Dienstag, 18. Oktober 2011

DE – Blog Empfehlung


Da ich immer noch an meinem neuen Blog Post sitze und keine wirkliche Zeit hab ihn fertig zu schreiben gibt es heute eine kleine Empfehlung zum Lesen zwischendurch. Paul Stewart hat ein interessantes Thema aufgegriffen was man auf jeden Fall im Hinterkopf haben sollte, beim Arbeiten mit einer ASA.
Sollte irgendjemand den Text auch in Deutsch brauchen einfach in die Comments posten ich kümmere mich dann darum.

EN – Blog post recommendation


Since I´m still working on my next blog post and lacking the time to finish it, I would like you to have a few at this cool ASA related post at Packet University.  I´ve not encountered the problem in real life but well you never know.

Dienstag, 11. Oktober 2011

DE - Wie kommt das "?" auf den Router


Da ich es ja ausgiebig in den letzten Posts zu IPv6 verwendet habe und ich auch schon einige Male gefragt wurde, Hier die Lösung zum Problem, wie kommt das Fragezeichen in die Konfig / die URL / das Passwort / den Pre-shared-key:
 STRG + V und dann ?
Das war‘s, weiter gehen, hier gibt es nichts zu sehen ;)

EN - How to get a ? in your config

Well since I´ve used it in my last posts about IPv6 on Cisco routers and I was asked a few times how to get a question mark into the config / url / password / pre-shared-key on your cisco device here the solution:
 CRTL + V + ?
Thats it folks!

Montag, 10. Oktober 2011

EN - HEv6 Tunnel improvements

After surfing the HE forum and a few other blogs I noticed some nice improvements that i would like to share with you.

DDNS URL
Currently I´m using the inital URL from HE but it is possible to use another URL that does not leave youre password in plaintext in your config

https://ipv4.tunnelbroker.net/ipv4_end.php?ip=AUTO&pass=MD5PASS&apikey=USERID&tid=TUNNELID

Keep in mind that USERID is not your accountname but the ID you can find on the HE webpage. MD5PASS is your account password as MD5 hash and TUNNELID stays your asigned tunnel id.
For the ip parameter you can either choose your static IPv4 IP or AUTO for dynamic IP updates.

Another interessting option is the following command

ipv6 general-prefix HEv6 2001:470:XXXX::/48

This enables you to use the reference your prefix by calling the “name” of the prefix. The configuration of the loop 2 interface changes accordingly to:

Interface loopback 2
ipv6 address HEv6 ::1/58
 ipv6 enable

Thanks to Karsten for the prefix hint on his blog. (Link)

DE - HEv6 Tunnel Verbesserungen


Nachdem ich noch etwas Zeit in den Foren von HE verbracht hab und auch bei anderen Quellen mich umgesehen habe, will ich hier noch ein paar Verbesserungen einpflegen.

DDNS URL
Derzeit verwende ich die URL wie sie Initial vorgeschlagen wird, aus dem HE Forum habe ich eine neue Form der URL, die verhindert dass das Passwort im Klartext in der Router Konfig steht.
  
https://ipv4.tunnelbroker.net/ipv4_end.php?ip=AUTO&pass=MD5PASS&apikey=USERID&tid=TUNNELID
 
Dabei ist zu beachten, das im Gegensatz zur original Form, ist der paramter IP mit der statischen IP oder mit AUTO für dynamische IPs zu belegen, sowie die USERID die ID und nicht der Accountname, MD5PASS das Accountpasswort als MD5 Hash und die TUNNELID wie gehabt die Tunnelid des IPv6 Tunnels ist.


Auch interessant ist die Option

Das ermöglicht das Referenzieren in der weiteren Routerkonfiguration auf diesen Präfix. Lässt sich einfacher merken und spricht sich im Zweifelsfall auch einfacher.

ipv6 general-prefix HEv6 2001:470:XXXX::/48

Daraus ergibt sich für das Loop 2 Interface folgende Config
nterface loopback 2
ipv6 address HEv6 ::1/58
 ipv6 enable

 Danke an Karsten bei dem ich mir das Präfix Command geliehen hab. (Link)

Sonntag, 9. Oktober 2011

EN - Hurricane Electric IPv6 Tunnel with Cisco 887


As mentioned earlier I was playing with the Hurricane Electric IPv6 Tunnel setup. Now that the Tunnel is up and running I would like to share some knowledge I gained and provide a few config sniplets.

Starting with the registration at www.tunnelbroker.net you can request an IPv6 Tunnel. As soon as you´ve registered you can set up your tunnel and register for a complete network with a/48 mask. Obviously to say – I did register for the network.

You can divide configuring your router into 4 steps (more or less)
  • Tunnel creation
  • Configure HE Tunnel update
  • Add the HE Certificate
  • Configure and use your /48 network
  • testing
The default configuration of HE expects you to have a static IPv4 configured at your router. Well since I’m using a home DSL connection my IP address changes every 24 hours. That´s why I change the tunnel source from IP to dialer 1. 

interface Tunnel0
 description Hurricane Electric IPv6 Tunnel Broker
 no ip address
 ipv6 enable
 ipv6 address 2001:470:xxxx:xxxx::2/64
 tunnel source Dialer 1
 tunnel destination 216.66.84.42
 tunnel mode ipv6ip
ipv6 route ::/0 Tunnel0
Additional to the configuration I added this interface into the appropriate zone of the Zone-Based firewall.
The next step for locations with changing IP addresses is to convince your router to tell HE the changing IPv4 address. Hurricane offers a default URL that you can use for the updating process.
https://ACCOUNTNAME:ACCOUNTPASSWORT@ipv4.tunnelbroker.net/ipv4_end.php?tid=TUNNELID

To update your IP at HE, you can use the DDNS feature of the Cisco router.

ip ddns update method HEv6
 HTTP
  add https://ACCOUNTNAME:ACCOUNTPASSWORT@ipv4.tunnelbroker.net/ipv4_end.php?tid=TUNNELID   !update in next blog post
 interval maximum 0 6 0 0
 interval minimum 0 1 0 0
Every hour but your router will update the IP at HE.
You have to update the configuration of your dialer interface (or the interface that is providing your internet connection) to update HE.
Interface Dialer 1
 ip ddns update hostname WS-Router
 ip ddns update HEv6
Next step is to import the certificate HE is using for the tunnel broker website. Since this page is using a self-signed certificate the update with ddns could cause problems if you don´t import it.
crypto pki trustpoint HEv6
 enrollment terminal pem
 revocation-check none
You need to authenticate the trustpoint using the following dialog:
#crypto pki authenticate HEv6

Enter the base 64 encoded CA certificate.
End with a blank line or the word "quit" on a line by itself
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Certificate has the following attributes:
       Fingerprint MD5: 1128B641 08E7E271 B2FFB7FF 91411952
      Fingerprint SHA1: 9EB44F27 6BCE5EF6 5D9D38CC A9252276 4318075C

% Do you accept this certificate? [yes/no]: yes
Trustpoint CA certificate accepted.
% Certificate successfully imported

I exported the applied certificate from my browser after opening the tunnelbroker page with Firefox.

The /48 network HE assigned to me was subnetted and applied to my loop 2 interface to check if everything works fine.
Interface loopback 2
ipv6 address 2001:470:XXXX::1/58
 ipv6 enable
Last but not least you should activate domain lookups on your router to resolve the tunnelbroker URL for ddns.
Final testing:

ping ipv6 ipv6.google.com source loop 2
Sending 5, 100-byte ICMP Echos to 2A00:1450:8004::6A, timeout is 2 seconds:
Packet sent with a source address of 2001:470:XXX::1
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 76/76/76 ms

YEAH! Everything worked as expected great ! 
More to come here!

DE - Hurricane Electric IPv6 Tunnel mit Cisco 887



Wie schon geschrieben hab ich mich das vergangene Wochenende mit dem IPv6 Tunnel von HE rumgeschlagen. Jetzt da er Up und Running ist will ich meine Erfahrungen mal zusammenfassen und Konfigsniplets preisgeben. 

Fangen wir am Anfang an, die Website ist unter www.tunnelbroker.net  zu finden, die Registrierung ist quasi selbsterklärend und sollte keine Hürde darstellen. Sobald man seinen Tunnel angelegt hat kann man sich auch noch ein Netz /48 reservieren lassen, was ich natürlich gleich gemacht hab. 

Die Konfiguration erfolgt in mehreren Schritten,
  • Tunnel aufsetzen
  • HE Tunnel update
  • HE Zertifikat einspielen
  •  /48 Netz verwenden
  • Test
Die Konfig des Tunnels geht davon aus, dass man eine statische IP hat und verwendet die IP des Browser in der initialen Konfiguration. Da wir nur einen Standard DSL am Standort haben hab ich die Statische IP durch das Dialer Interface ersetzt, das bei uns die DSL Einwahl macht.  

interface Tunnel0
   description Hurricane Electric IPv6 Tunnel Broker
   no ip address
   ipv6 enable
   ipv6 address 2001:470:xxxx:xxxx::2/64
   tunnel source Dialer 1
   tunnel destination 216.66.84.42
   tunnel mode ipv6ip
ipv6 route ::/0 Tunnel0

Zusätzlich hab ich das Interface noch in die entsprechende Zone der Zone-Base Firewall gehängt.

Als nächstes sollte man, bei dynamische angebundenen Standorten, den Router dazu überreden, bei Zwangstrennung oder IP wechseln die Tunneldaten bei HE zu aktualisieren.
Hurricane gibt dafür eine URL vor, die man vom Router aus aufrufen  kann, die URL hat folgenden Syntax:
https://ACCOUNTNAME:ACCOUNTPASSWORT@ipv4.tunnelbroker.net/ipv4_end.php?tid=TUNNELID

Um Hurricane zu aktualisieren sollte das DDNS feature des Routers verwendet werden:

ip ddns update method HEv6
 HTTP
  add https://ACCOUNTNAME:ACCOUNTPASSWORT@ipv4.tunnelbroker.net/ipv4_end.php?tid=TUNNELID !Update im nächsten Blogpost
 interval maximum 0 6 0 0
 interval minimum 0 1 0 0
Hier wird die dynamische IP meines Routers HE jede Stunde, spätestens nach 6 Stunden mitgeteilt.
 Dem Dialer Interface müssen noch die DDNS Infos mitgegeben werden, damit dieses HE aktualisiert.

Interface Dialer 1

 ip ddns update hostname WS-Router
 ip ddns update HEv6

Als letztes muss noch das Zertifikat von HE hinterlegt werden, da die Tunnelbroker Seite ein selbst signiertes Zertifikat verwendet und das zu Probleme mit dem DDNS Feature führen kann.
crypto pki trustpoint HEv6
 enrollment terminal pem
 revocation-check none
Danach muss der Trustpoint noch authentifiziert werden, der ganze Prozess stellt sich so dar:
crypto pki authenticate HEv6

Enter the base 64 encoded CA certificate.
End with a blank line or the word "quit" on a line by itself
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Certificate has the following attributes:
       Fingerprint MD5: 1128B641 08E7E271 B2FFB7FF 91411952
      Fingerprint SHA1: 9EB44F27 6BCE5EF6 5D9D38CC A9252276 4318075C

% Do you accept this certificate? [yes/no]: yes
Trustpoint CA certificate accepted.
% Certificate successfully imported

Das eingefügte Zertifikat kann man aus den Browser exportieren, wenn man die DDNS URL manuell aufruft. 

Ich habe das /48 Netz etwas gesubnettet und verwende für den Test das Loop 2 Interface um von einfach zu schauen ob wir Konnektivität haben.

Interface loopback 2
ipv6 address 2001:470:XXXX::1/58
 ipv6 enable
Ach ja zu guter Letzt sofern noch nicht vorhanden, sollte DNS aktiviert sein, schon allein damit die DDNS URL von HE aufgelöst wird.
Abschließender Test:

ping ipv6 ipv6.google.com source loop 2
Sending 5, 100-byte ICMP Echos to 2A00:1450:8004::6A, timeout is 2 seconds:
Packet sent with a source address of 2001:470:XXX::1
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 76/76/76 ms

YEAH! Alles schick, mehr kommt hier!

Samstag, 8. Oktober 2011

EN - Cisco 887w default open ports! WTF!

The last two nights I was playing with the Hurricane Electric Tunnel setup for one of our routers to get IPv6 to my lab. For some strange reason the tunnel showed that it was up but I was unable to ping the IPv6 IP of Google.com. To track down the issue I used the port scan feature of HE on my public v6 and besides the expected port 22 for tcp the following ports showed up on my 887w: Port tcp 2002, tcp 4002, tcp 6002 and tcp 9002. I tried a telnet and I was really scared when my router replied with a nice telnet prompt.

I goggled for the open ports plus cisco 887w and found the article over at www.dataprotectioncenter.com. It looked like the Line 2 is used to communicate between the router and the wireless controller. This controller was working like a service module in the router. 
The article provided a simple solution that I instantly applied. What was the solution – put an access list on the Line 2 for IPv4 and IPv6. 

I dug a little to the bug database at cisco.com but I couldn´t find anything.

 When I’m back at the office I´ll have a closer look on this particular problem and keep you updated.

Thanks to “Didier Stevens“  for figuring and sharing this issue.

DE - Cisco 887w offene Ports! WTF!


Die letzten zwei Nächte haben meinem 887w Router und Hurricane Electrics IPv6 Tunnel gehört. Ich wollte für mein Lab ein echtes IPv6 Netz haben und habe mir daher einen HE Tunnel auf den Router konfiguriert. Als die Konfig durch war konnte ich leider meine Test Host ipv6.google.com nicht erreichen. Da ich einen Fehler auf meiner Seite ausschließen wollte probierte ich mit dem HE Tool einen Port Scan auf meine Maschine der ziemlich erfolgreich war. 

Leider erfolgreicher als erwünscht da er neben dem erwarteten Port TCP 22 auch die Ports TCP 2002, TCP 4002, TCP 6002 und TCP 9002 als offen anzeigte. Einen kurzen versuch via Telnet später zeigte mir, dass auf den Ports auch wirklich eine hübsche Cisco Telnet Login Aufforderung kam. WTF, wo kommt das den her, ging mir durch den Kopf.

Wie so oft wusste Google Rat und ich fand bei der Suche nach “open ports cisco 887w” eine Artikel bei www.dataprotectioncenter.com. Der lieferte eine grobe Erklärung was dort antwortet, es ist dem Artikel zufolge “Line 2” die dafür genutzt wird, dass man vom Router mit dem Service Module des Wireless Controller kommunizieren kann. Die Lösung die der Artikel anbot ist recht einfach – einfach eine entsprechende access-list auf die “Line 2” binden und schon ist ruhe.

Sobald ich wieder im Büro bin und etwas mehr Zeit hab schau ich mir das Thema noch einmal genauer an. Im Moment mag ich nicht an dem Ast sägen, auf dem ich sitze :D

Wenn ich etwas mehr weiß, melde ich mich.

Ein dickes danke an “Didier Stevens“  von dem der Artikel stammt.

Achja die Cisco BUG DB findet dazu nichts (war ja klar)

Freitag, 7. Oktober 2011

EN - What a week!


First week with a new customer is done and it was quite nice. Quite good documented and nice topics I´m working on. Bad luck most stuff is once again CheckPoint but well I´ve got to face it, they won´t go away, so I got to deal with them.

Anyway since I was figuring out processes and stuff I wasn´t able to update my posts here but I think next week I´ll have a little more time for blogging.

DE - Was für eine Woche!


Quasi die erste Woche beim Kunden ist um und ich muss sagen ich bin positiv überrascht. Die meisten Sachen sind gut dokumentiert und / oder selbsterklärend und auch das Bereitstellen der Arbeitsmittel hat fast reibungslos funktioniert. Leider ist der Fokus auch dieses Mal wieder auf CheckPoint, aber da CheckPoint vermutlich nicht so schnell verschwindet, werde ich mich damit arrangieren (müssen).

Auf jeden Fall blieb mir nicht so viel Zeit zum bloggen, da die meiste Zeit zum einlesen und durcharbeiten drauf gegangen ist. Nächste Woche dürfte es besser werden und dann gibt es auch wieder neue Posts.

Dienstag, 4. Oktober 2011

DE – Rack Layout


OK ich hab es also wieder nicht wirklich geschafft meinen Zeitplan treu zu bleiben. Aber da ich mit meiner Familie meine Eltern besuchen war hab ich das verlängerte Wochenende für mehr Zeit mit der Familie und weniger Zeit zum Lernen und Bloggen genutzt.

Wie schon im letzten Post erwähnt, hab ich es geschafft mein Lab fertig zu stellen. 



Anbei eine kleine Auflistung der Sachen die ich jetzt verbaut hab und warum sie sich dort befinden :)

HE 1 & 2 - Patch Panels für die Büro Verkabelung – das Rack wird auch im Produktiven Netz benutzt
HE 3 - Cisco 2509 + Oktopus Kabel + AUI Konverter Der Router arbeitet als Terminal Server für alle Lab Geräte
HE 4 - Cisco 2924 – 24 Port Fast Ethernet Switch, als Backbone Switch übernimmt er die L2 Topologie Anbindung der ASAs
HE5 -6 Neat Patch – Kabelführungsgedönst (sehr schick)
HE7 HP ProCurve Switch (non Lab)
HE8 Cisco ASA (BLUE) –ASA OS 8.0.2
HE9 Cisco ASA (GREEN) –ASA OS 8.0.2
HE10 Cisco ASA (RED) –ASA OS 8.0.4 (wird noch angepasst)

Unter den ASAs befindet sich eine etwas ältere Vostro Workstation von Dell, die so umgebaut wurde, das sie nun als VMware Server für die anderen Systeme dient, sprich für ACS, IOU, GNS3 und natürlich auch für die Client Betriebssysteme

Auf der Rückseite des Racks befindet sich eine achtfach Steckdose, mit IP Anschluss, so dass alle Geräte per Webmanagement hoch und runter gefahren werden können.

Sobald ich Zeit hab update ich meine L1/ L2 Topologie und poste sie hier

So long

EN - Rack layout



Once again I´ve been a bit lazy, we´ve been to my parents and I decided to spent more time with my family than blogging (and learning).

But as mentioned earlier I was finally able to cable my rack.


As you can see (hopefully) I´ve got a mixed rack. This means a small part of the stuff is used for productive networking in our office.

I will quickly line out what I´ve used and why, starting from top.

U 1 & 2 - patch panels for the office (non LAB)
U 3 - Cisco 2509 + octopus cable + AUI converter – this router is used to provide console connections to all lab devices
U4 - Cisco 2924 – 24 Port Fast Ethernet switch, not really part of the lab the switch just provides the L2 Structure for the ASAs
U5 -6 Neat Patch – just to keep the rack clean
U7 HP ProCurve Switch (non Lab)
U8 Cisco ASA (BLUE) – Running ASA OS 8.0.2
U9 Cisco ASA (GREEN) – Running ASA OS 8.0.2
U10 Cisco ASA (RED) – Running ASA OS 8.0.4 (need to fix that)

Below – not rack mounted – Dell Vostro 410 Desktop PC modified to work as VM host system with ACS, IOU , GNS3 and some Guest OS to work as clients.

All Lab equipment is attached to an 8 port power outlet that can be managed using a web interface to remotely reboot the stuff in case it fails.

I´ll update the L1 / L2 topology in the next view days and once again post it here.
So long

Sonntag, 2. Oktober 2011

EN - So many things, so little time


Actually I had planned to post a small update on my CCIE lab the last Thursday, but as usual life or in this case the customer had another opinion about it. 

As mentioned earlier I was working at a customer location to immediately fix some network issues with HP system. After the STP problem was solved we talked a while and decided to move to L3 meaning enabling routing and reducing the spanning tree. Since the customer had special demands considering network outages during business hours we scheduled the redesign and rebuild of the network to Thursday night. Not to mention that it took the whole night after we “crashed” their router (Draytek) so hard that this stupid box didn´t knew that it had interfaces after the reboot

At 4 in the morning everything was back up and the network was running smooth (and all switches stayed significant below 20% CPU utilization). Next step will be replacing the Draytek box with two Cisco routers and shifting from copper uplinks to fiber as well as implement QoS

So I had about 4 hours to go back home, shower, sleep, wake up, get to the office and prepare for the next customer meeting – no time for blog post

Anyway I managed to finally cable my CCIE Security lab rack and will post a few updates about it tonight, hopefully.

DE – viel zu viel zu tun und viel zu wenig Zeit


Eigentlich wollte ich euch am vergangenen Donnerstag berichten wie toll mein CCIE Lab voranschreitet aber leider ist, wie so oft, etwas dazwischen gekommen, in diesem Fall ein Kunde.
Wie schon berichtet, habe ich ja letzten wieder einmal etwas mit HP ProCurves zu tun gehabt. Der Kunde hatte massive Netzwerkprobleme beklagt und wie sich herausstellte, war es unter anderem ein STP Problem, welches sich recht schnell fixen ließ. Nachdem der Fix implementiert war haben wir noch etwas zusammen gesessen und uns dann darauf verständigt, das wir von einer flachen L2 Struktur auf eine L3 Struktur wechseln und so den Spanning Tree massive verkleinern – quasi Bonsai Spanning Tree. Da der Kunde aber den kompletten Umbau der Netztopology nicht unbedingt in die Geschäftszeiten legen wollte, haben wir uns für die vergangene Donnerstagnacht entschieden.

Gesagt getan, die gesamte Nacht haben wir das Netz umgebaut und dabei den Edge Router (einen Draytek) so sehr verwirrt, das er nach einem Reboot nicht mehr seine Interfaces gefunden hatte. Zum Glück konnten wir die Box auf Werkseinstellungen zurücksetzen und ein Backup einspielen. Gegen 4 Uhr war das Netz dann umgestellt und schnurrte wie ein Kätzchen, Yeah! Als nächstes wird die Draytek Box durch ein paar Cisco Router ersetzt und die Uplinks auf Fiber umgestellt. Ach ja QoS soll auch noch kommen, unter anderem.

Danach blieben mir noch gute 4 Stunden um nach Hause zu kommen, zu duschen, zu schlafen, aufzustehen und ins Büro zu kommen für den nächsten Kundentermin. Sprich es blieb keine Zeit mehr für mein CCIE LAB Post übrig.

Egal, egal, egal, ich hab es am Freitag geschafft mein Rack noch fertig zu verkabeln und darüber gibt es hoffentlich heute Nacht ein Post ;)

Mittwoch, 28. September 2011

EN – HP ProCurve / Cisco Catalyst Interoperability

Today I was working at a customer location playing around with some HP ProCurve switches. Usually I do configure Cisco switches, so I was happy to find this little guide about HP ProCurve and Cisco Catalyst interoperability. Quite nice if you are sure what you want to do on Cisco but are unsure what the command should look like on ProCurve.

ProCurve /Catalyst Interoperability Guide (found at www.tecnocael.it)

DE – Zusammenspiel von HP ProCurve und Cisco Catalyst

Heute hatte ich das Glück bei einem Kunden mit einigen HP ProCurve Switches zu arbeiten. Da ich schon eine Weile nicht mehr mit den ProCurves zu tun hatte, ist mein Know How über den speziellen Syntax etwas eingerostet. Umso mehr hab ich mich gefreut im Netz einen kleinen Guide zu finden der im Prinzip darstellt, wie Cisco Catalyst und HP ProCurves zusammenarbeiten. Der Vorteil daran ist, dass man sehen kann wie eine Konfiguration unter Cisco als ProCurve Config aussieht.

ProCurve / Catalyst Interoperability Guide (gefunden bei  www.tecnocael.it)

Dienstag, 27. September 2011

DE - Grundlagen schaffen

Yeah, ich hab ein neues Projekt – ASA / Checkpoint in Hamburg, sprich leider weit weg von meiner Familie. Der einzige Vorteil den ich da habe, ist das ich die Abende zum Lernen nutzen kann.
Um richtig loszulegen habe ich begonnen Grundlagen zu schaffen.
Was bedeutet das genau. Ich habe einige von meinen alten MSDN CDs rausgekramt und in VMware ein paar Systeme hochgezogen.
  • System 1: Windows Server 2003 Inkl. AD, CA und Tardis (NTP Server/Client)
  • System 2: Windows Server 2003 ACS 4.2 Server, 3CDaemon
  • System 3+4: Windows XP, Client System für VPN usw.

Morgen werden die Systeme auf den VM Server geschoben und dann bin ich fast fertig mit der Lab Vorbereitung.
Achja kleine Anekdote am Rande, ich habe mir ja einen 2509 gekauft der als TS Server dienen soll, leider hab ich übersehen, dass das gute Stück nur 2 Serial + 1 AUI Interface hat, so dass ich jetzt noch einmal ein paar Euro für einen AUI – Ethernet Adapter nachschießen darf.
Hoffentlich mehr am Donnerstag

EN – Setting up the basics

First of all yeah I´ve got a new project, mostly ASA/Checkpoint. Sadly it is in Hamburg so quite a good deal away from my family. The only thing positive about being in Hamburg is that I will have the time for some serious learning.
To do so, I´ve started today to build up some basics for the lab.
I had to dig out my old MSDN CDs and deployed a few systems in VMware.

  • System 1: Windows Server 2003 with Active Directory, Certificate Authority and Tardis (for NTP)
  • System 2: Windows Server 2003 with ACS 4.2 and 3CDaemon for Syslog
  • System 3 and 4: Windows XP, Client System for VPN and so on…

Hopefully I will be able to move them from my laptop to the VM Server. When this is completed, my lab is nearly ready.
I noticed today when my Terminal Server Router (2509) arrived that this box was missing an Ethernet interface. Default configuration is just 2x serial and 1x AUI interface, so I had to order an AUI to Ethernet adaptor. Bad luck!

Montag, 26. September 2011

EN – Books!

Depending on your time zone Sunday has already passed and my post intentioned for Sunday is published on Monday, but well at least it is published.
As I mentioned two days ago, I really want to get into this CCIE thing and started with one important question „ what should I read?“ Cisco got a quite good answer, a book list recommended for your CCIE security studies. This list is quite scary because it would take years to read all these books.


I already own the following books.






The first is he only book I bought specially for my CCIE training, the rest I own because from time to time it is nice to look something up during the job.
As soon as I add a new book I´ll publish it here and of course give some comments about the existing once.
Hopefully my next post will be up on Tuesday.

DE – Bücher!

Je nachdem in welcher Zeitzone ihr wohnt ist der Sonntag schon vorbei, leider bei mir auch, so das aus dem Sonntagsposting ein Montagmorgenposting geworden ist.

Jetzt da ich das Thema CCIE ernsthaft angehen will, ist natürlich eine der wichtigsten Fragen, was sollte man alles Lesen um Fit auf dem Bereich zu werden und auch eine ernsthafte Chance zu haben.
Es gibt bei Cisco eine schicke Liste mit empfohlenen Büchern, wenn man die durchgeht bekommt man es mit der Angst zu tun, da um das alles zu lesen man vermutlich Jahre braucht.


Ich nenne davon Folgende bereits mein eigen:

Bis auf das erste hab ich diese schon einige Zeit da ich sie fürs Arbeitsleben hin und wieder auch gebrauchen kann. Das erste Buch hab ich nur zum CCIE Training mir an Land gezogen.
Sobald ich neue Bücher mir hinzu hole wird ich das hier irgendwo updaten. Fürs erste hab ich genug mit den die ich habe zu tun.

Mehr gibt es voraussichtlich am Dienstag

Samstag, 24. September 2011

EN - Go Go Go!

Well that’s life, traveling around and doing various projects you end up doing more Checkpoint than Cisco stuff. Actually I´m fine with both but I like Cisco a little more. So what can I do to get back on the Cisco track? Yes aim for the CCIE security. (You have to have big goals). 

I was hoping that I would have finished my CCIE before I hit the age of 31 but well I really had no time (insert other lame excuse here!) .

Anyway to really start with the CCIE preparations you need what (except from time and books) yes equipment! Here we go!


That’s 3x ASA 5510 Sec bun + 3x 2940 + 1x 1841. In theory I just need the ASAs and the switch the rest will be done using VMware, GNS3 and IOU.
When the lab is finished wiring it will hopefully look somewhat like this:



The top left router is a 2509 for TS that I bought today but that is not jet shipped.

That’s all for now more on Sunday (hopefully)

DE – Go Go Go!

So schön kann die Welt sein. Da treibt man sich eine Weile in den unterschiedlichsten Projekten herum und plötzlich hat man mehr mit Checkpoint zu tun als mit Cisco. Grundsätzlich kann ich mit beiden Systemen leben aber mir liegt eigentlich eher die Cisco Variante.  Daher heißt es für mich in nächster Zeit Cisco wieder stärker forcieren.
Und wie lässt sich Cisco stärker forcieren genau mit einem CCIE. JAHA! Genau CCIE! Eigentlich wollte ich das Thema noch vor meinem 31 erledigt haben aber irgendwie war der Rest der Welt gegen mich. (Bitte hier beliebige andere Ausrede einsetzen)
Sei es wie es sei, ich mach nun ernst. Was braucht man wenn man es ernst meint? Richtig Equipment!



Das hab ich ja nun wie man hier hübsch sieht (3x ASA 5510 Sec bun + 3x 2940 + 1x 1841)
Brauchen tu ich eigentlich nur die drei ASAs und den 2940 24 Port Switch eventuell fällt mir noch etwas Sinnvolles für den 1841 ein aber eigentlich wollte ich alles was Router und Switch heißt ins IOU bzw. Dynamips verbannen.
Das ganze sieht dann nach aktuellem Netzwerkplan auf Layer 2 etwa so au:




Ach ja der Router oben links ist ein 2509 als TermServer der heute günstig für mich abfiel, aber sich noch ein paar Tage auf Reisen befindet.
So, am Sonntag gibt es mehr!

Montag, 3. Januar 2011

DE - Port Channel

Wie schon heute Vormittag erwähnt, werde ich mich z.Z. etwas mehr dem CCNP Themen widmen und Überraschung hier ist das erste aus dem SWITCH Bereich: EtherChannel. Da es mir im Moment an echten Switchen fehlt hab ich das ganze soweit wie möglich in GNS3 / Dynamips nachgebaut.

Das Setup ist denkbar einfach 2x 3725 als Hosts und 2x 3725 mit NM-16ESW als Switches die den EtherChannel bilden, wobei die Switches mit 4 Kabeln direkt an den Interfaces FastEthernet 1/12 - 15 verbunden werden.







Die Konfiguration ist nur um den Domainnamen, eine IP und den Speed sowie Duplex Einstellungen erweitert worden.


ip domain name EtherChannel.playingwithnetworks.com
int fast 0/0
speed 100
du fu
ip address 10.0.1.1 255.255.255.0
no shut


Auf den Switches muss an sich nur der EtherChannel konfiguriert werden. Sobald beide Switches an sind konnte man im Spanning Tree das erwartete verhalten bei redundanten Verbindungen sehen. Das geringwertigste Interface, in diesem Fall FastEthernet 1/12 geht in den forwarding modus die restlichen Interfaces sind im Blocking auf dem Switch der nicht Root Bridge geworden ist.


Switch_A#sh spanning-tree brief
VLAN1
Spanning tree enabled protocol ieee
Root ID Priority 32768
Address c20a.1ed0.0000
Cost 19
Port 53 (FastEthernet1/12)
Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec

Bridge ID Priority 32768
Address c20b.1ed0.0000
Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec
Aging Time 300

Interface Designated
Name Port ID Prio Cost Sts Cost Bridge ID Port ID
-------------------- ------- ---- ----- --- ----- -------------------- -------
FastEthernet1/0 128.41 128 19 FWD 19 32768 c20b.1ed0.0000 128.41
FastEthernet1/12 128.53 128 19 FWD 0 32768 c20a.1ed0.0000 128.53
FastEthernet1/13 128.54 128 19 BLK 0 32768 c20a.1ed0.0000 128.54
FastEthernet1/14 128.55 128 19 BLK 0 32768 c20a.1ed0.0000 128.55
FastEthernet1/15 128.56 128 19 BLK 0 32768 c20a.1ed0.0000 128.56



Der EtherChannel kann dann wie folgt konfiguriert werden:


Interface range fast 1/12 – 15
Switchport trunk encryption dot1q
Switchport mode trunk
Channel-group 1 mode on


Wobei die Trunk Settings optional sind wichtig ist nur das die Interfaces dieselben Settings haben.
Sobald beide Switches durchkonfiguriert sind und die PortChannel Interfacesauf beiden Up sind verschwinden Interfaces Fast 1/12 – 15 aus der Spanning Tree Ansicht. Es bleibt nur noch das PortChannel 1 Interface im Forwarding Modus.


Switch_A#sh spanning-tree brief

VLAN1
Spanning tree enabled protocol ieee
Root ID Priority 32768
Address c20a.1ed0.0000
Cost 8
Port 321 (Port-channel1)
Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec

Bridge ID Priority 32768
Address c20b.1ed0.0000
Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec
Aging Time 300

Interface Designated
Name Port ID Prio Cost Sts Cost Bridge ID Port ID
-------------------- ------- ---- ----- --- ----- -------------------- -------
FastEthernet1/0 128.41 128 19 FWD 8 32768 c20b.1ed0.0000 128.41
FastEthernet1/1 128.42 128 19 FWD 8 32768 c20b.1ed0.0000 128.42
Port-channel1 129.65 128 8 FWD 0 32768 c20a.1ed0.0000 129.65



Das war´s ;)