EIGRP equal Cost Loadbalance abstellen, ein simpler Trick

Kürzlich bei nem Kunden mit 4 Standorten troubleshooten müssen. Kunde beklagte sich, dass seine ERP Applikation vom Standort “San Diego” aus langsam läuft, von den anderen Standorten liefe es gut. Alle Standorte sind mit einer Darkfibre vernetzt und dazwischen läuft EIGRP mit einer Standard Konfig.

Der Kunde vermutete, dass das Problem darin liegt, dass Standort San Diego equal Cost Loadbalance macht über L.A bzw. San Jose:

The Topology: 

(mehr …)

Network Loop anhand eines Captures erkennen

Network Loops eine unangenehme Sache und können selbst hochperformante Switche in die Knie zwingen. 

Ich habe kürzlich ein Wireshark Capture von einem Loop auf einem 10Gig Link erhalten. Die kleinste Zeiteinheit die man auf der Snifferappliance des Kunden fürs Capturen einstellen Konnte, war 2 Minuten, das ergab ein Capturefile von 2.7Gig!

Anhand des Zeitstempels von Wireshark sieht man deutlich, wie massiv der Traffic auf dem Link war, die Abstände zwischen den einzelnen Frames bewegen sich im Sub- Nanosekunden Bereich!

Doch woran erkennt man das Frames bzw. Pakete im Netzwerk Loopen?

Schauen wir uns den Aufbau eines IPv4 Paketes an, hier gibt es ein interessantes Feld:

(mehr …)

ASA Upgrade Pfade auf 9.x

Heut in der aktuellen Release note der ASA 9.1 Software folgendes entdeckt:

Upgrade Path and Migrations

You cannot upgrade directly to 9.0 or later. You must first upgrade to Version 8.3 or 8.4 for a successful migration.

If you are upgrading from one of the following versions, you can successfully upgrade to 9.1(2.8) and 9.1(3) or later:
–8.4(5) or later
–9.0(2) or later
–9.1(2)

(mehr …)

ASA 8.3+ ACL CHANGES

Alles in Allem hat sich bei den ACLs nicht viel geändert, einzig dass nicht mehr direkt IPs/Netze verwendet werden können. Neu muss zwingend ein Objekte verwendet werden, beim Upgrade allerdings automatisch “dummy” Objekte für jedes Netz/IP an: 

1.1.1.1/32 wird zu Obj_1.1.1.1_32

Eine signifikante Änderung gibt es allerdings doch. Interface ACLs werden jetzt nicht mehr auf die globalen IP Adressen (“translated”, “post-NAT”), sondern auf die reale IP Adressen gemacht.

(mehr …)