Technické tipy

[20.09.2010] Vylepšená podpora hlasových služeb v IOS 15.1(1)

IOS 15.1(1) přináší novou verzi 8.0 produktů Cisco Unified Communications Manager (CUCME) a Unified Survivable Remote Site Telephony (SRST).

CUCME verze 8.0 přidává podporu pro nové Cisco Unified IP telefony 6901/6911/6921/6941/6961. Tato řada IP telefonů je určena pro použití v komerční sféře a kromě standardních hlasových funkcí se vyznačuje sníženou spotřebou a je vyrobena z materiálů šetrných k životnímu prostředí. Podporuje i IPv6 pro SCCP a SIP protokol.

V SRST 8.0 lze kromě výše zmíněných IP telefonů navíc použít zabezpečenou registraci telefonů přes TLS spojení. Nově přidaná je i podpora šifrování hlasových paketů v RTP protokolu.

[04.08.2010] Zobrazení zatížení rozhraní v IOSu v grafické podobě

S uvedením IOSu 15.1T je dostupný nový příkaz, který umožňuje zobrazit zatížení rozhraní. V přehledné grafické podobě pomocí něj zjistíme, jaký datový tok byl v určitém čase na určitém rozhraní.

Aby tato nová funkce šla použít, je nutné sledování těchto informací zapnout. K tomu slouží příkaz history , který je nutno zadat v konfiguračním módu rozhraní, u kterého chceme informace sledovat. Tento příkaz vyžaduje parametr bps či  pps, kterým určujeme, zda nás zajímají údaje v bitech za sekundu či v paketech za sekundu. Lze přidat i další parametry (filtry), které rozšiřují sledované informace o další údaje. K základním údajům o počtu přenesených paketů či bitů je možnost přidat například informace o počtu broadcastů na vstupu či výstupu rozhraní, zahozených paketech, různých chybách atd.

Příklad použití příkazu history:

(config-if)#history bps input-drops output-drops input-broadcast multicast frame-errors 

K zobrazení sledovaných údajů slouží příkaz show interface history, který poskytne výstup v podobě dvou grafů pro příchozí směr a pro odchozí směr. Navíc se zobrazí informace pro všechny zapnuté filtry. Parametrem si lze určit, zda nás zajímají data za posledních 60 sekund, 60 minut, 72 hodin, či za všechny tyto časové intervaly. Lze také určit, zda chceme zobrazit data pro jeden směr (příchozí, či odchozí) nebo pro oba dva (defaultní nastavení).

Příklad použití příkazu show history:

show interface fastethernet 0/1 history 60min

Údaje pro datový tok se zobrazí v grafu a údaje o zapnutých filtrech se zobrazí pod grafem jako počty daných paketů (chyb) za daný časový interval (sekunda, minuta, hodina):

V našem grafu byl pro příchozí směr v čase T-4 minuty maximální datový tok na rozhraní 9Mbps a v této minutě přišlo na rozhraní 35 multicastů. Znak

[08.07.2010] Interface range macro

S příkazem interface range, užitečným při konfiguraci přepínačů, jste se již měli možnost seznámit v jednom z předcházejících technických tipů. Pro tento příkaz existuje i tzv. makro, které nám může usnadnit konfiguraci ještě o něco více.

Příkaz interface range macro umožňuje seskupit různé porty a označit je jménem. Skupinu portů s daným jménem pak lze konfigurovat najednou. Použití lze nahlédnout na následujícím příkladu:

switch#conf t

switch(config)#

switch(config)#define interface-range UPLINKS FastEthernet0/1, Fast0/24

switch(config)#define interface-range USERPORTS FastEthernet0/2 - 23

switch#conf t

switch(config)#interface range macro USERPORTS

switch(config-if-range)#switchport access vlan 111

switch(config-if-range)#description Uzivatelske porty

switch(config-if-range)#exit

switch(config)#interface range macro UPLINKS

switch(config-if-range)#switchport mode trunk

switch(config-if-range)#description Trunk porty

switch(config-if-range)#end

switch#

Ve výše uvedeném přikladu jsme vytvořili skupinu portů pro uživatele (USERPORTS) a skupinu trunkových portů (UPLINKS). Na takto vytvořené skupiny jsme následně aplikovali příslušnou konfiguraci.

Uvedená funkce je dostupná od verze IOS 12.0(7)XE.

[16.06.2010] Přepracovaný engine pro IP SLA v IOS 15.1T

S uvedením IOS 15.1T došlo k přepracování enginu pro IP SLA, který je nyní známý pod označením Cisco IP SLAs Engine 3.0. Nově byly přidány vlastnosti, které zjednodušují konfiguraci sond v prostředí, kde jednotlivé sondy mají podobné nastavení.

V IP SLAs Engine 3.0 lze nyní definovat skupiny, které lze poté mezi sebou různě kombinovat a není nutné pro každou sondu definovat vlastní nastavení. Definovat lze:

- endpoint list

[25.05.2010] Jak řešit situaci, kdy ASA odmítne uložit konfiguraci

Pokud není z různých důvodů vhodné provést restart zařízení a tím mimo jiné přijít i o aktuálně neuloženou konfiguraci, lze využít file system check utilitu FSCK.

Pokud ASA nechce uložit konfiguraci, vypadá to asi takto:

asa# wr mem

Building configuration

[30.04.2010] IOS 15.1(1)T přináší nové vlastnosti pro hlasové služby

Nově vydaný IOS 15.1(1)T přináší přes 20 nových vylepšení, které se týkají světa IP telefonie. Mezi nejdůležitější patří uvedení nové verze Cisco Unified Communications Manageru 8.0 (CUCME) a vylepšená správa Music on Hold (MoH).

Nově lze definovat takzvané moh skupiny a tyto skupiny poté přiřazovat jednotlivým telefonním číslům (ephone-dn). Každá moh skupina může mít přiřazena jiný soubor, který se bude přehrávat. Takových skupin může být v CUCME nastaveno až 5. Jelikož se jedná o novou vlastnost, jsou zde určitá omezení, jako například nemožnost použít live zdroj a omezení na kodek G.711 u-law.

[09.04.2010] Jak zařídit, aby router posílal pakety do přímo připojené sítě přes jiné rozhraní

Představme si, že máme router, který je přímo připojen do sítě 172.16.10.0/24 přes rozhraní s nízkou přenosovou rychlostí. Do dané sítě se však lze dostat také jinou cestou, přes jiné rozhraní, které je rychlejší, ale je v jiné síti. Jak docílit toho, aby router posílal pakety touto na počet hopů delší, ale přitom rychlejší cestou?

Předpokládejme, že v naši zkoumané síti máme také připojený server s adresou 172.16.10.100, který je připojen do sítě pomocí gigabitového rozhraní. Pokud chceme, aby náš router posílal pakety pro daný server nikoliv přímo, ale přes rozhraní, které je rychlejší, ale je v jiné síti (např. 10.0.0.0/8) a síť za tímto rozhraním umí doručit paket do naší zkoumané sítě, tak to můžeme vyřešit jednoduše statickým směrováním:

Router(config)#ip route 172.16.10.100 255.255.255.255 10.0.0.254

Adresa 10.0.0.254 je nejbližší router, přes který se také umíme dostat do naší přímo připojené sítě 172.16.10.0/24.

Pokud do routeru dorazí paket s cílovou adresou 172.16.10.100, tak router použije námi vytvořený záznam ve směrovací tabulce a data pošle přes 10.0.0.254. Nevyužije přímé připojení, protože námi vytvořený záznam je přesnější. Přímo připojená síť má masku /24, oproti tomu statický záznam /32.

Co však v případě, že chceme takto směrovat provoz do celé připojené sítě, nejen na omezené množství zařízení. Vytvářet statické záznamy pro všechny IP adresy v daném subnetu by bylo neefektivní. Můžeme však napsat 2 následující statické záznamy:

Router(config)#ip route 172.16.10.0 255.255.255.128 10.0.0.254

Router(config)#ip route 172.16.10.128 255.255.255.128 10.0.0.254

Tyto 2 sítě dohromady obsahuji celou síť, kterou máme přímo připojenou a zároveň mají větší masky (/25) než přímo připojená síť (/24). Proto router použije námi zadaný záznam, je přesnější.

Přílohy:

1

[04.03.2010] Možnosti ovládání Cisco Access Point LED

Dnes si představíme příkazy, pomocí kterých může administrátor bezdrátové sítě ovládat elektroluminiscenční diody na Cisco Access Point.

Některé AP společnosti Cisco, které jsou vesměs určeny pro použití uvnitř budov, mají na čelní straně LED, pomocí které AP signalizuje stav, ve kterém se nachází. Tato dioda může měnit barvy od modré, zelené až po červenou. V průběhu dne se tak stává, že AP barvy průběžně mění. V některých prostředích může tato funkce odlákávat pozornost (například ve školách) či mít vliv na psychiku lidí (například v nemocnici či jiných zdravotnických zařízeních).

Pomocí příkazu ap led-state disable {all | AP_name} aplikovaného na WLAN kontroléru můžeme diody na daném AP (či na všech AP) vypnout. Opětovné zapnutí diod provedeme příkazem  ap led-state enable {all | AP_name}:

config>ap led-state disable AP1

config>ap led-state enable AP1.

Správce bezdrátové sítě se může dostat do situace, kdy potřebuje změnit nastavení určitého AP, ale není si jistý, který AP to je. Tato situace může nastat například ve velké hale, kde je značný počet AP a administrátor nemá informace o umístění daného AP. Pro nalezení správného AP může pomoci výše uvedený příklad pro vypnutí elektroluminiscenční diody nebo příkaz pro zapnutí blikání diody, kdy tato po určitý čas bliká zeleně. Administrátor pak může vizuálně identifikovat daný AP:

debug>ap enable AP1

[19.02.2010] Jak se vyhnout DNS lookupu po zadání přikazu, který směrovač nezná

Každý se mohl setkal s jevem, kdy při zadání příkazu nebo libovolné kombinace znaků, kterou router nezná, se tento řetězec snaží přeložit na ip adresu. Je to dáno defaultně zapnutým příkazem

Nechtěný lookup vypadá následovně:

R2#xyz

Translating "xyz"...domain server (255.255.255.255)

Translating "xyz"...domain server (255.255.255.255)

(255.255.255.255)

Translating "xyz"...domain server (255.255.255.255)

% Unknown command or computer name, or unable to find computer address

Mnoho z nás si s tímto umí snadno poradit příkazem no ip domain-lookup.

Co však v případě, kdy chceme na směrovači využívat překládaní jmen na ip adresy (např. máme v siti doménový server), ale zároveň chceme zamezit tomu, aby se při chybném zadání příkazu pokoušel směrovač kontaktovat doménový server?

Řešení je jednoduché a souvisí s odpovědí na otázku, proč se vůbec router pokouší špatně zadaný příkaz překládat. Dělá to v souladu s defaultním nastavením proto, že se chce na daný řetězec znaků připojit přes telnet:

R2(config)#line con 0

R2(config-line)#transport preferred telnet

Pokud nám takové chování nevyhovuje, stačí zakázat preferenci telnetování:

R2(config)#line con 0

R2(config-line)#transport preferred none

a zároveň mít defaultně zapnutý příkaz ip domain-lookup a staticky nastavený nameserver ip name-server x.x.x.x.

[14.12.2009] Nová řada Cisco IOS - 15.0

Společnost Cisco představila novou řadu IOS

Cisco ukončilo vývoj IOS řady 12 a oznámilo přechod na novou řadu

[13.11.2009] Výběr statické cesty na základě dostupnosti daného cíle

V IOSu existuje funkce SLA, která umožňuje měnit statickou cestu na základě dostupnosti cílové IP adresy. Funkci lze využít např. pro konfiguraci připojení k Internetu. Při výpadku primárního připojení bude provoz přesměrován na záložní.

Příklad:

Máme 2 připojení k Internetu. U primárního máme výchozí bránu 1.1.1.1 a u záložního 2.2.2.2. Našim cílem je dosáhnout toho, aby se při výpadku primárního připojení automaticky změnila výchozí brána na IP adresu záložního poskytovatele. Výpadek detekujeme na základě nedostupnosti vhodně zvolené IP adresy v síti primárního poskytovatele, v tomto případě 10.10.10.10.

Konfigurace:

ip sla 100 (číslo 100 je námi zvolené označení funkce)

icmp-echo 10.10.10.10

timeout 500

frequency 3

ip sla schedule 100 life forever start-time now (zapnutí funkce)

track 100 rtr 100 reachability (příkaz zajistí monitorování funkce SLA "100" tzv.

[16.10.2009] Zpestření konfigurace content přepínačů Cisco

Při konfiguraci content přepínačů Cisco si můžeme práci zpříjemnit poslechem svižné muziky.

Groups:

  The Group
      O                                O
     /|\         _._   \  O  _._      /|\
   (o\_)=="=#     |     \/ _> |      (\_)="=#
      |\          | [_] __[_] |       /|
      |/          |  | /  \|  |       \|
      ~~         /|\/|\\__/|\/|\      ~~

Group: natgroup - Active (195.139.114.220 Not Redundant)

[14.09.2009] Pojmenování verzí Cisco IOS

Jaký Cisco IOS bude v dané situaci vhodný? Jakou verzi použít? Existuje nějaký systém v označování Cisco IOS? Následující technický tip pomůže tyto otázky zodpovědět.

Cisco IOS vychází ze značení vývojových řad. Jako základ máme například řadu 12.4. Původní řada se stále vylepšuje (odstraňují se chyby) a vznikají tak nové verze

[14.08.2009] Funkce Cisco IOS resilient

Ochrání aktuálně natažený IOS a konfiguraci před případným nechtěným smazáním. Při jejím zapnutí jsou soubory aktuálně nataženého operačního systému a běžící konfigurace uložené ve formě archivních kopií na bezpečném místě na flash paměti (IOS) a v nvram (konfigurační soubor), odkud je není možné smazat a dokonce je není ani vidět pomocí příkazu dir. Jejich přítomnost je však možné ověřit přikazem show secure bootset.

Konfigurace probíhá pomocí dvou příkazů:

Router(config)#secure boot-image

Router(config)#secure boot-config

Takto archivované soubory je možné využít například v případě, že jsme přišli o konfiguraci nebo si vymazali soubor operačního systemu na flash paměti. Obnova spočívá v následujících krocích:

1. Necháme si zobrazit jméno kopie IOSu která je bezpečně uložena

rommon 1 > dir slot0:

2. Natáhneme archivovaný IOS

rommon 1 > boot slot0:c3745-js2-mz

3. Obnovíme archivovanou konfiguraci do souboru rescue-cfg

Router(config)#secure boot-config restore slot0:rescue-cfg

4. Zkopírujeme obnovenou konfiguraci do běžící konfigurace

Router#copy slot0:rescue-cfg running-config

Aktualizace archivované konfigurace proběhne každým spuštením příkazu:

Router(config)#secure boot-config

[20.07.2009] Příkaz KRON v Cisco IOS

Od verze Cisco IOSu 12.3(1) lze využít příkaz kron. Pomocí tohoto příkazu lze naplánovat spuštění určitého příkazu (nebo seznamu příkazů) na předem nastavený čas, či lze naplánovat opakující se spouštění příkazu (nebo seznamu příkazů). S pomocí příkazu kron lze naplánovat spuštění jakéhokoliv platného CLI příkazu (s určitým omezením

Konfigurace kronu se skládá ze dvou částí

[16.06.2009] Cisco 5508 Wireless Controller

Toto zařízení podporuje technologie 802.11 a,b,g a samozřejmostí je podpora 802.11 n, čímž lze dosáhnout až devítinásobného zrychlení oproti sítím 802.11 a,g . Controller je schopen obsloužit současně až 250 AP a celkem 7000 klientů.

Přináší mnoho novinek a vylepšení oproti starším typům. Mezi nimi je podpora technologie Cisco OfficeExtend. Řadu 5508 je možno nasadit v mnoha oblastech, přičemž se jako významná vlastnost jeví licenční politika, díky níž je možné bez problémů postupně přidávat licence pro nové AP a tím přizpůsobovat výkon zařízení růstu celé sítě. Mezi další vlastnosti této řady patří zajištění nepřerušeného přístupu do sítě při roamingu a podpora vysokého množství bezpečnostních standardů, mezi nimiž nechybí 802.11i.

Cisco 5508 Wireless Controller se dodává v provedení 1 RU a lze ho namontovat do klasického 19

[25.05.2009] Cisco ASA

Někdy se můžeme ocitnout v situaci, kdy je i při vypnutém příkazu nat-control (což je globálni příkaz, který určuje, jestli je při průchodu paketů přes firewall NAT vyžadován, nebo nikoli) konfigurace NATu nutností. V minulosti byl u Cisco firewalů NAT nutnou podmínkou při průchodu paketu z jednoho rozhraní na jiné. Od verze 7.0 je tato podmínka odstraněna. S příkazem no nat-control už není NAT nutnou podmínkou průchodu paketu přes firewall.

Pozor si však dejme na skutečnost, že pokud je příkaz nat-control vypnut, ale na daném rozhraní přidáme konfiguraci pro NAT, tak pro veškerý provoz z tohoto rozhraní je už NAT vyžadován.

Příklad:

Máme vypnutý  nat-control. Máme 2 interní rozhraní "inside1" a "inside2". A máme jedno vnější rozhraní "outside". Chceme nastavit PAT pro internetovou komunikaci:

nat (inside1) 1 0.0.0.0 0.0.0.0

nat (inside2) 1 0.0.0.0 0.0.0.0

global (outside) 1 interface

S takovou konfiguraci nám bez problému funguje provoz do internetu. Pokud však chceme komunikovat ze sítě za jedním z vnitřních rozhraní se sítí za druhým vnitřním rozhraním, tak to nepůjde.

Řešením je přidáni dalšího NATu (identity NAT) pro komunikaci mezi vnitřními rozhraními:

static (inside1,inside2) 192.168.200.0 192.168.200.0 netmask 255.255.255.0

static (inside2,inside1) 192.168.0.0 192.168.0.0 netmask 255.255.255.0

Shrnutí:

I když je nat-control vypnut, tak pokud na nějakém rozhraní přidáme konfiguraci NATu pro komunikaci s jiným rozhraním, je nyní NAT vyžadován i při komunikaci s jakýmkoli jiným rozhraním.

[06.05.2009] Cisco TelePresence System 1300

Technologii TelePresence lze nyní použít v téměř jakékoliv konferenční místnosti. Dále lze využít integraci s technologií Cisco WebEx, s níž lze nasdílet během konference například pracovní plochu, prezentaci či jakoukoliv aplikaci a tyto materiály aktivně používat.

Řadu 1300 lze použít v jakékoliv konferenční místnosti pro maximální počet šesti uživatelů a to buď jako spojení vytvořené klasicky jako video nebo pomocí propojení videa a webu (ke konferenci lze přistupovat pomocí webových služeb). Pro spojení se využívají 3 kamery a vše se zobrazuje na jedné 65 palcové plasmové obrazovce. Tato technologie umožňuje nově propojení i po T1 linkách (1,5 Mbps) při rozlišení 720p a při zachování vysoké kvality obrazu.

Nový je i produkt Cisco TelePresence Recording Studio, pomocí něhož lze jednoduchým způsobem vytvářet video zprávy ve vysoké kvalitě či nahrávat prezentace, které je poté možno přehrát pomocí Cisco TelePresence.

[16.04.2009] Cisco ASA

Pro zobrazení běžící konfigurace se běžně používá příkaz show run. Při takovém zobrazení ale neuvidíme pre-share klíče, resp. uvidíme je jako hvězdičku ( * ). Někdy se nám také může hodit neobvyklý způsob zobrazení konfigurace přímo přes webové rozhraní.

Pro zobrazení pre-share klíčů v čitelné podobě je možné použít příkaz more system:running-config. Tento příkaz nám zobrazí běžící konfiguraci spolu s pre-share klíči v čitelné podobě. Příkaz more funguje na Cisco PIX a ASA systémech s verzí 7.0 a vyšší.

Běžící konfiguraci je také možné zobrazit přes webové rozhraní. Stačí do pole adresy zadat :

[27.03.2009] Příkazy pro snadnější práci s rozhraními v Cisco IOSu

Občas se dostaneme do situace, kdy potřebujeme na směrovači nebo přepínači provést nějakou operaci pro několik rozhraní najednou a konfigurujeme každé rozhraní zvlášť. Existuje však možnost, jak provést konfiguraci všech vybraných rozhraní najednou. Opačným příkladem může být situace, kdy máme na rozhraní složitou konfiguraci a pokud bychom chtěli celou konfiguraci odstranit (nebo výrazně změnit), tak bychom museli všechny příkazy zadat s předponou no. Existuje ale i jednodušší cesta.

V prvním případě nám pomůže příkaz interface range, kterým konfigurujeme vybraná rozhraní naráz. V rámci příkazu lze zadat rozhraní několika typů následujícím způsobem:

(config)#interface range fastEthernet 0/1 - 5 , fastEthernet 0/8 - 10, vlan 1

(config-if-range)#shutdown

V druhém zmiňovaném případě můžeme následujícím způsobem použít příkaz default, který uvede rozhraní do defaultního stavu:

(config)#default interface fastEthernet 0/1

Výše uvedené příkazy lze také kombinovat:

(config)#default interface range fastEthernet 0/1 - 2 , fastEthernet 0/4

Na přepínačích lze také pomocí příkazu show interfaces s parametrem capabilities (od IOSu verze 12.1(14)EA1) následujícím způsobem zjistit veškeré informace o vlastnostech daných rozhraní

[13.03.2009] Testování kabelů pomoci IOSu

Jestli se vám už někdy stalo, že jste dlouho řešili nějakou závadu v síti a nakonec jste zjistili, že příčinou byl vadný kabel, tak vás určitě potěší možnost IOSu provést kontrolu twisted pair kabelu.

Testování se aktivuje příkazem:

Switch# test cable-diagnostics tdr interface <interface>.

Test může trvat několik sekund a výsledek lze zobrazit příkazem:

Switch#show cable-diagnostics tdr interface <interface>.

Příklad výpisu:

TDR test last run on: Dec 10 09:05:10

Interface    Speed    Local pair    Pair length    Remote pair    Pair status

---------        ------        ----------        -----------          -------------         ----------

Gi 0 /2        auto           Pair A         22 +/- 4 m           N/A                Open

                                       Pair B         21 +/- 4 m          N/A                Open

                                       Pair C           5 +/- 4 m          N/A                Open

                                       Pair D         20 +/- 4 m          N/A                Open

Z výpisu je vidět, že kabel není na druhém konci připojený (Pair status Open) a jeden pár kroucené dvojlinky je kratší než ostatní páry (pár C má délku 5m, zatímco A, B, D kolem 21m), což indikuje pravděpodobné přerušení příslušného páru v uvedené vzdálenosti.

[24.02.2009] Monitorování paketů pomocí Cisco IOS

Od verze Cisco IOS 12.4(20)T je implementována podpora pro analýzu paketů procházejících přes směrovač. Lze monitorovat pakety, které přícházejí i odcházejí rozhraními směrovače. Odchycené pakety je možné prohlížet buď lokálně nebo je lze exportovat v PCAP formátu a následně si je prohlédnout pomocí běžných programů pro monitoring a analýzu síťových dat.

Hlavní výhoda této nové funkce (Embedded Packet Capture (EPC)) je ta, že při troubleshootingu sítě není potřeba odchytávat pakety dalším zařízením, na kterém běží například Wireshark a které je nutno umístnit do cesty před směrovač (nebo přes funkci SPAN portů na přepínači). Směrovač je schopen sám tato data odchytit a poslat v PCAP formátu za účelem další analýzy.

Postup:

1. Definujeme si velikost bufferu pro odchytávaní (zároveň ho nastavíme na cyklicky):

Router# monitor capture buffer mycapture size 128 max-size 128 circular

2. V dalším kroku definujeme, na kterém rozhraní se bude provoz sledovat a to jeho přirazením k tzv.

[10.02.2009] Nová řada AP pro bezdrátové sítě

Společnost Cisco uvádí na trh Cisco Aironet 1140. Tyto AP jsou postaveny na novém standardu pro bezdrátové sítě 802.11n, který získává v současné době stále větší oblibu. Standard 802.11n umožňuje zvýšit rychlost bezdrátových sítí až na šestinásobek oproti standardům 802.11a/g, je zpětně kompatibilní se standardy 802.11a/b/g a umožňuje provoz jak v pásmu 2,4GHz, tak i v pásmu 5GHz.

AP Cisco Aironet 1140 mají podporu napájení dle standardu 802.3af Power over Ethernet a v současné době je lze integrovat do sítí pouze v light weight módu. Podpora standalone módu bude dostupná v průběhu roku 2009. Došlo rovněž k zabudování podpory technologie M-Drive, která se stará o správu RF a dokáže zvýšit kvalitu signálu až o 40 % současně s rozšířením území, na kterém je tento signál dostupný.

[30.01.2009] Rozdělování konfigurace směrovačů

Jestli jste někdy konfigurovali směrovače s rozsáhlými konfiguracemi, možná jste nebyli spokojeni s pomalou odezvou příkazu show running-config. Running-config je generován vždy, když si o něj požádáte a to při dlouhé konfiguraci chvíli trvá. IOS verze 12.2(33)SRB nabízí možnost, jak si práci urychlit.

Jedná se o rozdělování konfigurace směrovačů - Router configuration partitioning. Počátky této myšlenky se objevily už i v jiných verzích IOSu. Například pomocí příkazu show running-config interface je možné si ukázat konfiguraci jednotlivých rozhraní bez toho, abychom museli čekat na vybudováni celého konfiguračního souboru. Router configuration partitioning si umožňuje podobným způsobem prohlédnout i jiné části běžící konfigurace a to pomocí příkazu show running-config partition.

Ukázka možných parametrů:

[06.01.2009] Novinky v IOSu 12.4(22)T

V novém Cisco IOSu 12.4(22)T je zabudována podpora nového hardware, nových funkcí z oblasti hlasových služeb a vylepšení firewallu.

Cisco IOS 12.4(22)T přináší podporu nových modelů směrovačů řady Cisco 880G 3G a 880 SRST Integrated Services Router. Dále je zde vylepšená podpora analogových hlasových bran VG202, VG204 a zařízení Cisco IAD2435-8FXS.

Z oblasti hlasových služeb přináší nový IOS lepší podporu RSVP protokolu - RSVP Preconditions (RFC3312), rozšíření RSVP protokolu o reINVITE zprávy, podporu RSVP protokolu na SIP trunku na CUCME (SCCP). Změn doznala také podpora SIP protokolu. Mezi nejvýznamnější patří například implementace SIP SRST fallbacku na nezabezpečený RTP stream a SRTP over SIP, vylepšení SIP diversion header, podpora zpráv SIP history INFO a SIP multicast Music on Hold. Současně s tím byla vylepšena interoperabilita s CUCM.

[03.12.2008] Automatický restart zařízení

Někdy se nám při vzdálené konfiguraci Cisco zařízení může stát, že uděláme chybu a ztratíme přístup k zařízení. Pak je nutné, aby někdo ve vzdálené lokalitě fyzicky přišel k příslušnému hw a restartoval ho. To způsobí návrat k původní konfiguraci a možnost znovu se vzdáleně připojit. Můžeme být ale předvídaví a proti takové komplikaci se pojistit.

Lze nakonfigurovat automatický restart zařízení pro případ, že uděláme chybu v konfiguraci a ztratíme spojení. Nebo například před nějakou změnou konfigurace, která by mohla způsobit naše odpojení. V takovém případě nastavíme příkazem

[14.11.2008] Automatická archivace souborů pomocí Cisco IOS

Cisco IOS poskytuje nástroj, pomocí kterého lze automaticky periodicky archivovat konfigurační soubor running-config po uplynutí nastaveného intervalu. Archivaci lze konfigurovat  příkazem archive.

(config)#archive

Nastavení cesty pro archivaci konfigurace (bude vytvářen soubor 3560-conf-X, kde X je pořadové číslo zaslané konfigurace):

(config-archive)#path tftp://10.1.1.56/3560-conf

Nastavení intervalu v minutách (1440 minut = 1 den), po jehož uplynutí se bude konfigurace zasílat na dané médium:

(config-archive)#time-period 1440

Pokud bychom archivovali na lokální médium, pak lze ještě použít příkaz pro nastavení počtu záloh (v rozmezí 1 až 14):

(config-archive)#maximum 14

Stav zálohování zjistíme pomocí příkazu show archive. Příkaz archive neslouží pouze pro automatickou archivaci konfiguračních souborů. Pomocí tohoto příkazu lze i pracovat se soubory typu tar. Tar archív lze vytvořit pomocí příkazu archive tar /create destination-url flash:/file-url.

Jako příklad lze uvést komprimace souborů v adresáři flash:/configs do souboru tar a jeho odeslaní na TFTP server:

archive tar /create tftp://10.1.1.56/configs.tar flash:/configs

Stáhnutí archívu a jeho rozbalení do adresáře flash:/configs bychom provedli takto:

archive tar /xtract tftp://10.1.1.56/configs.tar flash:/configs

Pokud bychom se chtěli podívat pouze na obsah tar archívu, tak bychom to provedli následujícím způsobem:

archive /tar table tftp://10.1.1.56/configs.tar.

[30.10.2008] Urychlení práce s Cisco IOS

Při konfigurování Cisco zařízení existuje mnoho způsobů, jak si práci urychlit. Představíme si pár méně známých příkazů, které zejména při dlouhodobé práci v prostředí Cisco IOS mohou ušetřit čas.

Jedním z takových příkazů je

Router(config)#ip tcp syn wait-time <seconds>.

Mnoho z vás už určitě zažilo dlouhé čekání po zadání příkazu telnet na nesprávnou IP adresu. Defaultně je doba čekání na vytvoření TCP spojení z Cisco IOS nastavena na 30 sekund. Výše uvedeným příkazem můžeme dobu čekání zkrátit na 5 sekund.

Další zajímavé vylepšení práce s IOSem přineslo Cisco implementováním příkazu do show do konfiguračních módů. Nemusíme tak přecházet do enable módu pokaždé, když potřebujeme výstup z některého show příkazu. Může se stát, že prefix

[22.10.2008] Jak nahradit běžící konfiguraci bez nutnosti restartu

Občas se můžeme ocitnout v situaci, kdy se při konfiguraci Cisco zařízení chceme vrátit k původní konfiguraci

A to příkazem:

configure replace nvram:startup-config.

Příkazem configure replace můžeme nahradit běžící konfiguraci libovolnou konfigurací, kterou máme na vhodném místě uloženou (v našem případě v NVRAM).

[29.08.2008] Porovnávání rozdílů ve dvou konfiguračních souborech pomocí Cisco IOS

Dalším z užitečných, ale ne příliš známých nástrojů Cisco IOSu, je nástroj umožňující porovnat rozdíly ve dvou konfiguračních souborech, ke kterým lze přistupovat pomocí Cisco IOS Integrated File Systemu. Tento nástroj je dostupný od verze Cisco IOSu 12.3(4)T.

Syntaxe příkazu má tvar show archive config differences [file1 [file2]], kde file1 je první porovnávaný soubor a file2 je druhý porovnávaný soubor. Z výstupu příkazu lze zjistit řádky, které existují v souboru file2 a neexistují v souboru file1 - označení řádků "+". Řádky, které existují v souboru file1 a neexistují v souboru file2, jsou označeny "-". Případně řádky, které existují v obou souborech, ale jsou umístěny na různých místech (v různých sekcích souboru), jsou označeny jako "!".

Existuje modifikace nástroje, která vypisuje pouze řádky, které jsou v porovnávaném souboru a nejsou v running config souboru. Zobrazí se rovněž řádky, které existují v obou souborech, ale v jiných sekcích - ty jsou označeny "!". Tato modifikace má syntaxi show archive config incremental-diffs file.

Příklady použití:

startup-config:
hostname TEST
ip cef
interface FastEthernet0/0
  ip address 10.10.10.4 255.255.255.0

running-config:
hostname POKUS
no ip routing
no ip cef
interface FastEthernet0/0
  ip address 10.10.10.5 255.255.255.0
  shutdown

Výstup z porovnání souborů:

show archive config differences nvram:startup-config system:running-config
Contextual Config Diffs:
+hostname POKUS
+no ip routing
+no ip cef
interface FastEthernet0/0
  +ip address 10.10.10.5 255.255.255.0
  +no ip route-cache
  +shutdown
-hostname TEST
-ip cef
interface FastEthernet0/0
  -ip address 10.10.10.4 255.255.255.0

show archive config incremental-diffs nvram:startup-config
!List of Commands:
hostname TEST
ip cef
interface FastEthernet0/0
  ip address 10.10.10.4 255.255.255.0

[05.08.2008] Filtrování show příkazů

V prostředí IOSu existuje mnoho způsobů, jak si zjednodušit práci. Poměrně častou komplikací je orientace v obsáhlých výpisech show příkazů. Naštěstí existují metody, jak si vyhledávání zkrátit. Řešením je přidání určitého filtru za show příkaz.

Filtr se skládá ze symbolu "pipe" |, příkazu filtru a slova, nebo regulárního výrazu. Dohromady to vypadá následovně:

show <příkaz> | <příkaz filtru> <slovo, nebo reg.výr>.

Poměrně známými a často používanými příkazy filtru jsou:

exclude vypíše jen ty řádky, které neobsahují reg.výraz,
include vypíše jen ty řádky, které obsahují reg.výraz,
begin vypíše všechny řádky, které jsou za reg. výrazem.

Například příkaz show run | include 192.168.1.1 vypíše pouze ty řádky, které obsahují IP 192.168.1.1.

Od verze IOSu 12.3(2)T přibyl příkaz section, který vypíše jen určitou sekci.

Například show run | section router ospf vypíše pouze konfiguraci v ospf konfiguračním módu, nebo show run | section interface vypíše pouze konfiguraci provedenou pod interface konfiguračními módy.

Tento příkaz sa dá kombinovat také s příkazem exclude, kdy vypíšeme všechno kromě konkrétní sekce.

show run | section exclude interface vynechá ve výpisu veškerou konfiguraci provedenou na rozhraních.

Za symbol "pipe" | ještě můžeme přidat příkaz redirect <URL>, čímž výpis z show příkazu přesměrujeme na ftp nebo tftp server.

show cdp neighbors | redirect tftp://192.168.1.1//Vypis_cdp.txt vytvoří soubor na tftp serveru s IP adresou 192.168.1.1 s názvem Vypis_cdp.txt a uloží do něho výpis z show příkazu.

[10.06.2008] NAC verze 4.1.3

Cisco Systems uvádí novou verzi software pro Cisco NAC Appliance - NAC 4.1.3. Cisco NAC Appliance je zařízení, umožňující kontrolovat stav stanic, které se připojují do sítě. Pokud stanice neodpovídá stanovené bezpečnostní politice, není jí připojení umožněno. Nová verze software NAC přináší řadu vylepšení a nových funkcí.

Mezi nejvýznamnější patří:

Cisco NAC Web Agent - umožňuje provést i kontrolu stanic, na kterých není nainstalován Clean Access Agent. Po přihlášení uživatele je do stanice stažen ActiveX nebo Java applet, který provede kontrolu a sleduje stav stanice po dobu jejího připojení v síti. Po odpojení je applet a veškeré jeho dočasné soubory ze stanice odstraněn.

Podpora stanic s více síťovými kartami - odstraňuje problémy uživatelů s přihlášením do sítě, pokud jejich stanice používá více než jednu síťovou kartu (např. stanice připojené přes RJ-45 a zároveň pomocí WiFi).

Automatická náprava stanice pomocí NAC klienta - umožňuje provést automaticky nápravu stanice, pokud je zjištěn stav neodpovídající bezpečnostní politice. V závislosti na konfiguraci NAC Appliance je možno provést:

- update antivirové databáze

- update anti-spam databáze

- spuštění aktualize systému Windows (na pozadí)

- spuštění WSUS update

- spuštění libovolného předdefinovaného programu.

Podpora 64-bitových systémů - Clean Access Agent a Cisco NAC Web Agent nyní podporují autentizaci uživatele na 64-bitových verzích systémů Windows Vista a Windows XP. Kontrola stanice na těchto systémech však není podporována.

[15.05.2008] GLBP Client Cache

Od IOSu verze 12.4(15) je na směrovačích k dispozici tzv. GLBP client cache, ve které si směrovač drží údaje o koncových stanicích využívajících Gateway Load Balancing Protocol. Tyto informace mohou pomoci při řešení případných problémů s konektivitou, jestliže se v síti využívá GLBP.

Tento protokol slouží podobně jako HSRP a VRRP k zajištění redundance defaultních bran. Navíc umí narozdíl od HSRP a VRRP rozkládat zátěž mezi jednotlivé členské směrovače v GLBP skupině. V tabulce jsou uloženy adresy koncových stanic spolu s údaji o směrovači, který je pro tyto stanice určen jako defaultní gateway.

[21.04.2008] Nový Cisco Firewall Services Module SW 3.2

Cisco Firewall Services Module je určen pro přepínače Catalyst 6500 a routery Cisco 7600. Jedná se o výkonný stavový firewall s možností pokročilé inspekce provozu na úrovni protokolů a aplikací. Nabízí propustnost 5.5 Gbps, 1 milion současných spojení a 100 000 nových spojení za sekundu.

Cisco Systems nyní uvádí novou verzi SW, která obsahuje proti starším řadu vylepšení. Mezi nejdůležitější patří:

- NAT a PAT při transparentním nasazení (jako L2 bridge) v single a multi context módu

- možnost konfigurace DHCP relay per-interface

- možnost konfigurace selektivního TCP bypassu pro dané třídy toků (vhodné např. pro asymetrické toky, kdy odchozí a příchozí provoz v rámci jedné TCP session prochází přes dva různé FWSM moduly)

- podpora PAT pro Realtime Streaming Protocol

- podpora pro H.323 gatekeeper cluster Gatekeeper Update Protocol (GUP) (lepší interoperabilita mezi FWSM a Cisco Unified CallManager 4.1)

- Virtualizovatelný SSH daemon (vhodné např. pro povolení přístupu zákazníků k jejich virtuálním firewallům)

Současně byla vydána i nová verze grafického konfiguračního nástroje pro FWSM modul - Cisco ASDM Version 5.2F, která podporuje všechny nové funkce, uvedené ve FWSM SW 3.2.

[14.03.2008] Cisco QuantumFlow Procesor

Nový typ procesorů, které hodlá firma Cisco instalovat do zařízení nových generací, mění pohled na proces zpracování paketu uvnitř směrovače či přepínače. Oproti specializovaným ASIC přináší větší flexibilitu a proti General-Purpose procesorům naopak mnohem vyšší výkon.

QuantumFlow procesor má paralelní architekturu, hlavní část tvoří tzv. PPE jednotky (vlastně samostatné jednoduché RISC procesory) pro zpracování paketu. V současné době jich je 40, očekává se, že jejich počet se bude časem zvyšovat. Každá z těchto jednotek dokáže najednou zpracovávat až 4 pakety. Vzhledem k tomu, že všechny jednotky se dají programovat, a to pomocí jazyka C (nikoliv pomocí speciálních mikrokódů, jako je tomu u ASIC, u kterých je možnost programování silně omezena) a vzhledem k faktu, že každá jednotka umí zpracovat úplně celý paket (ne jen hlavičky, jako většina ASIC obvodů), je QuantumFlow architektura velice flexibilní. Není problém zajistit implementaci většiny dnes požadovaných služeb (jako je QoS, veškeré hloubkové inspekce paketů - NBAR, sledování statistik - NetFlow, atd.) i služeb, které se mohou potenciálně objevit v budoucnu. Díky této flexibilitě mají systémy s QuantumFlow architekturou výhodu oproti relativně statickým systémům s ASIC obvody, u kterých dochází k výrazné degradaci výkonu, pokud daná funkce není v ASIC implementována. Oproti process-switchingu nabízí mnohem vyšší výkon. Každá PPE jednotka dosahuje výkonu 1,2 miliardy instrukcí za sekundu.

[11.02.2008] Cisco NAC Guest Server

Cisco Systems uvádí na trh nové zařízení - NAC Guest Server. Jde o důležitý doplněk NAC řešení nebo bezdrátových řešení. Toto zařízení slouží ke kompletní správě dočasných uživatelských účtů - umožňuje jejich vytváření, editaci a rušení.

Díky jednoduché správě a intuitivnímu rozhraní může IT oddělení předat správu dočasných účtů jinému oddělení. Jedná se o vhodné řešení např. pro zajištění bezpečného přístupu do sítě pro externí spolupracovníky, pro vytváření účtů pro přístup k internetu pro hotelové hosty apod.

Dočasný účet je možno vytvořit s danou dobou životnosti, po jejímž vypršení automaticky zanikne, parametry účtu je možno vytisknout, zaslat emailem nebo jako SMS. Veškerá aktivita dočasných uživatelů je detailně monitorována, logována a je možno vytvářet podrobné a přehledné reporty. Cisco NAC Guest Server je schopen spolupráce s Cisco NAC Appliance a Cisco Wireless LAN Controllerem, které ho mohou využívat jako AAA server.

[18.01.2008] Virtual Switching System (VSS)

VSS je nová vlastnost přepínače Catalyst 6500. Umožňuje spojit dva tyto přepínače tak, že se navenek chovají jako jeden celek s dvojnásobnou kapacitou.

Virtual Switching System vytváří jeden virtuální celek složený ze dvou (a v budoucnu možná i více) přepínačů Catalyst 6500. Jednotlivá zařízení jsou spojena pomocí tzv. Virtual Switch Link (VSL). Ten může být tvořen až 8 TenGigabitEthernet rozhraními. Jeden z přepínačů je zvolen jako aktivní - má aktivní jak data, tak control plane. Druhý z přepínačů svojí control plane vypne (data plane zůstává aktivní). Při výpadku aktivního přepínače se s minimálním zpožděním (výrazně pod 1s) ujímá aktivní role přepínač druhý. Díky tomu, že pro své okolí vystupuje tento systém jako jeden přepínač, není nutné konfigurovat protokoly pro zajištění vysoké dostupnosti v síti (např. HSRP). VSS funguje jako mnohem rychlejší varianta HSRP (pro 2 přepínače). Díky tomu, že v obou přepínačích je aktivní data plane, je celková kapacita VSS systému 1,4Tbps. Zlepší propustnost sítě také v případě, kdy je k oběma Catalystům připojeno redundantně další zařízení (dual-homed Server, Access Layer switch) - v tomto případě STP jednu z rendundatních cest blokuje a nevyužívá k přenosu dat. U VSS je možné nakonfigurovat Etherchannel tak, že jeho fyzické porty jsou zakončeny na obou přepínačích tvořící VSS. U dual-homed serverů pak není problém s teamingem, u access layer přepínačů se využívají oba fyzické uplinky. A to vše při zachování maximální spolehlivosti - fyzické linky jsou zakončeny v různých zařízeních. VSS je dostupný od verze IOSu 12.2(33)SXH. V současné době je podporován pouze v supervisoru 720-10GE. VSL se dá sestavit pouze z portů na supervisoru nebo na modulu WS-X6708-10G. Zatím není podpora relativně velkého počtu populárních modulů (Catalyst je přestane používat, pokud se rozhodnete spustit VSL) - FWSM, WiSM, atd. To se však má v průběhu roku postupně měnit.

[29.11.2007] Operační systém ASA 8.0(3)

Operační systém pro zařízení ASA je nyní ve verzi 8.0(3) a nově obsahuje např. následující funkce - AnyConnect RSA SoftID API Integration, IP Address Reuse Delay a WAAS and ASA Interoperability. Zároveň došlo ke změnám v implementaci EIGRPv3.

AnyConnect RSA SoftID API Integration - podpora pro AnyConnect VPN clienty, kteří mohou komunikovat přímo s RSA SoftID pro obdržení token kódu. Také umožňuje specifikovat SoftID zprávy pro připojovací profil (tunnel group). Tato funkce pak zobrazí zprávu vzdálenému uživateli při přihlašování a po něm.

IP Address Reuse Delay - zpožďuje znovupoužití IP adresy po uvolnění zpět do poolu a předchází tak problémům, které mohly nastat při příliš rychlém opětovném přidělení.

WAAS and ASA Interoperability - byl přidán příkaz [no] inspect waas, který umožní WAAS inspekci v policy-map class konfiguračním módu. Inspekce není defaultně povolena. Pro získání WAAS statistik se používá příkaz show service-policy inspect waas.

Důležité - ASA umí EIGRPv3, ale implementace v 8.0(3) je trochu jiná než v 8.0(2), kde se poprvé objevila. Proto, pokud máte EIGRP peery s různými verzemi OS, měli byste upgradovat, jinak komunikace nemusí fungovat správně.

[24.10.2007] Časování při přenosu faxů v IP síti

Poměrně často řešíme u našich zákazníků problémy s přenosem faxů v IP síti. Na základě těchto zkušeností doporučujeme na faxové přijímací bráně nastavit odvozování hodin z E1 kontroleru, na který je připojen okruh telefonního operátora.

Kromě nastavení známých věcí, jako je třeba fax-relay, doporučujeme na faxové přijímací bráně nastavit odvozování hodin z E1 kontroleru, na který je připojen okruh telefonního operátora, pomocí příkazu network-clock-select. Defaultním zdrojem hodin je interní PLL obvod. Toto nastavení se týká nejčastěji používaných bran, realizovaných ISR směrovači 2800/3800.

[15.10.2007] Nová verze software pro ASA CSC modul

Právě uvolněná verze 6.2 software pro tento modul přináší několik významných vylepšení a nových funkcí, jako jsou např vyjímky z URL filteringu, vylepšený QoS, IntelliTrap Engine Support, podporu pro Damage Cleanup Service a další.

Content Security Module (CSC) pro Cisco ASA 5500 slouží k inspekci provozu a ochraně sítě před řadou hrozeb. Poskytuje funkce antiviru, antispamu, antiphishingu, antispyware, inspekce emailů a URL filteringu. Právě uvolněná verze 6.2 software pro tento modul přináší několik významných vylepšení a nových funkcí:

- vyjímky z URL filteringu, z kterého lze vyjmout provoz z určitých stanic,
- možnost úpravy vzhledu a obsahu informační stránky, která se zobrazí uživateli při pokusu o přístup na nepovolenou URL adresu,
- vylepšený QoS, vyšší počet sledovaných spojení pro každý protokol,
- IntelliTrap Engine Support, heuristická analýza komprimovaných/zabalených příloh v emailech,
- podpora pro Damage Cleanup Service (DCS), DCS automaticky odstraňuje z napadených PC spyware, červy, viry, apod., vyžaduje separátně instalovaný DCS server.

[08.10.2007] Cisco Router and Security Device Manager 2.4

V SDM 2.4 nalezneme nové konfigurační možnosti, jako např. Certificate authority server, 802.1x, DVTI či Zone-based policy firewall.

Nově lze v Cisco Secure Device Manageru nakonfigurovat router jako Certificate authority server a používat pro autentikaci protokol 802.1x. Je možné konfigurovat Easy VPN připojení s využitím Dynamic Virtual Tunnel Interface, které na vyžádání poskytují virtuální access interface pro oddělení všech VPN spojení. Nově můžeme konfigurovat Zone-based policy firewall. Vylepšení se dostalo i konfigurátoru IPS a QoS. U QoSu je nyní možné specifikovat hodnotu DSCP či NBAR značek a lze vytvářet QoS policies s využitím Cisco Common-Classification Policy Language (C3PL).

[17.09.2007] IP-RIP delay start

Od verze IOSu 12.4(12) je k dispozici funkce opožděného startu směrovacího protokolu RIPv2. Tato funkce řeší některé problémy s kompatibilitou mezi Cisco a ne-Cisco zařízeními při použití autentizace sousedů v rámci RIPv2.

Při autentizaci sousedů s využitím hashovací funkce MD5 v protokolu RIPv2 může dojít k nenavázání sousedství, pokud Cisco router komunikuje s ne-Cisco zařízením. Zařízení některých výrobců nedovolí ustavit autentizované spojení se sousedem, pokud sekvenční číslo prvního MD5 paketu je větší než 0. Z tohoto důvodu je od verze IOSu 12.4(12) k dispozici funkce opožděného startu. Při jejím použití Cisco router čeká s vysíláním MD5 paketů, až bude mít se sousedem plnou konektivitu na síťové vrstvě. Bez použití této funkce router posílá pakety okamžitě, jakmile je aktivní fyzické rozhraní. Některé pakety se tak mohou ztratit. Tyto problémy jsou časté např. na Frame-Relay spojích, kde sériové rozhraní může být aktivní mnohem dříve, než je k dispozici aktivní virtuální okruh. Poznamenejme, že použití této funkce je na místě pouze tehdy, pokud Cisco router komunikuje s routerem od jiného výrobce. Na ustavení sousedství mezi dvěma Cisco routery nemá vliv.

[29.08.2007] Nový NAC (Network Admission Control) modul pro Cisco routery

Modul s označením NME-NAC-K9 lze použít v routerech Cisco 2811, 2821, 2851, 3825 a 3845. a nabízí (s výjimkou funkce high availability) stejné možnosti jako Cisco NAC Appliance. Je vhodný zejména pro menší instalace, kde by pořizování Cisco NAC Appliance bylo příliš nákladné.

Společnost Cisco Systems uvádí nový modul s označením NME-NAC-K9. Tento modul je možno použít v routerech Cisco 2811, 2821, 2851, 3825 a 3845. Nabízí (s výjimkou funkce high availability) stejné možnosti jako Cisco NAC Appliance (Clean Access) - při připojování stanice do sítě provede její autentizaci a ověření stavu vůči stanovené bezpečnostní politice. Ta může např. požadovat spuštěný aktuální antivirový program, aktuální záplaty OS apod. Pokud stanice dané politice vyhoví, je připojena do sítě, v opačném případě může být umístěna do "karantény" (vyhrazené VLAN), v níž je automaticky provedena náprava (aktualizace antiviru, instalace záplat OS apod.) a až poté je stanice přepojena do sítě.

Modul je vhodný pro menší instalace, kde by pořizování Cisco NAC Appliance bylo nepřiměřeně nákladné. Je dodáván s licencí pro 50 nebo 100 současně připojených stanic.

[21.08.2007] Novinky v IOSu 12.4(15)T

Vylepšuje Sub-second link failure detekci a zrychluje konvergenci. Zlepšení se dočkala sada intrusion protection funkcí a SSL VPN možností. Je začleněna i podpora nového routeru Cisco 7201.

IOS 12.4.(15)T vylepšuje Sub-second link failure detekci a zrychluje konvergenci. Zlepšení se dočkala i sada intrusion protection funkcí - automatický update signatur z lokálního tftp nebo http(s) serveru, podpora SEAP (Signature Event Action Processor), stejný formát signatur jako IPS appliance a další. Integrován byl Cisco IOS auto-upgrade manager. Přibyly nové funkce jako Performance Routing Enhancements Optimized Edge Routing, Gateway Load Balancing Protocol Client Cache, DHCPv6 server auto-configuration, apod. Optimalizovány jsou SSL VPN kryprografické operace s hw akcelerací. Je začleněna i podpora nového routeru Cisco 7201.

[23.07.2007] Nová verze OS pro Cisco ASA

Společnost Cisco Systems vydala novou major verzi (8.0) OS pro zařízení Cisco ASA (Adaptive Security Appliance). Tato verze přináší několik desítek nových funkcí a vylepšení.

Společnost Cisco Systems vydala novou major verzi (8.0) OS pro zařízení Cisco ASA (Adaptive Security Appliance), která přináší několik desítek nových funkcí a vylepšení, mezi nejzajímavější patří:

- podpora routovacího protokolu EIGRP vč. stub routingu

- Stateful Failover podpora pro SIP

- možnost resetovat přístupové heslo na přídavném SSM modulu

- VPN load balancing i pro ASA 5510

- možnost přistupovat přes SSL VPN k FTP serveru (dosud pouze CIFS protokol)

- podpora NAT v transparentním módu

- bezpečné odesílání zpráv na syslog server pomocí SSL nebo TLS.

Současně byla vydána i nová verze (6.0) grafického konfiguračního nástroje ASDM (Adaptive Security Device Manager). Kromě podpory všech nových funkcí OS 8.0 jsou nejvýznamnějšími změnami v nové verzi integrace správy IPS SSM modulu přímo do ASDM a přepracované grafické rozhraní. To je nyní přehlednější a intuitivnější.

[17.07.2007] Bidirectional Failure Detection (BFD)

Od IOSu verze 12.4(11)T je možné využít služeb BFD (protokol sloužící pro rychlou detekci výpadku linky) i v rámci HSRP řešení.

BFD je protokol, který slouží pro velice rychlou detekci výpadku linky. Časy detekce výpadku se mohou pohybovat v řádu stovek milisekund. Používá se typicky ve spolupráci s routovacími protokoly - v momentě, kdy BFD detekuje výpadek, oznámí to danému protokolu a ten pak rozváže sousedství s daným sousedem. Od IOSu verze 12.4(11)T je jeho podpora zabudována i do protokolu HSRP. I když při použití BFD je udržováno v klientských protokolech (OSPF, EIGRP, HSRP) sousedství klasickou metodou a zdálo by se tedy, že BFD dělá zbytečnou práci, může mít jeho použití smysl. BFD totiž dosahuje kratších časů detekce výpadku, než jsme schopni nastavit v těchto klientských protokolech, i když snížíme jejich timery na minimum. A také méně zatěžuje CPU. Pokud tedy na jednom rozhraní běží více protokolů, které umí využít BFD (routovací protokol + HSRP v několika instancích, apod.), můžeme s výhodou ponechat timery (týkající se sledování sousedů) těchto protokolů v defaultních hodnotách a nakonfigurovat pouze jedenkrát timery pro BFD.

[19.06.2007] Supervisor Engine 32 - PISA (Programmable Intelligent Services Accelerator)

Nový modul do Catalystu 6500 nabízí výkonnou inspekci paketů, ochranu proti známým červům a virům a proaktivní optimalizaci síťového provozu.

Supervisor Engine 32 - PISA (Programmable Intelligent Services Accelerator ), nový modul do Catalystu 6500, nabízí výkonnou inspekci paketů, ochranu proti známým červům a virům a proaktivní optimalizaci síťového provozu založenou na více než 100 různých protokolech. Tento modul lze centrálně spravovat pomocí softwaru Cisco Quality-of-Service Policy Manager 4.0 a Cisco Security Manager 3.1.

[14.05.2007] Implementace podpory kodeku iLBC

Ve verzi IOSu 12.4(11)T je nově implementována podpora kodeku iLBC, který je svými vlastnostmi vhodný pro nasazení v sítích, kde je nutno počítat s větší ztrátovostí dat.

Z tohoto důvodu je vhodný například pro oblast internetové telefonie.

[04.05.2007] USB Tokeny (Smart Cards) jako kryptografická zařízení u Cisco routerů

Od IOS Release 12.4(11)T je možno používat USB tokeny k provádění kryptografických operací. Veškeré operace s RSA klíči se nyní provádějí přímo v USB tokenu.

Již dříve (od IOS Release 12.3(4)T) bylo možno používat USB tokeny jako úložná zařízení pro bezpečné uložení konfiguračních souborů (např. konfigurace VPN tunelů), digitálních certifikátů a RSA klíčů mimo samotný router. Uložené informace byly přístupné až po zadání bezpečnostního PIN kódu. Poté bylo možno zkopírovat je do routeru a používat.
Od IOS Release 12.4(11)T je možno používat USB tokeny k provádění kryptografických operací. Veškeré operace s RSA klíči - generování klíčů, podepisování dat, autentizace - se nyní provádějí přímo v USB tokenu. Privátní RSA klíč zůstává stále na USB tokenu, nikdy se z něj nikam nekopíruje. To významně snižuje riziko jeho kompromitace a zvyšuje bezpečnost a spolehlivost kryptografických operací, využívaných např. u technologie VPN.
Nutnou podmínkou pro správné fungování USB tokenu jako kryptografického zařízení je Cisco IOS s podporou šifrovacího protokolu 3DES.

Podporované routery: Cisco 871, 1800, 2800, 3800, 7200VXR NPE-G2.

[28.03.2007] Zajímavé novinky v IOSu 12.4(11)T

Poslední verze IOSu 12.4(11)T přináší celou řadu zajímavých novinek týkajících se technologií MPLS, VPN a IPv6.

Poslední verze IOSu 12.4(11)T přináší nové možnosti přenosu VPN přes MPLS. Vylepšený MPLS management. Podporu identifikace a autorizace v Mobile IPv6. Novou technologii kryptování pro WAN sítě (Group Encrypted Transport VPN) a podporu Network processing enginu G2 a VPN service adaptéru pro routery řady 7200.

[02.03.2007] IEEE 802.1x Port-Based Authentication na ISR routerech

Na routerech, které mají integrován i LAN switch (ať už zabudovaný, nebo ve formě přídavných modulů), lze konfigurovat 802.1x autentikaci stejně jako na LAN switchích řady Catalyst. Díky tomu je možné zvýšit úroveň bezpečnosti zejména u menších sítí.

V IOS release 12.4(11)T přibyla možnost konfigurovat na Cisco Integrated Services Routerech (ISR) autentikaci pomocí protokolu 802.1x. Na routerech, které mají integrován i LAN switch (ať už zabudovaný, nebo ve formě přídavných modulů), je tedy nyní možno konfigurovat 802.1x autentikaci stejně jako na LAN switchích řady Catalyst. Díky tomu lze zvýšit úroveň bezpečnosti zejména u menších sítí, které často tato integrovaná řešení používají.

Podporována jsou tato zařízení:
- routery Cisco 870 a 1800 se zabudovaným 4-portovým nebo 8-portovým switchem,
- moduly HWIC-4ESW, HWICD-9ESW, NM-16ESW a NMD-36ESW pro routery Cisco 2800 a 3800.

[15.02.2007] EasyVPN Remote Identical Addressing Support

EasyVPN Remote Identical Addressing Support umožňuje připojit přes EzVPN klienta (router, PIX, Cisco 3002 VPN client) dvě nebo více vzdálených lokalit (LN sítí), které používají stejný lokální adresní prostor. Stanice nebo sdílené prostředky (např. tiskárny) jsou tak vzdáleně dostupné, přestože mohou mít identické IP adresy.

V operačním systému Cisco IOS 12.4.11(T) je k dispozici nová funkce - EasyVPN Remote Identical Addressing Support. Tato nová funkce integruje do EasyVPN Remote funkcionality podporu překladu adres (NAT). Umožňuje tak připojit přes EzVPN klienta (router, PIX, Cisco 3002 VPN client) dvě nebo více vzdálených lokalit (LN sítí), které používají stejný lokální adresní prostor. Stanice nebo sdílené prostředky (např. tiskárny) jsou tak vzdáleně dostupné, přestože mohou mít identické IP adresy. Tato situace byla principiálně řešitelná již dříve pomocí speciální konfigurace překladu adres, nyní se však na straně EzVPN Remote (vzdálené lokality) výrazně zjednodušuje. Na straně EzVPN Serveru (v centrále) nevyžaduje tato nová funkcionalita žádnou úpravu konfigurace. Nová fukce je podporována pouze v Network Extension módu (nikoliv v client módu).

Podporovaná zařízení: routery Cisco 800, 1800, 2800, 3700, 3800, 7200 a 7301.

[26.01.2007] Vedlejší efekty DHCP snoopingu

Zapnutí funkce DHCP snoopingu na Cisco switchi může mít za následek nefunkčnost předávání broadcastových DHCP paketů na helper adresy Relay Agentem, a to i v případě, že tento agent běží na jiném zařízení, než je switch se zapnutým DHCP snoopingem.

Při konfiguraci DHCP snoopingu na Cisco switchích je třeba počítat s tím, že přestane správně fungovat předávání DHCP paketů na helper adresy. DHCP snooping totiž modifikuje DHCP pakety. Do políčka FLAGS ukládá hodnotu 0x0000 (unicast). Standardně je tato hodnota nastavena (klientem, který žádá o adresu) na 0x0800 (broadcast). Relay Agent na routeru ovšem tuto hodnotu kontroluje a pakety s hodnotou "unicast" blokuje (ačkoliv linková i síťová adresa broadcastová je). Toto chování lze změnit pomocí příkazu "ip dhcp relay information trusted" aplikovaném na rozhraní, kde je použit i příkaz helper address. Pak bude Relay Agent pouštět i DHCP pakety označené jako unicast.

[23.01.2007] Nová metoda vytváření VPN

Group Encrypted Transport VPN (GET VPN) je nová metoda vytváření VPN, fungující na základě jediného bezpečného IPSec spojení (security association) pro přenos dat pro celou skupinu směrovačů.

V IOSu 12.4(11)T se objevuje nová metoda vytváření VPN, Group Encrypted Transport VPN (GET VPN). Nevytváří klasické site-to-site tunely. Místo nich vytvoří jediné bezpečné IPSec spojení (security association) pro přenos dat pro celou skupinu směrovačů (members). Jeden ze směrovačů ve skupině plní funkci centrálního Key serveru. Pro výměnu klíčů je využíván protokol GDOI (Group Domain of Interpretation). Na rozdíl od tunelujících metod nemění v transportní síti původní adresaci přenášených dat, umožňuje zachovat vlastnosti transportní sítě (např. původní směrování), umožňuje vytvářet dynamické zabezpečené spoje mezi jednotlivými lokalitami včetně full-mesh propojení. Je vhodná při zabezpečeném propojování více lokalit a díky podpoře multicastu a QoS také pro přenos multimediálních dat (IP telefonie apod).

Podporované routery: Cisco 870, 1800, 2800, 3800, 7200, 7301.

Key servers: Cisco ISR routery s instalovaným modulem AIM-VPN/SSL, Cisco 7200 a 7301 s instalovaným modulem VAM2+.

[19.01.2007] Neomezený počet VRF instancí OSPF

Již od verze IOSu 12.3(4)T podporují Cisco routery neomezený počet VRF instanací směrovacího protokolu OSPF.

Při konfiguraci PE směrovače v MPLS/VPN síti tedy nejsme omezeni limitem 32 směrovacích procesů.

[29.12.2006] Jednodušší použití parametru site-of-origin v BGP

V IOS release 12.4(11)T přibyla možnost konfigurovat BGP extended community parametr site-of-origin pro každého BGP souseda přímo, bez nutnosti použití route mapy.

Pro tento účel je v IOSu příkaz "neighbor {ip-address | peer-group-name} soo extended-community-value".

[30.11.2006] RADIUS server load balancing

Na Cisco routerech je nyní možno nastavit rozklad zátěže při autentizaci, autorizaci a accountingu (AAA) mezi několik RADIUS serverů.
Tato funkce je vhodná zejména tam, kde je třeba odbavit velké množství AAA požadavků z jednoho přístupového zařízení.

Router, který má zapnutou tuto funkci a má nakonfigurováno více RADIUS serverů v rámci jedné serverové skupiny, sleduje počet AAA požadavků, které odesílá na jednotlivé RADIUS servery a nové požadavky posílá na momentálně nejméně zatížený server ze skupiny. Rovněž pomocí funkce RADIUS server automated tester sleduje, zda jsou servery funkční a na případně zjištěný nefunkční server neposílá AAA požadavky až do doby, než se server zotaví.
Tato funkce je vhodná zejména tam, kde je třeba odbavit velké množství AAA požadavků z jednoho přístupového zařízení (např. zařízení, zajišťující vzdálený přístup do sítě pro velké množství uživatelů). Díky této funkci se dosáhne zlepšení odezvy od RADIUS serverů, rychlejšího odbavení AAA požadavku a tím pádem i rychlejší autentizace uživatele. Zajišťuje rovněž optimální využití více RADIUS serverů. Funkce je dostupná v IOSu verze 12.4(11)T.

[14.11.2006] Integrace obdoby Cisco Secure Agent ve Windows Vista

Díky spolupráci firem Cisco a Microsoft má být v nových Windows Vista intergrován software se stejnými funkcemi jako Cisco secure agent (CSA), který má přispět k bezpečnostnímu konceptu Network admission control (NAC).

Ten kontroluje nejen vzdálené uživatele, ale i uživatele v lokální síti a brání tak potenciálním útokům z LAN sítě.
V současné době se CSA používá jako instalovatelná utilita, která na základě informací získaných z počítače (zda má firewall, aktualizovaný antivir, apod.) ve spolupráci s centrálním serverem rozhodne, zda bude za stávajících podmínek počítač vpuštěn do LAN sítě či nikoli.

[17.10.2006] Dead Connection Detection (DCD) na Cisco ASA

Na Cisco ASA zařízeních lze ve verzi OS 7.2(1) zapnout funkci Dead Connection Detection (DCD). Tato funkce pravidelně pomocí DCD keepalive paketů zkoumá aktivitu daného spojení.

DCD zkoumá, zda je spojení stále živé (defaultně každých 15 sec). Pokud stanice, účastnící se spojení, neodpoví na několik po sobě jdoucích keepalive paketů (defaultně 5), je spojení prohlášeno za mrtvé, ASA ho smaže ze stavové tabulky a uvolní systémové zdroje.
Výběr provozu, kterého se má tato funkce týkat, provádíme vytvořením class-mapy a policy-mapy, na které pak aplikujeme příslušné DCD timeouty.
Defaultně je DCD vypnuto.

[02.10.2006] Vypnutí spanning tree na portu v trunkovém režimu

Příkaz spanning-tree portfast neúčinkuje na portu v trunkovém režimu. Chceme-li docílit portfastu i na trunkovém portu, je třeba příkaz doplnit parametrem trunk.

V situaci, kdy potřebujeme vypnout spanning tree protokol na portu přepínače, je všem známý příkaz spanning-tree portfast. Příkaz v této podobě ale neúčinkuje na portu v trunkovém režimu. Chceme-li docílit portfastu i na trunkovém portu, je třeba příkaz doplnit parametrem trunk.

[23.08.2006] Změna v CCNP certifikacích

Od 1.1.2007 dochází ke změně v certifikaci CCNP. Složení zkoušek nutných na tuto certifikaci bude následovné: BSCI, BCMSN, ONT, ISCW.

Vypadly tedy zkoušky BCRAN a CIT. Úpravy se dočkaly i testy na BSCI a BCMSN. Obsahem testů ONT (Optimizing Converged Cisco Networks) by měly být technologie VOIP, QOS a WLAN. U ISCW (Implementing Secure Converged Wide Area Networks) jsou to pak DSL technologie, MPLS, IPSec a VPN, teorie zabezpečení sítí a firewall funkce IOSu. Do konce letošního roku lze ještě skládat zkoušky na CCNP v původním složení.

[02.08.2006] Optimalizace konfigurace duálních linek na Cisco Unified Callmanageru Express

Příkazem "huntstop channel" lze na Cisco Unified Callmanageru Express optimalizovat chování linek nakonfigurovaných do duálního režimu.

Při konfigurování Cisco Unified Callmanageru Express je vhodné linky na telefonech konfigurovat v duálním režimu. Umožní nám to mimo jiné provozovat konzultované přepojování hovorů. Je třeba si ale uvědomit, že v tomto režimu linka akceptuje až dva hovory, což je většinou nežádoucí chování. Příkazem "huntstop channel" tento problém odstraníme.

[27.07.2006] Rozšířené možnosti firewall a VPN funkcí v IOSu 12.4(9)T

Na security routerech Cisco je v IOSu 12.4.(9)T vylepšena možnost detekce a kontroly nežádoucího síťového provozu.

V IOSu 12.4(9)T je vylepšena na security routerech Cisco možnost detekce a kontroly nežádoucího síťového provozu. Rozšíření firewall funkcí umožňuje sledovat i protokoly BitTorrent, eDonkey, FastTrack, KaZaA a Gnutella. V budoucnu by mělo být možné doinstalovat kontrolu dalších protokolů bez nutnosti upgradovaní IOSu.
Jsou vylepšeny též možnosti dynamických multipoint VPN, doplňkové autentikace a uživatelských účtů pro SSL VPN remote access.

[25.07.2006] Správa ICMP destination unreachable zpráv

S IOSem 12.4(2)T přišla možnost nakonfigurovat, jak často se budou posílat ICMP destination unreachable zprávy. Dále pak sledovat pakety, které generování těchto zpráv spouštějí.

Od verze IOSu 12.4(2)T existuje možnost ovlivnit množství odesílaných ICMP destination unreachable zpráv. Také je možné prohlížet statistiky týkající se paketů, kvůli kterým se tyto zprávy generují. Dále je možné nastavit, kolik těchto paketů a za jaký časový interval je považováno za nestandardní. Pokud se tato hranice překročí, bude vygenerováno chybové hlášení. Díky těmto novým vlastnostem se dá zabránit například známému DoS útoku "smurf", případně DoS útoku vedeného přímo na router, nebo alespoň tento útok odhalit.

[07.07.2006] "clear ip traffic"

V IOSu 12.4(2)T je možné příkazem "clear ip traffic" vyčistit veškeré statistiky IP provozu na routeru. Dříve bylo třeba za tímto účelem zařízení restartovat.

[19.06.2006] High Availability Firewall v IOSu 12.4(6)T

V IOSu 12.4(6)T je možno na routerech Cisco nakonfigurovat High Availability Firewall. Jedná se o obdobu funkce failover, známé z hardwarových Cisco PIX Firewallů.

Umožňuje propojit paralelně dva routery s běžícím IOS firewallem, přičemž jeden z nich (aktivní) odbavuje průchozí provoz a druhý (sekundární) je připraven převzít provoz na sebe v případě výpadku aktivního routeru. Pro koncové stanice je případná změna zcela transparentní. Při převzetí provozu se zachovávají veškerá spojení včetně navázaných VPN tunelů - není třeba je znovu navazovat. Funkce High Availability Firewall je dotupná pouze na routerech řad Cisco 3700, 3800 a 7200. Podporována je pouze konfigurace active/standby, není tedy možno provádět mezi routery load balancing pomocí konfigurace active/active.

[19.06.2006] ASDM demo mód

Cisco Adaptive Security Device Manager od verze 5.1 umí tzv. demo mód, který umožňuje simulovat práci s PIX/ASA 7.x.

Cisco Adaptive Security Device Manager od verze 5.1 umí tzv. demo mód, který umožňuje simulovat práci s PIX/ASA 7.x bez nutnosti mít toto zařízení fyzicky. Lze pomocí něj demonstrovat konfiguraci a práci s těmito stroji, stejně tak jako si vyzkoušet možné funkce před samotnou koupí. Podmínkou je mít přístup k IOSu zařízení, který má ASDM simulovat.

[31.05.2006] Lepší podpora testování kvality hlasového RTP přenosu

Cisco rozšířilo v IOSu nástroj IP SLA o lepší podporu testování kvality hlasového RTP přenosu.

Nová VoIP RTP SLA sonda poskytuje lepší statistiky oproti stávající metodě a je dostupná od verze 12.4(4)T.

[31.05.2006] Možnost konfigurace IPsec spojení přímo na interface Tunnel

V IOSu 12.4 je možné konfigurovat IPsec spojení přímo na interface Tunnel.

To je užitečné zejména při realizaci dynamického směrování přes IPsec, které šlo doposud realizovat pouze v kombinaci s GRE. Od verze 12.4(2)T lze tunely tvořit i dynamicky.

[30.05.2006] DMZ port na routeru Cisco 830

Na routeru Cisco 830 s operačním systémem Cisco IOS 12.4 je nyní možno nakonfigurovat switch port 4 jako L3 port a použít jej jako demilitarizovanou zónu.

Na routeru Cisco 830 s operačním systémem Cisco IOS 12.4 je nyní možno nakonfigurovat switch port 4 jako L3 port a použít jej jako demilitarizovanou zónu pro umístění serverů, přístupných z veřejné sítě (WWW. E-mail, FTP apod). Rychlost portu je v této konfiguraci omezena na 10 Mbps. Ostatní switch porty slouží dále jako vnitřní LAN porty.

[30.05.2006] Cisco Router and Security Device Manager 2.3.1

Společnost Cisco Systems uvolnila Cisco Router and Security Device Manager ve verzi 2.3.1. Jedná se o pokročilý grafický nástroj, určený ke konfiguraci bezpečnostních funkcí Cisco routerů.

Tato verze přináší celou řadu nových vlastností a vylepšení. Mezi nejzajímavější patří:

- konfigurace WebVPN pro šifrované připojení vzdáleného uživatele pomocí internetového prohlížeče (bez nutnosti použít Cisco VPN klienta)

- možnost konfigurace URL filteringu pro omezení přístupu uživatelů na určité webové adresy

- VPN Design Guide