Estou devendo um post com o overview do SD-WAN, falando sobre cada componente, e devo fazer, mas por enquanto seguimos com os posts “práticos”. O processo de update dos elementos de controle (vManage, vBond e vSmart) é simples, feito via interface gráfica, mas devemos nos atentar para a ordem das atualizações. vManage vBonds Metade dos vSmarts (aguarde pelo menos 24 horas para garantir que os vEdges e o overlay estão estáveis) Demais vSmarts Atualize 10% dos vEdges (se tiver mais de um roteador no site, atualize apenas um) e aguarde pelo menos 24h para garantir que tudo está funcionando como esperado Demais roteadores Este procedimento foi feito usando a estrutura na nuvem (Cisco Hosted), mas acredito que seja igual quando os componentes estão instalados localmente (on-premises). Atualizando vManage, vBond e vSmart (Cisco Hosted) 1) Baixe os arquivos (softwares do vManage, vBond e vSmart) do site da Cisco. Downloads Home > Routers > Software-Defined WAN (SD-WAN) > SD-WAN > SD-WAN Software Update > versão desejada. 2) Acesse o vManage e vá em Software Images > Virtual Images > Add New Software > vManage e faça o upload dos novos softwares para o vManage. 3) Faça o backup das configs do vManage (CLI). vManage# request nms configuration-db backup path /opt/data/backup/db_backup_20_05_06 Starting backup of configuration-db config-db backup logs are available in /var/log/nms/neo4j-backup.log file Successfully saved database to /opt/data/backup/db_backup_20_05_06.tar.gz vManage# 4) Vá para Maintenance > Software Upgrade > vManage > Upgrade. 5) Selecione a versão e clique Upgrade. Na sequência você verá a tela de validação. 6) Volte para a tela de upgrade e clique na opção Set Default Version. Selecione o novo software e clique Set Default. 7) Novamente na tela de upgrade, clique em Activate, selecione a nova versão e clique Activate. O vManage vai reiniciar e será atualizado. Agora o vBond. 8) Vá para Maintenance > Software Upgrade > Controller, selecione um vBond e clique Upgrade, selecione a versão e clique Upgrade. 9) Volte para a tela de upgrade (Maintenance > Software Upgrade > Controller), selecione o vBond e clique na opção Set Default Version. Selecione o novo software e clique Set Default. 10) Novamente na tela de upgrade, selecione o vBond, clique em Activate, selecione a nova versão e clique Activate. O vBond vai reiniciar e será atualizado. Repita o processo para o outros vBonds e para os vSmart (mesmo procedimento). Opcionalmente podemos deletar softwares que não estão mais em uso. Para isso, na tela de upgrade, selecione o device (vManage, vBond ou vSmart) e clique em Delete Available Software. Escolha o software que não vai usar e clique em Delete. Mais informações aqui. Até a próxima.
Upgrade ISR4k IOS-XE SD-WAN
Os roteadores Cisco da família ISR4K podem rodar uma versão específica do IOS-XE, com suporte ao SD-WAN. E neste caso temos um procedimento diferente para a atualização do software. Se o roteador já estiver gerenciável através do vManage, o upgade pode ser feito por lá. Caso contrário, este é o processo a ser feito, via CLI. 1) Pare o plug and play. Router#pnpa service discovery stop 2) Copie a nova imagem para a bootflash do equipamento. Router#copy usb1:isr4400-ucmk9.16.12.2r.SPA.bin bootflash: Destination filename [isr4400-ucmk9.16.12.2r.SPA.bin]? Copy in progress…CCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCC 3) Instale o software. Router#request platform software sdwan software install bootflash:isr4400-ucmk9.16.12.2r.SPA.bin 4) Defina o novo software como default para sempre ser a primeira opção no boot, e não ser apagado quando usar o comando “reset”. Router#request platform software sdwan software set-default 16.12.02r 5) Ative o novo software – o roteador vai reiniciar. Router#request platform software sdwan software activate 16.12.02r Para verificar a versão em uso, além do tradicional show version, podemos usar o comando show sdwan software. Router#show sdwan software VERSION ACTIVE DEFAULT PREVIOUS CONFIRMED TIMESTAMP ——————————————————————————— 16.10.3a.0.0 false false true auto 2019-11-02T03:23:42-00:00 16.12.02r.0.23 true true false auto 2020-02-14T16:15:00-00:00 Total Space:388M Used Space:160M Available Space:224M E se necessário, use o comando reset para deletar um software não utilizado. Router#request platform software sdwan software reset 16.10.3a Até a próxima.
Verificando a CPU no FTD
O Cisco FTD, software next-generation Firewall/IPS que roda nos appliances ASA e Firepower, contém dois engines – ASA e Snort. Para verificar a utilização da CPU, via linha de comando, podemos usar o comando system support utilization. No output do comando acima devemos considerar os valores us (user) + sy (system). Já o id informa a porcentagem não utilizada (idle). E em relação aos processos, deve ser ignorado a utilização do lina (ASA Engine), que deve ser verificado com o comando show cpu usage. Mais detalhes neste link. Até a próxima.
Mudando IP de gerência do FTD
Quando um firewall Cisco FTD está registrado na console de gerência (FMC), mudar o IP pode não ser muito agradável. Precisamos mudar a configuração localmente no FTD, mas antes disso é necessário removê-lo do FMC. E depois da mudança é necessário re-associar as políticas (regas, NAT, VPN,…). Mudando o IP do FTD 1) Remova o firewall do FMC (Devices > Device Management > Selecione o device e clique em Delete). 2) Vá para o FTD e delete a gerência. > configure manager delete > show managers No managers configured. 3) Mude o IP do FTD. > configure network ipv4 manual 10.85.119.3 255.255.255.128 10.85.119.126 Setting IPv4 network configuration. Network settings changed. 4) Re-adicione o manager no FTD. > configure manager add 10.0.40.5 FMC1 Manager successfully configured. Please make note of reg_key as this will be required while adding Device in FMC. 5) Volte para o FMC e re-adicione o firewall (Devices > Device Management > Add Device). 6) Depois que o FTD for adicionado ao FMC, reassocie as políticas. Até a próxima.
Como ver a senha do WiFi (Windows, Linux e Mac)
Podemos descobrir a senha WiFi configurada no computador, seja ele Windows, Linux ou Mac, usando as ferramentas de linha de comando específicas de cada plataforma. Windows C:\ netsh WLAN show profile name= “Nome da Rede” key=clear Linux #cat /etc/NetworkManager/system-connections/“Nome da Rede.nmconnection” Mac #security find-generic-password -ga “Nome da Rede” | grep “password:” Até a próxima.
Backup / Restore Cisco ISE via CLI
Podemos fazer o backup do ISE via interface gráfica (GUI – Graphical User Interface), mas eventualmente a tela fica travada. Uma outra opção é fazer via linha de comando, CLI – Command Line Interface, onde não temos esse tipo de problema. Para fazer o backup via CLI, o primeiro passo é criar um repositório. Na sequência basta rodar o backup, informando o tipo de backup que será feito, nome para o arquivo que será gerado e a senha usada para proteger o arquivo. O ISE nos permite dois tipos de backup: Configuration Data: Contém as configurações, tanto do sistema (ADE OS), quanto da aplicação (ISE). Operational Data: Contém as os logs. Fazendo o backup via CLI 1) Crie o repositório. Neste exemplo usamos um FTP Server. ISE01/admin# conf t ISE01/admin(config)# repository FTP_10.20.0.17 ISE01/admin(config-Repository)#url ftp://10.20.0.17/ ISE01/admin(config-Repository)#user ftp_user password plain ftp_pass 2) (Opcional) Habilite o debug para ver os passos que estão sendo executados. ISE01/admin# debug backup-restore all 3) Inicie o backup, informando o nome do arquivo, o repositório e a senha. ISE01/admin# backup bkp_config_11_12_19 repository FTP_10.20.0.17 ise-config encryption-key plain Cisco123 7 [1943]:[debug] backup-restore:restore: cars_xfer.c[184] [admin]: RW repo is requested 6 [1943]:[info] backup-restore:backup: br_history.c[543] [admin]: ISE backup/restore initiated by CLI as /tmp/ise-cfg-br-flags does not exist 7 [1943]:[debug] backup-restore:backup: br_backup.c[596] [admin]: initiating backup bkp_config_11_12_19 to repos FTP_10.20.0.17 7 [1943]:[debug] backup-restore:backup: br_backup.c[640] [admin]: no staging url defined, using local space 7 [1943]:[debug] backup-restore:backup: br_backup.c[56] [admin]: flushing the staging area 7 [1943]:[debug] backup-restore:backup: br_backup.c[669] [admin]: creating /opt/backup/backup-bkp_config_11_12_19-1576110623 7 [1943]:[debug] backup-restore:backup: br_backup.c[673] [admin]: creating /opt/backup/backup-bkp_config_11_12_19-1576110623/backup/cars % Internal CA Store is not included in this backup. It is recommended to export it using “application configure ise” CLI command % Creating backup with timestamped filename: bkp_config_11_12_19-CFG10-191211-2230.tar.gpg 6 [1943]:[info] backup-restore:backup-logs: br_backup.c[100] [admin]: backup in progress:Starting Backup…10% completed % backup in progress: Starting Backup…10% completed 7 [1943]:[debug] backup-restore:backup: br_backup.c[736] [admin]: creating /opt/backup/backup-bkp_config_11_12_19-1576110623/backup/TACtshoot 7 [1943]:[debug] backup-restore:backup: br_backup.c[736] [admin]: creating /opt/backup/backup-bkp_config_11_12_19-1576110623/backup/ise 7 [1943]:[debug] backup-restore:backup: br_backup.c[777] [admin]: calling script /opt/CSCOcpm/bin/isecfgbackup.sh % backup in progress: Validating ISE Node Role…15% completed % backup in progress: Backing up ISE Configuration Data…20% completed % backup in progress: Backing up ISE Indexing Engine Data…45% completed % backup in progress: Backing up ISE Logs…50% completed % backup in progress: Completing ISE Backup Staging…55% completed % backup in progress: Backing up ADEOS configuration…55% completed % backup in progress: Moving Backup file to the repository…75% completed % backup in progress: Completing Backup…100% completed ISE01/admin# 4) Verifique o arquivo no repositório (FTP Server). ISE01/admin# show repository FTP_10.20.0.17 bkp_config_11_12_19-CFG10-191211-2230.tar.gpg ISE01/admin# exit Restore Para fazer a recuperação, a sintaxe é parecida. ISE01/admin# restore bkp_config_11_12_19-CFG10-191211-2230.tar.gpg repository FTP_10.20.0.17 encryption-key plain Cisco123 Restore may require a restart of application services. Continue? (yes/no) [yes] ? yes Initiating restore. Please wait… ISE application restore is in progress. This process could take several minutes. Please wait… Stopping ISE Application Server… Stopping ISE Monitoring & Troubleshooting Log Processor… Stopping ISE Monitoring & Troubleshooting Log Collector… Stopping ISE Monitoring & Troubleshooting Alert Process… Stopping ISE Monitoring & Troubleshooting Session Database… Stopping ISE Database processes… Starting ISE Database processes… Starting ISE Monitoring & Troubleshooting Session Database… Starting ISE Application Server… Starting ISE Monitoring & Troubleshooting Alert Process… Starting ISE Monitoring & Troubleshooting Log Collector… Starting ISE Monitoring & Troubleshooting Log Processor… Note: ISE Processes are initializing. Use ‘show application status ise’ CLI to verify all processes are in running state. ISE01/admin# Mais detalhes sobre backup e restore no ISE no Administrator Guide. Até a próxima.
