DE – Blog Empfehlung

Da ich immer noch an meinem neuen Blog Post sitze und keine wirkliche Zeit hab ihn fertig zu schreiben gibt es heute eine kleine Empfehlung zum Lesen zwischendurch. Paul Stewart hat ein interessantes Thema aufgegriffen was man auf jeden Fall im Hinterkopf haben sollte, beim Arbeiten mit einer ASA.

Sollte irgendjemand den Text auch in Deutsch brauchen einfach in die Comments posten ich kümmere mich dann darum.

The Woes of Using an ASA as a Default Gateway @ Packet U

EN – Blog post recommendation

Since I´m still working on my next blog post and lacking the time to finish it, I would like you to have a few at this cool ASA related post at Packet University.  I´ve not encountered the problem in real life but well you never know.

The Woes ofUsing an ASA as a Default Gateway @ Packet U

DE - Wie kommt das "?" auf den Router

Da ich es ja ausgiebig in den letzten Posts zu IPv6 verwendet habe und ich auch schon einige Male gefragt wurde, Hier die Lösung zum Problem, wie kommt das Fragezeichen in die Konfig / die URL / das Passwort / den Pre-shared-key:
 STRG + V und dann ?
Das war‘s, weiter gehen, hier gibt es nichts zu sehen ;)

EN - How to get a ? in your config

Well since I´ve used it in my last posts about IPv6 on Cisco routers and I was asked a few times how to get a question mark into the config / url / password / pre-shared-key on your cisco device here the solution:

 CRTL + V + ?

Thats it folks!

EN - HEv6 Tunnel improvements

After surfing the HE forum and a few other blogs I noticed some nice improvements that i would like to share with you.

DDNS URL
Currently I´m using the inital URL from HE but it is possible to use another URL that does not leave youre password in plaintext in your config

https://ipv4.tunnelbroker.net/ipv4_end.php?ip=AUTO&pass=MD5PASS&apikey=USERID&tid=TUNNELID

Keep in mind that USERID is not your accountname but the ID you can find on the HE webpage. MD5PASS is your account password as MD5 hash and TUNNELID stays your asigned tunnel id.
For the ip parameter you can either choose your static IPv4 IP or AUTO for dynamic IP updates.

Another interessting option is the following command

ipv6 general-prefix HEv6 2001:470:XXXX::/48

This enables you to use the reference your prefix by calling the “name” of the prefix. The configuration of the loop 2 interface changes accordingly to:

Interface loopback 2
ipv6 address HEv6 ::1/58
 ipv6 enable

Thanks to Karsten for the prefix hint on his blog. (Link)

DE - HEv6 Tunnel Verbesserungen

Nachdem ich noch etwas Zeit in den Foren von HE verbracht hab und auch bei anderen Quellen mich umgesehen habe, will ich hier noch ein paar Verbesserungen einpflegen.

DDNS URL

Derzeit verwende ich die URL wie sie Initial vorgeschlagen wird, aus dem HE Forum habe ich eine neue Form der URL, die verhindert dass das Passwort im Klartext in der Router Konfig steht.

  

https://ipv4.tunnelbroker.net/ipv4_end.php?ip=AUTO&pass=MD5PASS&apikey=USERID&tid=TUNNELID

Dabei ist zu beachten, das im Gegensatz zur original Form, ist der paramter IP mit der statischen IP oder mit AUTO für dynamische IPs zu belegen, sowie die USERID die ID und nicht der Accountname, MD5PASS das Accountpasswort als MD5 Hash und die TUNNELID wie gehabt die Tunnelid des IPv6 Tunnels ist.


Auch interessant ist die Option

Das ermöglicht das Referenzieren in der weiteren Routerkonfiguration auf diesen Präfix. Lässt sich einfacher merken und spricht sich im Zweifelsfall auch einfacher.

ipv6 general-prefix HEv6 2001:470:XXXX::/48

Daraus ergibt sich für das Loop 2 Interface folgende Config

nterface loopback 2

ipv6 address HEv6 ::1/58

 ipv6 enable

 Danke an Karsten bei dem ich mir das Präfix Command geliehen hab. (Link)

EN - Hurricane Electric IPv6 Tunnel with Cisco 887

As mentioned earlier I was playing with the Hurricane Electric IPv6 Tunnel setup. Now that the Tunnel is up and running I would like to share some knowledge I gained and provide a few config sniplets.

Starting with the registration at www.tunnelbroker.net you can request an IPv6 Tunnel. As soon as you´ve registered you can set up your tunnel and register for a complete network with a/48 mask. Obviously to say – I did register for the network.

You can divide configuring your router into 4 steps (more or less)

• Tunnel creation
• Configure HE Tunnel update
• Add the HE Certificate
• Configure and use your /48 network
• testing

The default configuration of HE expects you to have a static IPv4 configured at your router. Well since I’m using a home DSL connection my IP address changes every 24 hours. That´s why I change the tunnel source from IP to dialer 1. 

interface Tunnel0

 description Hurricane Electric IPv6 Tunnel Broker

 no ip address

 ipv6 enable

 ipv6 address 2001:470:xxxx:xxxx::2/64

 tunnel source Dialer 1

 tunnel destination 216.66.84.42

 tunnel mode ipv6ip

ipv6 route ::/0 Tunnel0

Additional to the configuration I added this interface into the appropriate zone of the Zone-Based firewall.

The next step for locations with changing IP addresses is to convince your router to tell HE the changing IPv4 address. Hurricane offers a default URL that you can use for the updating process.

https://ACCOUNTNAME:ACCOUNTPASSWORT@ipv4.tunnelbroker.net/ipv4_end.php?tid=TUNNELID

To update your IP at HE, you can use the DDNS feature of the Cisco router.

ip ddns update method HEv6

 HTTP

  add https://ACCOUNTNAME:ACCOUNTPASSWORT@ipv4.tunnelbroker.net/ipv4_end.php?tid=TUNNELID   !update in next blog post

 interval maximum 0 6 0 0

 interval minimum 0 1 0 0

Every hour but your router will update the IP at HE.

You have to update the configuration of your dialer interface (or the interface that is providing your internet connection) to update HE.

Interface Dialer 1

 ip ddns update hostname WS-Router

 ip ddns update HEv6

Next step is to import the certificate HE is using for the tunnel broker website. Since this page is using a self-signed certificate the update with ddns could cause problems if you don´t import it.

crypto pki trustpoint HEv6

 enrollment terminal pem

 revocation-check none

You need to authenticate the trustpoint using the following dialog:

#crypto pki authenticate HEv6

Enter the base 64 encoded CA certificate.

End with a blank line or the word "quit" on a line by itself

MIID8DCCAtigAwIBAgIJAPF6IlDmmdRhMA0GCSqGSIb3DQEBBQUAMIGcMQswCQYD

VQQGEwJVUzETMBEGA1UECBMKQ2FsaWZvcm5pYTEQMA4GA1UEBxMHRnJlbW9udDEg

MB4GA1UEChMXSHVycmljYW5lIEVsZWN0cmljLCBMTEMxDTALBgNVBAsTBElQdjYx

GTAXBgNVBAMTEHR1bm5lbGJyb2tlci5uZXQxGjAYBgkqhkiG9w0BCQEWC2lwdjZA

aGUubmV0MB4XDTExMDQyMjE3NDIyMFoXDTIxMDQxOTE3NDIyMFowgZwxCzAJBgNV

BAYTAlVTMRMwEQYDVQQIEwpDYWxpZm9ybmlhMRAwDgYDVQQHEwdGcmVtb250MSAw

HgYDVQQKExdIdXJyaWNhbmUgRWxlY3RyaWMsIExMQzENMAsGA1UECxMESVB2NjEZ

MBcGA1UEAxMQdHVubmVsYnJva2VyLm5ldDEaMBgGCSqGSIb3DQEJARYLaXB2NkBo

ZS5uZXQwggEiMA0GCSqGSIb3DQEBAQUAA4IBDwAwggEKAoIBAQDe5nza8zQ/AiT+

ySc4mZYmLMcIrcU3q6ZEwIY5vHg2chzCJGCPQIwtBiexSZ7CWL8/GjdPWs6DoCut

DS6VlGGaRhJd0ppUOB3uZLcqnfY0/d40WpRFm49yAV3fmhQg744BKUz2+V23E3tP

n4UXq507dQ3RmNiZoS/T+DUbt1URXFZDIJmc4vjnYfGQhUzhbWZbC7J5fMFnTFSL

NWNou4drWwcApm4FjPfVr+tdanjGEs8bMGSbXo6BjtStiEy1yJ3QGyZLwuURcMMv

DV06/hc2Nv9MZPUaIPvXmNcSuVvY3MJiD1CiCWVmfiO3h7b5EmIWC+ZpO9L3Mk6/

j/MgWR6jAgMBAAGjMzAxMC8GA1UdEQQoMCaCEHR1bm5lbGJyb2tlci5uZXSCEiou

dHVubmVsYnJva2VyLm5ldDANBgkqhkiG9w0BAQUFAAOCAQEAXMG5ZOeyRCzIEPYP

tZKbr1N0CkiBHf+7bVqUqfifEte6S/edpUdzIzB9Wtt484Dt88cAeg4BH2z+Kx2C

lE9PxtTSMCInZIniuoLhaBP0BiRXEurTYdreFmen/S5cCkffVr+eJGk92lQQAdMr

kyz2kD1NCwCaEp1w9DYltDbfC2v8BSIiEKVvD72VW6E2r7AvW73s3+E3WcWbt6pV

qrKfFH4mKH0BR7nLzm5zduojCvIdH3GjelyLd7lUVR3N8Dz626tOzni/bzHpbH3T

dMlBIl3f7c41wcoFG5zSZf1mvgyOnSlOnNmlxMbnfnrIyIyfYz1L8UWqWZGbxJYH

EXcOrA==

Certificate has the following attributes:

       Fingerprint MD5: 1128B641 08E7E271 B2FFB7FF 91411952

      Fingerprint SHA1: 9EB44F27 6BCE5EF6 5D9D38CC A9252276 4318075C

% Do you accept this certificate? [yes/no]: yes

Trustpoint CA certificate accepted.

% Certificate successfully imported

I exported the applied certificate from my browser after opening the tunnelbroker page with Firefox.

The /48 network HE assigned to me was subnetted and applied to my loop 2 interface to check if everything works fine.

Interface loopback 2

ipv6 address 2001:470:XXXX::1/58

 ipv6 enable

Last but not least you should activate domain lookups on your router to resolve the tunnelbroker URL for ddns.

Final testing:

ping ipv6 ipv6.google.com source loop 2

Sending 5, 100-byte ICMP Echos to 2A00:1450:8004::6A, timeout is 2 seconds:

Packet sent with a source address of 2001:470:XXX::1

!!!!!

Success rate is 100 percent (5/5), round-trip min/avg/max = 76/76/76 ms

YEAH! Everything worked as expected great ! 
More to come here!

DE - Hurricane Electric IPv6 Tunnel mit Cisco 887

Wie schon geschrieben hab ich mich das vergangene Wochenende mit dem IPv6 Tunnel von HE rumgeschlagen. Jetzt da er Up und Running ist will ich meine Erfahrungen mal zusammenfassen und Konfigsniplets preisgeben. 

Fangen wir am Anfang an, die Website ist unter www.tunnelbroker.net  zu finden, die Registrierung ist quasi selbsterklärend und sollte keine Hürde darstellen. Sobald man seinen Tunnel angelegt hat kann man sich auch noch ein Netz /48 reservieren lassen, was ich natürlich gleich gemacht hab. 

Die Konfiguration erfolgt in mehreren Schritten,

• Tunnel aufsetzen
• HE Tunnel update
• HE Zertifikat einspielen
•  /48 Netz verwenden
• Test

Die Konfig des Tunnels geht davon aus, dass man eine statische IP hat und verwendet die IP des Browser in der initialen Konfiguration. Da wir nur einen Standard DSL am Standort haben hab ich die Statische IP durch das Dialer Interface ersetzt, das bei uns die DSL Einwahl macht.  

interface Tunnel0

   description Hurricane Electric IPv6 Tunnel Broker

   no ip address

   ipv6 enable

   ipv6 address 2001:470:xxxx:xxxx::2/64

   tunnel source Dialer 1

   tunnel destination 216.66.84.42

   tunnel mode ipv6ip

ipv6 route ::/0 Tunnel0

Zusätzlich hab ich das Interface noch in die entsprechende Zone der Zone-Base Firewall gehängt.

Als nächstes sollte man, bei dynamische angebundenen Standorten, den Router dazu überreden, bei Zwangstrennung oder IP wechseln die Tunneldaten bei HE zu aktualisieren.

Hurricane gibt dafür eine URL vor, die man vom Router aus aufrufen  kann, die URL hat folgenden Syntax:

https://ACCOUNTNAME:ACCOUNTPASSWORT@ipv4.tunnelbroker.net/ipv4_end.php?tid=TUNNELID

Um Hurricane zu aktualisieren sollte das DDNS feature des Routers verwendet werden:

ip ddns update method HEv6

 HTTP

  add https://ACCOUNTNAME:ACCOUNTPASSWORT@ipv4.tunnelbroker.net/ipv4_end.php?tid=TUNNELID !Update im nächsten Blogpost

 interval maximum 0 6 0 0

 interval minimum 0 1 0 0

Hier wird die dynamische IP meines Routers HE jede Stunde, spätestens nach 6 Stunden mitgeteilt.

 Dem Dialer Interface müssen noch die DDNS Infos mitgegeben werden, damit dieses HE aktualisiert.

Interface Dialer 1

 ip ddns update hostname WS-Router

 ip ddns update HEv6

Als letztes muss noch das Zertifikat von HE hinterlegt werden, da die Tunnelbroker Seite ein selbst signiertes Zertifikat verwendet und das zu Probleme mit dem DDNS Feature führen kann.

crypto pki trustpoint HEv6

 enrollment terminal pem

 revocation-check none

Danach muss der Trustpoint noch authentifiziert werden, der ganze Prozess stellt sich so dar:

crypto pki authenticate HEv6

Enter the base 64 encoded CA certificate.

End with a blank line or the word "quit" on a line by itself

MIID8DCCAtigAwIBAgIJAPF6IlDmmdRhMA0GCSqGSIb3DQEBBQUAMIGcMQswCQYD

VQQGEwJVUzETMBEGA1UECBMKQ2FsaWZvcm5pYTEQMA4GA1UEBxMHRnJlbW9udDEg

MB4GA1UEChMXSHVycmljYW5lIEVsZWN0cmljLCBMTEMxDTALBgNVBAsTBElQdjYx

GTAXBgNVBAMTEHR1bm5lbGJyb2tlci5uZXQxGjAYBgkqhkiG9w0BCQEWC2lwdjZA

aGUubmV0MB4XDTExMDQyMjE3NDIyMFoXDTIxMDQxOTE3NDIyMFowgZwxCzAJBgNV

BAYTAlVTMRMwEQYDVQQIEwpDYWxpZm9ybmlhMRAwDgYDVQQHEwdGcmVtb250MSAw

HgYDVQQKExdIdXJyaWNhbmUgRWxlY3RyaWMsIExMQzENMAsGA1UECxMESVB2NjEZ

MBcGA1UEAxMQdHVubmVsYnJva2VyLm5ldDEaMBgGCSqGSIb3DQEJARYLaXB2NkBo

ZS5uZXQwggEiMA0GCSqGSIb3DQEBAQUAA4IBDwAwggEKAoIBAQDe5nza8zQ/AiT+

ySc4mZYmLMcIrcU3q6ZEwIY5vHg2chzCJGCPQIwtBiexSZ7CWL8/GjdPWs6DoCut

DS6VlGGaRhJd0ppUOB3uZLcqnfY0/d40WpRFm49yAV3fmhQg744BKUz2+V23E3tP

n4UXq507dQ3RmNiZoS/T+DUbt1URXFZDIJmc4vjnYfGQhUzhbWZbC7J5fMFnTFSL

NWNou4drWwcApm4FjPfVr+tdanjGEs8bMGSbXo6BjtStiEy1yJ3QGyZLwuURcMMv

DV06/hc2Nv9MZPUaIPvXmNcSuVvY3MJiD1CiCWVmfiO3h7b5EmIWC+ZpO9L3Mk6/

j/MgWR6jAgMBAAGjMzAxMC8GA1UdEQQoMCaCEHR1bm5lbGJyb2tlci5uZXSCEiou

dHVubmVsYnJva2VyLm5ldDANBgkqhkiG9w0BAQUFAAOCAQEAXMG5ZOeyRCzIEPYP

tZKbr1N0CkiBHf+7bVqUqfifEte6S/edpUdzIzB9Wtt484Dt88cAeg4BH2z+Kx2C

lE9PxtTSMCInZIniuoLhaBP0BiRXEurTYdreFmen/S5cCkffVr+eJGk92lQQAdMr

kyz2kD1NCwCaEp1w9DYltDbfC2v8BSIiEKVvD72VW6E2r7AvW73s3+E3WcWbt6pV

qrKfFH4mKH0BR7nLzm5zduojCvIdH3GjelyLd7lUVR3N8Dz626tOzni/bzHpbH3T

dMlBIl3f7c41wcoFG5zSZf1mvgyOnSlOnNmlxMbnfnrIyIyfYz1L8UWqWZGbxJYH

EXcOrA==

Certificate has the following attributes:

       Fingerprint MD5: 1128B641 08E7E271 B2FFB7FF 91411952

      Fingerprint SHA1: 9EB44F27 6BCE5EF6 5D9D38CC A9252276 4318075C

% Do you accept this certificate? [yes/no]: yes

Trustpoint CA certificate accepted.

% Certificate successfully imported

Das eingefügte Zertifikat kann man aus den Browser exportieren, wenn man die DDNS URL manuell aufruft. 

Ich habe das /48 Netz etwas gesubnettet und verwende für den Test das Loop 2 Interface um von einfach zu schauen ob wir Konnektivität haben.

Interface loopback 2

ipv6 address 2001:470:XXXX::1/58

 ipv6 enable

Ach ja zu guter Letzt sofern noch nicht vorhanden, sollte DNS aktiviert sein, schon allein damit die DDNS URL von HE aufgelöst wird.

Abschließender Test:

ping ipv6 ipv6.google.com source loop 2

Sending 5, 100-byte ICMP Echos to 2A00:1450:8004::6A, timeout is 2 seconds:

Packet sent with a source address of 2001:470:XXX::1

!!!!!

Success rate is 100 percent (5/5), round-trip min/avg/max = 76/76/76 ms

YEAH! Alles schick, mehr kommt hier!

EN - Cisco 887w default open ports! WTF!

The last two nights I was playing with the Hurricane Electric Tunnel setup for one of our routers to get IPv6 to my lab. For some strange reason the tunnel showed that it was up but I was unable to ping the IPv6 IP of Google.com. To track down the issue I used the port scan feature of HE on my public v6 and besides the expected port 22 for tcp the following ports showed up on my 887w: Port tcp 2002, tcp 4002, tcp 6002 and tcp 9002. I tried a telnet and I was really scared when my router replied with a nice telnet prompt.

I goggled for the open ports plus cisco 887w and found the article over at www.dataprotectioncenter.com. It looked like the Line 2 is used to communicate between the router and the wireless controller. This controller was working like a service module in the router. 

The article provided a simple solution that I instantly applied. What was the solution – put an access list on the Line 2 for IPv4 and IPv6. 

I dug a little to the bug database at cisco.com but I couldn´t find anything.

 When I’m back at the office I´ll have a closer look on this particular problem and keep you updated.

Thanks to “Didier Stevens“  for figuring and sharing this issue.

DE - Cisco 887w offene Ports! WTF!

Die letzten zwei Nächte haben meinem 887w Router und Hurricane Electrics IPv6 Tunnel gehört. Ich wollte für mein Lab ein echtes IPv6 Netz haben und habe mir daher einen HE Tunnel auf den Router konfiguriert. Als die Konfig durch war konnte ich leider meine Test Host ipv6.google.com nicht erreichen. Da ich einen Fehler auf meiner Seite ausschließen wollte probierte ich mit dem HE Tool einen Port Scan auf meine Maschine der ziemlich erfolgreich war. 

Leider erfolgreicher als erwünscht da er neben dem erwarteten Port TCP 22 auch die Ports TCP 2002, TCP 4002, TCP 6002 und TCP 9002 als offen anzeigte. Einen kurzen versuch via Telnet später zeigte mir, dass auf den Ports auch wirklich eine hübsche Cisco Telnet Login Aufforderung kam. WTF, wo kommt das den her, ging mir durch den Kopf.

Wie so oft wusste Google Rat und ich fand bei der Suche nach “open ports cisco 887w” eine Artikel bei www.dataprotectioncenter.com. Der lieferte eine grobe Erklärung was dort antwortet, es ist dem Artikel zufolge “Line 2” die dafür genutzt wird, dass man vom Router mit dem Service Module des Wireless Controller kommunizieren kann. Die Lösung die der Artikel anbot ist recht einfach – einfach eine entsprechende access-list auf die “Line 2” binden und schon ist ruhe.

Sobald ich wieder im Büro bin und etwas mehr Zeit hab schau ich mir das Thema noch einmal genauer an. Im Moment mag ich nicht an dem Ast sägen, auf dem ich sitze :D

Wenn ich etwas mehr weiß, melde ich mich.

Ein dickes danke an “Didier Stevens“  von dem der Artikel stammt.

Achja die Cisco BUG DB findet dazu nichts (war ja klar)

EN - What a week!

First week with a new customer is done and it was quite nice. Quite good documented and nice topics I´m working on. Bad luck most stuff is once again CheckPoint but well I´ve got to face it, they won´t go away, so I got to deal with them.

Anyway since I was figuring out processes and stuff I wasn´t able to update my posts here but I think next week I´ll have a little more time for blogging.

DE - Was für eine Woche!

Quasi die erste Woche beim Kunden ist um und ich muss sagen ich bin positiv überrascht. Die meisten Sachen sind gut dokumentiert und / oder selbsterklärend und auch das Bereitstellen der Arbeitsmittel hat fast reibungslos funktioniert. Leider ist der Fokus auch dieses Mal wieder auf CheckPoint, aber da CheckPoint vermutlich nicht so schnell verschwindet, werde ich mich damit arrangieren (müssen).

Auf jeden Fall blieb mir nicht so viel Zeit zum bloggen, da die meiste Zeit zum einlesen und durcharbeiten drauf gegangen ist. Nächste Woche dürfte es besser werden und dann gibt es auch wieder neue Posts.

DE – Rack Layout

OK ich hab es also wieder nicht wirklich geschafft meinen Zeitplan treu zu bleiben. Aber da ich mit meiner Familie meine Eltern besuchen war hab ich das verlängerte Wochenende für mehr Zeit mit der Familie und weniger Zeit zum Lernen und Bloggen genutzt.

Wie schon im letzten Post erwähnt, hab ich es geschafft mein Lab fertig zu stellen. 

Anbei eine kleine Auflistung der Sachen die ich jetzt verbaut hab und warum sie sich dort befinden :)

HE 1 & 2 - Patch Panels für die Büro Verkabelung – das Rack wird auch im Produktiven Netz benutzt

HE 3 - Cisco 2509 + Oktopus Kabel + AUI Konverter Der Router arbeitet als Terminal Server für alle Lab Geräte

HE 4 - Cisco 2924 – 24 Port Fast Ethernet Switch, als Backbone Switch übernimmt er die L2 Topologie Anbindung der ASAs

HE5 -6 Neat Patch – Kabelführungsgedönst (sehr schick)

HE7 HP ProCurve Switch (non Lab)

HE8 Cisco ASA (BLUE) –ASA OS 8.0.2

HE9 Cisco ASA (GREEN) –ASA OS 8.0.2

HE10 Cisco ASA (RED) –ASA OS 8.0.4 (wird noch angepasst)

Unter den ASAs befindet sich eine etwas ältere Vostro Workstation von Dell, die so umgebaut wurde, das sie nun als VMware Server für die anderen Systeme dient, sprich für ACS, IOU, GNS3 und natürlich auch für die Client Betriebssysteme

Auf der Rückseite des Racks befindet sich eine achtfach Steckdose, mit IP Anschluss, so dass alle Geräte per Webmanagement hoch und runter gefahren werden können.

Sobald ich Zeit hab update ich meine L1/ L2 Topologie und poste sie hier

So long

EN - Rack layout

Once again I´ve been a bit lazy, we´ve been to my parents and I decided to spent more time with my family than blogging (and learning).

But as mentioned earlier I was finally able to cable my rack.

As you can see (hopefully) I´ve got a mixed rack. This means a small part of the stuff is used for productive networking in our office.

I will quickly line out what I´ve used and why, starting from top.

U 1 & 2 - patch panels for the office (non LAB)

U 3 - Cisco 2509 + octopus cable + AUI converter – this router is used to provide console connections to all lab devices

U4 - Cisco 2924 – 24 Port Fast Ethernet switch, not really part of the lab the switch just provides the L2 Structure for the ASAs

U5 -6 Neat Patch – just to keep the rack clean

U7 HP ProCurve Switch (non Lab)

U8 Cisco ASA (BLUE) – Running ASA OS 8.0.2

U9 Cisco ASA (GREEN) – Running ASA OS 8.0.2

U10 Cisco ASA (RED) – Running ASA OS 8.0.4 (need to fix that)

Below – not rack mounted – Dell Vostro 410 Desktop PC modified to work as VM host system with ACS, IOU , GNS3 and some Guest OS to work as clients.

All Lab equipment is attached to an 8 port power outlet that can be managed using a web interface to remotely reboot the stuff in case it fails.

I´ll update the L1 / L2 topology in the next view days and once again post it here.

So long

EN - So many things, so little time

Actually I had planned to post a small update on my CCIE lab the last Thursday, but as usual life or in this case the customer had another opinion about it. 

As mentioned earlier I was working at a customer location to immediately fix some network issues with HP system. After the STP problem was solved we talked a while and decided to move to L3 meaning enabling routing and reducing the spanning tree. Since the customer had special demands considering network outages during business hours we scheduled the redesign and rebuild of the network to Thursday night. Not to mention that it took the whole night after we “crashed” their router (Draytek) so hard that this stupid box didn´t knew that it had interfaces after the reboot. 

At 4 in the morning everything was back up and the network was running smooth (and all switches stayed significant below 20% CPU utilization). Next step will be replacing the Draytek box with two Cisco routers and shifting from copper uplinks to fiber as well as implement QoS. 

So I had about 4 hours to go back home, shower, sleep, wake up, get to the office and prepare for the next customer meeting – no time for blog post. 

Anyway I managed to finally cable my CCIE Security lab rack and will post a few updates about it tonight, hopefully.

DE – viel zu viel zu tun und viel zu wenig Zeit

Eigentlich wollte ich euch am vergangenen Donnerstag berichten wie toll mein CCIE Lab voranschreitet aber leider ist, wie so oft, etwas dazwischen gekommen, in diesem Fall ein Kunde.

Wie schon berichtet, habe ich ja letzten wieder einmal etwas mit HP ProCurves zu tun gehabt. Der Kunde hatte massive Netzwerkprobleme beklagt und wie sich herausstellte, war es unter anderem ein STP Problem, welches sich recht schnell fixen ließ. Nachdem der Fix implementiert war haben wir noch etwas zusammen gesessen und uns dann darauf verständigt, das wir von einer flachen L2 Struktur auf eine L3 Struktur wechseln und so den Spanning Tree massive verkleinern – quasi Bonsai Spanning Tree. Da der Kunde aber den kompletten Umbau der Netztopology nicht unbedingt in die Geschäftszeiten legen wollte, haben wir uns für die vergangene Donnerstagnacht entschieden.

Gesagt getan, die gesamte Nacht haben wir das Netz umgebaut und dabei den Edge Router (einen Draytek) so sehr verwirrt, das er nach einem Reboot nicht mehr seine Interfaces gefunden hatte. Zum Glück konnten wir die Box auf Werkseinstellungen zurücksetzen und ein Backup einspielen. Gegen 4 Uhr war das Netz dann umgestellt und schnurrte wie ein Kätzchen, Yeah! Als nächstes wird die Draytek Box durch ein paar Cisco Router ersetzt und die Uplinks auf Fiber umgestellt. Ach ja QoS soll auch noch kommen, unter anderem.

Danach blieben mir noch gute 4 Stunden um nach Hause zu kommen, zu duschen, zu schlafen, aufzustehen und ins Büro zu kommen für den nächsten Kundentermin. Sprich es blieb keine Zeit mehr für mein CCIE LAB Post übrig.

Egal, egal, egal, ich hab es am Freitag geschafft mein Rack noch fertig zu verkabeln und darüber gibt es hoffentlich heute Nacht ein Post ;)