Cisco Autonomous AP Image filename

Gerade in der Release note entdeckt was die kryptischen Dateinamen der Autonomous AP Images zu bedeuten haben.

Cisco AP Autonomous Image

Des Weiteren kann man anhand des Dateinamen auch rauslesen, ob es sich um ein Autonomous, Lightweight oder Recovery Image handelt. Darüber Auskunft gibt die Zahl hinter dem „w“, zB.:

ap1g1-k9w7-tar.153-3.JC.tar

 

k9w7 – autonomous IOS
k9w8 – full lightweight IOS
rcvk9w8 – lightweight recovery image

 

Cisco Prime Infrastructure Upgrade Path 2.0.x to 3.0.x

Bei einem Kunden eine ältere Prime Infrastructure Version 2.0.x am laufen, die nun auf Version 3.0 upgraded werden soll. 

Es ist leider nicht möglich ein direktes Upgrade von Prime Infrastructure 2.0.x auf 3.0.x durchzuführen, mehre Schritte sind notwendig. Nebst inline Upgrade von Zwischenversionen, ist es auch notwendig teils eine neue VM, ab .OVA hochzuziehen und ein Backup export + Backup Import vorzunehmen.

Nachfolgend eine Übersicht der Steps:

Ausgangsversion:

prime/admin# show ver
Version information of installed applications
———————————————
Cisco Prime Infrastructure
——————————————
Version : 2.0.0.0.294-2
 
Schauen wir uns die Requirements der jeweiligen Upgrade Notes der Reihe nach rückwärts an:
 

If You Are Upgrading From Previous Releases of Prime Infrastructure

You can upgrade the following Prime Infrastructure versions to Prime Infrastructure 3.0:

  • Cisco Prime Infrastructure 2.2.3
  • Cisco Prime Infrastructure 2.2.2
  • Data Center Technology Package 1.0.0 for Cisco Prime Infrastructure 2.2.1
  • Wireless Technology Package 1.0.0 for Cisco Prime Infrastructure 2.2.1
  • Cisco Prime Infrastructure 2.2.1
  • Cisco Prime Infrastructure 2.2

If your product/version is not in this list, to upgrade to 3.0, you must first upgrade to version 2.2.x at a minimum.

 

Upgrade Guide 2.2.x

If You Are Upgrading From Previous Releases of Prime Infrastructure

This version of Prime Infrastructure does not offer an in-place upgrade. To upgrade to the latest version, you must instead install this version of Prime Infrastructure as a virtual appliance on a fresh server, or order it pre-installed on a fresh physical appliance. You can then migrate your data from your old Prime Infrastructure installation to the new one, using an application backup from the previous installation.
If you are currently using one of the following versions of Prime Infrastructure, you can back up your existing data and then restore that data to a different server running Prime Infrastructure 2.2:
  • Cisco Prime Infrastructure 2.1.2 (with the UBF patch)
  • Cisco Prime Infrastructure 2.1.1 (with the UBF patch)
  • Cisco Prime Infrastructure 2.1.0.0.87
  • Cisco Prime Infrastructure 1.4.2
  • Cisco Prime Infrastructure 1.4.1
  • Cisco Prime Infrastructure 1.4.0.45

Upgrade 2.1.0.0.87

 
Upgrading Cisco Prime Infrastructure

You can upgrade the following Cisco Prime Infrastructure (and predecessor) products to Cisco Prime Infrastructure 2.1:
Cisco Prime Infrastructure 2.0.0.0.294
Cisco Prime Infrastructure 1.3.0.20

If you are using a version earlier than 1.3.0.20, see the instructions for upgrading your software to version 2.0 provided in the Cisco Prime Infrastructure 2.0 Quick Start Guide . There is no upgrade path from version 1.4.x to version 2.1 at present.

Before attempting to upgrade to 2.1, make sure that you download the appropriate patch listed in Table 7 . and then install it using the instructions in Installing Patches . Once you have installed the appropriate patches, you will also need to take a new application backup before performing a system migration or inline upgrade.
 
 
 
Der gesamte Upgrade Path lautet somit:  
2.0.0.294 -> 2.1.0.0.87 -> 2.2.0.158 -> 3.0.0.0.78 
 
 
 
Cisco Prime Upgrade 2.0.0.294 to 2.1.0.0.87
Cisco Prime Upgrade 2.0.0.294 to 2.1.0.0.87
Cisco Prime Infrastructure 2.1.0.0.87  to 2.2.0.158
Cisco Prime Infrastructure 2.1.0.0.87 to 2.2.0.158
Cisco Prime Infrastructure 2.2.0.158  to 3.0.0.0.78
Cisco Prime Infrastructure 2.2.0.158 to 3.0.0.0.78
Cisco Prime Infrastructure 2.2.0.158  to 3.0.0.0.78 Alternativ
Cisco Prime Infrastructure 2.2.0.158 to 3.0.0.0.78 Alternativ

 

 

Für alle weiteren Fragen kann ich folgendes Dokument empfehlen:

http://www.cisco.com/c/dam/en/us/products/collateral/cloud-systems-management/prime-infrastructure/presentation-c97-735996.pdf

Sophos Firewall rules per IPTables auf der Console deaktivieren

Hier eine kurze Beschreibung wie man sämtliche Firewall Rules auf einer Sophos per Console aushebeln kann ohne sie permanent zu löschen.

Wann ist das nützlich?

  • Wenn eine Fehlerhafte ACL Konfiguriert wurde, die Zugriff sperrt.
  • Wenn man sich vom Webadmin ausgeschlossen hat, weil man nicht unter Allowed Networks gelistet ist.

Symptome:

Nach einer Anpassung der Konfiguration ignoriert die Firewall jede Verbindung auf IP Ebene. Ports gehen ca alle 30 Sekunden kurz down. Einziges Lebenszeichen aus Netzwerk Sicht sind antworten auf ARP Requests.

 

Ursache (Hypothese):

Der Config Prozess, der die Einstellungen von der Datenbank auf die Firewall überträgt, stürzt während der Verarbeitung ab. Da die iptables Firewall standardmässig auf DROP steht werden die Ports für SSH, Webinterface und auch ICMP nicht mehr freigegeben. Die Firewall schottet sich sozusagen selbst ab.

 

Lösungen:

Wenn kein Backup vorhanden ist und der SSH Zugriff aktiviert worden ist kann man sich über einen Monitor & Tastatur direkt an der Firewall mit dem user root und dem admin Passwort einloggen. Mit dem Befehl

„iptables –I INPUT 1 –j ACCEPT“

fügt man eine neue Regel an erster Stelle für eingehende Pakete ein welche pauschal alles erlaubt.

Da die Firewall nach kurzer Zeit bemerkt das der Konfigurations-Prozess nicht mehr läuft startet sie den Prozess immer wieder neu und löscht damit auch die manuell eingefügten Regeln. Daher muss der iptables Befehl mit dem watch Befehl kombiniert werden, dieser führt den Prozess alles 2 Sekunden aus:

watch iptables –I INPUT 1 –j ACCEPT

der Prozess kann mit CTRL+C wieder beendet werden. Der Zugriff auf das Webinterface funktioniert jetzt wieder eingeschränkt, da die Verbindung regelmässig abbricht (wegen Config Neustart) können keine längeren Anfragen ausgeführt werden, zudem funktioniert auch das Einspielen eines Backups nicht. Es ist daher sinnvoll nur die Änderung vor dem Crash rückgängig zu machen und dann zu testen ob die Firewall wieder läuft.

Sophos SMS Gateway Funktion

Die SMS Funktion wurde bei Sophos auf Basis eines Feature Request in der Version 9.2.x irgendwann man eingeführt, verschwand dann allerdings wieder aus dem GUI. Zweischenzeitlich war recht unklar, wann und wie die Funktion eingeführt wird.

Der Feature Request ist hier zu finden:

Wireless: SMS Passcode for HotSpot

Folgender Kommentar eines Sophos Admins verschafft Klarheit was es mit der halbwegs- Einführung aufsich hat:

Aktuell ist unser Produkt-Management noch dran eine Entscheidung zu treffen welche SMS-Provider zum finalen Release des Features unterstützen. Daher wurde das Feature (welches bereits fertig entwickelt wurde und funktioniert) vorerst im Webadmin versteckt. Während der Entwicklungsphase haben die Entwickler sich 5 internationale Provider rausgesucht um die Funktion des Features zu testen. Diese 5 Provider können aktuell gewählt und genutzt werden. Der Kunde hat also jetzt die Möglichkeit das Feature via Kommandozeile zu aktivieren und dann schlussendlich zu nutzen, jedoch mit dem Hinweis dass es sein KÖNNTE (aber nicht muss), dass ein oder mehrere dieser aktuellen 5 Provider nicht mehr auf der finalen SMS-Provider Liste steht/stehen und er dann ggfs. den Anbieter wechseln MÜSSTE. Wie gesagt wurde das aktuell noch nicht entschieden. Einer der 5 Provider ist „SMSTrade“ und damit ein deutscher SMS Provider. Mit diesem haben wir vom Presales bereits schon erfolgreich getestet und SMS-Authentifizierungen am Hotspot durchgeführt. Hierbei kann man via Prepaid auch für z.B. 20 Euro sich ein SMS-Paket von rund 800 SMS kaufen und somit ohne Vertragslaufzeit immer wieder nachkaufen.
 
Zum aktivieren via Kommandozeile müssen folgender Befehl abgesetzt werden:
 
touch /var/sec/chroot-httpd/tmp/enable_sms
/etc/init.d/httpd restart
 
Hierbei wird lediglich der Webadmin neugestartet, es wirkt sich also auf den normalen Betrieb nicht aus. Danach einfach den Webadmin neu laden und im Bereich MANAGEMENT findet man SMS GATEWAY um dort das GATEWAY zu konfgurieren, während man im HOTSPOT Bereich dann auf SMS AUTHENTIFIZIERUNG umstellen kann.

 

Ich hab die Funktion gleich mal getestet und mir einen Gratis Account auf SMSTrade erstellt, dieser behinaltet grob 20 Gratis SMS, je nach Destination.

(mehr …)

SNMPv3 Konfig Beispiele

Für SNMPv3 brauchst man drei Elemente “Gruppe”, “User” und eine “View”. Die View ist quasi nochmals ein Filter, welche MIBs verfügbar gemacht werden. Oft reicht es dort  “iso” rein zu machen, was soviel heisst wie “alle MIB”, man kann ja via ACL einschränken, wer überhaupt verbinden darf. Nachfolgend ein paar Beispiele

Beispiel mit Verweis auf eine ACL

snmp-server group SNMPV3_GROUP v3 auth access SNMP_ACL
snmp-server user NEDI_SNMPV3_USER SNMPV3_GROUP v3 auth SHA SNMPv3_SHA_KEY priv aes 256 SNMPV3_AES_KEY  
snmp-server user CACTI_SNMPV3_USER SNMPV3_GROUP v3 auth SHA SNMPv3_SHA_KEY priv aes 256 SNMPV3_AES_KEY 
snmp-server user PRIME_SNMPV3_USER SNMPV3_GROUP v3 auth SHA SNMPv3_SHA_KEY priv aes 256 SNMPV3_AES_KEY
snmp-server user ISE_SNMPV3_USER SNMPV3_GROUP v3 auth SHA SNMPv3_SHA_KEY priv aes 256 SNMPV3_AES_KEY  
snmp-server view SNMPV3_VIEW iso included 

Die ACL ziehst du auf der Gruppe oder dem User an. Ums nicht unnötig zu verkomplizieren, würd ichs jeweils auf der Gruppe anziehen und nicht auf dem User. Theoretisch kann man sogar auf User und Group Level machen.

Beispiel ohne ACL mit nur einem User

snmp-server group NEDI_SNMPV3_GROUP v3 auth 
snmp-server user NEDI_SNMPV3_USER NEDI_SNMPV3_GROUP v3 auth SHA SNMPv3_SHA_KEY priv aes 256 SNMPV3_AES_KEY  
snmp-server view SNMPV3_VIEW iso included 

Sollte das Management kein SHA/AES256 unterstützen, kannst du die Verschlüsselung auch runterschrauben:

 

snmp-server group NEDI_SNMPV3_GROUP v3 auth 

snmp-server user NEDI_SNMPV3_USER NEDI_SNMPV3_GROUP v3 auth SHA SNMPv3_SHA_KEY priv aes 128 SNMPV3_AES_KEY 

snmp-server view SNMPV3_VIEW iso included 

Der Key wäre in den Beispielen jeweils: SNMPv3_SHA_KEY

Under zur Verschlüsselung wird verwendet: SNMPV3_AES_KEY 

Beispiel anhand WCS:

Upgrade VMWare Tools auf UC Server

Möchte man ein Upgrade der VMWare Tools für die UC Server durchführen sollte man die folgenden Reihenfolge einhalten:

  1. Disable Firewall -> utils os secure permissive
  2. VMWare Tools refres -> utils vmtools refresh
  3. Server wird automatisch neugestartet
  4. Status der VMWare Tools prüfen



  5. Enable Firewall -> utils os secure enforce

Aufgefallen ist mir dieses Problem überwiegend bei UC 9.x und 10.x Installation.