Cisco

Ci z Was, którzy pracują z konfiguracją i rekonfiguracją ciągle trafiają na różnego rodzaju ciekawostki ale i problemy, które następnie kosztują godziny. trasa? jaka trasa? dzień jak co dzień - podłączamy nowy router. router ma adres 172.16.0.11 przypisany do interfejsu Loopback0 (a jakże). interfejs, podobnie jak jego fizyczne włączony jest do procesu OSPF w obszarze 0. tak widzą go też sąsiedzi: RP/0/RSP0/CPU0:XR-RTR#sh route 172.16.0.11 Routing entry for 172.16.0.11/32 Known via "ospf 0", distance 110, metric 3, type intra area Routing Descriptor Blocks 10....

jeśli mieliście okazję przeczytać post o budowie mojej sieci domowej, wiecie, że szkieletowym przełącznikiem jest Nexus 93180YC-EX. taki… domowy przełącznik. anycastowe adresy usług tak czy inaczej, w sieci tej mam różną ilość serwerów DNS (i DHCP), które serwują anycastowy adres 192.168.168.168 oraz 2001:470:xx:a6::168. niezależnie od ilości działających serwerów DNS, zawsze przynajmniej jeden powinien odpowiedzieć. obecnie w “klastrze” mam dwie VMki oraz dwa fizycznie Raspberry Pi 4B+. wszystkie pracują pod kontrolą FreeBSD 14....

krótka obserwacja z labowania - jeśli chcesz logować informacje (choćby via Syslog), a interfejs zarządzający umieściłeś w osobnym VRFie (dobry pomysł), konfiguracja VRFu odbywa się w dwóch, a właściwie trzech (jeśli policzyć definicję VRFu) miejscach. jeśli zapomnisz o którymś, logowanie nie zadziała. po pierwsze, stwórzmy definicję VRFu zarządzającego i skonfigurujmy prawidłowo interfejs zarządzający: ! vrf definition MGMNT rd 444:444 ! opcjonalne, ale dla porządku dodaję ! address-family ipv4 exit-address-family ! address-family ipv6 exit-address-family !...

miłym dodatkiem do ostatnich wersji obrazów IOS-XE jest wartość maksymalna ilości przefiksów rozgłoszonych w procesie BGP: rtr-edge#sh bgp ipv4 unicast summary [...] 6807 received paths for inbound soft reconfiguration BGP activity 1126906/107856 prefixes, 1337822/171863 paths, scan interval 60 secs 878960 networks peaked at 15:02:09 Jan 29 2022 CET (22:53:01.065 ago) [...] rtr-edge#sh bgp ipv6 unicast summary [...] BGP using 102467162 total bytes of memory BGP activity 1126898/107856 prefixes, 1337806/171843 paths, scan interval 60 secs 140720 networks peaked at 05:46:19 Jan 29 2022 CET (1d08h ago) [....

jedna ze starych (ale przydatnych) sztuczek, która została nawet swego czasu udokumentowana to zasymulowanie kombinacji CTRL+BREAK na nowych PeCetach (i Macach) żeby dostać się do ROMMONu. zamiast walczyć z SecureCRT na MacOSie, miałem okazję przypomnieć ją sobie wczoraj, starając się wyzerować szybko router. generalnie, cała procedura polega na tym, że: rozłączasz terminal od urządzenia wyłączasz urządzenie ustawiasz terminal na 1200 (tak, tysiąc dwieście) baud, 8N1 i brak kontroli przepływu (ang. flow control) włączasz urządzenie naciskasz SPACJĘ przez jakieś 10-15 sekund (zwykle do momentu, aż terminal wyrzuci na ekran jakieś śmieci) przekonfigurujesz sobie terminal na 9600 8N1 i… jesteś w ROMMONie tak, jestem stary....

jeśli nie przywykłeś do czytania tzw. release notes do kolejnych wydań oprogramowania do swojej ulubionej platformy sieciowej (w tym wypadku - Nexus NX-OS), zapewne przegapiłeś, że od wersji 10.1(2) w NX-OS pojawił się system wprowadzania konfiguracji dokładnie taki jak w IOS XRze - dwustopniowy. co to oznacza? że wykonując zmiany w parserze, możesz pracować na całym bloku konfiguracji. dopiero po jego zatwierdzeniu jest on wprowadzany w życie. na przykład dla zmiany adresu IP na interfejsie (zawsze drażliwy moment, w szczególności gdy urządzenie znajduje się 300km od Ciebie), przykład konfiguracji wyglądać może tak:...

moja podróż z certyfikacją ekspercką Cisco zaczęła się już dosyć dawno - 15 lat temu, a normalną jeszcze parę lat wcześniej. przez ostatnie tygodnie miałem okazję zapoznać się z nowym systemem recertyfikacji - przez punkty zbierane w ramach Continuing Education. pomijając już to, że w czasach pandemii zdawanie egzaminów wiąże się z abstrakcyjnymi wymaganiami, ma to duży sens w ogóle. tak czy inaczej - jestem recertyfikowany do kwietnia 2024. jak znam życie, zanim się obejrzę, popatrzę na ten wpis z rozżewnieniem “jak to szybko minęło” ;)...

od czasu zrezygnowania ze szpiegującego Google Analytics, w zasadzie mało co zaglądam na statystyki tego blogu. widzę, że czytacie - i to mi wystarcza :) zauważyłem jednak, że z jakiegoś przedziwnego powodu mój bardzo stary artykuł o łączeniu przełączników ciągle zbiera po 30-50 ściągnięć co miesiąc, w niektóre miesiące znacznie więcej (wygląda na to, że to nie boty). to mile łechce moje ego, ale ciągle zastanawiam się co tam takiego odkrywczego napisałem :)...

jeśli zdarzy wam się sytuacja, w której posiadacie więcej niż jedno łącze do internetu i mają one inne użyteczne przepustowości - co dzisiaj przestało być rzadkością - pojawia się ciekawy element związany z projektowaniem sieci. jak wykorzystać te łącza optymalnie? muszę przyznać, że do napisania tego cyklu postów sprowokował mnie Marcin Ślęczek, prezes firmy networkers.pl swoim postem na forum ccie.pl. miałem co prawda już w głowie coś na kształt rozwiązania problemu z którym sam borykałem się w swojej sieci domowej, ale niemożność rozwiązania problemu Marcina od ręki sprowokowała mnie do opisania problemu i potencjalnych rozwiązań od podszewki....

…ale narzędzi należy używać odpowiedzialnie. po pierwsze, niech wolno mi będzie złożyć pewne oświadczenie - dla tych, którzy mnie nie znają, żeby uniknąć nieporozumień, które może zrodzić pobieżna lektura tego postu: jestem wielkim fanem dyskusji o zaletach technologii. wierzę głęboko, że możliwość tworzenia sieci, rozwiązań które naprawdę pozwalają ludziom zbliżyć się do siebie i komunikować na odległość to coś co robię i mogę robić przez resztę życia z całym zaangażowaniem...

Daniel Dib zapytał ostatnio na Twitterze o czas konwergencji światowego BGP. dwie godziny, które uzyskał od swojego znajomego w odpowiedzi wydawały mi się nieco podejrzane. sam ostatnio pomagałem uruchomić zupełnie nowy ASN z zupełnie nowym prefiksem IPv4 (no dobrze, zarówno ASN jak i prefiks z drugiej ręki, ale jednak) i czas propagacji do najdalszych zakątków świata do których mogłem dotrzeć był zdecydowanie krótszy. więc zacząłem kopać. znalazłem ciekawe opracowanie z 2007 roku, które wspominało o czasach typu 15-30 minut, oraz inne z 2019, które wspomina już o czasie konwergencji rzędu czterech minut....

jedną z ciekawych, a rzadko spotykanych konfiguracji jest możliwość zestawienia tunelu z interfejsu należącego do grupy HSRP. pozwala to np. w sytuacji gdy macie dwa routery brzegowe, zestawić jeden tunel do Hurricane Electric aby zapewnić sobie możliwość transmisji IPv6 (tunelowanej, ale jednak). tunel będzie aktywny tylko z routera który jest aktualnie domyślną bramką - i to już. przykład poniżej zawiera zatem konfigurację tunelu IPv6 ponad IPv4, ale tak naprawdę rodzaj tunelu nie ma znaczenia....

mój ostatni wpis o konstrukcji domowej sieci spowodował, że otrzymałem parę ciekawych maili. mniejsza o większość - doceniam głosy pochwały i chylę czoła przed głosami krytyki :) krótki opis (odsyłam do powyższego linku) jak co jest połączone zakończony, zajmijmy się zatem usługami. podstawową jest oczywiście rozwiązywanie nazw, czyli DNS. “bo to zawsze jest DNS” jak mówi jedna z mądrości sieciowych. ponieważ korzystam z UPSów (dziękujemy Ci, PGE…) mam to szczęście, że większość infrastruktury nawet w przypadku utraty zasilania, będzie działać....

jeśli podobnie jak ja, natychmiast zmieniasz znudzony okna po wykonaniu copy scp x y, zapewne ucieszysz się ponieważ wprowadzamy znaczące usprawnienia do stosu TCP/IP na potrzeby SCP. w NX-OS od 9.3(1), do polecenia kopiowania można dodać argument use k-stack, w ten sposób: nxos-switch#copy scp://192.168.0.1/nxos.bin bootflash: use-kstack natomiast w IOS-XE, począwszy od 17.2(1), podobne przyśpieszenie można uzyskać włączając globalnie tryb ip ssh bulk-mode.

po ponad 13 latach spędzonych w Cisco Systems Poland na pracy “w polu”, zdecydowałem że najwyższy już czas zacząć robić coś nowego. coś, co ma szansę stać się nową przygodą. przez te lata miałem okazję pracować ze wspaniałymi ludźmi i wiele się nauczyć. przeszedłem też całą “ścieżkę” w organizacji krajowej, awansując od “prostego” inżyniera systemowego (Systems Engineer), do lidera architektury (IP NGN, tak kiedyś się mówiło na sieci operatorskie nowej generacji), dyrektora technicznego (Systems Engineer Manager), w końcu Dyrektora Sprzedaży (i odpowiedzialności za 2/3 kwoty krajowej operacji), by wrócić na pozycję dyrektora technicznego i krajowego CTO....

co dwa (lub trzy, jeśli dopuścimy wejście w stan ‘zawieszony’) lata, w życiu każdego CCIE i CCDE pojawia się ten straszny moment zwany ‘recertyfikacją’. panika jest zwykle krótkotrwała i kończy się ‘popchnięciem’ - z użyciem różnych technik, ale jednak do przodu. miałem okazję trafić właśnie ostatnio na konieczność ‘recerta’ - i sprawdza się mądrość ludowa, że ludzie, którzy na bieżąco przestają mieć do czynienia z sieciami, mają z tym problemy....

zdarzyło się tak, że dopadł mnie weekend na wsi :) router Cisco 887VAGW+7-E-K9, mała konfiguracja (jak poniżej) i jest dobrze. ! chat-script gsm "" "AT!SCACT=1,1" TIMEOUT 15 "OK" ! interface Cellular0 ip address negotiated ip nat outside ip virtual-reassembly in encapsulation slip load-interval 30 dialer in-band dialer idle-timeout 300 dialer string gsm dialer-group 1 async mode interactive ! ip nat translation timeout 60 ip route 0.0.0.0 0.0.0.0 Cellular0 ! dialer-list 1 protocol ip permit !...

warto rzucić okiem. a potem ze zdziwienia otworzyć oczy szerzej. bardzo szacowne sieci (i hosty) się na mapkach pojawiają: SenderBase malware SenderBase spam ogólne raporty z SenderBase, największej rozproszonej sieci zbierającej dane o zagrożeniach: SenderBase

…albo kto ich jeszcze dzisiaj potrzebuje? bardzo ciekawy artykuł pracownika Google, który opisuje jak pracują ciała standaryzacyjne i jak bardzo coraz mniej z tego wynika. Cisco już dawno poszło drogą pokazywania rozwiązań, które działają a potem prób standaryzacji protokołów i rozwiązań, ponieważ gdyby nie takie podejście, do dzisiaj zapewne trwałyby debaty czy potrzebujemy PVLANów, FabricPath (TRILL), ale również takich protokołów jak LDP czy HSRP/VRRP/GLBP. właśnie próbujemy przepchnąć przez standaryzację protokół OpFlex....

funkcje związane z zarządzaniem pamięcią i/lub CPU w świecie IPv6 stanowią poważne wyzwanie nawet dla nowoczesnego sprzętu. wygląda jednak na to, że podstawowe praktyki programistyczne, oraz zdrowy rozsądek… nie idą w parze (a jakże). właśnie natknąłem się na opis problemu jaki ma Microsoft Windows (i nie tylko - z obsługą IPv6 RA. wygląda na to, że nie chodzi tylko o pakiety RA, ale w ogóle o całą komunikację sieciową odbywającą się za pomocą adresów link-local - ponieważ funkcje wbudowane w te systemy zajmują sobie pamięć dosyć swobodnie....

jedyna taka okazja w Polsce i zdecydowanie jedyna w tej części Europy. będę miał niesamowitą okazję dołączyć do grona moich szacownych kolegów i mistrzów semantyki projektowej - Piotra Jabłońskiego, Sebastiana Pasternackiego i Piotra Matusiaka w specjalnym, dedykowanym bootcampie CCDE. zaczynamy 5’ego maja. zapoznać z zakresem bootcampu ale i zapisać można here.

skończył się sezon ogórkowy i w kolejnych odsłonach przyszło nam pochwalić się nowościami w ofercie. większość nowości pokazuje, że Cisco po pierwsze bardzo poważnie traktuje SDN, a po drugie - faktycznie patrzymy całościowo na rynek, a nie punktowo i nadal w sposób nie wychodzący poza tradycyjne myślenie o sieci. po pierwsze zatem, NCS - Network Convergence System, pierwsze rozwiązanie na świecie zbudowane od podstaw aby połączyć dwa odrębne światy - optyczny i IP/MPLS....

Maciej Broniarz zaprosił nas do uczestnictwa w nowej konferencji poświęconej bezpieczeństwu sieciowemu. Aegis (tak jak system pola walki dla krążowników rakietowych :P) odbędzie się 2/3 lipca na UW i mam nadzieję, że biorąc pod uwagę agendę, ściągnie wiele z Was na miejsce. razem z Maćkiem mamy również ambicję poprowadzić drugiego dnia panel o DDoSach oraz potem wspólną prezentację nawiązującą nieco do prowadzonych przeze mnie kiedyś na CONFidence serii sesji pt. “Bezpieczeństwo za pomocą taśmy klejącej” ....

…i ruszyły ostatnie przygotowania. może kiedyś napiszę o tym książkę z zespołem :) w międzyczasie walczę z IW10 na platformach Windows (W7 jakoś nie chce przyjąć do serca wyników KB2472264), czytam kolejną książkę Wołoszańskiego (o Himmlerze), bawie się rozwiązaniami wirtualizacyjnymi platform Cisco (więcej o tym na rzeczonym Cisco Forum 2013) i dłubię w LISPie (kończąc reaktywować BGP blackholing :) ). boleję też nad tym, że QNAP via PHP nie potrafi robić backupów do Amazona dla plików powyżej 2GB :)...

właśnie trafiłem na krótki artykuł Michaela Leonarda z firmy Juniper, który postanowił doczepić się LISPa. nazywam takie dyskusje o niczym ’nie rozumiem, ale i tak coś napiszę’ - i do tego cały ten artykuł się sprowadza. w momencie, gdy toczymy ciekawe dyskusje z inżynierami i architektami z firmy Juniper i w wielu obszarach współpracujemy - co ciekawe o czym najwyraźniej autor nie wie również w obszarze LISPa - aż przykro patrzeć, jak ludzie sterowani złymi pobudkami postanawiają “zaistnieć”, wychodząc przed szereg i szkalując dobre imię firmy, w której pracują....

Jak można się zorientować, rozpoczęliśmy rejestrację na kolejną edycję Cisco Forum - 2013. Spotkamy się w Hotelu Kasprowy - rozważaliśmy zmiany, ale chyba jeszcze nie znaleźliśmy dobrej alternatywy. Staramy się zbudować możliwie ciekawą i interesującą agendę - dyskusja na ten temat toczy się w duchu otwartości i transparentności na forum ccie.pl. Dzięki wyrozumiałości kolegów udało mi się wcisnąć z dwoma sesjami - pierwszą, drugiego dnia, dotyczącą rozwiązań SDN i onePK w szczególności, którą poprowadzę razem z Bartłomiejem Anszpergerem, dyrektorem Advanced Services oraz na sesję o certyfikacji CCDE i drodze do jego zdania - którą z kolei poprowadzę wraz z jednym z największych - jeśli nie największym - specjalistą od sieci IP NGN w Polsce - Piotrem Jabłońskim, konsultantem w dziale Advanced Services oraz Sebastianem Pasternackim, technicznym opiekunem kanału Partnerskiego w Polsce (obaj oczywiście CCDE)....

jeśli do tej pory nie mieliście okazji zauważyć, w linii 15M wprowadzony został shell IOS. uruchomienie tej funkcjonalności sprowadza się do banalnego: C2#conf t C2(config)#shell processing full teraz dodatkowe polecenia i możliwości stoją przed Wami otworem. działają typowe dla systemów unixowych polecenia oraz rozszerzenia poleceń, w tym zagnieżdżony grep :) C2#sh running-config | wc -l 163 C2#sh running-config | grep ip | grep 2001 ipv6 address 2001:DB8:10::10:254/64 ipv6 route ::/0 2001:DB8:10::10:1 dla wszystkich, którzy przyzwyczaili się pod IOS-XR do obsługi dodatkowych poleceń, to zapewne miła wiadomość :)

korzystając z nowej platformy Cisco, popełniłem krótki wpis o mającym swoją premierę na Cisco Live onePK. obserwuje od ponad dwóch lat dyskusje o korzyściach z zastosowania oprogramowania jako zcentralizowanej płaszczyzny kontroli dla sieci. z dystansem podszedłem do szaleńczej radości związanej z “eksplozją” OpenFlow i jak pokazał czas - słusznie. dzisiaj to producenci sprzętu zwolnili i podchodzą z dystansem do kolejnych wersji standardu, samo tempo prac też spada - coraz więcej z tych, którzy zdecydowali się na początku wejść we wsparcie sprzętowe dzisiaj zdaje sobie sprawę, że niewiele zyskuje - i zaczyna się wycofywać, jeśli nie wprost - to zarzucając aktywny rozwój platform....

zapraszamy - 22 i 23 październik, Kraków, hotel Galaxy. można zobaczyć i posłuchać na własne oczy naszego zupełnie amatorskiego zaproszenia poniżej

właśnie popełniłem kolejny post ‘objaśniający’ działanie ’nowej’ matrycy na Sup720-10GE do Catalysta 6500 na cisco-nsp@: In old Sup720 design, the Supervisor itself is connected to the fabric using one channel. This channel is used by Hyperion ASIC to provide for bus interface, and multicast/SPAN features. Because there’s no other way to connect the uplinks on the Sup itself, the Hyperion has it’s interface also terminating the uplinks (2xGE) thus limiting effective throughput/etc....