dialer 0
 ip access-group IOS_FW in
 ip inspect MYFW out

per il qos, ancora non ho avuto modo di approfondire troppo, ma dai pochi test effettuati non c'era nessuna differenza
Grazie ancora.

[ghira]

per il qos, ancora non ho avuto modo di approfondire troppo, ma dai pochi test effettuati non c'era nessuna differenza
Grazie ancora.

se hai messo solo vbr-nrt non ci sara' alcuna differenza. devi mettere quello per
_poter_ mettere service-policy sull'interfaccia.

[ghira]

ip access-list extended IOS_FW
permit tcp host 1.2.3.4 any eq 22
deny ip any any

questo e' un po' spinto.

la cisco consiglia anche (prima del deny, ovviamente):
permit icmp any any echo-reply
permit icmp any any unreachable
permit icmp any any administratively-prohibited
permit icmp any any packet-too-big
permit icmp any any echo
permit icmp any any time-exceeded

io sul dialer metto anche:

ip verify unicast source reachable-via rx allow-default

e su vlan1:

ip verify unicast source reachable-via rx

[dsagra]

Ciao ghira, grazie ancora per i consigli ho attivato le configurazioni suggerite e sto utilizzando con soddisfazione l'ultimo ios 15.0 disponibile, ecco l'output del comando show version

Codice: Seleziona tutto

Cisco IOS Software, C870 Software (C870-ADVIPSERVICESK9-M), Version 15.0(1)M6, RELEASE SOFTWARE (fc1)
Technical Support: http://www.cisco.com/techsupport
Copyright (c) 1986-2011 by Cisco Systems, Inc.
Compiled Wed 01-Jun-11 21:09 by prod_rel_team
....

se qualcuno fosse curioso, allego anche l'attuale running-config, funzionante per Alice Adsl.