home *** CD-ROM | disk | FTP | other *** search
/ ftp.pasteur.org/FAQ/ / ftp-pasteur-org-FAQ.zip / FAQ / cisco-networking-faq < prev    next >
Encoding:
Internet Message Format  |  2001-04-13  |  75.1 KB

  1. Path: senator-bedfellow.mit.edu!bloom-beacon.mit.edu!nycmny1-snh1.gtei.net!news.gtei.net!panix!news.panix.com!panix5.panix.com!not-for-mail
  2. From: jhawk@panix.com (John Hawkinson)
  3. Newsgroups: comp.dcom.sys.cisco,comp.protocols.tcp-ip,comp.dcom.servers,comp.answers,news.answers
  4. Subject: comp.dcom.sys.cisco Frequently Asked Questions (FAQ)
  5. Supersedes: <cisco_985853281@panix.com>
  6. Followup-To: comp.dcom.sys.cisco
  7. Date: 13 Apr 2001 03:08:01 -0400
  8. Organization: PANIX Public Access Internet and UNIX, NYC
  9. Lines: 1956
  10. Approved: news-answers-request@MIT.EDU
  11. Expires: 11 May 2001 07:08:01 GMT
  12. Message-ID: <cisco_987145681@panix.com>
  13. Reply-To: cisco-faq@panix.com (comp.dcom.sys.cisco FAQ responses)
  14. NNTP-Posting-Host: panix5.panix.com
  15. X-Trace: news.panix.com 987145642 15259 166.84.0.230 (13 Apr 2001 07:07:22 GMT)
  16. X-Complaints-To: abuse@panix.com
  17. NNTP-Posting-Date: 13 Apr 2001 07:07:22 GMT
  18. Summary: This FAQ consists of frequently asked questions about
  19.   routers manufactured by cisco Systems, Inc. Additionally, it provides
  20.   additional information on IP routing that may be useful in non-Cisco
  21.   environments.
  22. Xref: senator-bedfellow.mit.edu comp.dcom.sys.cisco:188289 comp.protocols.tcp-ip:94633 comp.dcom.servers:7715 comp.answers:45001 news.answers:205247
  23.  
  24. Archive-name: cisco-networking-faq
  25. Last-modified: $Date: 1996/04/28 05:55:19 $
  26. Version: $Revision: 1.10 $
  27.  
  28. This FAQ is edited by John Hawkinson, <jhawk@panix.com>.
  29.  
  30. Administrivia:
  31.  
  32. Please contribute answers to the questions in the Todo section! If
  33. your answer is somewhat complicated, posting would probably be best
  34. (to comp.dcom.sys.cisco). Otherwise, e-mail it to cisco-faq@panix.com.
  35. Please note that a LOT of these questions have been hanging around for
  36. some time, and if knowledgable people could take the time to answer a
  37. few of them, that'd help.
  38.  
  39. This draft FAQ is in RFC1153 digest format, so you can follow each
  40. question with your newsreader. I suppose that question-numbers should
  41. be moved to the From: field. Note that Date: fields represent
  42. last-modification times for the questions.
  43.  
  44. Since this FAQ was first developed, cisco has written up a lot of
  45. useful information on their web site, http://www.cisco.com.  If you
  46. can't find what you're looking for here, please check there, too.
  47.  
  48. Table of Contents
  49. =================
  50.  
  51. 1.      How can I contact cisco?
  52. 2.      What is this newsgroup?
  53. 3.      What does ``cisco'' stand for?
  54. 4.      How do I save the configuration of a cisco?
  55. 5.      Where can I get ancillary software for my cisco?
  56. 6.      Is there a World-Wide-Web (www) information source?
  57. 7.      How can I get my cisco to talk to a third party router over 
  58. 8.      How can I get my cisco to talk to a 3rd-party router over Frame Relay?
  59. 9.      How can I use debugging?
  60. 10.     How can I use NTP (Network Time Protocol) with my cisco?
  61. 11.     Sample cisco NTP Configurations
  62. 12.     How do I avoid the annoying DNS lookup if I have misspelled a command?
  63. 13.     Tracing bad routing information
  64. 14.     How to use access lists
  65. 15.     The cisco boot process
  66. 16.     Where can I get cisco hardware?
  67. 17.     Where can I get IETF documents (RFCs, STDs, etc.)?
  68. 18.     Future features in cisco software
  69. 19.     How do cisco routers rate performance-wise?
  70. 20.     How are packets switched?
  71. 21.     How does one interpret buffer statistics?
  72. 22.     How should I restrict access to my router?
  73. 23.     What can I do about source routing?
  74. 24.     Is there a block of private IP addresses I can use?
  75. 25.     Is DHCP supported?
  76. 26.     Where can I get cisco documentation?
  77. 27.     What's the latest software for the CSC/3?
  78. 28.     What IP routing protocol should I use?
  79. 29.     How do I interpret the output of ``show version''?
  80. 30.     What is the maximum number of Frame Relay PVCs?
  81. 31.     How much memory is necessary to telnet to a cisco router?
  82. 32.     Where can I purchase flash RAM?
  83. 33.     When are static routes redistributed?
  84. 34.     When is the next hop of a route considered ``reachable''?
  85. 35.     How do name and phone number of ``dialer map'' interfere?
  86. 36.     What's the purpose of the network command?
  87. 37.     What is VLSM? 
  88. 38.     What are some methods for conserving IP addresses for serial lines?
  89. 39.     Why do some ip addresses get rejected?
  90. 40.     How do 4xxx serial numbers correspond to models?
  91. 41.     Where can I find more info on TACACS+
  92. 99.     Acknowledgements.
  93.  
  94. todo:
  95. =====
  96.  
  97. *  What is SNMP and how can I use it? What software is available and how do
  98.    I use cisco enterprise MIBs? MIBs on ftpeng.cisco.com and CIO.cisco.com
  99. *  Pointers to other net resources, like comp.protocols.tcp-ip, RFCs,
  100.    the firewalls mailing list, etc (bgpd?[or is it cidrd now? :-)]).
  101. *  Hints about confusing and not-well documented things like xtacacs...
  102. *  Comments on interoperability issues WRT other vendors.
  103. *  What's SMARTnet, why should I subscribe, how much does it cost,
  104.    and what do I get?
  105. *  What should I name my router, my interfaces, etc.?
  106. *  Should we adjust the buffer parameters on the routers?  What should
  107.    be the indicator before tunning the buffer parameters?  How should
  108.    one fine tune the buffer parapeters?
  109. *  What is CIDR and why do I care (or a more general acronym decoder) ?
  110. *  How do I configure my cisco to use variable-length subnetting ?
  111. *  Is there a block of private network numbers I can use
  112.    within my organization only?  When should I use them?
  113.    How do I access them from outside?
  114. *  What do I do if I have to partition a network number?
  115. *  Questions and answers about access lists
  116.    access-list reference list (lots of questions on that)
  117. *  I forgot to mention that routing DECnet over X.25 is a problem.
  118. *  Where PD network applications for SLIP/PPP are.
  119. *  What is HSRP and how does it work?  When is it available (10.0)
  120.    (Hot Standby Routing Protocol)
  121. *  Should I run 10.0, 10.2, 10.3, 11.1, or what?
  122. *  What's the difference between IBGP and EBGP? Why should I run BGP?
  123.  
  124. Actual content.
  125. ===============
  126.  
  127. ------------------------------
  128.  
  129. From: Question 1
  130. Date: 31 October 1994
  131. Subject: How can I contact cisco?
  132.  
  133. Corporate address:
  134.  
  135.                 cisco Systems
  136.                 170 West Tasman Drive
  137.                 San Jose, CA 95134
  138.  
  139. The following phone numbers are available:
  140.  
  141.   Technical Assistance Center (TAC)                     +1 800 553 2447
  142.                                                               (553 24HR)
  143.                                                         +1 800 553 6387
  144.                                                         +1 408 526 8209
  145.   Customer Service (Documentation, Warranty &           +1 800 553 6387
  146.       Contract Services, Order Status
  147.   Engineering                                           +1 800 553 2447
  148.                                                               (553 24HR)
  149.   On-site Services, Time & Materials Service            +1 800 829 2447
  150.                                                               (829 24HR)
  151.   Corporate number / general                            +1 408 526 4000
  152.   Corporate FAX (NOT tech support)                      +1 408 526 4100
  153.  
  154. The above 800 numbers are US/Canada only.
  155.  
  156. cisco can also be contacted via e-mail:
  157.  
  158.         tac@cisco.com           Technical Assistance Center
  159.         tac-euro@cisco.com      European TAC
  160.         cs-rep@cisco.com        Literature and administrative (?) requests
  161.         cs@cisco.com            *UNRELIABLE*, special-interest, ``non-support''
  162.  
  163. Please follow the directions available on CIO before doing this.
  164. cisco provides an on-line service for information about their routers
  165. and other products, called CIO (cisco Information Online).  telnet to
  166. cio.cisco.com for more details.
  167.  
  168. The collective experience of this FAQ indicates that it is far wiser to
  169. open a case using e-mail than FAXes, which may be mislaid, shredded,
  170. etc.
  171.  
  172. For those of you still in the paperfull office (unlike the rest of us),
  173. cisco Systems' new corporate address is:
  174.  
  175.         170 West Tasman Drive
  176.         San Jose, CA 95134
  177.  
  178. Mail to tac@cisco.com should include your service contract number, your name,
  179. telephone number, a brief one line problem/question description, and a
  180. case  priority in the  first 5 lines. For example:
  181.  
  182.         Cisco service contract number       92snt1234a 
  183.         First and last name                 Jane Doe 
  184.         Best number to contact you          415-555-1234 
  185.         Problem/question description        Cannot see Appletalk zones 
  186.         Case Priority                       3
  187.  
  188. CASE PRIORITIES are defined as one of the following:
  189.  
  190. Pri 1           Production network down, critical business impact 
  191. Pri 2           Production net seriously degraded, serious impact 
  192. Pri 3           Network degraded, noticeable impact to business 
  193. Pri 4           General information, non production problems
  194.  
  195. ------------------------------
  196.  
  197. From: Question 2
  198. Date: 26 July 1994
  199. Subject: What is this newsgroup?
  200.  
  201. comp.dcom.sys.cisco, which is gatewayed to the mailing list
  202. cisco@spot.colorado.edu, is a newsgroup for discussion of cisco
  203. hardware, software, and related issues. Remember that you can also
  204. consult with cisco technical support.
  205.  
  206. This newsgroup is not an official cisco support channel, and should
  207. not be relied upon for answers, particularly answers from cisco
  208. Systems employees.
  209.  
  210. Until recently, the mailing list was gatewayed into the newsgroup,
  211. one-way. It is possible that this arrangement may resume at somet time
  212. in the future.
  213.  
  214. ------------------------------
  215.  
  216. From: Question 3
  217. Date: 31 October 1994
  218. Subject: What does ``cisco'' stand for?
  219.  
  220. cisco folklore time:
  221.  
  222. At one point in time, the first letter in cisco Systems was a
  223. lowercase ``c''. At present, various factions within the company have
  224. adopted a capital ``C'', while fierce traditionalists (as well as some
  225. others) continue to use the lowercase variant, as does the cisco
  226. Systems logo. This FAQ has chosen to use the lowercase variant
  227. throughout.
  228.  
  229. cisco is not C.I.S.C.O. but is short for San Francisco, so the story
  230. goes.  Back in the early days when the founders Len Bosack and Sandy
  231. Lerner and appropriate legal entities were trying to come up with a
  232. name they did many searches for non similar names, and always came up
  233. with a name which was denied. Eventually someone suggested ``cisco''
  234. and the name wasn't taken (although SYSCO may be confusingly similar
  235. sounding). There was an East Coast company which later was using the
  236. ``CISCO'' name (I think they sold in the IBM marketplace) they ended
  237. up having to not use the CISCO abberviation.  Today many people spell
  238. cisco with a capital ``C'', citing problems in getting the lowercase
  239. ``c'' right in publications, etc. This lead to at least one amusing
  240. article headlined ``Cisco grows up''. This winter we will celebrate
  241. our 10th year.
  242.  
  243. [This text was written in July of 1994 -jhawk]
  244.  
  245. ------------------------------
  246.  
  247. From: Question 4
  248. Date: 31 October 1994
  249. Subject: How do I save the configuration of a cisco?
  250.  
  251. If you have a tftp server available, you can create a file on the
  252. server for your router to write to, and then use the write network
  253. command. From a typical unix system:
  254.  
  255.         mytftpserver$ touch /var/spool/tftpboot/myconfig
  256.         mytftpserver$ chmod a+w /var/spool/tftpboot/myconfig
  257.  
  258.         myrouter#write net
  259.         Remote host [10.7.0.63]? 10.7.0.2
  260.         Name of configuration file to write [myrouter-confg]? myconfig
  261.         Write file foobar on host 10.7.0.2? [confirm] y
  262.  
  263. Additionally, there's a Macintosh TFTP server available:
  264.  
  265.         ftp://nic.switch.ch/software/mac/peterlewis/tftpd-100.sit.hqx
  266.  
  267. Additionally, you can also use expect, available from:
  268.  
  269.         ftp://ftp.uu.net/languages/tcl/expect/expect.tar.gz
  270.         ftp://ftp.cme.nist.gov/expect/expect.tar.gz
  271.  
  272. or, in shar form from ftpeng.cisco.com.
  273.  
  274. Expect allows you to write a script which telnets to the router and
  275. performs a ``write terminal'' command, or any other arbitrary set of
  276. command(s), using a structured scripting language (Tcl).
  277.  
  278. ------------------------------
  279.  
  280. From: Question 5
  281. Date: 5 July 1994
  282. Subject: Where can I get ancillary software for my cisco?
  283.  
  284. Try ftping to
  285.  
  286.         ftp://ftpeng.cisco.com/pub
  287.  
  288. It's a hodgepodge collection of useful stuff, some maintained and some
  289. not. Some is also available from
  290.  
  291.         ftp://cio.cisco.com
  292.  
  293. Vikas Aggarwal has a very customised tacacsd:
  294.  
  295. A new version of xtacacsd is available via anonymous FTP from:
  296.  
  297.         ftp://ftp.navya.com/pub/vikas/xtacacsd-3.5.shar.gz
  298.  
  299.  
  300. ------------------------------
  301.  
  302. From: Question 6
  303. Date: 28 April 1996
  304. Subject: Is there a World-Wide-Web (www) information source?
  305.  
  306. You can try the WWW page for this FAQ:
  307.  
  308.         http://www.panix.com/cisco-faq/
  309.  
  310. or the cisco Educational Archive (CEA) home page:
  311.  
  312.         http://sunsite.unc.edu/cisco/cisco-home.html
  313.  
  314. or the cisco Information Online (CIO) home page:
  315.  
  316.         http://www.cisco.com/
  317.  
  318.  
  319. ------------------------------
  320.  
  321. From: Question 7
  322. Date: 5 July 1994
  323. Subject: How can I get my cisco to talk to a third party router over 
  324. a serial link?
  325.  
  326. You need to tell your cisco to use the same link-level protocol as the
  327. other router; by default, ciscos use a rather bare variant of HDLC
  328. (High-level Data Link Control) all link-level protocols use at some
  329. level/layer or another. To make your cisco operate with most other
  330. routers, you need to change the encapsulation from HDLC to PPP on the
  331. relevant interfaces. For instance:
  332.  
  333.         sewer-cgs#conf t
  334.         
  335.         Enter configuration commands, one per line.
  336.         Edit with DELETE, CTRL/W, and CTRL/U; end with CTRL/Z
  337.         interface serial 1
  338.         encapsulation ppp
  339.         ^Z
  340.  
  341.         sewer-cgs#sh int s 1
  342.         
  343.         Serial 1 is administratively down, line protocol is down 
  344.           Hardware is MCI Serial
  345.           MTU 1500 bytes, BW 1544 Kbit, DLY 20000 usec, rely 255/255, load 1/255
  346.           Encapsulation PPP, loopback not set, keepalive set (10 sec)
  347. ^^^^^^^^^^^^^^^^^^^^^^^^^^^
  348. [...]
  349.  
  350. If you're still having trouble, you might wish to turn on serial interface
  351. debugging:
  352.  
  353.         sewer-cgs#ter mon
  354.         sewer-cgs#debug serial-interface
  355.  
  356. ------------------------------
  357.  
  358. From: Question 8
  359. Date: 27 July 1994
  360. Subject: How can I get my cisco to talk to a 3rd-party router over Frame Relay?
  361.  
  362. You should tell your cisco to use ``encapsulation frame-relay ietf''
  363. (instead of ``encapsulation frame-relay'') on your serial interface
  364. that's running frame relay if your frame relay network contains a
  365. diverse set of manufacturers' routers. The keyword ``ietf'' specifies
  366. that your cisco will use RFC1294-compliant encapsulation, rather than
  367. the default, RFC1490-compliant encapsulation (other products, notably
  368. Novell MPR 2.11, use a practice sanctioned by 1294 but deemed verbotten
  369. by 1490, namely padding of the nlpid).  If only a few routers in your
  370. frame relay cloud require this, then you can use the default
  371. encapsulation on everything and specify the exceptions with the
  372. frame-relay map command:
  373.  
  374.         frame-relay map ip 10.1.2.3 56 broadcast ietf
  375.                                                  ^^^^
  376.  
  377. (ietf stands for Internet Engineering Task Force, the body which
  378. evaluates Standards-track RFCs; this keyword is a misnomer as both
  379. RFC1294 and RFC1490 are ietf-approved, however 1490 is most recent and
  380. is a Draft Standard (DS), whereas 1294 is a Proposed Standard (one step
  381. beneath a DS), and is effectively obsolete).
  382.  
  383. ------------------------------
  384.  
  385. From: Question 9
  386. Date: 26 July 1994
  387. Subject: How can I use debugging?
  388.  
  389.  
  390. The ``terminal monitor'' command directs your cisco to send debugging
  391. output to the current session. It's necessary to turn this on each time
  392. you telnet to your router to view debugging information. After that,
  393. you must specify the specific types of debugging you wish to turn on;
  394. please note that these stay on or off until changed, or until the
  395. router reboots, so remember to turn them off when you're done.
  396.  
  397. Debugging messages are also logged to a host if you have trap logging
  398. enabled on your cisco. You can check this like so:
  399.  
  400.  
  401.         sl-panix-1>sh logging
  402.         Syslog logging: enabled (0 messages dropped, 0 flushes, 0 overruns)
  403.             Console logging: level debugging, 66 messages logged
  404.             Monitor logging: level debugging, 0 messages logged
  405.             Trap logging: level debugging, 69 message lines logged
  406.                 Logging to 198.7.0.2, 69 message lines logged
  407.         sl-panix-1>
  408.  
  409. If you have syslog going to a host somewhere and you then set about a
  410. nice long debug session from a term your box is doing double work and
  411. sending every debug message to your syslog server. Additionally, if you
  412. turn on something that provides copious debugging output, be careful
  413. that you don't overflow your disk (``debug ip-rip'' is notorious for
  414. this).
  415.  
  416. One solution to this is to only log severity ``info'' and higher:
  417.  
  418.         sl-panix-1#conf t
  419.         Enter configuration commands, one per line.  End with CNTL/Z.
  420.         logging trap info
  421.  
  422. The other solution is to just be careful and remember to turn off
  423. debugging. This is easy enough with:
  424.  
  425.         sl-panix-1#undebug all
  426.  
  427. If you have a heavily loaded box, you should be aware that debugging
  428. can load your router.  The console has a higher priority than a vty so
  429. don't debug from the console; instead, disable console logging:
  430.  
  431.         cix-west.cix.net#conf t
  432.         Enter configuration commands, one per line.  End with CNTL/Z.
  433.         no logging console
  434.  
  435. Then always debug from a vty.  If the box is busy and you are a little
  436. too vigorous with debugging and the box is starting to sink, quickly
  437. run, don't walk to your console and kill the session on the vty.  If
  438. you are on the console your debugging has top prioority and then the
  439. only way out is the power switch.  This of course makes remote
  440. debugging a real sweaty palms adventure especially on a crowded box.
  441. Caveat debugger!
  442.  
  443. Also, if you for some reason forget what the available debug commands
  444. are and don't have a manual handy, remember that's what on-line help
  445. is for. Under pre 9.21 versions, ``debug ?'' lists all commands. Under
  446. 9.21 and above, that gives you general categories, and you can check
  447. for more specific options by specifying the category: ``debug ip ?''.
  448.  
  449. As a warning, the ``logging buffered'' feature causes all debug
  450. streams to be redirected to an in-memory buffer, so be careful using
  451. that.
  452.  
  453. Lastly, if you're not sure what debugging criteria you need, you can
  454. try ``debug all''. BE CAREFUL!  It is way useful, but only in a very
  455. controlled environment, where you can turn off absolutely everything
  456. you're not interested in.  Saves a lot of thinking.  Turning it on on
  457. a busy box can quickly cause meltdown.
  458.  
  459. ------------------------------
  460.  
  461. From: Question 10
  462. Date: 5 July 1994
  463. Subject: How can I use NTP (Network Time Protocol) with my cisco?
  464.  
  465. >What level of software is required for NTP support in
  466. >a cisco router?
  467.  
  468. 9.21 or above.
  469.  
  470. >Which cisco routers support NTP?
  471.  
  472. It is a software feature exclusively. Anything that supports
  473. 9.21 or 10 will run NTP (when running that s/w).
  474.  
  475. >How do I set it up?
  476.  
  477. The basic hook is:
  478.         ntp server <host> [version n]
  479. or
  480.         ntp peer <host> [version n]
  481.  
  482. depending on whether you want a client/server or peer relationship.
  483. There's a bunch of other stuff available for MD5 authentication,
  484. broadcast, access control, etc.  You can also use the
  485. context-sensitive help feature to puzzle it out; try ``ntp ?'' in
  486. config mode.
  487.  
  488. You'll also want to play with the SHOW NTP * router commands.  Here
  489. are two examples.
  490.  
  491. EXAMPLE 1:
  492.  
  493. router# show ntp assoc
  494.  
  495.       address         ref clock     st  when  poll reach  delay  offset    disp
  496. +~128.9.2.129      .WWVB.            1   109   512  377    97.8   -2.69    26.7
  497. *~132.249.16.1     .GOES.            1   309   512  357    55.4   -1.34    27.5
  498.  * master (synced), # master (unsynced), + selected, - candidate, ~ configured
  499.  
  500. EXAMPLE 2:
  501.  
  502. router#show ntp stat
  503. Clock is synchronized, stratum 2, reference is 132.249.16.1
  504. nominal freq is 250.0000 Hz, actual freq is 249.9981 Hz, precision is 2**19
  505. reference time is B1A8852D.B69201EE (12:36:13.713 PDT Tue Jun 14 1994)
  506. clock offset is -1.34 msec, root delay is 55.40 msec
  507. root dispersion is 41.29 msec, peer dispersion is 28.96 msec
  508.  
  509. For particular cisco NTP questions, feel free to ask in comp.dcom.sys.cisco.
  510.  
  511. For broader NTP info, see ftp://louie.udel.edu:pub/ntp/doc.  The file
  512. clock.txt in that directory has info about various public NTP servers.
  513. There is also information on radio time receivers that can be
  514. connected to an NTP server (this is handy on private networks, if you
  515. have an entire campus to get chiming, or if you become a hard core
  516. chimer).
  517.  
  518. The ``ntp clock-period'' command is added automagically to jump-start
  519. the NTP frequency compensation when the box is rebooted.  This is
  520. essentially a representation of the frequency of the crystal used as
  521. the local timebase, and may take several days to calculate otherwise.
  522. (Do a ``write mem'' after a week or so to save a good value.)
  523.  
  524. Caveat of obsolecence: Note that the CS-500 will not be able to
  525. achieve quite the same level of accuracy as other platforms, since its
  526. hardware clock resolution is roughly 242Hz instead of the 1MHz
  527. available on other platforms.  In practice this shouldn't matter for
  528. anyone other than true time geeks.
  529.  
  530. ----------------------------------------------------------------------
  531.  
  532. From: Question 11
  533. Date: 5 July 1994
  534. Subject: Sample cisco NTP Configurations
  535.  
  536. You will need to substitute your own NTP peers, timezones, and GMT
  537. offsets into the examples below, of course.  Example 1 is in US Central
  538. Time Zone, while example 3 is in US Pacific Time Zone.  Both account
  539. for normal US Daylight Savings Time practices.
  540.  
  541. EXAMPLE 1 (Charley Kline):
  542. ...
  543. clock timezone CST -6
  544. clock summer-time CDT recurring
  545. ntp source eth 0
  546. ntp peer <host1>
  547. ntp peer <host2>
  548. ntp peer <host3>
  549. ...
  550.  
  551.  
  552. EXAMPLE 2 (Tony Li):
  553. ...
  554. ntp source Ethernet0/0
  555. ntp update-calendar
  556. ntp peer <host1> 
  557. ntp peer <host2> prefer
  558. ...
  559.  
  560.  
  561. EXAMPLE 3 (Dave Katz):
  562. ...
  563. service timestamps debug datetime localtime
  564. service timestamps log datetime localtime
  565. clock timezone PST -8
  566. clock summer-time PDT recurring
  567. interface Ethernet0
  568. ip address <mumble>
  569. ntp broadcast
  570. ntp clock-period 17180319
  571. ntp source Ethernet0
  572. ntp server <host1>
  573. ntp server <host2>
  574. ntp server <host3>
  575.  
  576. COMMENTS ON EXAMPLE 3: 
  577.         The config file is commented with date and time (and user id,
  578. if TACACS is enabled) when the system thinks the clock is accurate.
  579. I've enabled timestamping of debug and syslog messages.  I send NTP
  580. broadcast packets out onto the local ethernet.  I'm in Pacific
  581. Standard Time, with U.S. standard daylight saving time rules.  I use
  582. the IP address of the ethernet as the source for all NTP packets.
  583.  
  584.  
  585. ------------------------------
  586.  
  587. From: Question 12
  588. Date: 5 July 1994
  589. Subject: How do I avoid the annoying DNS lookup if I have misspelled a command?
  590.  
  591. By default, all lines are configured to automatically try a telnet
  592. connection if the first word in a input line is not recognized as a
  593. valid command.  You can disable this by setting ``transport preferred
  594. none'' on every line (con, aux and vty). For instance:
  595.  
  596.  
  597.         sl-panix-1#conf t
  598.         Enter configuration commands, one per line.  End with CNTL/Z.
  599.         line vty 0 10
  600.         transport preferred none
  601.  
  602.  
  603. You can see the number of vty's currently configuered with ``show lines''
  604.  
  605. Also, you can suspend connect attempts with ^^ followed by ``x'', ie
  606. shift-cntrl-6 x.
  607.  
  608. [It has been suggested that ``no ip ipname-lookup'' to turn off IEN116
  609. helps. I think this is the default -jhawk ]
  610.  
  611. ------------------------------
  612.  
  613. From: Question 13
  614. Date: 31 Oct 1994
  615. Subject: Tracing bad routing information
  616.  
  617. or: How do I find out which non-cisco systems on my networks generate IP-RIP
  618.    information without letting them mess up my routing tables.
  619.  
  620. Here you could work with a default administrative distance.
  621. Administrative distance is the basis upon which the cisco prefers
  622. routing information of one protocol over another. In this example:
  623.  
  624.         router rip
  625.         network 192.125.254.0
  626.         distance 255
  627.         distance 120 192.125.254.17     ! list all valid RIP suppliers
  628.         [...]
  629.  
  630. the value 255 has the implicit meaning of not putting this information
  631. into the routing table. Therefore, setting an administrative distance
  632. of 255 means that all RIP suppliers are by default accepted but their
  633. information is not put into the routing table. The administrative
  634. distance for the router 192.125.244.17 has been reset to the default
  635. (for RIP) of 120, causing its routes to be accepted into the routing table.
  636.  
  637. Then you can look them up with ``show ip protocols'' and restore the
  638. original administrative distance for the ones you want to fill in the
  639. routing table.
  640.  
  641. The same results can be acheived with an ip access-list, but with
  642. that, ``show ip protocols'' will only show the valid ones. But often
  643. it is more useful to see which systems were generating routing
  644. information at all.
  645.  
  646. This trick works for other routing protocols as well, but please select
  647. the proper adminstrative distance (rather than 120) for the protocol
  648. you're using.
  649.  
  650. ------------------------------
  651.  
  652. From: Question 14
  653. Date: 5 July 1994
  654. Subject: How to use access lists
  655.  
  656. [The following is wholesale included; at some point it'll
  657. probably be editted a bit and reformatted... -jhawk ]
  658.  
  659.                     Frequently Asked Questions
  660.                     contributed by Howard C. Berkowitz
  661.                     PSC International
  662.                     hcb@world.std.com
  663.                        @clark.net   [probably will be my permanent 
  664.                                      personal account]
  665.                     PSC's domain is in mid-setup
  666.  
  667. Where in the router are access lists applied?
  668.  
  669.     
  670.     In general, Basic access lists are executed as filters on
  671. outgoing interfaces.  Newer releases of the cisco code, such as
  672. 9.21 and 10, do have increased ability to filter on incoming ports.
  673. Certain special cases, such as broadcasts and bridged traffic,
  674. can be filtered on incoming interfaces in earlier releases.
  675. There are also special cases involving console access.
  676.  
  677. Rules, written as ACCESS-LIST statements, are global for the entire
  678. cisco box; they are activated on individual outgoing interfaces by
  679. ACCESS-GROUP subcommands of the INTERFACE major command.
  680.     Filters are applied after traffic has entered on an incoming
  681. interface and gone through a routing process; traffic that originates in
  682. a router (e.g., telnets from the console port) is not subject to
  683. filtering.
  684.  
  685.              +-------------------+
  686.              |     GLOBAL        |
  687.              |                   |
  688.              | Routing           |
  689.              | ^  v       Access |
  690.              | ^  v       Lists  |
  691.              +-^--v--------^---v-+
  692.              | ^  v        ^   v |
  693.              | ^  v        ^   v |
  694. A----------->|-|  |>>>>Access  >>----------->B
  695.              |1        Group   2 |
  696. <------------|                   |<-----------
  697.              |                   |
  698.              |                   |
  699.              +-------------------+
  700.  
  701.     Some types of ``filter,'' using ``filter'' as a broader class than
  702. ACCESS-LIST, can operate on incoming traffic.  For example, the INPUT-
  703. SAP-FILTER used for Novell networks is applied to Service Advertisement
  704. Packets (SAP) seen at incoming interfaces.  In general, incoming
  705. filtering can only be done for ``system'' rather than user traffic.
  706.  
  707. Rules of thumb in defining access lists.
  708.  
  709.     First, define what you want to do and in which directions.  An
  710. informal drawing is a good first step.  As opposed to the usual
  711. connectivity drawings among routers, it's often convenient to draw
  712. unidirectional links between routers.
  713.     Second, informally write out your filtering rules.  In general, it
  714. is best to go from most specific to least specific. Modify the order of
  715. writing things to minimize the number of rules needed.
  716.     Third, determine which rules need to be on which routers.
  717. Explicitly consider the direction of flow, and the possible existence of
  718. additional paths that could inadvertently bypass a filter.
  719.  
  720. Can a cisco router be a ``true'' firewall?
  721.  
  722.     This depends on the definition of firewall.  Some writers (e.g.,
  723. Gene Spafford in _Practical UNIX Security_) define a firewall as a
  724. host on which an ``inside'' and/or an ``outside'' application process run,
  725. with application-level code linking the two.  For example, a firewall
  726. might provide FTP access to the outside world, but it would not also
  727. provide direct FTP service to the inside world.  To place a file on
  728. the FTP external server, a designated user would explicitly log onto
  729. the FTP server, transfer a file to the server, and log off.  The
  730. firewall prevents direct FTP connectivity between the inside and
  731. outside networks; only indirect, application-level connectivity is
  732. allowed.
  733.    Firewalls of this sort are complemented by chokes, which filter on
  734. network addresses and/or port numbers.  Cisco routers cannot do
  735. application-level control with access control lists.
  736.    Other authors do not distinguish between chokes and filters.  Using
  737. the loose definition that a firewall is anything that selectively blocks
  738. access from the inside to the outside, routers can be firewalls.
  739.  
  740.  
  741. IP Specific
  742. -----------
  743.  
  744. Can the ``operand'' field be used with a protocol keyword of IP to filter
  745. on protocol ID?
  746.  
  747.     No.  Operand filtering only works for TCP and UDP port numbers.
  748.  
  749. How can I prevent traffic for a certain Internet application to flow in
  750. one direction but not the other?
  751.  
  752.     Remember that Internet applications flow from client port to server
  753. port.  Denying traffic from port 23, for example, blocks flow from the
  754. client to the server.
  755.  
  756.              +-------------------+
  757.              |                   |
  758. A----------->|                   |----------->B
  759.              |1                 2|
  760. <------------|                   |<-----------
  761.              |                   |
  762.              +-------------------+
  763.  
  764.     If we deny traffic to Port 23 of address B by placing a filter at
  765. interface 2, we have blocked A's ability to telnet to B, but not B's
  766. ability to telnet to A.  A second filter at interface A would be needed
  767. to block telnet in both directions.
  768.     Assume that we only have the filter at interface 2.  Telnets to A
  769. from B will not be affected because the filter at 2 does not check
  770. incoming traffic.
  771. -------
  772.  
  773. With the arrival of in-bound access lists in 9.21, it should be noted
  774. that both inbound and access lists are about equally efficient, in
  775. case any of you were wondering.
  776.  
  777.  
  778. It's worth remembering that there are some kinds of problems
  779. that packet-filtering firewalls are not best suited for. There's
  780. reasonably good information in:
  781.  
  782.     "Network (in)security through packet filtering"
  783.     ftp://ftp.greatcircle.com/pub/firewalls/pkt_filtering.ps.Z
  784.  
  785.  
  786. ------------------------------
  787.  
  788. From: Question 15
  789. Date: 26 July 1994
  790. Subject: The cisco boot process
  791.  
  792. What really happens when a cisco router boots, from boot start to live
  793. interfaces?
  794.  
  795. First it boots the ROM os version.  It reads the config.  Now, it
  796. realizes that you want to netboot.  It loads the netbooted copy in on
  797. top of itself.  It then re-initializes the box and re-reads the
  798. config.  Manly, yes, but we like it too....
  799.  
  800. [[ Ummm... in particular it loads the netbooted copy in as WELL as
  801. itself, decompresses it, if necessary, and THEN loads on top of
  802. itself.  Note that this is important because it tells you what the
  803. memory requirements are for netbooting: RAM for ROM image (if it's a
  804. run from RAM image), plus dynamic data structures, plus RAM for
  805. netbooted image. ]]
  806.  
  807. The four ways to boot and what happens (sort of):
  808.  
  809.            I (from bootstrap mode)
  810.  
  811. The ROM monitor is running.  The I command causes the ROM monitor to
  812. walk all of the hardware in the bus and reset it with a brute force
  813. hammer.  If the bits in the config register say to auto-boot, then
  814. goto B
  815.  
  816.            B (from bootstrap mode)
  817.  
  818. Load the OS from ROM.  If a name is given, tell that image to start
  819. silently and then load a new image.  If the boot system command is
  820. given, then start silently and load a new image.
  821.  
  822.            powercycle
  823.  
  824. Does some delay stuff to let the power settle.  Goto I.
  825.  
  826.            reload (from the EXEC)
  827. Goto I.
  828.  
  829.  
  830. ------------------------------
  831.  
  832. From: Question 16
  833. Date: 18 July 1994
  834. Subject: Where can I get cisco hardware?
  835.  
  836. Try calling 800-553-NETS and asking for your local sales office.
  837. That's probably the best plan.
  838.  
  839. ------------------------------
  840.  
  841. From: Question 17
  842. Date: 18 April 1995
  843. Subject: Where can I get IETF documents (RFCs, STDs, etc.)?
  844.  
  845.                    Where and how to get new RFCs
  846.                    =============================
  847.  
  848. RFCs may be obtained via EMAIL or FTP from many RFC Repositories.  The
  849. Primary Repositories will have the RFC available when it is first
  850. announced, as will many Secondary Repositories.  Some Secondary
  851. Repositories may take a few days to make available the most recent
  852. RFCs.
  853.  
  854. Primary Repositories:
  855.  
  856.  
  857. RFCs can be obtained via FTP from DS.INTERNIC.NET, NIS.NSF.NET,
  858. NISC.JVNC.NET, FTP.ISI.EDU, WUARCHIVE.WUSTL.EDU, SRC.DOC.IC.AC.UK,
  859. FTP.CONCERT.NET, or FTP.SESQUI.NET.
  860.  
  861. ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
  862.  
  863. Secondary Repositories:
  864.  
  865.  
  866.  
  867. Sweden
  868. ------
  869.         Host:           sunic.sunet.se
  870.         Directory:      rfc
  871.  
  872.         Host:           chalmers.se
  873.         Directory:      rfc
  874.  
  875.  
  876. Germany
  877. -------
  878.         Site:           EUnet Germany
  879.         Host:           ftp.Germany.EU.net
  880.         Directory:      pub/documents/rfc
  881.  
  882.  
  883. France
  884. ------
  885.         Site:           Institut National de la Recherche en Informatique
  886.                         et Automatique (INRIA)
  887.         Address:        info-server@inria.fr
  888.         Notes:          RFCs are available via email to the above
  889.                         address.  Info Server manager is Mireille 
  890.                         Yamajako (yamajako@inria.fr).
  891.  
  892.  
  893. Netherlands
  894. -----------
  895.         Site:           EUnet
  896.         Host:           mcsun.eu.net
  897.         Directory:      rfc
  898.         Notes:          RFCs in compressed format.
  899.  
  900.  
  901. France
  902. ------
  903.         Site:           Centre d'Informatique Scientifique et Medicale
  904.                         (CISM)
  905.         Contact:        ftpmaint@univ-lyon1.fr
  906.         Host:           ftp.univ-lyon1.fr
  907.         Directories:    pub/rfc/*       Classified by hundreds
  908.                         pub/mirrors/rfc Mirror of Internic
  909.         Notes:          Files compressed with gzip. Online
  910.                         decompression done by the FTP server.
  911.                         
  912.  
  913. Finland
  914. -------
  915.         Site:           FUNET
  916.         Host:           funet.fi
  917.         Directory:      rfc
  918.         Notes:          RFCs in compressed format.  Also provides 
  919.                         email access by sending mail to
  920.                         archive-server@funet.fi.
  921.  
  922.  
  923. Norway
  924. ------
  925.         Host:           ugle.unit.no
  926.         Directory:      pub/rfc
  927.  
  928.  
  929. Denmark
  930. -------
  931.         Site:           University of Copenhagen
  932.         Host:           ftp.denet.dk
  933.         Directory:      rfc
  934.  
  935.  
  936. Australia and Pacific Rim
  937. -------------------------
  938.  
  939.         Site:           munnari
  940.         Contact:        Robert Elz <kre@cs.mu.OZ.AU>
  941.         Host:           munnari.oz.au
  942.         Directory:      rfc
  943.                         rfc's in compressed format rfcNNNN.Z
  944.                         postscript rfc's rfcNNNN.ps.Z
  945.  
  946.  
  947. United States
  948. -------------
  949.  
  950.         Site:           cerfnet
  951.         Contact:        help@cerf.net
  952.         Host:           nic.cerf.net
  953.         Directory:      netinfo/rfc
  954.  
  955.         Site:           NASA NAIC
  956.         Contact:        rfc-updates@naic.nasa.gov
  957.         Host:           naic.nasa.gov
  958.         Directory:      files/rfc
  959.  
  960.         Site:           NIC.DDN.MIL (DOD users only)
  961.         Contact:        NIC@nic.ddn.mil
  962.         Host:           NIC.DDN.MIL
  963.         Directory:      rfc/rfcnnnn.txt
  964.         Note:           DOD users only may obtain RFC's via FTP 
  965.                         from NIC.DDN.MIL.  Internet users should NOT
  966.                         use this source due to inadequate connectivity.
  967.           
  968.         Site:           uunet
  969.         Contact:        James Revell <revell@uunet.uu.net>
  970.         Host:           ftp.uu.net
  971.         Directory:      inet/rfc
  972.  
  973.  
  974. UUNET Archive
  975. -------------
  976.  
  977.      UUNET archive, which includes the RFC's, various IETF documents,
  978.      and other information regarding the internet, is available to the
  979.      public via anonymous ftp (to ftp.uu.net) and anonymous uucp, and
  980.      will be available via an anonymous kermit server soon.  Get the
  981.      file /archive/inet/ls-lR.Z for a listing of these documents.
  982.  
  983.      Any site in the US running UUCP may call +1 900 GOT SRCS and use
  984.      the login "uucp".  There is no password.  The phone company will
  985.      bill you at $0.50 per minute for the call.  The 900 number only
  986.      works from within the US.
  987.  
  988. ------------------------------
  989.  
  990. From: Question 18
  991. Date: 22 April 1996
  992. Subject: Future features in cisco software
  993.  
  994. [This could be more fleshed out (still!)]
  995.  
  996. Kerberos and RADIUS in 11.1
  997. RIP version 2 in 11.1 (allows VSM, etc.)
  998. Policy-based routing (routing based on source address or interface, or just
  999. about anything else you want) in 11.0 *released*
  1000. PPP Multilink in 11.0(3) *released*
  1001. Frame Relay payload compression in 11.0(4) *released*
  1002. IPX Per-Host load balancing in 11.1
  1003.  
  1004. ------------------------------
  1005.  
  1006. From: Question 19
  1007. Date: 27 July 1994
  1008. Subject: How do cisco routers rate performance-wise?
  1009.  
  1010. People often ask about performance of the cisco routers and are shyed
  1011. away from answering their questions because we don't know where to send
  1012. them.
  1013.  
  1014. Scott Bradner keeps the results of his performance tests on the
  1015. Internet.  You can find them for ftp on the system hsdndev.harvard.edu
  1016. in the /pub/ndtl.  There is a README file in that directory that
  1017. explains what is available.  In addition, cisco has just started
  1018. publishing a piece of literature called ``The Harvard Benchmark Test
  1019. Results: Summary of cisco Systems Performance''.  The only number I
  1020. can find on the doc is Lit. #700901.  Don't know if you can order it
  1021. by this number, but at least there's a title to go on.
  1022.  
  1023. ------------------------------
  1024.  
  1025. From: Question 20
  1026. Date: 22 April 1996
  1027. Subject: How are packets switched?
  1028.  
  1029. There are 3 basic types of switching (in order of increasing performance).
  1030.  
  1031.         process switching
  1032.         fast switching
  1033.         autonomous switching
  1034.  
  1035. Process and fast switching support inbound and outbound, simple and
  1036. extended, access lists. Of course, for fast switching, such lists only
  1037. restrict traffic on the particular fast-switched interface.
  1038.  
  1039. Autonomous switching is done in the switch processor, a microcoded device that
  1040. is capable of switching IP, IPX, and bridging packets in the 100kpps range.
  1041. This is known as the "SP" card on the 7000 and the CBUS controller on the AGS+.
  1042. Encapsulation support is rather limited (Ethernet, HDLC, HSSI...).
  1043.  
  1044. The cisco 7000 also supports:
  1045.  
  1046.         silicon switching
  1047.  
  1048. Silicon switching is done in the silicon switching engine (creative, eh? ;-).
  1049.  
  1050. The silicon switch processor (SSP) is the board which combines both the
  1051. switch processor and a silicon switching engine.
  1052.  
  1053. The SSP supports simple and extended outbound access lists in 10.3 and later.
  1054. The SSP supports simple and extended inbound access lists in 11.1 and later.
  1055.  
  1056. The cisco 75xx series supports:
  1057.  
  1058.     "optimal" switching (cruddy name, eh?)
  1059.     "flow" switching
  1060.     "distributed" switching
  1061.  
  1062. * "optimal" switching (cruddy name, eh?)
  1063.  
  1064. The 7500 platform does not have a separate SP or SSP card, rather the RISC
  1065. processor on the "integrated route/switch processor card (IRSP)" handles
  1066. switching directly, similar to the 4000 series routers.  There are several
  1067. hardware and software enhancements made though to increase the throughput to
  1068. a level that is several times above what you would normally get from "fast"
  1069. switching.  Everything that "fast" switching supports is supported in
  1070. "optimal" switching.
  1071.  
  1072. * "flow" switching
  1073.  
  1074. Basicly the "optimal" switching method, however things have been front-ended
  1075. with an additional small "flow" cache.  This flow cache contains information
  1076. about source/destination addresses & ports which allow the router to make more
  1077. informed queueing decisions and process access lists faster.  This is a win in
  1078. routers that would tend to carry a reasonably small number of flows at any one
  1079. time, such as what you would expect in a corporate network or in a smaller
  1080. internet service provider network.  It's unclear if there are any advantages
  1081. in a large internet backbone.
  1082.  
  1083. * "distributed" switching
  1084.  
  1085. cisco has announced a new type of interface-processor card, called a "VIP"
  1086. available in the 7500 platform that is intelligent enough to switch packets
  1087. with no intervention on the part of the IRSP card.  This once again separates
  1088. switching from routing, as in the earlier CBUS/SP/SSP design.
  1089.  
  1090.  
  1091. The first packet of every session or connection is always Process Switched.
  1092. The route table is consulted (this resides in DRAM on the CPU) and the
  1093. "result" is cached in the system memory cache. If the protocol can only be
  1094. process switched, then it will continue this way and interrupt the CPU for a
  1095. route table lookup each time. [comment: Process Switching is brutally slow
  1096. compared to other switching methods. Some features (usually new features do
  1097. this for the first few software releases) force every packet to be process
  1098. switched. If you can't avoid process-switching every packet, at least get a
  1099. router with a fast CPU, such as the 75xx, 4500, and 4700. The 4700 is
  1100. currently the fastest at process-switching packets, with the 4500 and 75xx
  1101. tied for second. The 75xx can optimum-switch, however, so it's a lot faster
  1102. than either of the 4x00s, if you can use it).
  1103.  
  1104. The second and subsequent packets of each session are capable of being Fast
  1105. Switched (more session types are becoming fast-switchable), and will consult
  1106. only the route-cache. This still involves a memory lookup on the board, but
  1107. the packet can be transferred from the source card directly to the
  1108. destination card without requiring full storage on the CSC [the CSC refers
  1109. to the CPU card, basically].
  1110.  
  1111.  
  1112.  
  1113. There are some undocumented commands that are useful for obtaining
  1114. per-interface statistics on what sort of switching was performed.
  1115.  
  1116. For instance:
  1117.  
  1118. frobozz-magic-robot>sh int atm4/0 switch
  1119. ATM4/0    
  1120.          Throttle count:          0
  1121.      Protocol       Path    Pkts In   Chars In   Pkts Out  Chars Out
  1122.            IP    Process     104851    7669968     116378   11180988
  1123.             Cache misses      35826
  1124.                     Fast          0          0          0          0
  1125.                Auton/SSE          0          0          0          0
  1126. frobozz-magic-robot>sh int atm4/0 stat
  1127. ATM4/0
  1128.           Switching path    Pkts In   Chars In   Pkts Out  Chars Out
  1129.                Processor     105024    7679155     116422   11184108
  1130.          Route cache/FIB          0          0          0          0
  1131.        Distributed cache          0          0          0          0
  1132.                    Total     105024    7679155     116422   11184108
  1133.  
  1134. ------------------------------
  1135.  
  1136. From: Question 21
  1137. Date: 31 October 1994
  1138. Subject: How does one interpret buffer statistics?
  1139.  
  1140. Buffer statistics may be obtained with:
  1141.  
  1142.         mit2-gw.near.net>sh buffers
  1143.         Buffer elements:
  1144.              433 in free list (500 max allowed)
  1145.              82320311 hits, 0 misses, 0 created
  1146.         Small buffers, 104 bytes (total 202, permanent 120):
  1147.              185 in free list (20 min, 250 max allowed)
  1148.              34289219 hits, 4297 misses, 1307 trims, 1389 created
  1149.         Middle buffers, 600 bytes (total 104, permanent 90):
  1150.              102 in free list (10 min, 200 max allowed)
  1151.              6829533 hits, 1432 misses, 483 trims, 497 created
  1152.         Big buffers, 1524 bytes (total 90, permanent 90):
  1153.              90 in free list (5 min, 300 max allowed)
  1154.              3403884 hits, 56 misses, 1 trims, 1 created
  1155.         Large buffers, 5024 bytes (total 5, permanent 5):
  1156.              5 in free list (0 min, 30 max allowed)
  1157.              49984 hits, 13 misses, 20 trims, 20 created
  1158.         Huge buffers, 18024 bytes (total 0, permanent 0):
  1159.              0 in free list (0 min, 4 max allowed)
  1160.              0 hits, 0 misses, 0 trims, 0 created
  1161.         
  1162.         5683 failures (0 no memory)
  1163.  
  1164. You can interpret them:
  1165.  
  1166. Total   Number of buffers of that size that exist. 
  1167.  
  1168. Free    Number of free buffers.
  1169.  
  1170. Max     Maximum size that the free list can grow to before we start
  1171.         throwing them away.
  1172.  
  1173. Hit     Buffer got used.
  1174.  
  1175. Miss    Someone requested a buffer and we had to go carve it up out of
  1176.         free memory.  If we couldn't because we were at interrupt
  1177.         level, it's also an allocation failure.  If we couldn't
  1178.         because we were out of memory, then it's also a ``no memory''
  1179.         failure.
  1180.  
  1181. Trim    There are more free buffers on the free list than there need
  1182.         to be and we threw some away.
  1183.  
  1184. Create  Number of buffers we created after a miss.
  1185.  
  1186. ------------------------------
  1187.  
  1188. From: Question 22
  1189. Date: 22 April 1996
  1190. Subject: How should I restrict access to my router?
  1191.  
  1192. Many admins are concerned about unauthorized access to their routers
  1193. from malicious people on the Internet; one way to prevent this
  1194. is to restrict access to your router on the basis of IP address.
  1195.  
  1196. Many people do this, however it should be noted that a significant number
  1197. of network service providers allow unrestricted access to their routers
  1198. to allow others to debug, examine routes, etc. If you're comfortable doing
  1199. this, so much the better, and we thank you!
  1200.  
  1201. If you wish to restrict access to your router, select a free IP access
  1202. list (numbered from 1-100) -- enter ``sh access-list'' to see those
  1203. numbers in use.
  1204.  
  1205.         yourrouter#sh access-list
  1206.         Standard IP access list 5
  1207.             permit 192.94.207.0, wildcard bits 0.0.0.255
  1208.  
  1209. Next, enter the IP addresses you wish to allow access to your router
  1210. from; remember that access lists contain an implicit "deny everything"
  1211. at the end, so there is no need to include that. In this case, 30
  1212. is free:
  1213.  
  1214.         yourrouter#conf t
  1215.         Enter configuration commands, one per line.  End with CNTL/Z.
  1216.         yourrouter(config)#access-list 30 permit 172.30.0.0 0.0.255.255
  1217.         yourrouter(config)#^Z
  1218.  
  1219. (This permits all IP addreses in the network 172.30.0.0, i.e. 172.30.*.*).
  1220. Enter multiple lines for multiple addresses; be sure that you don't
  1221. restrict the address you may be telnetting to the router from.
  1222.  
  1223. Next, examine the output of ``sh line'' for all the vty's (Virtual ttys)
  1224. that you wish to apply the access list to. In this example, I want
  1225. lines 2 through 12:
  1226.  
  1227.         yourrouter#sh line
  1228.          Tty Typ    Tx/Rx    A Modem  Roty AccO AccI  Uses    Noise   Overruns
  1229.            0 CTY             -    -      -    -    -     0        0        0/0
  1230.            1 AUX  9600/9600  -    -      -    -    -     1  3287605        1/0
  1231.         *  2 VTY  9600/9600  -    -      -    -    7    55        0        0/0
  1232.            3 VTY  9600/9600  -    -      -    -    7     4        0        0/0
  1233.            4 VTY  9600/9600  -    -      -    -    7     0        0        0/0
  1234.            5 VTY  9600/9600  -    -      -    -    7     0        0        0/0
  1235.            6 VTY  9600/9600  -    -      -    -    7     0        0        0/0
  1236.            7 VTY  9600/9600  -    -      -    -    7     0        0        0/0
  1237.            8 VTY  9600/9600  -    -      -    -    7     0        0        0/0
  1238.            9 VTY  9600/9600  -    -      -    -    7     0        0        0/0
  1239.           10 VTY  9600/9600  -    -      -    -    7     0        0        0/0
  1240.           11 VTY  9600/9600  -    -      -    -    -     0        0        0/0
  1241.           12 VTY  9600/9600  -    -      -    -    -     0        0        0/0
  1242.  
  1243.  
  1244. Apply the access list to the relevant lines:
  1245.  
  1246.         yourrouter#conf t
  1247.         Enter configuration commands, one per line.  End with CNTL/Z.
  1248.         yourrouter(config)#line 2 12
  1249.         yourrouter(config-line)# access-class 30 in
  1250.         yourrouter(config-line)# ^Z
  1251.  
  1252. (This apply access list 30 to lines 2 through 12. It's important to
  1253. restrict access to the aux port (line 1) if you have a device (such
  1254. as a CSU/DSU) plugged into it.a) 
  1255.  
  1256. Be sure to save your configuration with ``write mem''.
  1257.  
  1258. Please note that access lists for incoming telnet connections do NOT
  1259. cause your router to perform significant CPU work, unlike access lists
  1260. on interfaces.
  1261.  
  1262. ------------------------------
  1263.  
  1264. From: Question 23
  1265. Date: 1 November 1994
  1266. Subject: What can I do about source routing?
  1267.  
  1268. What *is* source routing?
  1269.  
  1270. Soure routing is an IP option which allows the originator of a packet
  1271. to specify what path that packet will take, and what path return packets
  1272. sent back to the originator will take. Source routing is useful when the
  1273. default route that a connection will take fails or is suboptimal for some
  1274. reason, or for network diagnostic purposes. For more information on
  1275. source routing, see RFC791.
  1276.  
  1277. Unfortunately, source routing is often abused by malicious users on
  1278. the Internet (and elsewhere), and used to make a machine (A), think
  1279. it is talking to a different machine (B), when it is really talking to
  1280. a third machine (C). This means that C has control over B's ip address
  1281. for some purposes.
  1282.  
  1283. The proper way to fix this is to configure machine A to ignore
  1284. source-routed packets where appropriate. This can be done for most
  1285. unix variants by installing a package such as Wietse Venema,
  1286. <wietse@wzv.win.tue.nl>,'s tcp_wrapper:
  1287.  
  1288.         ftp://cert.org:pub/tools/tcp_wrappers
  1289.  
  1290. For some operating systems, a kernel patch is required to make this
  1291. work correctly (notably SunOS 4.1.3). Also, there is an unofficial
  1292. kernel patch available for SunOS 4.1.3 which turns all source routing
  1293. off; I'm not sure where this is available, but I believe it was posted
  1294. to the firewalls list by Brad Powell soimetime in mid-1994.
  1295.  
  1296. If disabling source routing on all your clients is not posssible, a
  1297. last resort is to disable it at your router. This will make you unable
  1298. to use ``traceroute -g'' or ``telnet @hostname1:hostname2'', both
  1299. of which use LSRR (Loose Source Record Route, 2 IP options, the first
  1300. of which is a type of source routing), but may be necessary for some.
  1301. If so, you can do this with
  1302.  
  1303.         foo-e-0#conf t
  1304.         Enter configuration commands, one per line.  End with CNTL/Z.
  1305.         foo-e-0(config)#no ip source-route
  1306.         foo-e-0(config)#^Z
  1307.  
  1308. It is somewhat unfortunate that you cannot be selective about this; it
  1309. disables all forwarding of source-routed packets through the router,
  1310. for all interfaces, as well as source-routed packets to the router
  1311. (the last is unfortunate for the purposes of ``traceroute -g'').
  1312.  
  1313. ------------------------------
  1314.  
  1315. From: Question 24
  1316. Date: 22 April 1996
  1317. Subject: Is there a block of private IP addresses I can use?
  1318.  
  1319. Yes there is, however whether you wish to do so is an issue of
  1320. some debate.
  1321.  
  1322. You could consult:
  1323.  
  1324. 1627 Network 10 Considered Harmful (Some Practices Shouldn't be
  1325.      Codified). E. Lear, E. Fair, D. Crocker & T. Kessler. June 1994.
  1326.      (Format: TXT=18823 bytes)
  1327.  
  1328. 1918 Address Allocation for Private Internets. Y. Rekhter, B.
  1329.      Moskowitz, D. Karrenberg, G. J. de Groot & E. Lear. February 1996.
  1330.      (Format: TXT=22270 bytes) (Obsoletes RFC1627, RFC1597) (Also BCP0005)
  1331.  
  1332. In any event, RFC 1918 documents the allocation of the following
  1333. addresses for use by ``private internets'':
  1334.  
  1335.         10.0.0.0        -   10.255.255.255
  1336.         172.16.0.0      -   172.31.255.255
  1337.         192.168.0.0     -   192.168.255.255
  1338.  
  1339. Most importantly, it is vital that nothing using these addresses
  1340. should ever connect to the global Internet, or have plans to do so.
  1341. Please read the above RFCs before considering implementing such
  1342. a policy.
  1343.  
  1344. As an additional note, some Internet providers provide network-management
  1345. services, statistics gathering, etc. It is unlikely (if at all possible)
  1346. that they would be willing to perform those services if you choose to
  1347. utilize private address space.
  1348.  
  1349.  
  1350. With the increasing popularity and reliability of address translation
  1351. gateways, this practice is becoming more widely accepted. Cisco has acquired
  1352. Network Translation, who manufacture such a product. It is now available as
  1353. the Cisco Private Internet Exchange. With it, you can use any addressing you
  1354. want on your private internet, and the gateway will insure that the invalid
  1355. addresses are converted before making out onto the global Internet. It also
  1356. makes a good firewall. Information on this product is available at
  1357. http://www.cisco.com/warp/public/751/pix/index.html
  1358.  
  1359. ------------------------------
  1360.  
  1361. From: Question 25
  1362. Date: 18 April 1995
  1363. Subject: Is DHCP supported?
  1364.  
  1365. DHCP, the Dynamic Host Configuration Protocol (RFC1533), is essentially
  1366. a more extended and flexible version of BOOTP, which allows configuration
  1367. parameters and other control information to be carried to hosts.
  1368.  
  1369. Forwarding of DHCP packets (to a DHCP server elsewhere in the network) is
  1370. supported in 9.21(4) and 10.0(3), as well as later releases.
  1371.  
  1372. ------------------------------
  1373.  
  1374. From: Question 26
  1375. Date: 18 April 1995
  1376. Subject: Where can I get cisco documentation?
  1377.  
  1378. Cisco no longer distributes printed documentation with their routers;
  1379. instead, they distribute a CDROM.
  1380.  
  1381. Paper documentation may be purchased, however if you purchase a
  1382. support contract, documentation is free.
  1383.  
  1384. Cisco documentation is also available on the web -- if you have
  1385. a fast Internet conneciton this may be more useful
  1386. than the CD. Try:
  1387.  
  1388.     http://www.cisco.com/univercd/data/doc/product.htm
  1389.  
  1390. ------------------------------
  1391.  
  1392. From: Question 27
  1393. Date: 18 April 1995
  1394. Subject: What's the latest software for the CSC/3?
  1395.  
  1396. The last supported release on the CSC/3 is 9.1(15). cisco
  1397. does not plan to release further software for the CSC/3.
  1398.  
  1399. ------------------------------
  1400.  
  1401. From: Question 28
  1402. Date: 19 May 1995
  1403. Subject: What IP routing protocol should I use?
  1404.  
  1405. This is a really complicated question, and a full answer
  1406. is beyond the scope of this document. Here are the beginnings
  1407. of an answer.
  1408.  
  1409. Note that Hello is no longer shipped with cisco routers, and that EGP has been
  1410. declared Historical (and thus obsolete) by the IETF. Don't use them.
  1411.  
  1412.  
  1413. Protocol        RIP     HELLO  IGRP   OSPF    EIGRP  IS-IS  EGP     BGP4
  1414. --------------------------------------------------------------------------
  1415. Type            IGP     IGP    IGP    IGP     IGP    IGP    EGP     EGP
  1416. Algorithm       DV      DV     DV     SPF     DUAL   SPF    DV      PV
  1417. Metrics         Hopcnt  Delay  Speed  Arb.    Speed  Arb.   Policy  Policy
  1418. Convergence     Slow    Unstb  Mdt    Fast    Fast   Fast   Slow    Fast
  1419. Standard?       IETF    No     No     IETF    No     ISO    Hist.   IETF
  1420. Complexity      Simple  Simple Simple Complx  Complx Complx Simple  Complx
  1421. Multipath?      Yes     Yes    Yes    Yes     Yes    Yes    Yes     [*]
  1422. Var-netmask?    No      No     No     Yes     Yes    Yes    No      YES
  1423.  
  1424. Notes
  1425. -----
  1426.  
  1427. IGP = interior gateway protocol, used to build routing tables within an AS.
  1428. EGP = exterior gateway protocol, used to communicate reachability
  1429. information between AS's.
  1430.  
  1431.  
  1432. Algorithms
  1433. ----------
  1434. DUAL = DV with diffusing update algorithm (Garcia-Luna-Aceves et al)
  1435. DV   = Distance Vector (Bellman-Ford)
  1436. PV   = "Path Vector"
  1437. SPF   = Shortest-path-first (Dijkstra)
  1438.  
  1439. Metrics
  1440. -------
  1441.  
  1442. A metric is how the protocol measures the network to determine the
  1443. "best" path.
  1444.  
  1445. "Speed" refers typically to link speed, not available bandwidth.
  1446. "Arb." indicates that the metrics are arbitrary and configurable.
  1447.  
  1448. HELLO tried to use available bandwidth by monitoring round-trip delay,
  1449. but was not generally successful at this.
  1450.  
  1451. Metrics are not directly exchangable when redistributing routing
  1452. information from one protocol to another. IGRP and EIGRP use
  1453. compatible and automatically convertable metrics.
  1454.  
  1455. Convergence
  1456. -----------
  1457.  
  1458. Qualitatively, convergence measures how fast routers using this
  1459. protocol will adapt to changes in the topology of the network.
  1460.  
  1461. "Unstb" indicates a protocol which in general never decided on a
  1462. stable configuration but continually oscillated between alternatives.
  1463.  
  1464. Complexity
  1465. ----------
  1466.  
  1467. An observation of how complex the protocol is to implement.
  1468.  
  1469. Multipath
  1470. ---------
  1471.  
  1472. Multipath indicates whether the protocol support and transport
  1473. multiple equal- or different- cost pathways across between endpoints?
  1474.  
  1475. [*] indicates that BGP4 supports multipath for IBGP (Internal BGP, a
  1476. full mesh of all border routers within an AS), but not for EBGP
  1477. (External BGP).
  1478.  
  1479. Variable netmask (Var-netmask)
  1480. ------------------------------
  1481.  
  1482. Indicates whether the protocol allows for and transports different
  1483. masks for the subnets of a routed network.
  1484.  
  1485. ------------------------------
  1486.  
  1487. From: Question 29
  1488. Date: 18 April 1995
  1489. Subject: How do I interpret the output of ``show version''?
  1490.  
  1491. Typing ``show version'' or ``show hardware'' yields a response like:
  1492.  
  1493.         prospect-gw.near.net>sh version
  1494.         Cisco Internetwork Operating System Software 
  1495.         IOS (tm) GS Software (GS7), Experimental Version 10.2(11829) [pst 113]
  1496.  
  1497. System-type (imagename) Version major.minor(release.interim)[who] Desc
  1498.  
  1499. System-type:  type of system the software is designed to run on.
  1500. imagename:  The name of the image.  This is different (slightly) for
  1501.         run-from-rom, run-from-flash, and run-from-ram images, and also
  1502.         for subset images which both were and will be more common.
  1503. "Version": text changes slightly.  For example, if an engineer gives you
  1504.         a special version of software to try out a bug fix, this will say
  1505.         experimental version.
  1506. Major: Major version number.  Changes (in theory) when there have been
  1507.         major feature additions and  changes to the softare.
  1508. Minor: minor version number.  Smaller but still signficant feature added.
  1509.         (in reality, cisco is not very sure what the difference between
  1510.          "major" and "minor" is, and sometimes politics gets in the way,
  1511.         but either of these "incrementing" indicates feature additions.)
  1512.         EXCEPT: 9.14, 9.17, and 9.1 are all somewhat similar.  9.1 is
  1513.         the base, 9.14 adds specical feature for low end systems, 9.17
  1514.         added special features specific the high end (cisco-7000)  This
  1515.         was an experiment that we are trying not to repeat.
  1516. release: increments (1 2 3 4 ...) for each maintenance release of released
  1517.         software.  Increments for every compile in some other places.
  1518. interim: increments on every build of the "release tree", which happens
  1519.         weekly for each release, but is only made into a generically
  1520.         shipping maintenance release every 7 to 8 weeks or so.
  1521. [who]:  who built it.  Has "fc 1" or similar for released software.
  1522.         has something like [billw 101] for test software built Bill
  1523.         Westfield (billw@cisco.com).
  1524. Desc:   additional description.
  1525.  
  1526. The idea is that the image name and version number UNIQUELY identify
  1527. a set of sources and debugging information somewhere back at cisco,
  1528. should anything go wrong.
  1529.  
  1530.         Copyright (c) 1986-1995 by cisco Systems, Inc.
  1531.         Compiled Thu 09-Mar-95 23:54 by tli
  1532.         Image text-base: 0x00001000, data-base: 0x00463EB0
  1533.  
  1534. Copyright, compilation date (and by whom), as well as the
  1535. starting address of the image.
  1536.            
  1537.         ROM: System Bootstrap, Version 5.0(7), RELEASE SOFTWARE
  1538.         ROM: GS Software (GS7), Version 10.0(7), RELEASE SOFTWARE (fc1)
  1539.  
  1540. The version of ROM bootstrap software, and the version of IOS
  1541. in ROM.
  1542.            
  1543.         prospect-gw.near.net uptime is 2 weeks, 4 days, 18 hours, 38 minutes
  1544.         System restarted by reload
  1545.  
  1546. How long the router has been up, and why it restarted.
  1547.  
  1548.         System image file is "sse-current", booted via flash
  1549.  
  1550. How the router was booted.
  1551.            
  1552.         RP (68040) processor with 16384K bytes of memory.
  1553.  
  1554. Type of processor.
  1555.  
  1556.         G.703/E1 software, Version 1.0.
  1557.         X.25 software, Version 2.0, NET2, BFE and GOSIP compliant.
  1558.         Bridging software.
  1559.         ISDN software, Version 1.0.
  1560.  
  1561. Various software options compiled in.
  1562.  
  1563.         1 Silicon Switch Processor.
  1564.         2 EIP controllers (8 Ethernet).
  1565.         2 FSIP controllers (16 Serial).
  1566.         1 MIP controller (1 T1).
  1567.         8 Ethernet/IEEE 802.3 interfaces.
  1568.         16 Serial network interfaces.
  1569.         128K bytes of non-volatile configuration memory.
  1570.         4096K bytes of flash memory sized on embedded flash.
  1571.  
  1572. Hardware configuration.
  1573.            
  1574.         Configuration register is 0x102
  1575.  
  1576. Lastly, the "configuration register", which may be set via
  1577. software in current releases...
  1578.  
  1579. ------------------------------
  1580.  
  1581. From: Question 30
  1582. Date: 22 April 1996
  1583. Subject: What is the maximum number of Frame Relay PVCs?
  1584.  
  1585. This is covered fairly thoroughly in Product Info/Product
  1586. Bulletin/Frame Relay Broadcast Queue, Cisco Product Bulletin # 256,
  1587. available on CIO.
  1588.  
  1589. Via the web (requires CIO username and pasword)
  1590.         http://cio.cisco.com/warp/customer/417/38.html
  1591.  
  1592. An excerpt:
  1593.  
  1594. (Virtual Interfaces)
  1595.  
  1596.    It should be noted that in the IOS (Internetworking Operating System)
  1597.    10.0 software there is a limit of 256 Virtual and physical
  1598.    interfaces. Hence, if each DLCI is given its own virtual interface,
  1599.    the router is limited to 256 DLCIs. This restriction is expected to be
  1600.    removed in a future release.
  1601.    
  1602.    In most scenarios, it is not necessary that each DLCI have its own
  1603.    Virtual Interface. In particular, IP has the facility which allows
  1604.    disabling of split-horizon routing and hence does not require Virtual
  1605.    Interfaces to support partial mesh topologies.
  1606.    
  1607. (Appendix 1: How many DLCIs Can Cisco Support on an Interface?)
  1608.  
  1609.    This question is similar to the question of how many PCs can you put
  1610.    on an Ethernet. In general, you can put a lot more than you should
  1611.    given performance and availability constraints.
  1612.    
  1613.    When dimensioning a router in a large network, the following issues
  1614.    should be considered:
  1615.    
  1616.    DLCI Address Space: The only hard limits are the roughly 1000 DLCI
  1617.    limit due to the 10 bit DLCI address space in the Frame Relay frame
  1618.    header.
  1619.    
  1620.    LMI Status Update: The LMI protocol requires that all status reports
  1621.    fit into a single packet and generally limits the number of DLCIs to
  1622.    less than 800.
  1623.    
  1624.  
  1625.   Max DLCIs (approx) = (MTU -20)/5,
  1626.         where MTU is the MTU size in bytes on the Frame Relay link.
  1627.  
  1628.  
  1629.    Broadcast Replication: When sending, the router must replicate the
  1630.    packet on each DLCI and this causes congestion on the access link. The
  1631.    Broadcast Queue reduces this problem. In general, the network should
  1632.    designed to keep the routing update load to below 20 percent of the
  1633.    access lines speed. It is also important that memory requirements for
  1634.    the Broadcast Queue be considered. A good technique to reduce this
  1635.    restriction is the use of default route or extending the update
  1636.    timers.
  1637.    
  1638.    Broadcast Receipt: When receiving, the router must receive updates
  1639.    from the network. The issue here is that the upstream switch can be
  1640.    overloaded and drop packets. When routing updates are dropped, routing
  1641.    instability occurs. Again, the receiving routing update load should be
  1642.    kept to less than 20 percent of the access link speed and preferably
  1643.    lower. Where very high speed links are used, a limit of 128 Kbit/s
  1644.    worth of routing updates is recommended.
  1645.    
  1646.    Routing Stability: When using a link state protocol to reduce the
  1647.    update traffic, the dimensioning should be done assuming the periodic
  1648.    update process and the worst case for Link State Updates (i.e.,
  1649.    assuming link and power instability). Dimensioning should not be based
  1650.    on the Hello traffic. As a rule of thumb, dimension assuming a
  1651.    distance vector protocol, but assume that extra bandwidth is available
  1652.    for user data.
  1653.    
  1654.    User Data Traffic: Clearly, the number of DLCIs is dependent on the
  1655.    traffic on each DLCI and the performance requirements to be met. In
  1656.    general, Frame Relay accesses should be run at lower loads than
  1657.    router-to-router links since the prioritisation capabilities are not
  1658.    as strong in many cases and in general the marginal costs of
  1659.    increasing access link speed are lower than with dedicated lines.
  1660.    
  1661.    Many of the issues covered here are included in the Internet Design
  1662.    Guide manual that Cisco provides.
  1663.  
  1664. Update:
  1665.  
  1666. The limit of 256 PVCs goes away in IOS 11.1. I think the number is now
  1667. something like 1024 per router or some even more ludicrous number. There are
  1668. still lots of reasons you never want to do that. ;-)
  1669. The limit of 256 PVCs goes away in IOS 11.1. I think the number is now
  1670. something like 1024 per router or some even more ludicrous number. There are
  1671. still lots of reasons you never want to do that. ;-)
  1672.  
  1673.  
  1674. ------------------------------
  1675.  
  1676. From: Question 31
  1677. Date: 18 April 1995
  1678. Subject: How much memory is necessary to telnet to a cisco router?
  1679.  
  1680. In order to login to a cisco router, it needs to have at least 64k
  1681. of contiguous free memory.
  1682.  
  1683. ------------------------------
  1684.  
  1685. From: Question 32
  1686. Date: 18 April 1995
  1687. Subject: Where can I purchase flash RAM?
  1688.  
  1689. There are two varieties:
  1690.  
  1691.         MEM-1X8F                8meg
  1692.         MEM-2X8F                16meg
  1693.  
  1694. *******************************************************************************
  1695. *******************************     2500       ********************************
  1696. *******************************   8M Flash     ********************************
  1697. *******************************************************************************
  1698. PRODUCT#        QTY
  1699. --------        ---
  1700. MEM-1X8F         1
  1701. MEM-2X8F         2
  1702.  
  1703. Part Number: 16-0975-01      
  1704. Description: IC,FEPROM,  2Mx32,100ns,SIM80     SC: P  REV: A0 S/UM: EA P/UM: EA
  1705. -------------------------------------------------------------------------------
  1706.                                   VENDOR
  1707.        ITM MANUFACTURER'S PART     CODE         MANUFACTURER'S NAME
  1708.        --- -------------------- ---------- ------------------------------
  1709.    1-    1 SM732C2000B-10       KITTING01  SMART MODULE
  1710.  
  1711.  
  1712. Smart Modular is located in Freemont, California.
  1713.  
  1714.  
  1715. For small orders, Smart Modular recommends you contact:
  1716.  
  1717.     PC Complete
  1718.     800-849-4622.
  1719.  
  1720. They carry both    Flash RAM and DRAM.
  1721.  
  1722. ------------------------------
  1723.  
  1724. From: Question 32
  1725. Date: 19 May 1995
  1726. Subject: When are static routes redistributed?
  1727.  
  1728. In the simple case, any static route *in the routing table* is
  1729. redistributed if the ``redistribute static'' command is used, and some
  1730. filter (set with either ``route-map'' or ``distribute-list out'')
  1731. doesn't filter it out.
  1732.  
  1733. Whether the static route gets into routing table depends on:
  1734.  
  1735.     Whether the next hop address is reachable (if you use
  1736.     static route pointing to a next hop)
  1737. OR
  1738.     Whether the interface is up (if you use static route
  1739.     pointing to an interface). 
  1740.  
  1741. If one of these is true, an attempt is made to add the route to the
  1742. routing table; whether that succeeds depends on the administrative
  1743. distance of the route -- a lower administrative distance (the route
  1744. is "closer") than a preexisting route will cause the preexisting route
  1745. to be overwritten.
  1746.  
  1747. ------------------------------
  1748.  
  1749. From: Question 33
  1750. Date: 19 May 1995
  1751. Subject: When is the next hop of a route considered ``reachable''?
  1752.  
  1753. When a static route is added, or during an important event (eg:
  1754. interface up/down transition), the next hop for a route is looked up
  1755. from the routing table (i.e. recursive routing).
  1756.  
  1757. As a consequence, if a route which is depended upon for evaluation
  1758. of the next hop of a static route goes away, a mechanism is required
  1759. to remove that (now-invalid) static route.
  1760.  
  1761. Scanning all static routes each time the routing table changes is
  1762. too expensive, so instead, a period timer is used. One a minute, static
  1763. routes are added and removed from the routing table based on the routes
  1764. they depend upon.
  1765.  
  1766. It should be noted that a particular static route will be reevaluated
  1767. when its interface transitions up or down.
  1768.  
  1769. ------------------------------
  1770.  
  1771. From: Question 35
  1772. Date: 22 April 1996
  1773. Subject: How do name and phone number of ``dialer map'' interfere?
  1774.  
  1775. How do name and phone number of `dialer map' interfere?
  1776.  
  1777. We use the telephone number first actually.  If the
  1778. caller id matches the telephone number to call, then you don't need the
  1779. 'name' parameter with a phone number.
  1780.  
  1781. I realized that the above is ambiguous, so let's do this.  You have:
  1782.  
  1783.   dialer map ip x.x.x.x name <param1> <phone-num>
  1784.  
  1785. <param1> is used for incoming authentication.  It can be either the hostname,
  1786. for PAP and CHAP, or it can be a number as returned by caller id.  If this
  1787. is not there, and it is an imcoming call, and there is caller id, we will
  1788. compare against <phone-num> to see if that matches.
  1789.  
  1790. Not sure I've been clear here.
  1791.  
  1792. ------------------------------
  1793.  
  1794. From: Question 36
  1795. Date: 22 April 1996
  1796. Subject: What's the purpose of the network command?
  1797.  
  1798. >*  what is the real purpose of the network subcommand of
  1799. >   router commands?  When do I not want to include a network
  1800. >   I know about?
  1801.  
  1802. The real purpose of the 'network' sub-command of the router commands is to
  1803. indicate what networks that this router is connected to are to be
  1804. advertised in the indicated routing protocol or protocol domain. For
  1805. example, if OSPF and EIGRP are configured, some subnets may be advertised
  1806. in one and some in the other. The network command enables one to do this.
  1807.  
  1808. An example of such a case is a secure subnet. Imagine the case where a set
  1809. of subnets are permitted to communicate within a campus, but one of the
  1810. buildings is intended to be inaccessible from the outside. By placing the
  1811. secure subnet in its own network number and not advertising the number, the
  1812. subnet is enabled to communicate with other subnets on the same router, but
  1813. is unreachable from any other router, barring static routes. This can be
  1814. extended by using a different routing protocol or routing protocol domain
  1815. for the secure network; subnets on the various routers within the secure
  1816. domain are mutually reachable, and routes from the non-secure domain may be
  1817. leaked into the secure domain, but the secure domain is invisible to the
  1818. outside world.
  1819.  
  1820. ------------------------------
  1821.  
  1822. From: Question 37
  1823. Date: 22 April 1996
  1824. Subject: What is VLSM? 
  1825.  
  1826. A Variable Length Subnet Mask (VLSM) is a means of allocating IP addressing
  1827. resources to subnets according to their individual need rather than some
  1828. general network-wide rule. Of the IP routing protocols supported by Cisco,
  1829. OSPF, Dual IS-IS, BGP-4, and EIGRP support "classless" or VLSM routes.
  1830.  
  1831. Historically, EGP depended on the IP address class definitions, and
  1832. actually exchanged network numbers (8, 16, or 24 bit fields) rather than IP
  1833. addresses (32 bit numbers); RIP and IGRP exchanged network and subnet
  1834. numbers in 32 bit fields, the distinction between network number, subnet
  1835. number, and host number being a matter of convention and not exchanged in
  1836. the routing protocols. More recent protocols (see VLSM) carry either a
  1837. prefix length (number of contiguous bits in the address) or subnet mask
  1838. with each address, indicating what portion of the 32 bit field is the
  1839. address being routed on.
  1840.  
  1841. A simple example of a network using variable length subnet masks is found
  1842. in Cisco engineering. There are several switches in the engineering
  1843. buildings, configured with FDDI and Ethernet interfaces and numbered in
  1844. order to support 62 hosts on each switched subnet; in actuality, perhaps
  1845. 15-30 hosts (printers, workstations, disk servers) are physically attached
  1846. to each. However, many engineers also have ISDN or Frame Relay links to
  1847. home, and a small subnet there. These home offices typically have a router
  1848. or two and an X terminal or workstation; they may have a PC or Macintosh as
  1849. well. As such, they are usually configured to support 6 hosts, and a few
  1850. are configured for 14. The point to point links are generally unnumbered.
  1851.  
  1852. Using "one size fits all" addressing schemes, such as are found in RIP or
  1853. IGRP, the home offices would have to be configured to support 62 hosts
  1854. each; using numbers on the point to point links would further compound the
  1855. address bloat.
  1856.  
  1857. One configures the router for Variable Length Subnet Masking by configuring
  1858. the router to use a protocol (such as OSPF or EIGRP) that supports this,
  1859. and configuring the subnet masks of the various interfaces in the 'ip
  1860. address' interface sub-command. To use supernets, one must further
  1861. configure the use of 'ip classless' routes.
  1862.  
  1863. ------------------------------
  1864.  
  1865. From: Question 38
  1866. Date: 22 April 1996
  1867. Subject: What are some methods for conserving IP addresses for serial lines?
  1868.  
  1869. VLSM and unnumbered point to point interfaces are the obvious ways.
  1870.  
  1871. The 'ip unnumbered' subcommand indicates another interface or sub-interface
  1872. whose address is used as the IP source address on messages that the router
  1873. originates on the unnumbered interface, such as telnet or routing messages.
  1874. By doing this, the router is reachable for management purposes (via the
  1875. address of the one numbered interface) but consumes no IP addresses at all
  1876. for its unnumbered links.
  1877.  
  1878. When a serial ip interface connects several sites, as an SMDS link might,
  1879. then the use of an appropriate subnet mask (and a routing protocol that can
  1880. make good use of the information) will minimize address consumption.
  1881.  
  1882. ------------------------------
  1883.  
  1884. From: Question 39
  1885. Date: 23 April 1996
  1886. Subject: Why do some ip addresses get rejected?
  1887.  
  1888. How come my cisco router doesn't accept an address like:
  1889.         "ip address 192.111.107.1 255.255.255.240"
  1890. or      "ip address 171.69.0.1 255.255.0.0"
  1891.  
  1892. When "subnetting" of IP networks was first sanctioned by the IETF, the first
  1893. and last subnets (the all zeros subnet and all ones subnet) were reserved for
  1894. rather obscure uses and because of the confusion that would be caused with
  1895. routing protocols that don't carry net mask information.  It was technically
  1896. illegal to place hosts or routers on those two subnets.
  1897.  
  1898. Several hosts and most other vendor's router products have problems operating
  1899. with the reserved subnets,  so their use is discouraged.  However, in 1995,
  1900. the IETF removed the restrictions on the use of these reserved subnets as part
  1901. of the classless routing effort.
  1902.  
  1903. If you would like to use the reserved subnets, simply add the line
  1904. "ip subnet-zero" to your cisco configuration.
  1905.  
  1906. You might consider adding "ip subnet-zero" to all your configurations as a
  1907. metter of course, to avoid being bitten by this in the future.
  1908.  
  1909. ------------------------------
  1910.  
  1911. From: Question 40
  1912. Date: 27 April 1996
  1913. Subject: How do 4xxx serial numbers correspond to models?
  1914.  
  1915.               show version      serial #        Label
  1916. -------------------------------------------------------
  1917. 4000            Rev A0          440xxxxx        C4000
  1918. 4000M           Rev B0          445xxxxx        C4000
  1919. 4500                            450xxxxx        C4500
  1920. 4500M                           455xxxxx        C4500
  1921. 4700                            470xxxxx        C4700
  1922.  
  1923. ------------------------------
  1924.  
  1925. From: Question 41
  1926. Date: 28 April 1996
  1927. Subject: Where can I find more info on TACACS+
  1928.  
  1929. In addition to sundry cisco documentation and ftp-able
  1930. info, there exists a TACACS+ mailing list.
  1931.  
  1932. For more information, see http://www.disaster.com/tacplus/.
  1933.  
  1934. ------------------------------
  1935.  
  1936. From: Question 99
  1937. Date: 19 May 1995
  1938. Subject: Acknowledgements.
  1939.  
  1940. The following people contributed to this FAQ, and their contributions
  1941. are greatly appreciated, both questions and answers (in alpha order):
  1942.  
  1943.         Arpakorn Boonkongchuen <aboonkon@cisco.com>
  1944.         Robert Kiessling <Robert.Kiessling@rrze.uni-erlangen.de>
  1945.         "Ronnie B. Kon" <ronnie@cisco.com>
  1946.         Alain Martineau <amartineau@MacMartineau.ccr.hydro.qc.ca>
  1947.         Barton.Bruce@camb.com (Barton F. Bruce / CCA)
  1948.         Bill Miskovetz <misko@cisco.com>
  1949.         Charley Kline <cvk@uiuc.edu>
  1950.         Dave Katz <dkatz@cisco.com>
  1951.         Eriks Rugelis <eriks@YorkU.CA>
  1952.         Howard C. Berkowitz, PSC International, <hcb@world.std.com>
  1953.         Jim Forster <forster@cisco.com>
  1954.         John Wright
  1955.         Pete Siemsen <siemsen@skat.usc.edu>
  1956.         Phillip Remaker <remaker@cisco.com>
  1957.         Ran Atkinson <atkinson@itd.nrl.navy.mil>
  1958.         Robert Kiessling <Robert.Kiessling@rrze.uni-erlangen.de>
  1959.         Sanjay Rungta~ <srungta@sedona.intel.com>
  1960.         Sean McGrath <SEAN@oak.his.ucsf.EDU>
  1961.         Srinivas Vegesna <svegesna@cisco.com>
  1962.         Steve Cunningham <steve@vf.ge.com>
  1963.         Warren Lavallee <warren@zion.ltw.org>
  1964.         William "Chops" Westfield <billw@cisco.com>
  1965.         atkinson@sundance.itd.nrl.navy.mil (Ran Atkinson)
  1966.         bpinsky@cisco.com (Bruce Pinsky)
  1967.         buk@taz.de ($ Burkhard Kohl)
  1968.         fred@cisco.com (Fred Baker)
  1969.         jerry@ksu.ksu.edu (Jerry Anderson)
  1970.         jhawk@panix.com (John Hawkinson)
  1971.         john@cisco.com (John Wright)
  1972.         john@gulfa.ods.gulfnet.kw (John Temples)
  1973.         paul@hawksbill.sprintmrn.com (Paul Ferguson)
  1974.         peter@ulisse.rhein-main.de (Peter Radig)
  1975.         tli@cisco.com (Tony Li)
  1976.         tom@park.uvsc.edu (Thomas R. Kimpton)
  1977.         vikas@Tudor.Com (Vikas Aggarwal)
  1978.         warner@cats.ucsc.edu (Jim Warner)
  1979.  
  1980.