Como sabemos o vManage é a interface de gerência da solução SD-WAN da Cisco. Ele é um appliance virtual que pode estar on primese, ou na cloud Cisco, e é importante fazermos o backup das configurações para usar caso seja necessário fazer uma recuperação desta máquina. Quando o vManage está “em casa”, você pode fazer o backup da máquina virtual, mas quando está na nuvem Cisco esta não é uma opção. Nesse caso o backup deve ser feito localmente e depois o arquivo gerado deve ser copiado. Fazendo o backup do vManage 1) Acesse a interface gráfica do vManage e vá em Tools > SSH Terminal. Acesse a CLI e gere o backup localmente com o comando request nms configuration-db backup path /opt/data/backup/NOME_DO_ARQUIVO. 2) Copie o arquivo gerado para sua máquina. Para isso use o PSCP, e de seu computador aponte o IP do vManage e o nome do arquivo. C:\Users\brainwork\Downloads>pscp -scp admin@53.72.50.100:/opt/data/backup/db_backup_20_11_23.tar.gz C:\Temp admin@52.71.50.109’s password: db_backup_20_11_23.tar.gz | 49371 kB | 1265.9 kB/s | ETA: 00:00:00 | 100% C:\Users\brainwork\Downloads> Para saber o IP do vManage, acesse um de seus roteadores e use o comando show sdwan control connections. Até a próxima.
Zerar switch para LAN Automation
No post anterior falamos do LAN Automation, e como adicionar um novo switch à rede sem precisar dar nenhum comando no equipamento. Isso funciona para equipamentos que nunca foram utilizados. Já no caso de equipamentos que estavam em uso e serão adicionados à Fabric, precisamos zerá-los antes de fazer o LAN Automation. Neste processo “zerar” significa apagar a config, apagar os certificados e também apagar configurações relacionadas ao plug and play, para que ele volte ao estado inicial. Zerando um switch para usar no LAN Automation 1) Acesse o equipamento via console e no modo de configuração execute os comandos: no pnp profile pnp-zero-touch no crypto pki certificate pool (yes) crypto key zeroize (yes) end 2) No modo privilegiado, delete os seguintes arquivos: delete /force nvram:*.cer delete /force stby-nvram:*.cer (if a stack) delete /force flash:pnp-reset-config.cfg write erase reload (save = no) IMPORTANTE: Se o equipamento já estiver no inventário e/ou no PnP/Unclaimed Devices do DNAC, é necessário deletá-lo antes de iniciar o LAN Automation. Mais detalhes sobre o LAN Automation nos links abaixo: Cisco DNA Center SD-Access LAN Automation Deployment Guide LAN Automation: Step-by-step deployment guide and Troubleshooting LAN Automation Tips and Tricks for Digital Network Architecture (DNA) Center Até a próxima.
DNAC LAN Automation – Novo switch na Fabric SDA
O DNA Center é a aposta da Cisco para a automação, monitoramento e insights na LAN. A cada nova versão melhorias estão sendo feitas e novas funcionalidades estão sendo adicionadas. Uma das funções disponíveis é o LAN Automation, que nos permite criar e configurar via DNAC toda a LAN (underlay e overlay), de forma automatizada. Este recurso, além de agilizar o processo de configuração, também garante a padronização, mantendo a consistência das configurações aplicadas. Também usamos o LAN Automation para adicionar um novo switch em uma rede SDA já existente, sem precisarmos dar um único comando na CLI do equipamento. Os principais componentes do LAN Automation são: DNAC: Software com interface gráfica onde fazemos toda a parametrização da rede. Seed Device: Equipamento já em uso e responsável por fornecer IP e conectividade para o novo switch. Normalmente é o Fabric Border, e o novo switch é conectado diretamente nele, mas podemos outras topologias. PnP Agent: O agente Plug and Play é um serviço que roda por padrão nos switches Cisco assim que ele é ligado. Este serviço permite que um novo switch receba IP (VLAN1) e encontre o PnP Server, desde que o processo não seja interrompido. Importante não “dar enter” na console do switch, pois isso interrompe o processo PnP. Durante o provisionamento do novo switch temos 3 fases, sendo as primeiras realizadas direto no LAN Automation. Fase 1: Ao iniciar o LAN Automation o DNAC configura um pool DHCP no Seed Device e ativa a Interface VLAN1. A interface de uplink (layer 2) é configurada na VLAN1 e o novo switch, usando PnP, recebe IP deste pool e é adicionado ao inventário no DNAC. O ISIS é configurado e o novo switch é atualizado de acordo com a Golden Image definida no DNAC. Fase 2: Quando clicamos em STOP no LAN Automation o DNAC reconfigurada a interface de uplink, transformando-a em um layer 3, com uma rede /30, e o DHCP server é removido do Seed Device. Neste momento o underlay está pronto. Fase 3: O último passo é adicionar o novo switch a Fabric (overlay), onde o DNAC aplica as configurações nas portas de acesso (dot1x, por exemplo) e configura as VNs. Neste post estamos considerando que a rede já está em uso, tendo sido toda provisionada pelo DNA Center, e por isso toda a parte de preparação e design já foi feita. Agora estamos apenas adicionando um novo switch “zero touch”. As telas/menus podem mudar um pouco de acordo com a versão do DNAC, mas o processo é o mesmo. Neste exemplo usamos a versão 1.3.3.5. Adicionando um novo Switch na Fabric SDA 1) Vá em Provision > Devices (Focus Inventory) > Actions > Provision > LAN Automation. 2) Informe o Site, o Seed Device e a Interface onde o novo switch será conectado (normalmente usamos duas interfaces, uma em cada Border). Também informe onde estará o novo equipamento, o Pool reservado para o plug and play, e a senha do ISIS. Opcionalmente pode informar um prefixo para o nome do switch. 3) Pressione Start. O Lan Automation deverá iniciar (Status In Progress). 4) Ligue o novo switch com apenas o cabo uplink conectado. Em teoria você pode ligar o switch antes e deixar as interfaces de acesso conectadas, mas por experiência digo que é melhor conectar apenas o uplink, e ligar o switch na energia após iniciar o LAN Automation. Fazendo nessa ordem o processo tende a ser mais rápido. O processo só vai funcionar se o switch ligar e parar na tela “ — System Configuration Dialog —“. NÃO PRESSIONE ENTER, nem digite “yes/no”. O novo switch também NÃO PODE estar no inventário/PnP do DNAC. Se por qualquer motivo o serial deste novo switch estiver lá (o switch foi utilizado anteriormente, por exemplo), é necessário remover antes de iniciar o LAN Automation. Não é necessário estar com a console no novo switch (aliás essa é a ideia do LAN Automation – PnP Zero Touch), mas deixar o cabo conectado nos permite acompanhar o processo e logo perceber se algo sair errado. 5) De volta ao DNAC podemos ver os status do LAN Automation. Você pode fechar e voltar para esta tela, e navegar entre as opções Summary, Logs e Devices. O processo pode demorar um pouco, então tenha paciência. 6) Quando o processo terminar (20-30 minutos) veremos que o novo switch foi descoberto (Discovered Devices 1, Completed 1) e adicionado ao inventário 7) Confirme que o novo switch está listado no inventário e com o status Managed. Também pode olhar na topologia e ver se já está aparecendo (em cinza). 8) Volte para a tela do LAN Automation e clique em Stop. O Status ficará STOP in Progress. Aguarde, não deve demorar mais do que 3-5 minutos. 9) Neste ponto o switch já está gerenciado pelo DNAC, então vamos provisioná-lo. Em Provision > Devices (Focus Inventory), selecione o novo switch e então clique em Actions > Provision > Provision Device. Depois em Next > Next > Next. Na sequencia selecione Now e clique em Apply. O Provision é rápido (acredito que 1-2 minutos). Deve aparecer a mensagem “Success” no rodapé. 10) Por fim, vamos adicionar o novo switch a Fabric. Vá em Provision > Fabric > Selecione sua Fabric > Clique no novo switch (estará cinza). Selecione a opção Edge Node e Add. Pronto. O novo switch foi adicionado a Fabric sem termos dado nenhum comando na CLI. Mais informações e detalhes sobre o processo, pré requisitos e outros, nestes links: – Cisco DNA Center SD-Access LAN Automation Deployment Guide – LAN Automation: Step-by-step deployment guide and Troubleshooting Até a próxima.
Blog CCNA libera curso no Youtube
O Marco Filippetti, do Blog CCNA e CloudCampus, resolveu liberar o curso para o CCNA gratuitamente no Youtube. Para quem não conhece, o Marco foi um pioneiro ao lançar conteúdo sobre redes e certificações Cisco em português. Ele criou o famoso Blog CCNA, lançou livros e também criou treinamentos onlines com preços mais acessíveis do que os que existiam até então. E agora esta disponibilizando o curso no canal dele no Youtube. Até o momento temos 7 aulas disponíveis, e as próximas serão liberadas em breve. Com certeza um ótimo ponto de partida para quem está começando na área ou se preparando para o CCNA. Até a próxima.
Recuperar senha no IOS-XE SD-WAN
Os roteadores Cisco com software IOS-XE SD-WAN (a partir da versão 16.10.3) vem com o usuário admin e a senha admin pré configurados. Porém este usuário pode ser utilizado apenas uma vez. Assim que você loga no equipamento a primeira vez ele remove o usuário padrão, e você precisa criar um novo, com nova senha. Se você fechar a sessão sem ter criado o novo usuário, você não conseguirá voltar a acessar o equipamento e precisará fazer o procedimento para recuperação de senha. Restabelecendo o usuário padrão 1) Desligue o roteador. 2) Ligue o roteador e interrompa o processo de boot (CTRL+BREAK ou CTRL+C) para acessar a rommon. Initializing Hardware …Checking for PCIe device presence…doneSystem integrity status: 0x610Rom image verified correctlySystem Bootstrap, Version 16.7(5r), RELEASE SOFTWARECopyright (c) 1994-2019 by cisco Systems, Inc.Current image running: Boot ROM1Last reset cause: PowerOnISR4451-X/K9 platform with 8388608 Kbytes of main memory…..rommon 1 > 3) Mude o registro para 0xA102 e reinicie o roteador (pressione i). rommon 1 > confreg 0xA102You must reset or power cycle for new config to take effectrommon 2 > i 4) Logue com o usuário e senha padrão (admin/admin) e volte o registro para 0x2102. Router#config-transaction Router(config)# config-register 0x2102Router(config)# endUncommitted changes found, commit them? [yes/no/CANCEL] yesCommit complete.Router# 6) Reset a configuração (este comando vai apagar toda configuração existente e reiniciar o roteador). Router#request platform software sdwan software reset 7) Quando o roteador voltar, logue com o usuário default e crie um novo usuário/senha. O novo usuário pode ser admin ou qualquer outro. Router#config-transactionRouter(config)# username admin privilege 15 secret Brainwork!1Router(config)# username sdwan privilege 15 secret Brainwork!2Router(config)# commitCommit complete.Router# Todos os detalhes do procedimento aqui. Até a próxima.
Cisco Smart Licensing nos Catalysts 9K
A Cisco vem migrando as licenças para o modelo Smart Licensing, onde basicamente as licenças ficam no CSSM – Cisco Smart Software Manager, e os equipamentos são registrados nele. Este modelo tem a vantagem de fornecer uma interface web para a administração de todas as licenças que a empresa possui e também de não amarrar as licenças aos hardwares. Por exemplo, se você adquire uma licença para um switch e esse switch precisa ser substituido, basta registrar o novo equipamento que ele passará a consumir a licença existente. Ainda não são todos os equipamentos que suportam este modelo de licenciamento, mas aos poucos tudo será migrado para o Smart Licensing. Configurando Smart Licensing nos switches Catalysts 9k Os switches Catalyst das séries 9200, 9300, 9400, 9500 e 9600, usam IOS-XE e suportam o Smart Licensing a partir da versão Fuji 16.9.1. Assim, ao adquirir switches destas famílias, estes seriam os passos para configurar o Smart Licensing. Neste exemplo estamos considerando o registro do switch direto (1) no portal de licenças (CSSM), mas quando necessário é possível passar pelo proxy ou ter um servidor local para que os equipamentos não falem direto com a Internet. 1) Verificar/adicionar as licenças ao CSSM (software.cisco.com > Smart Licensing > Inventory > Licenses). Normalmente a Cisco adiciona as licenças automaticamente quando a compra é realizada. Se suas licenças não estão aparecendo no portal fale com seu fornecedor. Na figura abaixo podemos ver que temos licenças disponíveis para switches 9200L de 24 portas. Os de 48 já foram registrados. 2) Crie um token (software.cisco.com > Smart Licensing > Inventory > General > New Token). Atente-se para a validade e quantidade de vezes que o token poderá ser utilizado. 3) Libere no firewall/proxy o acesso do switch para a Internet, ou ao menos para a URL tools.cisco.com. 4) No switch configure DNS Server, Domain Name, NTP e rota. Configure para usar o método Call Home , e opcionalmente a interface de origem (necessário quando o switch tem mais de uma interface L3). BrainSW01#conf t BrainSW01(config)#ip name-server 10.123.45.20 BrainSW01(config)#ip domain name brainwork.local BrainSW01(config)#ntp server 10.123.45.21 prefer BrainSW01(config)#ip default-gateway 10.123.45.254 BrainSW01(config)#license smart transport callhome BrainSW01(config)#ip domain lookup source-interface Vlan10 BrainSW01(config)#ip http client source-interface Vlan10 5) O Call Home já vem configurado com o profile CistoTAC-1 (normalmente pode pular este passo), mas seguem os comandos para referência. BrainSW01#conf t BrainSW01(config)#call-home BrainSW01(cfg-call-home)#no http secure server-identity-check BrainSW01(cfg-call-home)#contact-email-addr sch-smart-licensing@cisco.com BrainSW01(cfg-call-home)#profile “CiscoTAC-1” BrainSW01(cfg-call-home-profile)#active BrainSW01(cfg-call-home-profile)#destination transport-method http BrainSW01(cfg-call-home-profile)#no destination transport-method email BrainSW01(cfg-call-home-profile)#exit BrainSW01(cfg-call-home)#exit BrainSW01(config)#service call-home 6) Especifique qual licença o switch deverá usar (pode ser necessário reiniciar o switch) e insira o token. BrainSW01#conf t BrainSW01(config)#license boot level network-essentials BrainSW01(config)#exit BrainSW01#license smart register idtoken $Xl4TytrNXBzbEs1ck8veUtWaG5abnZJOFdDa1FwbVRa%0AblRMbz0%3D%0B 7) Para verificar o status use o comando show license summary. Antes de registrar BrainSW01#show license status Smart Licensing is ENABLED Utility: Status: DISABLED Data Privacy: Sending Hostname: yes Callhome hostname privacy: DISABLED Smart Licensing hostname privacy: DISABLED Version privacy: DISABLED Transport: Type: Callhome Registration: Status: UNREGISTERED – REGISTRATION PENDING Export-Controlled Functionality: NOT ALLOWED Initial Registration: First Attempt Pending License Authorization: Status: EVAL MODE Evaluation Period Remaining: 84 days, 8 hours, 4 minutes, 33 seconds Export Authorization Key: Features Authorized: <none> Depois de registar: BrainSW01#show license status Smart Licensing is ENABLED Utility: Status: DISABLED Data Privacy: Sending Hostname: yes Callhome hostname privacy: DISABLED Smart Licensing hostname privacy: DISABLED Version privacy: DISABLED Transport: Type: Callhome Registration: Status: REGISTERED Smart Account: BRAINWORK Virtual Account: DEFAULT Export-Controlled Functionality: ALLOWED Initial Registration: SUCCEEDED on Jan 14 15:26:53 2020 BRL Last Renewal Attempt: None Next Renewal Attempt: Jul 12 15:26:53 2020 BRL Registration Expires: Jan 13 15:21:41 2021 BRL License Authorization: Status: AUTHORIZED on Jan 20 17:53:04 2020 BRL Last Communication Attempt: SUCCEEDED on Jan 20 17:53:04 2020 BRL Next Communication Attempt: Feb 19 17:53:04 2020 BRL Communication Deadline: Apr 19 17:48:03 2020 BRL Export Authorization Key: Features Authorized: <none> Este procedimento foi feito em um 9200L (em janeiro… demorei pouco pra fazer o post rsrsrsrs) mas é o mesmo processo para os demais modelos. Mais informações: Smart Licensing Guia de Configuração 9200 Equipamentos que suportam Smart Licensing Até a próxima.
