DE – Rack Layout

OK ich hab es also wieder nicht wirklich geschafft meinen Zeitplan treu zu bleiben. Aber da ich mit meiner Familie meine Eltern besuchen war hab ich das verlängerte Wochenende für mehr Zeit mit der Familie und weniger Zeit zum Lernen und Bloggen genutzt.

Wie schon im letzten Post erwähnt, hab ich es geschafft mein Lab fertig zu stellen. 

Anbei eine kleine Auflistung der Sachen die ich jetzt verbaut hab und warum sie sich dort befinden :)

HE 1 & 2 - Patch Panels für die Büro Verkabelung – das Rack wird auch im Produktiven Netz benutzt

HE 3 - Cisco 2509 + Oktopus Kabel + AUI Konverter Der Router arbeitet als Terminal Server für alle Lab Geräte

HE 4 - Cisco 2924 – 24 Port Fast Ethernet Switch, als Backbone Switch übernimmt er die L2 Topologie Anbindung der ASAs

HE5 -6 Neat Patch – Kabelführungsgedönst (sehr schick)

HE7 HP ProCurve Switch (non Lab)

HE8 Cisco ASA (BLUE) –ASA OS 8.0.2

HE9 Cisco ASA (GREEN) –ASA OS 8.0.2

HE10 Cisco ASA (RED) –ASA OS 8.0.4 (wird noch angepasst)

Unter den ASAs befindet sich eine etwas ältere Vostro Workstation von Dell, die so umgebaut wurde, das sie nun als VMware Server für die anderen Systeme dient, sprich für ACS, IOU, GNS3 und natürlich auch für die Client Betriebssysteme

Auf der Rückseite des Racks befindet sich eine achtfach Steckdose, mit IP Anschluss, so dass alle Geräte per Webmanagement hoch und runter gefahren werden können.

Sobald ich Zeit hab update ich meine L1/ L2 Topologie und poste sie hier

So long

EN - Rack layout

Once again I´ve been a bit lazy, we´ve been to my parents and I decided to spent more time with my family than blogging (and learning).

But as mentioned earlier I was finally able to cable my rack.

As you can see (hopefully) I´ve got a mixed rack. This means a small part of the stuff is used for productive networking in our office.

I will quickly line out what I´ve used and why, starting from top.

U 1 & 2 - patch panels for the office (non LAB)

U 3 - Cisco 2509 + octopus cable + AUI converter – this router is used to provide console connections to all lab devices

U4 - Cisco 2924 – 24 Port Fast Ethernet switch, not really part of the lab the switch just provides the L2 Structure for the ASAs

U5 -6 Neat Patch – just to keep the rack clean

U7 HP ProCurve Switch (non Lab)

U8 Cisco ASA (BLUE) – Running ASA OS 8.0.2

U9 Cisco ASA (GREEN) – Running ASA OS 8.0.2

U10 Cisco ASA (RED) – Running ASA OS 8.0.4 (need to fix that)

Below – not rack mounted – Dell Vostro 410 Desktop PC modified to work as VM host system with ACS, IOU , GNS3 and some Guest OS to work as clients.

All Lab equipment is attached to an 8 port power outlet that can be managed using a web interface to remotely reboot the stuff in case it fails.

I´ll update the L1 / L2 topology in the next view days and once again post it here.

So long

EN - So many things, so little time

Actually I had planned to post a small update on my CCIE lab the last Thursday, but as usual life or in this case the customer had another opinion about it. 

As mentioned earlier I was working at a customer location to immediately fix some network issues with HP system. After the STP problem was solved we talked a while and decided to move to L3 meaning enabling routing and reducing the spanning tree. Since the customer had special demands considering network outages during business hours we scheduled the redesign and rebuild of the network to Thursday night. Not to mention that it took the whole night after we “crashed” their router (Draytek) so hard that this stupid box didn´t knew that it had interfaces after the reboot. 

At 4 in the morning everything was back up and the network was running smooth (and all switches stayed significant below 20% CPU utilization). Next step will be replacing the Draytek box with two Cisco routers and shifting from copper uplinks to fiber as well as implement QoS. 

So I had about 4 hours to go back home, shower, sleep, wake up, get to the office and prepare for the next customer meeting – no time for blog post. 

Anyway I managed to finally cable my CCIE Security lab rack and will post a few updates about it tonight, hopefully.

DE – viel zu viel zu tun und viel zu wenig Zeit

Eigentlich wollte ich euch am vergangenen Donnerstag berichten wie toll mein CCIE Lab voranschreitet aber leider ist, wie so oft, etwas dazwischen gekommen, in diesem Fall ein Kunde.

Wie schon berichtet, habe ich ja letzten wieder einmal etwas mit HP ProCurves zu tun gehabt. Der Kunde hatte massive Netzwerkprobleme beklagt und wie sich herausstellte, war es unter anderem ein STP Problem, welches sich recht schnell fixen ließ. Nachdem der Fix implementiert war haben wir noch etwas zusammen gesessen und uns dann darauf verständigt, das wir von einer flachen L2 Struktur auf eine L3 Struktur wechseln und so den Spanning Tree massive verkleinern – quasi Bonsai Spanning Tree. Da der Kunde aber den kompletten Umbau der Netztopology nicht unbedingt in die Geschäftszeiten legen wollte, haben wir uns für die vergangene Donnerstagnacht entschieden.

Gesagt getan, die gesamte Nacht haben wir das Netz umgebaut und dabei den Edge Router (einen Draytek) so sehr verwirrt, das er nach einem Reboot nicht mehr seine Interfaces gefunden hatte. Zum Glück konnten wir die Box auf Werkseinstellungen zurücksetzen und ein Backup einspielen. Gegen 4 Uhr war das Netz dann umgestellt und schnurrte wie ein Kätzchen, Yeah! Als nächstes wird die Draytek Box durch ein paar Cisco Router ersetzt und die Uplinks auf Fiber umgestellt. Ach ja QoS soll auch noch kommen, unter anderem.

Danach blieben mir noch gute 4 Stunden um nach Hause zu kommen, zu duschen, zu schlafen, aufzustehen und ins Büro zu kommen für den nächsten Kundentermin. Sprich es blieb keine Zeit mehr für mein CCIE LAB Post übrig.

Egal, egal, egal, ich hab es am Freitag geschafft mein Rack noch fertig zu verkabeln und darüber gibt es hoffentlich heute Nacht ein Post ;)

EN – HP ProCurve / Cisco Catalyst Interoperability

Today I was working at a customer location playing around with some HP ProCurve switches. Usually I do configure Cisco switches, so I was happy to find this little guide about HP ProCurve and Cisco Catalyst interoperability. Quite nice if you are sure what you want to do on Cisco but are unsure what the command should look like on ProCurve.

ProCurve /Catalyst Interoperability Guide (found at www.tecnocael.it)

DE – Zusammenspiel von HP ProCurve und Cisco Catalyst

Heute hatte ich das Glück bei einem Kunden mit einigen HP ProCurve Switches zu arbeiten. Da ich schon eine Weile nicht mehr mit den ProCurves zu tun hatte, ist mein Know How über den speziellen Syntax etwas eingerostet. Umso mehr hab ich mich gefreut im Netz einen kleinen Guide zu finden der im Prinzip darstellt, wie Cisco Catalyst und HP ProCurves zusammenarbeiten. Der Vorteil daran ist, dass man sehen kann wie eine Konfiguration unter Cisco als ProCurve Config aussieht.

ProCurve / Catalyst Interoperability Guide (gefunden bei  www.tecnocael.it)

DE - Port Channel

Wie schon heute Vormittag erwähnt, werde ich mich z.Z. etwas mehr dem CCNP Themen widmen und Überraschung hier ist das erste aus dem SWITCH Bereich: EtherChannel. Da es mir im Moment an echten Switchen fehlt hab ich das ganze soweit wie möglich in GNS3 / Dynamips nachgebaut.

Das Setup ist denkbar einfach 2x 3725 als Hosts und 2x 3725 mit NM-16ESW als Switches die den EtherChannel bilden, wobei die Switches mit 4 Kabeln direkt an den Interfaces FastEthernet 1/12 - 15 verbunden werden.







Die Konfiguration ist nur um den Domainnamen, eine IP und den Speed sowie Duplex Einstellungen erweitert worden.


ip domain name EtherChannel.playingwithnetworks.com
int fast 0/0
speed 100
du fu
ip address 10.0.1.1 255.255.255.0
no shut


Auf den Switches muss an sich nur der EtherChannel konfiguriert werden. Sobald beide Switches an sind konnte man im Spanning Tree das erwartete verhalten bei redundanten Verbindungen sehen. Das geringwertigste Interface, in diesem Fall FastEthernet 1/12 geht in den forwarding modus die restlichen Interfaces sind im Blocking auf dem Switch der nicht Root Bridge geworden ist.


Switch_A#sh spanning-tree brief
VLAN1
Spanning tree enabled protocol ieee
Root ID Priority 32768
Address c20a.1ed0.0000
Cost 19
Port 53 (FastEthernet1/12)
Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec

Bridge ID Priority 32768
Address c20b.1ed0.0000
Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec
Aging Time 300

Interface Designated
Name Port ID Prio Cost Sts Cost Bridge ID Port ID
-------------------- ------- ---- ----- --- ----- -------------------- -------
FastEthernet1/0 128.41 128 19 FWD 19 32768 c20b.1ed0.0000 128.41
FastEthernet1/12 128.53 128 19 FWD 0 32768 c20a.1ed0.0000 128.53
FastEthernet1/13 128.54 128 19 BLK 0 32768 c20a.1ed0.0000 128.54
FastEthernet1/14 128.55 128 19 BLK 0 32768 c20a.1ed0.0000 128.55
FastEthernet1/15 128.56 128 19 BLK 0 32768 c20a.1ed0.0000 128.56


Der EtherChannel kann dann wie folgt konfiguriert werden:


Interface range fast 1/12 – 15
Switchport trunk encryption dot1q
Switchport mode trunk
Channel-group 1 mode on


Wobei die Trunk Settings optional sind wichtig ist nur das die Interfaces dieselben Settings haben.
Sobald beide Switches durchkonfiguriert sind und die PortChannel Interfacesauf beiden Up sind verschwinden Interfaces Fast 1/12 – 15 aus der Spanning Tree Ansicht. Es bleibt nur noch das PortChannel 1 Interface im Forwarding Modus.


Switch_A#sh spanning-tree brief

VLAN1
Spanning tree enabled protocol ieee
Root ID Priority 32768
Address c20a.1ed0.0000
Cost 8
Port 321 (Port-channel1)
Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec

Bridge ID Priority 32768
Address c20b.1ed0.0000
Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec
Aging Time 300

Interface Designated
Name Port ID Prio Cost Sts Cost Bridge ID Port ID
-------------------- ------- ---- ----- --- ----- -------------------- -------
FastEthernet1/0 128.41 128 19 FWD 8 32768 c20b.1ed0.0000 128.41
FastEthernet1/1 128.42 128 19 FWD 8 32768 c20b.1ed0.0000 128.42
Port-channel1 129.65 128 8 FWD 0 32768 c20a.1ed0.0000 129.65


Das war´s ;)

EN – Ether Channel

As I mentioned I will put up some CCNP stuff so here we go Ether Channel. Since I´m lacking real Switch hardware I sat it up on GNS3 / Dynamips.
First of all I added 2 x 3725 as Hosts than 2 x 3725 with NM-16ESW as “Switches”and connected both switches with 4 cables via interfaces fast ethernet 1/12 - 15.

The configuration of the Hosts is straight forward 
domain name, interface IP address 10.0.1.1 or 2 /24 speed and duplex

ip domain name EtherChannel.playingwithnetworks.com
int fast 0/0
speed 100
du fu
ip address 10.0.1.1 255.255.255.0
no shut


On the „switches“ you have to configure the Ether Channels. If you have a look on your spanning tree you´ll see that only the interface with the lowest interface number is in forwarding state all other interfaces connecting to your root bridge are in blocking state.

Switch_A#sh spanning-tree brief
VLAN1
Spanning tree enabled protocol ieee
Root ID Priority 32768
Address c20a.1ed0.0000
Cost 19
Port 53 (FastEthernet1/12)
Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec

Bridge ID Priority 32768
Address c20b.1ed0.0000
Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec
Aging Time 300

Interface Designated
Name Port ID Prio Cost Sts Cost Bridge ID Port ID
-------------------- ------- ---- ----- --- ----- -------------------- -------
FastEthernet1/0 128.41 128 19 FWD 19 32768 c20b.1ed0.0000 128.41
FastEthernet1/12 128.53 128 19 FWD 0 32768 c20a.1ed0.0000 128.53
FastEthernet1/13 128.54 128 19 BLK 0 32768 c20a.1ed0.0000 128.54
FastEthernet1/14 128.55 128 19 BLK 0 32768 c20a.1ed0.0000 128.55
FastEthernet1/15 128.56 128 19 BLK 0 32768 c20a.1ed0.0000 128.56


The Ether Channel is configured by adding all physical interfaces to a channel group.


Interface range fast 1/12 – 15
Switchport trunk encryption dot1q
Switchport mode trunk
Channel-group 1 mode on


As soon as on both switches this configuration has been applied you can have another look into the spanning tree and you´ll see that the interfaces fastethernet 1/12 – 15 have vanished and only interface Port-channel 1 is in forwarding state.

Switch_A#sh spanning-tree brief

VLAN1
Spanning tree enabled protocol ieee
Root ID Priority 32768
Address c20a.1ed0.0000
Cost 8
Port 321 (Port-channel1)
Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec

Bridge ID Priority 32768
Address c20b.1ed0.0000
Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec
Aging Time 300

Interface Designated
Name Port ID Prio Cost Sts Cost Bridge ID Port ID
-------------------- ------- ---- ----- --- ----- -------------------- -------
FastEthernet1/0 128.41 128 19 FWD 8 32768 c20b.1ed0.0000 128.41
FastEthernet1/1 128.42 128 19 FWD 8 32768 c20b.1ed0.0000 128.42
Port-channel1 129.65 128 8 FWD 0 32768 c20a.1ed0.0000 129.65

Done ;)

Cheers NWG

DE - IOS HTTP Server "hacking" Vorsorge

So nachdem ich heute 4 Firmen angerufen hab und denen mitgeteilt hab das die Konfiguration Murks ist, poste ich die ganze Geschichte auch noch in deutsch.

Vor kurzem bin ich über eine Suchmaschine gestolpert mit der man auch was finden kann. Dabei ging es aber nicht um den Inhalt der Webseite sondern mehr das drum herum. So war es möglich nach dem Webserver und deren Version zu suchen.

Gesagt getan auf meine suche nach Cisco IOS Webservern erhielt ich über 67.000 Treffer. Ouch,. mal ehrlich 67k wieso müssen die Webinterfaces haben und vor allem warum müssen die via Publik IP Verfügbar sein.

Als ich so durch die liste surfte stellt ich fest das einige nicht mit der 401 sondern mit einer 200 als HTTP Statuscode antworteten. Einen von den Routern angeklickt und schon hat sich gezeigt. Prima die Systeme arbeiten ganz ohne Authentifizierung.

Ich hab die Suchkriterien angepasst und von 67.000 Routern brauchen mehr als 1200 Kein Passwort sind also ungeschützt.

Da es über die Weboberfläche möglich ist ein show cdp neigbor abzusetzen zeigte sich das hinter den Routern noch andere Cisco Komponenten hängen. Ich hoffe das die nicht so lausig konfiguriert sind wie der Router.

Um sicher zu sein, gilt daher entweder eine Access Liste auf den Webserver binden:

access-list 1 permit X.X.X.X ! x.x.x.x= your management network
ip http access-class 1

oder noch besser:

no ip http server


cheers
NWG

EN - IOS HTTP Server hacking prevention

OK I need to post this since this is really scary to me.

A few days ago I stumbled upon a quite cool search engine (no I will not post the URL) what was really interesting is that it did not search for the content of the website it was more interested in the server replies like Server Version HTTP status code.

Since Cisco routers and switches offer a web server for configuration I searched for Cisco IOS servers. The result was scary (it gets worse a bit later) more than 67.000 routers and switches operating the HTTP server are public available. Their may be reasons why routers should be available via HTTP from the Internet but 67000 router people you are kidding me.
I checked some of them and most look like real routers/ switches.

But while browsing the list I found a few routers responding with Cisco IOS Server AND HTTP 200 code. (most of the routers respond with 401 authorization required). I tried one of these and great I could log in and have a look at the configuration passwords etc.

I decided to redefine my search and the result was: from those 67.000 routers 1200 are not requiring authorization of any kind, great.

A quick show cdp neigh showed that most of them I've checked are connected to other Cisco devices. I hope that these devices aren't configured that poorly.

To get out of this list just bind an access list to you HTTP Server,


access-list 1 permit X.X.X.X ! x.x.x.x= your management network
ip http access-class 1


or even better do a

no ip http server


hope some of those guys owning these routers fix them (fast)


Cheers
NWG

EN - Layer 2 redundancy with routers

Yesterday I was playing around with dynamips and found a really cool solution to a problem that well not exists. But after thinking a while I found a situation at a customer location that could make use of my idea.

I'll describe the situation.
The customer has one core switch located in his main building and across his (large) campus a few distribution switches. All switches are layer 2 only so no routing stuff. Since the network small (a view servers and some hand full of workstations) the customer uses one class C subnet (eg 172.20.3.0 /24)
The problem is, the internet access is located near 2 edge switches but far from the main building. So the Edge Router is placed with one WAN interfaces and 2 LAN interfaces one connecting to each edge switch
This looks like this diagram:


So this leads to one obvious question, how do you provide on those LAN interfaces ONE gateway IP (remember no dynamic routing plain default gateway)
The solution is easy: build a bridge group and add a Bridged Virtual Interface (BVI)

How this is done? Just a second I'll show you.
Start with the usual fluff: name, domain, ntp whatever you need and want.

enable
configure terminal

hostname EdgeRouter
ip domain-name playingwithnetworks.com
no ip domain-lookup

line console 0
logging synchronous
password #sicher01
login

line vty 0 4
logging synchronous
password #sicher01
login
transport input telnet


OK you should add of course logging, ntp, ssh security and so on but this would be to much.

Now the next step becomes interesting.
Apply the bridging settings


bridge irb
! enables bridging with routing

bridge 1 protocol ieee
! tells the router what protocol to bridge on bridge group 1

bridge 1 route ip
! tells the router what protocol to route (not what routing protocol )

! configure your LAN interfaces
interface fastEthernet 0/0
description ### LAN Link to EdgeSwitch01 ###
bridge-group 1
! add interface to bridging group 1

! configure your LAN interfaces
interface fastEthernet 0/1
description ### LAN Link to EdgeSwitch02 ###
bridge-group 1
! add interface to bridging group 1

interface BVI 1
description ### routing interface of bridge group 1 ###
ip address 172.20.3.1 255.255.255.0
no shutdown


Next thing you need is to configure the interface to the ISP, this is usual stuff done about a hundred of times and set your default route.

interface Serial0/0
description ### ISP Uplink ###
ip address 172.20.4.2 255.255.255.252
no shutdown

ip route 0.0.0.0 0.0.0.0 Serial0/0 172.20.4.1

Well that's it !!

To verify that all is working, issue a show spanning-tree on your EdgeRouter

Bridge group 1 is executing the ieee compatible Spanning Tree protocol
(…)
Port 3 (FastEthernet0/0) of Bridge group 1 is forwarding
(...)
Port 4 (FastEthernet0/1) of Bridge group 1 is blocking
(…)

By now you know that what we've done is, we've turned the LAN side of our Router into a switch and let spanning tree do the path selection. We could have bought a switching module for our router or created a third single point of failure (1st is only one CoreSwitch, 2nd is only one Edge Router) and set up a physical switch between the edge switches and our router.

DE - HyperV dynamips Problem

So jetzt auch in Deutsch, hat etwas gedauert aber das Wochenende war anstrengend.

Was ist also passiert? Ich hab ein wenig an meinem LAB Setup herum gebastelt und DynaSlax gegen ein selbst gebautes Ubuntu Relase getauscht. Ich hab das Image auf dynaBuntu getauft, das Image ist ausschließlich ein Text Ubuntu mit Dynamips/ Dynagen sowie tcpdump und ssh ausgestattet, der Rest wurde raus geschmissen.

Das ganze läuft, wie in meinem letzten Blog Eintrag beschrieben, auf HyperV unter Windows Server 2k8. Vorgestern habe ich dann ein Szenario erstellt, bei dem die Router in dynaBuntu mit der echten Hardware meines Netzes kommunizieren können müsse.
Schon während des installieren des BGP Router Setups zeigte sich, dass ich von meiner ASA zwar alle Systeme entlang des Netzwerkpfades, inklusive der dynaBuntu Maschine erreichen kann (Home-SW002, Core01, LAB-R001), nur die BGP-Router nicht. Interessanterweise zeigte ein show cdp neighbors das der BGP Router LAB-R001 sah, aber umgekehrt nicht.
TCPdump auf der dynaBuntu Maschine zeigte das ARP Requests an den BGP-Router per Broadcast angenommen und beantwortet wurden, aber auf der LAB-R001 Seite des HyperV vSwitches nichts mehr ankam. Es sah so aus, als wäre eine Art Port-Security auf dem HyperV vSwitch aktiv.

Es dauerte noch eine Weile bis ich in den Einstellungen der VM die Option “ Enable spoofing of MAC addresses” fand.

Nachdem die VM ausgeschalteten war und die Einstellungen angepasst waren, sahen sich meine Systeme wie gewollt und die Routen verteilten sich wie erwartet im Netz.

Beste Grüße
NWG

EN - HyperV dynamips problem

Well well well, I've posted some days ago my new lab setup. Today I ran into a strange problem. I replaced today dynaslax with my dynaBuntu a self build Ubuntu release. DynaBuntu focuses on dynamips / dynagen and only ssh is running else, no fluff stuff :D

Anyway I deployed a BGP router scenario that should interact with my real hardware firewall.
Strangely I could ping from my ASA all important Ips: Core01, LAB-R001 and the dynaBuntu instance but I could not ping the router in dynaBuntu (BGPRouter). I was even more surprised when my BGPRouter showed that he could build a CDP connection with LAB-R001.

Some times later I noticed that LAB-R001 could not resolve the IP of my BGPRouter. ARP requests were send and tcpdump showed that BGPRouter responded as expected. The next step showed the ARP response disappeared somewhere in the HyperV vSwitch. So I needed to find a way to allow this setup.

After a while I found the check box in the VM network settings that specified
“Enable spoofing of MAC addresses”, it looks like the HyperV vSwitch is running some kind of port-security settings.

Shutting down the VM, changing this setting and hurray I could ping my router and my routes where redistributed as desired.