Estão abertas as inscrições para o Cisco Champions 2020. Se você tem um blog, ou uma conta no Twitter/Facebook/Linkedin/Youtube, ou em outra plataforma onde compartilha conhecimentos sobre tecnologia, pode se inscrever. Para saber um pouco mais sobre programa, veja este post do ano passado. E para se inscrever basta preencher o formulário neste link. Também é bom acompanhar o perfil @CiscoChampion no Twitter. Os selecionados devem ser conhecidos no fim de janeiro. Até a próxima.
Configurando StackWise Virtual no Catalyst 9400
Os novos Cisco Catalyst 9400 suportam o StackWise Virtual (assim como os 9500). Esta funcionalidade permite o empilhamento de dois switches, do mesmo modelo, usando portas de 10 ou 40 Gbps. Assim como os modelos tradicionais de StackWise, ao empilharmos os switches eles tornam-se uma única unidade lógica, permitindo a configuração de ambos de forma centralizada e também a configuração de multi-chassi etherchannel. A vantagem é que neste caso o empilhamento pode ser feito entre equipamentos que estão distantes, já que a limitação é a fibra e não o cabo stack. Antes de configurar o StackWise Virtual entre dois C9400, é importante saber: Os switches devem ser do mesmo modelo. Os switches devem ter o mesmo tipo de licença, mesma versão de software e Template SDM. A supervisora deve estar no mesmo slot em ambos switches (slot 3 das duas caixas, quando usando um 9407, por exemplo). É suportado no Cisco Catalyst 9404R e Cisco Catalyst 9407R. Suportado na Supervisor 1 (C9400-SUP-1) e Supervisor 1XL (C9400-SUP-1XL). Na Supervisor 1 precisa da licença C9400-SUP-UPG-LIC. O StackWise Virtual Link (SVL) precisa de conexão 10 ou 40 Gigabit, na supervisora. É suportada apenas uma supervisora por chassi. Se instalar duas supervisoras a segunda será desligada. A VLAN 4094 é usada pelo StackWise Virtual, então não pode ser usada para outra finalidade. A configuração do StackWise Virtual, a detecção de dual active e SVL são feitas manualmente, e o switch precisa ser reiniciado após cada um destes passos. Somente transceivers Cisco são suportados. IOS-XE 16.9.1 é a versão mínima suportada. Podemos ter no máximo 80 Gbps de banda, ou seja, 8 portas de 10 Gbps ou 2 de 40 Gbps por chassi. Após configurar o StackWise Virtual a nomenclatura das interfaces muda para o padrão chassi/slot/bay/port. Quando temos dois switches configurados com o StackWise Virtual, um é o switch ativo e o outro é o standby, sendo que o switch ativo controla os dois switches bem como os protocolos de controle (camada 2 e 3). Já o encaminhamento de pacotes é feito pelas duas caixas. E em caso de falha, o switch standby assume as funções do ativo. Configuração O primeiro passo é criar um StackWise Domain com mesmo ID nos dois switches. O switch com maior prioridade será o switch ativo. BrainSW01#switch 1 priority 5 BrainSW01#conf t BrainSW01(config)#stackwise-virtual BrainSW01(config-stackwise-virtual)#domain 10 BrainSW01(config-stackwise-virtual)#end BrainSW01#wr mem BrainSW01#reload BrainSW02#switch 1 priority 10 BrainSW02#switch 1 renumber 2 BrainSW02#conf t BrainSW02(config)#stackwise-virtual BrainSW02(config-stackwise-virtual)#domain 10 BrainSW02(config-stackwise-virtual)#end BrainSW02#wr mem BrainSW02#reload Na sequência precisamos configurar as interfaces que serão o SVL. Neste exemplo usamos duas portas 10 GigabitEthernet. BrainSW01#conf t BrainSW01(config)#interface rage TenGigabitEthernet1/3/0/1 – 2 BrainSW01(config-if)stackwise-virtual link 1 BrainSW01(config-if)#end BrainSW01#wr mem BrainSW01#reload BrainSW02#conf t BrainSW02(config)#interface rage TenGigabitEthernet1/3/0/1 – 2 BrainSW02(config-if)stackwise-virtual link 1 BrainSW02(config-if)#end BrainSW02#wr mem BrainSW02#reload E por fim definimos uma (ou mais) interface que será usada pelo Dual Active Detection (DAD). Este passo é opcional mas recomendado, já que diminui o tempo de detecção de falha. BrainSW01#conf t BrainSW01(config)#interface GigabitEthernet1/1/0/1 BrainSW01(config-if)stackwise-virtual dual-active-detection BrainSW01(config-if)#end BrainSW01#wr mem BrainSW01#reload BrainSW02#conf t BrainSW02(config)#interface GigabitEthernet1/1/0/1 BrainSW02(config-if)stackwise-virtual dual-active-detection BrainSW02(config-if)#end BrainSW02#wr mem BrainSW02#reload Para validar as configurações podemos usar os comandos abaixo. BrainSW01#show stackwise-virtual switch 1 Stackwise Virtual Configuration: ——————————– Stackwise Virtual : Enabled Domain Number : 10 Switch Stackwise Virtual Link Ports —— ———————- —— 1 1 TenGigabitEthernet1/3/0/1 TenGigabitEthernet1/3/0/2 Stackwise Virtual Configuration After Reboot: ——————————————— Stackwise Virtual : Enabled Domain Number : 10 Switch Stackwise Virtual Link Ports —— ———————- —— BrainSW01# BrainSW01#show stackwise-virtual link Stackwise Virtual Link(SVL) Information: —————————————- Flags: —— Link Status ———– U-Up D-Down Protocol Status ————— S-Suspended P-Pending E-Error T-Timeout R-Ready ———————————————– Switch SVL Ports Link-Status Protocol-Status —— — —– ———– ————— 1 1 TenGigabitEthernet1/3/0/1 U R TenGigabitEthernet1/3/0/2 U R 2 1 TenGigabitEthernet2/3/0/1 U R TenGigabitEthernet2/3/0/2 U R BrainSW01# BrainSW01#show stackwise-virtual bandwidth Switch Bandwidth —— ——— 1 20G 2 20G BrainSW01# BrainSW01#show stackwise-virtual neighbors Stackwise Virtual Link(SVL) Neighbors Information: ————————————————– Switch SVL Local Port Remote Port —— — ———- ———– 1 1 TenGigabitEthernet1/3/0/1 TenGigabitEthernet2/3/0/1 TenGigabitEthernet1/3/0/2 TenGigabitEthernet2/3/0/2 2 1 TenGigabitEthernet2/3/0/1 TenGigabitEthernet1/3/0/1 TenGigabitEthernet2/3/0/2 TenGigabitEthernet1/3/0/2 BrainSW01# BrainSW01#show stackwise-virtual dual-active-detection In dual-active recovery mode: No Recovery Reload: Enabled Dual-Active-Detection Configuration: ————————————- Switch Dad port Status —— ———— ——— 1 GigabitEthernet1/1/0/2 up 2 GigabitEthernet2/1/0/2 up BrainSW01# Acredito que as mesmas configurações funcionem no Catalyst 9500, mas podem haver outras questões envolvidas (o 9500 suporta SVL em outros módulos além da supervisora, por exemplo). Para mais informações e outro detalhes sobre o StackWise Virtual no 9400, acesso o High Availability Configuration Guide. Até a próxima.
Usando VLC para gerar tráfego Multicast
O VLC é um mídia player open source bastante conhecido. Além da capacidade de reproduzir a maioria dos arquivos de mídia, ele tem uma funcionalidade bastante útil para nós profissionais de rede: reprodução de arquivos via rede. Usando o VLC podemos reproduzir um arquivo em um computador e assistir via Multicast em outro computador conectado à rede. E com isso validar as configurações da rede e realizar testes. Configurando o “servidor” Para evitar mal funcionamento, recomendo desativar todas as placas de rede, deixando apenas a conexão com a rede cabeada que será utilizada. 1) Abra o VLC e clique em Mídia > Fluxo > Adicionar e escolha o arquivo que será reproduzido (no exemplo usei um .MP4). Clique em Fluxo. 2) Na tela Saída de Fluxo clique em Próximo. 3) Na tela Configuração do Destino selecione RTP / MPEG Transport Stream. Selecione Exibir Localmente para poder ver o vídeo sendo reproduzido no computador local, e clique Adicionar. 4) Agora defina o endereço Multicast que deseja utilizar/testar e a porta. Clique Próximo. 5) Na tela seguinte escolha a transcodificação Vídeo – MPEG + MPGA (TS). Clique Próximo. 6) Na última tela temos a linha de comando com os parâmetros utilizados. Se for o caso é possível mudar/adicionar alguma opção. 6.1) (Opicional) Por padrão o tráfego gerado tem TTL=1, e assim não roteável. Mas é possível mudar isso adicionando a opção TTL=10, por exemplo. Pronto! Basta clicar em Fluxo para que o vídeo seja reproduzido no computador local e enviado para rede via Multicast. Assistindo via rede (Multicast) Em outro computador, conectado à rede, abra o Wireshark para confirmar que o tráfego está sendo recebido. Note o TTL = 10, configurado anteriormente. Para ver o vídeo, basta abrir o VLC, clicar em Mídia > Abrir Fluxo de Rede, e informar o IP e porta (rtp://@239.0.0.10). Clique em Reproduzir e o vídeo será exibido. O VLC pode ser baixado aqui. Até a próxima.
Reset Cisco FTD (zerar FTD sem reinstalar)
Eventualmente é necessário zerar a configuração do equipamento. No caso do Cisco FTD, oficialmente, a única forma de fazer isso é fazendo o “reimage” da caixa, que nada mais do que que reinstalar o software. Pra que facilitar né Cisco?!?! Uma opção não oficial é mudar o modo do firewall (transparent/routed) após remover da gerência. Tenho usado esse método, e econmizado algumas horas. OBS: Os appliances 4100 e 9300 tem a opção de fazer o “reset to factory default” oficialmente (Login no FXOS > connect local-mgmt > erase configuration). Até a próxima.
Firepower2100 e Firepower1000–Reimage FTD para ASA
Os novos appliances Cisco Firepower são usados normalmente com o software FTD. No entanto, evetualmente, ainda pode ser necessário usarmos o software ASA nestes appliances. Neste caso é preciso fazer o reimage, apagando o FTD e instalado o ASA OS. Antes de começar o reimage é importante apagar o FTD do FMC, ou se estiver usando FDM, desregistrar o SmartAccount. Com isso feito, basta seguir os passos abaixo. Esses appliances usam o FXOS análogo a uma hypervisor. Este software faz a gerência do hardware, e o FTD/ASA é instalado como uma máquina virtual. O usuário/senha padrão do FXOS é Admin/Admin123 1) Acesse o FXOS pela console, ou usando SSH através da interface M1/1. Se acessar via console vai entrar direto no FXOS. Via SSH (IP padrão é 192.168.45.45).é necessário usar o comando connect fxos para acessá-lo. firepower# 2) Vá para o modo firmware e transfira o ASA OS. firepower# scope firmware firepower /firmware # firepower /firmware # download image tftp://192.168.45.46/cisco-asa-fp2k.9.8.4.SPA Please use the command ‘show download-task’ or ‘show download-task detail’ to check download progress. firepower /firmware # show download-task Download task: File Name Protocol Server Port Userid State ——— ——– ————— ———- ————— —– cisco-asa-fp2k.9.8.4.SPA Tftp 192.168.45.46 0 Downloading firepower /firmware # firepower /firmware # show download-task Download task: File Name Protocol Server Port Userid State ——— ——– ————— ———- ————— —– cisco-asa-fp2k.9.8.4.SPA Tftp 192.168.45.46 0 Downloaded firepower /firmware # 3) Verifique os softwares disponíveis no appliance. firepower /firmware # show package Name Package-Vers ——————————————— ———— cisco-asa-fp2k.9.8.2.SPA 9.8.2 cisco-asa-fp2k.9.8.4.SPA 9.8.4 cisco-ftd-fp2k.6.2.3-83.SPA 6.2.3-83 firepower /firmware # 4) Instale o ASA OS. firepower /firmware # scope auto-install firepower /firmware/auto-install # insnstall security-pack pversion 9.8.4 The system is currently installed with security software package 6.2.3-83, which has: – The platform version: 2.3.1.84 – The CSP (ftd) version: 6.2.3.83 If you proceed with the upgrade 9.8.4, it will do the following: – upgrade to the new platform version 2.2.2.119 – reimage the system from CSP ftd version 6.2.3.83 to the CSP asa version 9.8.4 During the upgrade, the system will be reboot Do you want to proceed ? (yes/no):yes This operation upgrades firmware and software on Security Platform Components Here is the checklist of things that are recommended before starting Auto-Install (1) Review current critical/major faults (2) Initiate a configuration backup Attention: If you proceed the system will be re-imaged. All existing configuration will be lost, and the default configuration applied. Do you want to proceed? (yes/no):yes Triggered the install of software package version 9.8.4 Install started. This will take several minutes. For monitoring the upgrade progress, please enter ‘show’ or ‘show detail’ command. firepower /firmware/auto-install # 5) Aguarde o appliance reiniciar. Durante o processo pode usar o comando show detail para acompanhar verificar a instalação. firepower /firmware/auto-install # show detail Firmware Auto-Install: Package-Vers: 9.8.4 Oper State: Scheduled Installation Time: 2019-09-25T11:37:11.165 Upgrade State: Ready Upgrade Status: Validation Software Pack Status: Firmware Upgrade Status: Current Task: firepower /firmware/auto-install # Broadcast message from root@firepower (Wed Sep 25 11:38:38 2019): The system is going down for reboot NOW! 6) Após o boot conecte no ASA OS. firepower-2110# conect asa Attaching to Diagnostic CLI … Press ‘Ctrl+a then d’ to detach. Type help or ‘?’ for a list of available commands. ciscoasa> en Password: ciscoasa# Mais informações aqui. Até a próxima.
Copiando arquivos entre roteadores/switches Cisco com SCP
Acredito que TFTP e FTP sejam as formas mais comuns de copiar arquivos para/de switches e roteadores Cisco. Porém estas não são as únicas opções. Um outro método que pode ser interessante, é usando o SCP. Os switches e roteadores Cisco, além de clientes podem ser servidores SCP, e isso nos permite copiar arquivos entre os equipamentos de maneira bem simples. Imagine atualizar 10 switches em uma localidade remota. Ao invés de copiar o IOS via link WAN para os 10 switches, podemos copiar para o primeiro, e deste para os demais usando SCP. Copiando arquivos com SCP No equipamento que será o servidor (10.19.0.1), onde está o arquivo que será copiado, precisamos fazer as configurações básicas para acesso remoto e ativar o SCP Server. !Chave de criptografia, usuário, senha e acesso para acesso remoto BrainCore(config)#ip domain-name brainwork.local BrainCore(config)#crypto key generate rsa general-keys modulus 2048 BrainCore(config)#aaa new-model BrainCore(config)#aaa authentication login default local BrainCore(config)#aaa authentication exec default local BrainCore(config)#username admin privilege 15 secret brain123 !Ativar o SCP Server BrainCore(config)#ip scp server enable No equipamento cliente, basta apontar o servidor, o arquivo e as credenciais. BrainSW01#copy scp: flash: Address or name of remote host []? 10.19.0.1 Source username [admin]? Source filename []? c2960x-universalk9-mz.152-4.E8.bin Destination filename [c2960x-universalk9-mz.152-4.E8.bin]? Password:********* !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! 24359936 bytes copied in 407.463 secs (59784 bytes/sec) BrainSW01# BrainSW01#dir Directory of flash:/ 2 -rwx 33 Sep 9 2019 13:08:55 +00:00 pnp-tech-time 3 -rwx 27877 Sep 9 2019 13:50:12 +00:00 config.text 4 -rwx 11193 Sep 9 2019 13:08:57 +00:00 pnp-tech-discovery-summary 5 -rwx 616 Sep 9 2019 14:58:04 +00:00 vlan.dat 6 -rwx 5483 Sep 9 2019 13:50:12 +00:00 private-config.text 7 -rwx 3096 Sep 9 2019 13:50:12 +00:00 multiple-fs 8 drwx 512 Dec 13 2018 11:10:42 +00:00 c2960x-universalk9-mz.152-2.E7 673 drwx 512 Dec 13 2018 11:10:43 +00:00 dc_profile_dir 675 -rwx 24359936 Sep 9 2019 15:06:17 +00:00 c2960x-universalk9-mz.152-4.E8.bin 122185728 bytes total (70434816 bytes free) BrainSW01# SCP direto do computador Também é possível usar o Pscp no Windows/Linux para copiar arquivos do computador para roteadores/switches e vice-versa. No Windows pode ser necessário executar o prompt de comando como Administrador. Até a próxima.
