O processo de atualização do Catalyst 9300 (IOS-XE) pode ser tão simples quanto o upgrade de um 2960 (IOS), mas os comandos são diferentes. Assim como nos swiches mais antigos o software do 9300 fica armazenado na flash, e usamos o comando show version para verificar a versão em uso. Caso seja feita mudança de licenciamento, no show version continuaremos vendo o modelo original, como saiu de fábrica. Quando é feito o upgrade do IOS-XE, o boot loader pode ser atualizado automaticamente. Em caso de downgrade do IOS-XE o boot loader não volta para a versão anterior, e não tem problema já que as versões mais novas suportam todos os IOSs anteriores. Em modelos com suporte a PoE/UPoE também pode ocorrer o upgrade do Microcode. Tanto boot loader quanto Microcode são atualizados se necessário, de acordo com a versão em uso e versão que vai ser instalada. Não é necessária nenhuma configuração específica para isso. Fazendo o Upgrade (Install Mode) Este passo-a-passo pode ser utilizado quando o switch está no modo “Install”, e usando a versão 16.6.2 ou mais recente. Além do modo Install o switch pode trabalhar no modo Bundle. No modo Install (nosso exemplo) o boot é feito de acordo com instruções que estão no arquivo packages.conf. No modo Bundle devemos apontar o boot para o arquivo .bin. 1) Confirmar o modo e a versão em uso. Switch#show version <outpu omitido> Switch Ports Model SW Version SW Image Mode —— —– —– ———- ———- —- 1 64 C9300-48T 16.9.1 CAT9K_IOSXE INSTALL * 2 64 C9300-48T 16.9.1 CAT9K_IOSXE INSTALL 2) É necessário pelo menos 1 GB livre para descompactar o novo software, então começamos removendo arquivos de instalações anteriores. Switch#install remove inactive install_remove: START Thu Feb 28 03:23:33 UTC 2019 Cleaning up unnecessary package files No path specified, will use booted path flash:packages.conf Cleaning flash: Scanning boot directory for packages … done. Preparing packages list to delete … cat9k-cc_srdriver.16.08.01a.SPA.pkg File is in use, will not delete. cat9k-espbase.16.08.01a.SPA.pkg File is in use, will not delete. cat9k-guestshell.16.08.01a.SPA.pkg File is in use, will not delete. cat9k-rpbase.16.08.01a.SPA.pkg File is in use, will not delete. cat9k-rpboot.16.08.01a.SPA.pkg File is in use, will not delete. cat9k-sipbase.16.08.01a.SPA.pkg File is in use, will not delete. cat9k-sipspa.16.08.01a.SPA.pkg File is in use, will not delete. cat9k-srdriver.16.08.01a.SPA.pkg File is in use, will not delete. cat9k-webui.16.08.01a.SPA.pkg File is in use, will not delete. cat9k-wlc.16.08.01a.SPA.pkg File is in use, will not delete. packages.conf File is in use, will not delete. done. Cleaning up unnecessary package files No path specified, will use booted path flash:packages.conf Cleaning flash: Scanning boot directory for packages … done. Preparing packages list to delete … cat9k-cc_srdriver.16.08.01a.SPA.pkg File is in use, will not delete. cat9k-espbase.16.08.01a.SPA.pkg File is in use, will not delete. cat9k-guestshell.16.08.01a.SPA.pkg File is in use, will not delete. cat9k-rpbase.16.08.01a.SPA.pkg File is in use, will not delete. cat9k-rpboot.16.08.01a.SPA.pkg File is in use, will not delete. cat9k-sipbase.16.08.01a.SPA.pkg File is in use, will not delete. cat9k-sipspa.16.08.01a.SPA.pkg File is in use, will not delete. cat9k-srdriver.16.08.01a.SPA.pkg File is in use, will not delete. cat9k-webui.16.08.01a.SPA.pkg File is in use, will not delete. cat9k-wlc.16.08.01a.SPA.pkg File is in use, will not delete. packages.conf File is in use, will not delete. done. SUCCESS: No extra package or provisioning files found on media. Nothing to clean. The following files will be deleted: [switch 1]: /flash/cat9k_iosxe.16.09.02.SPA.bin Do you want to remove the above files? [y/n]y [switch 1]: Deleting file flash:cat9k_iosxe.16.09.02.SPA.bin … done. SUCCESS: Files deleted. — Starting Post_Remove_Cleanup — Performing Post_Remove_Cleanup on all members [1] Post_Remove_Cleanup package(s) on switch 1 [1] Finished Post_Remove_Cleanup on switch 1 [2] Post_Remove_Cleanup package(s) on switch 2 [2] Finished Post_Remove_Cleanup on switch 2 Checking status of Post_Remove_Cleanup on [1 2] Post_Remove_Cleanup: Passed on [1 2] Finished Post_Remove_Cleanup SUCCESS: install_remove Thu Feb 28 03:24:05 UTC 2019 Switch# 3) Copie a nova imagem para a flash do switch. Se for uma pilha copie para o switch ativo. Switch#copy tftp: flash: Address or name of remote host [1.1.1.2]? Source filename [cat9k_iosxe.16.09.02.SPA.bin]? Destination filename [cat9k_iosxe.16.09.02.SPA.bin]? Accessing tftp://1.1.1.2/cat9k_iosxe.16.09.02.SPA.bin… Loading cat9k_iosxe.16.09.02.SPA.bin from 1.1.1.2 (via Vlan1): !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! [OK – 700524979 bytes] 700524979 bytes copied in 128.086 secs (5469177 bytes/sec) Switch# 4) Confira se o boot está apontado para “packages.conf”. Se não estiver, no modo de configuração global (config) adicione boot system switch all flash:packages.conf e salve a configuração (wr mem). Switch#sh run | in boot boot system switch all flash:packages.conf diagnostic bootup level minimal Switch#show boot system ————————— Switch 1 ————————— Current Boot Variables: BOOT variable = flash:packages.conf; Boot Variables on next reload: BOOT variable = flash:packages.conf; Manual Boot = no Enable Break = no Boot Mode = DEVICE iPXE Timeout = 0 ————————— Switch 2 ————————— Current Boot Variables: BOOT variable = flash:packages.conf; Boot Variables on next reload: BOOT variable = flash:packages.conf; Manual Boot = no Enable Break = no Boot Mode = DEVICE iPXE Timeout = 0 Switch# 5) Instale o software novo. No caso de empilhamento, se a imagem tiver sido copiada para um switch membro, temos que apontar a flash específica. Switch#install add file flash:cat9k_iosxe.16.09.02.SPA.bin activate commit install_add_activate_commit: START Thu Feb 28 03:37:10 UTC 2019 — Starting initial file syncing — [1]: Copying flash:cat9k_iosxe.16.09.02.SPA.bin from switch 1 to switch 2 [2]: Finished copying to switch 2 Info: Finished copying flash:cat9k_iosxe.16.09.02.SPA.bin to the selected switch(es) Finished initial file syncing — Starting Add — Performing Add on all members [1] Add package(s) on switch 1 [1] Finished Add on switch 1 [2] Add package(s) on switch 2 [2] Finished Add on switch 2 Checking status of Add on [1 2] Add: Passed on [1 2] Finished Add install_add_activate_commit: Activating PACKAGE Following packages shall be activated: /flash/cat9k-wlc.16.09.02.SPA.pkg /flash/cat9k-webui.16.09.02.SPA.pkg /flash/cat9k-srdriver.16.09.02.SPA.pkg /flash/cat9k-sipspa.16.09.02.SPA.pkg /flash/cat9k-sipbase.16.09.02.SPA.pkg /flash/cat9k-rpboot.16.09.02.SPA.pkg /flash/cat9k-rpbase.16.09.02.SPA.pkg /flash/cat9k-guestshell.16.09.02.SPA.pkg /flash/cat9k-espbase.16.09.02.SPA.pkg /flash/cat9k-cc_srdriver.16.09.02.SPA.pkg This operation requires a reload
Empilhando 2960S e 2960X (FlexStack e FlexStack+)
As tecnologias “stacks”, nos switches Cisco que tem essas opções, são as minhas preferidas para virtualização de chassis. Desde o StackWise nos antigos 3750, FlexStack e FlexStack-Plus nos 2960S e 2960X respectivamente, sempre funcionaram muito bem. Estes tipos de empilhamento garantem boa performance e são bastante simples de configurar, podendo funcionar até mesmo sem configuração (basta conectar os cabos). Falando especificamente do 2960X, além de permitir o empilhamento usando a tecnologia FlexStack-Plus, ele ainda é compatível com a tecnologia anterior: FlexStack, que é usado nos 2960S. Quando usamos o FlexStack (2960S), podemos ter até 4 switches empilhados, a convergência demora entre 1 e 2 segundos, e temos 40 Gbps de banda. Já com o FlexStack-Plus, do 2960X, podemos ter até 8 switches empilhados, desde que da mesma família. O tempo de convergência é bem mais rápido, e chegamos à 80 Gbps de throughput, como podemos ver na tabela abaixo. Quando fazemos a mescla entre FlexStack e FlexStack-Plus, ficamos restritos ao menor denominador comum. Ou seja, voltamos ao empilhamento máximo de 4 switches, com 40 Gbps. Mesmo assim é sempre bom poder continuar usando equipamentos que continuam atendendo as necessidades do ambiente. Configuração Para o empilhamento entre 2960X e 2960S funcionar todos os switches precisam estar com a mesma versão de software (não pode ser LAN Lite), e precisamos de duas configurações. Nos 2960X temos que adicionar o comando switch stack port-speed 10, pois por padrão a porta FlexStack-Plus funciona a 20 Gbps, enquanto o 2960S suporta apenas 10 Gbps. Também podemos configurar o SDM prefer, pois por padrão o 2960S usa o SDM “Default” enquanto que o 2960X usa o SDM “Lanbase-Default”. Esta configuração é opcional, mas melhora o tempo boot, pois se os switches tiverem com o SDM diferente o 2960X vai demorar um pouco mais para inicializar (ele tenta ver se os outros switches estão com o mesmo SDM). 1) Confirmar que os switches estão com a mesma versão de software. SW2960S#show version <output omitido> Switch Ports Model SW Version SW Image —— —– —– ———- ———- * 1 52 WS-C2960S-48FPD-L 15.2(2)E9 C2960S-UNIVERSALK9-M 2 52 WS-C2960S-48FPD-L 15.2(2)E9 C2960S-UNIVERSALK9-M 3 52 WS-C2960S-48FPD-L 15.2(2)E9 C2960S-UNIVERSALK9-M SW2960X#show version <output omitido> Switch Ports Model SW Version SW Image —— —– —– ———- ———- * 1 52 WS-C2960X-48FPD-L 15.2(2)E9 C2960X-UNIVERSALK9-M 2) Configurar a velocidade do Stack no 2960X, para ficar compatível com o 2960S. SW2960X#conf t Enter configuration commands, one per line. End with CNTL/Z. SW2960X(config)#switch stack port-speed 10 WARNING: Changing the stack speed may result in a stack speed mismatch . Do you want to continue?[confirm] New stack speed will be effective after next reload 3) (opcional) Configurar o SDM para ficar compatível com o 2960S, e inicializar mais rápido. SW2960X(config)# SW2960X(config)#sdm prefer default Changes to the running SDM preferences have been stored, but cannot take effect until the next reload. SW2960X(config)#end 4) Conectar os cabos stack e reiniciar o 2960X. SW2960X#reload 5) Verificar que o Stack está formado com os 4 switches. SW2960S#show version <output omitido> Switch Ports Model SW Version SW Image —— —– —– ———- ———- * 1 52 WS-C2960S-48FPD-L 15.2(2)E9 C2960S-UNIVERSALK9-M 2 52 WS-C2960S-48FPD-L 15.2(2)E9 C2960S-UNIVERSALK9-M 3 52 WS-C2960S-48FPD-L 15.2(2)E9 C2960S-UNIVERSALK9-M 4 52 WS-C2960X-48FPD-L 15.2(2)E9 C2960X-UNIVERSALK9-M Mais informações sobre FlexStack e FlexStack+ nestes links: 2960-X Series FAQ Stack Manager Configuration Guide Até a próxima.
Cisco SD-Access: Control Plane e Data Plane
(O tempo urge) Já falamos um pouco do Cisco SD-Access neste post do ano passado, e agora vamos ver com mais detalhes o funcionamento do Control Plane e Data Plane. Control Plane Na Fabric SDA – Software Defined Access, temos a figura do CP – Control Plane. Para o funcionamento da Fabric é necessário pelo menos 1 Control Plane, sendo recomendado 2 para redundância. O Control Plane é um função que reside em um/dois switches da Fabric, e normalmente é configurada no Border Node ou em equipamentos dedicados para esta função. Estes elementos passam então a ser um banco de dados de endpoints conectados à Fabric, e são responsável por registrar, manter e informar a localização de todos os dispositivos conectados à rede. Para este controle a Fabric utiliza o LISP – Locator/ID Separation Protocol, que permite separarmos a identificação de um host de sua localização. A identificação de um host, o EID – Endpoint Identifier, é seu IP/MAC Address. Já a localização (RLOC – Routing Locator) é o IP do Fabric Edge onde o host está conectado. É criada uma instancia LISP para cada VN – Virtual Networks, que basicamente são VRFs que nos permitem a separação das tabelas de roteamento. Vamos considerar a topologia abaixo, com dois FE – Fabric Edges, e dois endpoints (um em cada FE) que estão na mesma rede. O host H1 é conectado ao FE1, que registra este endpoint no CP. O registro inclui IP e MAC address do endpoint (EID – Endpoint Identifier) e também a localização (IP do FE onde ele está conectado, RLOC – Routing Locator). O mesmo acontece com H2, que é registrado no CP pelo FE2. Quando H1 quer falar com H2, FE1 pergunta para o CP onde está o H2. O CP por sua vez responde que H2 está “atrás” do FE2. Com esta informação o FE1 encapsula (VXLAN) o tráfego de H1 e envia os pacotes para o FE2. Quando o tráfego chega ao FE2, ele é desencapsulado (cabeçalho VXLAN) e então enviado para H2. Como podemos notar, o funcionamento é diferente de uma rede tradicional, onde bastaria o switch verificar a tabela MAC e enviar o pacote para a interface de uplink. Data Plane Como citamos acima, os pacotes são encapsulados em VXLAN – Virtual Extensible LAN, para o transporte na Fabric. O VXLAN nos permite criar um overlay de camada 2, que passa a existir sobre o underlay que pode ser de camada 2 ou 3. Podemos ter várias “redes overlay”, com cada uma recebendo um VNI – VXLAN Network Identifier. Assim, o tráfego que um Fabric Edge recebe de um endpoint diretamente conectado, destinado a um host em outro FE, é encapsulado, e depois da consulta ao Control Plane, é roteador através do underlay. Para o roteamento deste tráfego no underlay pode ser utilizado OSPF ou ISIS, sendo que no caso do deploy automatico (via DNA Center) ISIS é o protocolo escolhido. Mais detalhes sobre Control Plane, Data Plane e outras informações neste ebook e no CVD. Até a próxima.
Alta utilização de CPU – Coletando logs com o Event Manager
(Feliz 2019) O Cisco EEM – Embedded Event Manager é uma ferramenta ponderosa, onde podemos criar scripts avançados, mas também pode ser usada para situações mais simples. Um exemplo bastante útil é a criação de um script para coletar logs no caso da CPU passar de 90% de utilização. Ás vezes pode ser difícil fazer o troubleshooting deste tipo de situação, e coletar os logs na hora que o problema acontece é imprescindível. Neste exemplo o EEM vai pegar as informações quando a CPU do roteador atingir 90% de utilização, gerará uma mensagem syslog e salvará em um arquivo o output dos comandos listados. Você pode customizar o script para pegar as informações que achar importante. Exemplo de EEM: event manager applet high-cpu authorization bypass event snmp oid 1.3.6.1.4.1.9.9.109.1.1.1.1.3.1 get-type exact entry-op gt entry-val “90” poll-interval 10 action 1.0 syslog msg “High CPU DETECTED” action 1.1 cli command “enable” action 1.2 cli command “show proc cpu sorted | append flash0:high-cpu-stats.txt” action 1.3 cli command “show ip traffic | append flash0:high-cpu-stats.txt” action 1.4 cli command “show interfaces stats | append flash0:high-cpu-stats.txt” action 1.5 cli command “show interfaces switching | append flash0:high-cpu-stats.txt” action 1.6 cli command “show ip cef switching statistics | append flash0:high-cpu-stats.txt” action 1.7 cli command “show ip traffic | append flash0:high-cpu-stats.txt” action 1.8 cli command “show log | append flash0:high-cpu-stats.txt” action 1.9 cli command “end” Na configuração acima temos: high-cpu: Nome do applet, que pode ser alterado. Snmp oid: Oid SNMP que será monitorada para identificar o alto processamento. entry-val: Valor (90) que vai disparar as ações definidas. poll-interval: De quanto em quanto tempo o script será executado, em segundos. append: comando para salvar os outputs em um arquivo, neste caso localizado na flash0 (varia de acordo com o equipamento) e com o nome high-cpu-stats.txt Mais informações sobre o EEM aqui, e uma variação deste script, para mandar os logs por email aqui. Até a próxima.
Finalista IT Blog Awards
(Dá uma força galera) A Cisco está promovento um concurso para reconhecimento de blogs independentes, e nós do Brainwork estamos em os finalistas. Concorrendo com blogs do mundo todo, estamos entre os 5 escolhidos na categoria Best Cert Study Journey – Provides useful insights into the need-to-knows throughout a certification study journey. Para votar, além de escolher os blogs de cada categoria, precisa informar nome, sobrenome e email. Também pode informar um blog para participar no próximo ano (inclusive, pode informar o www.brainwork.com.br). Por fim tem que colocar as respostas das equações em ordem (3,141, 59, 26, 53) e clicar em Submit. Recomendo também votar no Cisco Redes, outro blog brasileiro, que está concorrendo na categoria Best Podcast or Video Series – Best in content and creativity delivered in the format of videos or podcasts. A votação está disponível até dia 4 de janeiro, neste link. Até a próxima.
Instalando FTD no Firepower 4100
(Virtualizado) Veja como instalar o FTD no appliance Firepower 4100. Até a próxima.
