Kurztipp: Cisco Press Bücher günstig

4. Mai 2011 Pepe Keine Kommentare

Auf der offiziellen Cisco Press Seite gibt es seit geraumer Zeit den sogenannten “Deal of the Day”. Unter folgendem Link findet ihr im wechselnden Rhythmus ein Ciscobuch zum Preis von $9.99 (aktuell etwa 6,70 €) in elektronischem Format (PDF):

http://www.ciscopress.com/deals/

Im Vergleich zu den sonst üblichen Preisen der E-Bücher ein lohnendes Schnäppchen. Mit etwas Geduld hat man mit der Zeit eine ansehnliche Sammlung auch mit geringem Budget zusammen.

KategorienAllgemein Tags:

On-Demand Routing (ODR)

26. April 2011 Pepe Keine Kommentare

On-Demand Routing (kurz ODR) ist ein Cisco proprietäres Routing Protokoll.

ODR benutzt das Cisco Discovery Protokoll (kurz CDP) zur Verteilung von Routing Informationen. Wie der Name schon sagt, ist auch CDP Cisco proprietär. Das erklärt wohl auch die Eigenschaften von ODR.

ODR Routing Informationen werden alle 60sek als Multicast versendet. Dieses Intervall lässt sich über den Befehl “cdp timer <intervall in sekunden>” anpassen. ODR unterstützt VLSM (variable length subnet mask; auch als CIDR bekannt) und ist somit ein classless Routing Protokoll.

ODR ist nur für Hub-and-Spoke Architekturen (Stern-Topologie) geeignet und wir nur auf dem zentralen Hub konfiguriert. Eine Konfiguration auf den Spoke’s (Endroutern) ist nicht nötig. ODR verwendet eine statische Metric von 1 für alle Routen und unterscheidet somit nicht zwischen Routen mit gleicher Länge (longest equal match).

Spoke’s lernen per ODR nur eine Default-Route die Richtung Hub zeigt. Der Hub (Mittelpunkt der Stern-Topologie) hingegen lernt die direkt verbundenen Netze aller seiner ODR-Spoke’s und ist für das korrekte Routing zwischen den einzelnen Spoke-Netzen verantwortlich.

ODR wird auf dem Hub über den Befehl “router odr” eingeschalten. ODR hat eine administrative Distanz (kurz AD) von 160.

Es versteht sich von selbst das auf allen “ODR-Routern” CDP angeschalten sein muss. Sowohl global (cdp run) als auch auf den entsprechenden Interfaces (cdp enable).

Per ODR gelernte Routen werden in der Routing-Table mit einem kleinen o gekennzeichnet (bitte nicht mit dem grossen O von per OSPF gelernten Routen verwechseln!).

KategorienRouting Tags:

EIGRP – stuck in active

29. März 2011 Pepe Keine Kommentare

“Stuck in active” bedeutet frei übersetzt etwa “Steckgeblieben in der aktiven Phase”.
Nun sollte man natürlich als Erstes klären, was die “aktive Phase” bei EIGRP bedeutet.
Dazu sollte man wissen, dass EIGRP Routen in verschiedene Zustände kategorisiert.
Zwei dieser insgesamt 5 Kategorien sind Aktiv und Passiv.
Die Gruppe, in der die meisten Routen zu finden sind, ist die Gruppe der passiven Routen.
Passive Routen sind Routen die per EIGRP gelernt worden sind und aktuell zum Weiterleiten (Routen) von Packeten genutzt werden können. Dh. passive Routen sind der gewollte Zustand.

Aktive Routen hingegen, sind Routen die Ebenfalls per EIGRP gelernt worden sind, die allerdings nicht zur Weiterleitung (Routen) von Packeten genutzt werden können.
Dies liegt am proaktiven Verhalten von EIGRP. Verliert EIGRP die Verbindung zu einer bereits gelernten Route (Netzwerk) wechselt die Route von Passiv auf Aktiv.
Der Router schickt nun im Hintergrund Anfragen (songenannte Querys) an alle seine benachbarten Router und frägt Aktiv nach einer alternativen Route zum jeweiligen Netz.
Ob eine Route nun Aktiv oder Passiv ist lässt sich in der EIGRP Topology Database nachschauen, diese kann man sich über den Befahl “show ip eigrp topology” anzeigen lassen.
Das Ganze sieht dann etwas so aus:

Ein P vor der Route steht für Passiv.
Ein A vor der Route steht für Aktiv.

Wie kann es nun passieren das eine Route in der aktiven Phase hängenbleibt und was hat das für Auswirkungen auf das Netzwerk?

Nun, EIGRP ist ein sehr höfliches Protokoll. Nehmen wir an du bist Router B. Dein Nachbarrouter, Router A, frägt dich nun nach einer Alternativroute zu Netzwerk Z. Als netter Nachbar kramst du nun in deiner Routeingtabelle und schaust nach bei du eine Alternativeroute zu Netzwerk Z hast. Leider hast du keine Alternativeroute in deiner Routetabelle gefunden die zu Netzwerk Z führt. So, nun da du nachgeschaut aber nichts gefunden hast, könntest du deinem Nachbarrouter A antworten: “Nein, tut mir leid, habe leider keine Alternativroute für dich”.
Da du aber ein netter und höflicher Nachbar bist, frägst du deinerseits deinen Nachbarrouter C ob er eine Alternativroute zu Netzwerk Z hat. Und da die ganze Nachbarschaft so nett ist machen das ALLE Router.
Was bei 5-10 Nachbarn sicherlich noch gut funktionieren mag, endet mit 50-100 Nachbarn und häufig wechselenden Routen im totalen Chaos. Wieso?  Sobald dein Nachbar die Anfrage rausgeschickt hat, tickt die Uhr. Ein 180 Sekunden Countdown zählt runter. Hat der Router nach 180 Sekunden keine Antwort erhalten, erklärt er seine Nachbarn für Inaktiv und verwirft ALLE Routen von ALLEN Nachbarn. Das totale Chaos. Aus einer einzelnen verlorenen Route wird ein kompletter Netzwerk-Blackout. Das nennt man “stuck in active”.

Was kann man dagegen tun?

Nun, es gibt mehrere Lösungsansätze wie die Konfiguration von Summary-Routen oder Stub-Flags. Was auf jeden Fall empfehlenswert ist. Die einfachste Lösung aber ist ein IOS-Update. Ab Release 12.3(2)T sind zwei Funktionen namens “Active Process Enhancement” und “Graceful shutdown” in EIGRP eingebaut, die “stuck in active” verhindern sollten. Beide Features werden bei Verwendung von EIGRP automatisch aktiviert. Eine explizite Konfiguration der Features wird daher nicht benötigt.

KategorienRouting Tags:

Cisco Type 7 Passwort – Direkt auf dem Gerät entschlüsseln

12. Februar 2011 Pepe Keine Kommentare

Ihr kennt bestimmt die nicht-sehr-sicheren Cisco Type 7 Passwörter. Die Type 7 Passwörter dienen in erster Linie dem “Sichschutz” dh. ein Erhaschen eines Passwortes beim “über die Schulter schauen” wird weitestgehend verhindert. Im Internet gibt es dazu diverse Seiten/Scripte/Tools um diese kryptographisch schwachen Passwörter zu entschlüsseln.

In Ermangelung eines solchen Tools und/oder eines funktionierenden Internetzugang funktioniert das Ganze allerdings auch direkt auf dem Cisco-Gerät selbst. Dazu verwendet man das Type-7-Passwort innerhalb einer Key-Chain und lässt sich diese anschließend anzeigen. Die Anzeige des Key-Chain Passworts erfolgt im Klartext.

Hier ein Beispiel:

home#show run | i user
username pepe password 7 0508140635454D081548141D061C113E222A2F7D3127

home#conf t
Enter configuration commands, one per line.  End with CNTL/Z.
home(config)#key chain entschluesseln
home(config-keychain)#key 1
home(config-keychain-key)#key-string 7 0508140635454D081548141D061C113E222A2F7$
home(config-keychain-key)#
home(config-keychain-key)#do show key chain
Key-chain entschluesseln:
key 1 — text “critical-computing.de”
accept lifetime (always valid) – (always valid) [valid now]
send lifetime (always valid) – (always valid) [valid now]
home(config-keychain-key)#

Somit lassen sich die Type-7 Passwörter bequem auf dem Gerät entschlüsseln.

KategorienAllgemein Tags:

IPv4 – Alle IP-Adressen offiziell verteilt

3. Februar 2011 Pepe Keine Kommentare

Eigentlich wollte ich ja nichts darüber schreiben, aber ein zweites Mal werden wir das in unserem Leben wohl nicht erleben. Der öffentliche IP-Adressraum ist ausgeschöpft. Es wird heute um 15:30Uhr (deutsche Zeit) eine offizielle Verlautbarung der ICANN geben das die letzten 5 freien /8-IPv4-Adressräume an die 5 RIR‘s verteilt werden.
Damit sind dann offiziell alle IPv4-Adressräume vergeben. Aus die Maus. Die Pressekonferenz kann live im Internet verfolgt werden: Link zum Livestream. Das Zeitalter von IPv6 ist angebrochen. Ein tolles Stück Geschichte das wir heute live miterleben können!

KategorienAllgemein Tags:

Die verwirrende EIGRP Metrik

17. Januar 2011 Pepe Keine Kommentare

Als Erstes sollten wir den Begriff “Metrik” definieren:
Als Metrik bezeichnet man die Einheit in der ein Routing-Protokoll die Güte seiner Pfade bewertet. Eine geringere Metrik wird einer hohen Metrik vorgezogen.

Kurz und knapp gilt für EIGRP: Die EIGRP Metrik berechnet sich anhand folgender Formel: metric = 256*((K1*Bw) + (K2*Bw)/(256-Load) + (K3*Delay)*(K5/(Reliability + K4))).
Alles klar? Nein? Gut, denn die Standard-Formel ist ein grandioses Beispiel für Overengineering. Sieht unheimlich kompliziert aus und steckt voller Marketing-Mythologie.
Als Erstes: Was sind diese K1 – K5 Werte? Nun sie bestimmen welche Teile der Formel überhaupt zum Zuge kommen. Die K-Werte werden innerhalb der EIGRP-Hello-Packete übermittelt und müssen auf Nachbar-Routern übereinstimmen.
Wieso Übereinstimmen? Zum Einen, dass die Metrik-Kalkulation auf beiden (allen) Routern gleichen Grundlagen entspringt und zum Anderen weil sich mit einem sogenannten “K-Value mismatch” keine EIGRP-Neighborship aufbauen lässt.
Will heissen, dass die Router keine Routen miteinander autauschen würden, was ja eigentlich Sinn und Zweck eines dynamischen Routing-Protokolls ist.

Die Default-Werte der K-Values sind wie folgt:

K1 = 1
K2 = 0
K3 = 1
K4 = 0
K5 = 0

Wobei 1 für = “wird für die Metrik-Berechnung verwendet” und 0 für = “wird nicht verwendet” steht. Die echte EIGRP-Metrik wird also viel einfacher berechnet, da die Formel-Teile mit K = 0 weggelassen werden können. Die gekürzte Formel (und weitaus praxisnähere Formel) sieht wie folgt aus: metric = 256* bw (Bandbreite) + delay (Verzögerung).
Schon viel einfacher nicht wahr?

Wichtig bei der Metrik-Berechnung ist, dass die Bandbreite die Bandbreite des schmalbandigsten Links im Pfad darstellt und die Delay-Werte kumulativ sind.

Bsp.: R1 <— 10Mbit/s —> R2 <— 100Mbit/s —> R3

Als Bandbreite würden hier die 10Mbit/s herrangezogen (da geringste Bandbreite im Pfad). Die Delay würde sich aus den Summen der Links zwischen R1 und R2 & R2 und R3 berechnen.
Der Delay-Wert einer Strecke ist übrigends abhängig vom Interface-Typ (z.B. Ethernet- oder Serial-Interface) und hat nichts mit der aktuellen Latenz zu tun.

Wollte man die Bandbreite exemplarisch durchrechnen, sollte man noch folgende zwei Punkte beachten: Die Delay wird in 10er Schritten von Millisekunden angegeben (10 msec, 20 msec …), die Bandbreite des Interfaces in kb/s teilt einen fixen Wert von 10 Millionen (10.000.000 / BW in kb/s).

KategorienRouting Tags:

Cisco Route 642-902 Erweiterter Blueprint

12. Januar 2011 Pepe Keine Kommentare

Inspiriert vom INE CCIE 4.0 Expanded Blueprint, hier mein erweiterter Blueprint für die Cisco Route Prüfung 642-902. Er sollte alle wesentlichen Punkte abdecken, wobei der benötigte Detailgrad sicherlich von Thema zu Thema stark variiert. Zum Beispiel würde ich den Fokus eher auf die Routingprotokolle legen, als auf die verschiedenen Netzwerk- und Lifecyclemodelle etc.

Routing Services
 - Network Models
     – Cisco IIN
     – Cisco SONA architectural framework
     – Traditional hierarchical network model
     – Cisco Enterprise Composite Network Model
 
 - Implementation Plan
 
 - IT services lifecycles
     – Cisco Lifecycle Services (PPDIOO), ITIL, FCAPS, and TMN.
 
 - Static routing characteristics & configuration
 - ODR (On-Demand Routing)
 - RIPv1 & RIPv2 (Routing Information Protocol)
 
 - The process that Cisco routers use to populate their routing tables
 
EIGRP (Enhanced Interior Gateway Routing Protocol)
 - Features of EIGRP
     – fast convergence, partial updates, multiple network layer support, VLSM, sophisticated metrics.
 
 - EIGRP’s underlying processes and technologies
     – neighbor discovery/recovery mechanism, RTP, DUAL, FSM (finite-state machine), and protocol-dependent modules
  
 - EIGRP’s tables
 - Advertised distance, feasible distance
 - EIGRP packet types
 - EIGRP neighborship forming and maintaining
 - EIGRP metric calculation & k-values
 - EIGRP configuration & verification
 - EIGRP summarization
 - EIGRP over Frame Relay
 - EIGRP over MPLS
 - EIGRP load-balancing
 - EIGRP MD5 authentication
 - EIGRP scalability factors
  - SIA, Active Process Enhancement, EIGRP Stub, Graceful shutdown
  
OSPF (Open Shortest Path First)
 - Characteristics of link-state routing protocols
 - OSPF’s hierarchical structure
 - Types of OSPF routers
 - OSPF neighborship forming and maintaining
 - OSPF metric calculation
 - OSPF packet types
 - OSPF configuration & verification
 - OSPF router ID selection
 - OSPF network types
 - OSPF DR and BDR
 - OSPF over NBMA networks
 - OSPF LSA types
 - OSPF route summarization
 - OSPF virtual links
 - OSPF area types
 - OSPF authentication
 
 Manipulating Routing Updates
 - Route redistribution
 - Route-Maps
 - PBR (Policy Based Routing)
 - Distribute lists
 - Prefix lists

Path control
 - Offset-List
 - IP SLA
 - PBR
 
BGP (Border Gateway Protocol)
 - BGP terminology and concepts
 - BGP synchronization
 - BGP tables
 - BGP message types
 - BGP attributes
 - BGP route-selection process
 - BGP peer groups
 - BGP configuration & verififaction
 - BGP path manipulation

IPv6 (Internet Protocol Version 6)
 - IPv6 addresses & Features
 - IPv6 address types
 - IPv6 address configuration & verification
 - IPv6 neighbor discovery
 - IPv6 autoconfiguration
 - Static route configuration & verification
 - RIPng
 - OSPFv3
 - EIGRP for IPv6
 - MBGP (Multiprotocol – BGP)
 - Policy routing configuration & verification
 - Redistribution
 - Transitioning techniques from IPv4 to IPv6
     – Dual stack
     – tunneling
     – NAT-PT (Network Address Translation – Protocol Translation)
 - GRE (Generic Routing Encapsulation)
 - ISATAP (Intra-Site Automatic Tunnel Addressing Protocol)
 
Diverses
 - PPPoE & PPPoA (Point-to-Point over Ethernet/ATM)
 - NAT
 - DSL & Docsis
 - GRE
 - IPSec
 - Cisco IOS firewall

KategorienPrüfungen Tags:

Cisco Prüfungen – 2011

10. Januar 2011 Pepe Keine Kommentare

2011 wird für ein Prüfungsjahr. Ich habe mir fest vorgenommen, dieses Jahr endlich meinen CCNP abzuschliessen. Dazu fehlen mir noch die Prüfungen “642-902 ROUTE” und “642-832 TSHOOT”. Meine ONT-Prüfung ist leider im Zuge der Umgestaltung des CCNP’s verfallen, meine BCMSN-Prüfung dient als Ersatz für “642-813 SWITCH”, so das ich diese inhaltlich gleiche Prüfung zum Glück nicht nochmal ablegen muss.

Nach Bestehen der beiden Prüfungen geht es an den CCDA und CCDP-Track der jeweils für mich eine zusätzliche Prüfung bedeutet, das nimmt man als CCNP gerne mit.
Hier der grobe zeitlich Überblick:

- “642-902 ROUTE” Ende Februar (CCNP)
- “642-832 TSHOOT” April (CCNP)
- “640-864 DESGN” in Q3 (CCDA)
- “642-874 ARCH” in Q3-4 (CCDP)

Wenn nichts dazwischen kommt, sollte damit dieses Jahr die Grundlage gelegt werden um mich nächstes Jahr voll und ganz der CCIE-Vorbereitung widmen zu können. Ich werde natürlich entsprechend über die einzelnen Prüfungen berichten.

KategorienPrüfungen Tags:

Autonegotiation ist dein Freund

4. Januar 2011 Pepe Keine Kommentare

Jeder Admin der sich länger als zwei Tage im Switchingbereich bewegt, ist sicherlich schon einmal über das Paradigma: “Autonegotiation ist böse, und funktioniert oftmals nicht” gestolpert.

Ist dem wirklich so? Nun, es kommt darauf an. In den Anfangstagen der Ethernetwelt, als jeder Hersteller noch sein eigenes Süppchen kochte, war es sicherlich oft möglich das Autonegotiation nicht immer wie gewünscht funktioniert hat.

Heutzutage mit wenigen verbliebenen Chipherstellern und weit standartisierter Hardware sind Fehler in der Autonegotiationaushandlung relativ selten geworden. Allerdings ist auch heute noch bei Kabellängen, die sich in der Nähe der theoretischen Maximalwerte bewegen, Autonegotiation nicht immer erfolgreich in der Aushandlung. Ein manuelles Überschreiben führt ihr oftmals zu besser Werten. Also verfiziert die Aushaldungsergebnisse und verlasst euch nicht blind auf Autonegotiation.

Was aber vielen nicht bewusst ist, ist das wenn sie auf Autonegotiation verzichten, gleichzeitig Auto-MDIX ausschalten. Ihr wisst schon, dieses tolle “mir-doch-egal-was-für-ein-Kabel”-Ding. Der ein oder andere wird sicherlich schon in der Situtation gewesen sein, in der ein Link nach dem Festeinstellen der Duplex- und Speedmodi nicht mehr aktiv wurde, nach dem Zurückstellen auf “Auto” allerdings wieder funktionierte. Nun wisst ihr was der Grund hierfür war.

Ein weiterer Punkt der klar für Autonegotiation spricht, ist der Verwaltungswasserkopf den man sich einfängt wenn man alle Ports hart kodiert. Das mag für die selbstbetreute Umgebung sicherlich noch einigermaßen funktionieren wird allerdings spätestens zum administrativen Alptraum, wenn Geräte ins Spiel kommen die von anderen Teams oder Abteilungen verwaltet werden oder mehrere tausend Ports verwaltet werden müssen.

Deshalb mein Ratschlag: Benutzt Autonegotiation, es spart auch jede Menge Zeit und Kopfschmerzen, und beschränkt die manuelle Speed- und Duplexvergabe auf einige wenige wichtige Kernelemente (Grossrechner, wichtige Uplink- und WAN-Strecken).

KategorienSwitching Tags:

Definition Netzwerk

3. Januar 2011 Pepe Keine Kommentare

Es soll hier also um das Thema “Netzwerk” gehen. Also wird es Zeit den Begriff “Netzwerk” zu definieren. Es geht hier nicht um Facebook, MySpace oder ähnliche soziale Netzwerke, so toll diese auch sein mögen. Auch Handelsnetze des europäischen Binnenmarktes liegen mir fern.

Es geht um Computer-Netzwerke, und das auch nur in ihrer reinsten Form. Dem Bereich Routing & Switching. Wer hier also hochtrabende Posts zum Thema Active Directory & Exchange erwartet, den muss ich leider enttäuschen.

Relativ gut steckt der aktuelle CCIE R&S 4.0 Blueprint (wobei R&S für Routing und Switching steht) das Themen-Gebiet ab, dem ich mich hier im Blog widmen möchte.
Um einige (bei weitem nicht alle) Schlagworte zu nennen: VLAN’s, xSTP, VTP, DTP, Link-Aggregation, Frame-Relay, First Hop Redundancy, Multicast, PPP, GRE, RIP, OSPF, EIGRP, BGP, IS-IS, PBR, IPv6, MPLS, QoS, IPSec etc.

Wir ihr seht, doch ein recht weitgefächertes Themen-Gebiet.

Kurz noch was zur Konvention:
Wie bereits erwähnt soll dies ein Blog in deutscher Sprache sein. Es lässt sich zwangsläufig allerdings nicht vermeiden, dass dennoch viele technische Begrifflichkeiten in englischer Sprache verwendet werden. Deren “Eindeutschung” wäre allerdings in meinen Augen ein Verbrechen. Ich hoffe Sie sehen mir dies nach.

KategorienAllgemein Tags: