Cisco Prime Infrastructure Upgrade Path 2.0.x to 3.0.x

Bei einem Kunden eine ältere Prime Infrastructure Version 2.0.x am laufen, die nun auf Version 3.0 upgraded werden soll. 

Es ist leider nicht möglich ein direktes Upgrade von Prime Infrastructure 2.0.x auf 3.0.x durchzuführen, mehre Schritte sind notwendig. Nebst inline Upgrade von Zwischenversionen, ist es auch notwendig teils eine neue VM, ab .OVA hochzuziehen und ein Backup export + Backup Import vorzunehmen.

Nachfolgend eine Übersicht der Steps:

Ausgangsversion:

prime/admin# show ver
Version information of installed applications
———————————————
Cisco Prime Infrastructure
——————————————
Version : 2.0.0.0.294-2
 
Schauen wir uns die Requirements der jeweiligen Upgrade Notes der Reihe nach rückwärts an:
 

If You Are Upgrading From Previous Releases of Prime Infrastructure

You can upgrade the following Prime Infrastructure versions to Prime Infrastructure 3.0:

  • Cisco Prime Infrastructure 2.2.3
  • Cisco Prime Infrastructure 2.2.2
  • Data Center Technology Package 1.0.0 for Cisco Prime Infrastructure 2.2.1
  • Wireless Technology Package 1.0.0 for Cisco Prime Infrastructure 2.2.1
  • Cisco Prime Infrastructure 2.2.1
  • Cisco Prime Infrastructure 2.2

If your product/version is not in this list, to upgrade to 3.0, you must first upgrade to version 2.2.x at a minimum.

 

Upgrade Guide 2.2.x

If You Are Upgrading From Previous Releases of Prime Infrastructure

This version of Prime Infrastructure does not offer an in-place upgrade. To upgrade to the latest version, you must instead install this version of Prime Infrastructure as a virtual appliance on a fresh server, or order it pre-installed on a fresh physical appliance. You can then migrate your data from your old Prime Infrastructure installation to the new one, using an application backup from the previous installation.
If you are currently using one of the following versions of Prime Infrastructure, you can back up your existing data and then restore that data to a different server running Prime Infrastructure 2.2:
  • Cisco Prime Infrastructure 2.1.2 (with the UBF patch)
  • Cisco Prime Infrastructure 2.1.1 (with the UBF patch)
  • Cisco Prime Infrastructure 2.1.0.0.87
  • Cisco Prime Infrastructure 1.4.2
  • Cisco Prime Infrastructure 1.4.1
  • Cisco Prime Infrastructure 1.4.0.45

Upgrade 2.1.0.0.87

 
Upgrading Cisco Prime Infrastructure

You can upgrade the following Cisco Prime Infrastructure (and predecessor) products to Cisco Prime Infrastructure 2.1:
Cisco Prime Infrastructure 2.0.0.0.294
Cisco Prime Infrastructure 1.3.0.20

If you are using a version earlier than 1.3.0.20, see the instructions for upgrading your software to version 2.0 provided in the Cisco Prime Infrastructure 2.0 Quick Start Guide . There is no upgrade path from version 1.4.x to version 2.1 at present.

Before attempting to upgrade to 2.1, make sure that you download the appropriate patch listed in Table 7 . and then install it using the instructions in Installing Patches . Once you have installed the appropriate patches, you will also need to take a new application backup before performing a system migration or inline upgrade.
 
 
 
Der gesamte Upgrade Path lautet somit:  
2.0.0.294 -> 2.1.0.0.87 -> 2.2.0.158 -> 3.0.0.0.78 
 
 
 
Cisco Prime Upgrade 2.0.0.294 to 2.1.0.0.87
Cisco Prime Upgrade 2.0.0.294 to 2.1.0.0.87
Cisco Prime Infrastructure 2.1.0.0.87  to 2.2.0.158
Cisco Prime Infrastructure 2.1.0.0.87 to 2.2.0.158
Cisco Prime Infrastructure 2.2.0.158  to 3.0.0.0.78
Cisco Prime Infrastructure 2.2.0.158 to 3.0.0.0.78
Cisco Prime Infrastructure 2.2.0.158  to 3.0.0.0.78 Alternativ
Cisco Prime Infrastructure 2.2.0.158 to 3.0.0.0.78 Alternativ

 

 

Für alle weiteren Fragen kann ich folgendes Dokument empfehlen:

http://www.cisco.com/c/dam/en/us/products/collateral/cloud-systems-management/prime-infrastructure/presentation-c97-735996.pdf

SNMPv3 Konfig Beispiele

Für SNMPv3 brauchst man drei Elemente “Gruppe”, “User” und eine “View”. Die View ist quasi nochmals ein Filter, welche MIBs verfügbar gemacht werden. Oft reicht es dort  “iso” rein zu machen, was soviel heisst wie “alle MIB”, man kann ja via ACL einschränken, wer überhaupt verbinden darf. Nachfolgend ein paar Beispiele

Beispiel mit Verweis auf eine ACL

snmp-server group SNMPV3_GROUP v3 auth access SNMP_ACL
snmp-server user NEDI_SNMPV3_USER SNMPV3_GROUP v3 auth SHA SNMPv3_SHA_KEY priv aes 256 SNMPV3_AES_KEY  
snmp-server user CACTI_SNMPV3_USER SNMPV3_GROUP v3 auth SHA SNMPv3_SHA_KEY priv aes 256 SNMPV3_AES_KEY 
snmp-server user PRIME_SNMPV3_USER SNMPV3_GROUP v3 auth SHA SNMPv3_SHA_KEY priv aes 256 SNMPV3_AES_KEY
snmp-server user ISE_SNMPV3_USER SNMPV3_GROUP v3 auth SHA SNMPv3_SHA_KEY priv aes 256 SNMPV3_AES_KEY  
snmp-server view SNMPV3_VIEW iso included 

Die ACL ziehst du auf der Gruppe oder dem User an. Ums nicht unnötig zu verkomplizieren, würd ichs jeweils auf der Gruppe anziehen und nicht auf dem User. Theoretisch kann man sogar auf User und Group Level machen.

Beispiel ohne ACL mit nur einem User

snmp-server group NEDI_SNMPV3_GROUP v3 auth 
snmp-server user NEDI_SNMPV3_USER NEDI_SNMPV3_GROUP v3 auth SHA SNMPv3_SHA_KEY priv aes 256 SNMPV3_AES_KEY  
snmp-server view SNMPV3_VIEW iso included 

Sollte das Management kein SHA/AES256 unterstützen, kannst du die Verschlüsselung auch runterschrauben:

 

snmp-server group NEDI_SNMPV3_GROUP v3 auth 

snmp-server user NEDI_SNMPV3_USER NEDI_SNMPV3_GROUP v3 auth SHA SNMPv3_SHA_KEY priv aes 128 SNMPV3_AES_KEY 

snmp-server view SNMPV3_VIEW iso included 

Der Key wäre in den Beispielen jeweils: SNMPv3_SHA_KEY

Under zur Verschlüsselung wird verwendet: SNMPV3_AES_KEY 

Beispiel anhand WCS:

Sophos iView Reporting Appliance

Vor zwei Wochen einem unserer Kunden die brandneue Sophos iView Reporting Appliance verkauft. Die Artikelnummer gabs beim Disti bereits zu bestellen, die Ernüchterung kam jedoch als er mir erklärte, dass die beim Hersteller noch gar nicht Lieferbar

Nun ist sie Lieferbar und steht auch zum Download  auf dem Sophos FTP Server als ISO bereit.

Edit 06.01.2014: Sophos bietet keine FTP Downloads mehr an, stattdessen verweist Sophos auf ihr Web Download Portal:

iso and exe files are no longer available from ftp.astaro.com
please use https://www.sophos.com/en-us/support/utm-downloads.aspx instead

Sophos iView from Sophos on Vimeo.

Ich hab die neue Box natürlich gleich mal in unserer Testumgebung angetestet. Nachfolgend ein kleiner Bilderverlauf der Installation. An und für Sich keine grossartige Aktion, nach 5 Minuten war die Appliance Ready und spuckte erste Reports aus.

 

VMWare Setup:

Snip20141017_14

Klick Klick next Installation

Snip20141017_15

 

Snip20141017_16

Snip20141017_17

Snip20141017_18

Snip20141017_19

Snip20141017_20

Snip20141017_21

Snip20141017_22

Snip20141017_23

Snip20141017_24

Snip20141017_25

Snip20141017_26

 

 

 

 

 

 

Snip20141017_27

 

 

 

 

 

 

 

 

 

 

 

 

 

 

It’s Alive!

Snip20141017_34

Snip20141017_28

Scheintbar gibt es wie beim UTM Manager zwei Ebenen, die Admin Ebene und die Applikations Ebene.

Admin Link: https://IP_ADRESSE:4444

iView Applikation: https://IP_ADRESSE:8000

 

 

Snip20141017_29

Snip20141017_30

 

Damit die Sophos iView Appliance Daten empfängt, muss sie als Syslog Server auf den UTM hinterlegt werden!

 Default Syslog Port TCP/514

 

Snip20141017_33

 

Dashboard nach erstem Login:

Snip20141017_31

Damit die Box die empfangene Daten der UTM darstellt, muss diese zuerst aktiviert werden:

 

Snip20141017_32

 

 

 

Nach einer Weile sieht das dann so aus:Snip20141017_35

Converged Access / Unified Access – Worum geht es?

Seit einiger Zeit geistern diese zwei Begriffe durch die Netzwerk Welt. Mittlerweile sind auch fast alle Hersteller auf diesen Zug aufgesprungen, wobei nicht jeder diesen Approach gleich interpretiert.

In diesem Blog Eintrag möchte ich kurz auf die wesentlichen Aspekte der Cisco Interpretatiopn dieses Ansatzes eingehen.

Cisco bietet aktuell die folgenden Möglichkeiten WLAN Traffic zu terminieren:

 

 

Pro Contra

Autonomous Accesspoint oder auch Standalone Accesspoint kommen heutzutage praktisch nicht mehr in Einsatz.
Eisatzgebiet: 1-3 AP’s
Unterstütze WLC’s: –

 

  • Günstig
  • nicht skalierbar
  • Roaming nur über WDS
  • QoS lediglich auf Basis von VLAN

FlexConnect wird heutzutage hauptsächlich da eingesetzt, wo WLAN Traffic direkt vor Ort ins LAN gebridged werden soll. Bspw. eine Firma mit sehr kleinen Aussenstandorten mit wenig AP’s. Durchaus ein praktikables Szenario.

Eisatzgebiet: 1-10 AP’s/ pro Branch
Unterstütze WLC’s: 2504, 5508, WiSM

  • Günstig
  • Skalierbar
  • Mit klassischen Controllern realisierbar
  • Diverse Limitationen in Bezug auf Radius Auth, QoS
  • Lizenzierung Hardware gebunden

 Klassischer Ansatz, sämtlicher Traffic wird zum WLC über CAPWAP getunnelt, WLAN-TO-LAN Übergabe erfolg am WLC

Eisatzgebiet: 1-500 AP’s je nach WLC
Unterstütze WLC’s: 2504, 5508, WiSM

  • Real World proofed Ansatz
  • jegliche Features werden unterstütz
  •  QoS erst ab WLC
  • Bandbreiten Engpass am WLC
  • Lizensierung hardwaregebunden
  • AOS Firmware, grässliche Syntax

 Moderner Ansatz, sämtlicher WLAN Traffic wird direkt am Switch encapsuliert.

Eisatzgebiet: 1-50 AP’s pro Switch (Stack)
Unterstütze WLC’s: 3650, 3850, 5760

  •  Vereinheitliches QoS Design
  • Pay as you Go Lizenzierung
  • IOS basierend
  • Vereinfachte Policies für Wired/Wireless
  • Aktuell hinken die Features noch etwas hinter her.
  • Management Software notwendig (Cisco Prime) bei mehr als 1 WLC

  (mehr …)

Hacking Cisco Prime Syslog severity

Cisco Prime Infrastructure bietet eine Syslog Server Funktion, der Umfang ist jedoch begrenzt auf Serverities bis Stufe 3.
Über das GUI gibt es leider keine Möglichkeit diese Limitation zu umgehen, geht man jedoch via Console/SSH auf die Rootshell, kann man das entsprechende Konfig File editieren um weitere Stufen frei zuschalten.

 Zugriff auf Rootshell:

vvmwlc21/admin# root
Enter root password :
Starting root bash shell …
ade #

 Ausgabe des Syslog Konfig Files:

ade # cd /opt/CSCOlumos/conf/
ade # ls syslog_sev_filter.xml

ade # cat syslog_sev_filter.xml

<expression op=’OR‘>

<!– Error –>
<condition field=’severity‘ op=’EQUALS‘ value=’0′ />
<condition field=’severity‘ op=’EQUALS‘ value=’1′ />
<condition field=’severity‘ op=’EQUALS‘ value=’2′ />

</expression>
ade #

 

Um das Konfigfile zu editieren besteht die Möglichkeit dies mit dem Texteditor „VI“ zu tun. VI punktet allerdings nicht gerade mit Benutzerfreundlichkeit, deswegen ist es gegebenen Falls sogar einfacher sich das File via FTP runter zuladen, lokal zu editieren und wieder hochzuladen.

(mehr …)

Upgrading Cisco Prime Infrastructure 1.3 to 2.0

 Cisco Prime Infrastruktur ist ein tolles Tool. In der Version 2.0 werden nun endlich auch die neuen WLAN Controller (5670, 3850, 3650) mit dem Converged Access Ansatz unterstützt. Vor dem Upgrade sollte man nicht zuviel Angst haben, dennoch sollte man die Release Note sorgfältig durchlesen.

 Nebst den „Supported Devices“ sind wohl die Upgrade Requirements die wichtigsten Punkte die man beachten muss

 

You can upgrade the following NCS/Prime Infrastructure 1.x versions to Prime Infrastructure 2.0:

  • 1.1.1.24 with patch ncs_1_1_1_24-Update.13.4.tar.gz
  • 1.2.1.12 with patch PI_1_2_1_12-Update.1.0.tar.gz
  • 1.3.0.20 with patch PI_1_3_0_20-Update.1.12.tar.gz and/or PI_1_3_0_20_Update.4-16.tar.gz
  • 1.2.1.12 (migrated from 1.2.0.103) with patch PI_1_2_1_12u-Update.1.tar.gz

The following NCS/Prime Infrastructure 1.x backups can be restored to Prime Infrastructure 2.0:

  • 1.1.1.24 with Patch ncs_1_1_1_24-Update.13.4.tar.gz
  • 1.2.1.12 with Patch PI_1_2_1_12-Update.1.0.tar.gz
  • 1.3.0.20 with patch PI_1_3_0_20-Update.1.12.tar.gz and/or PI_1_3_0_20_Update.4-16.tar.gz
  • 1.2.1.12 (migrated from 1.2.0.103) with patch PI_1_2_1_12u-Update.1.tar.gz

The following NCS/Prime Infrastructure 1.x versions cannot be upgraded or restored to Prime Infrastructure 2.0:

  • 1.4
  • 1.2.0.103
  • 1.1.0.58 and earlier versions

For detailed information about the application upgrade, see the following URL:

http://www.cisco.com/en/US/docs/net_mgmt/prime/infrastructure/2.0/quickstart/guide/cpi_qsg.html#wp56675

  (mehr …)

Cisco Active Advisor

Heut ein praktisches Tool entdeckt, wenn man mal schnell eine Bestandsliste oder ein Mini Security Audit bei einem Kunden erstellen muss.

https://ciscoactiveadvisor.com/

Einloggen tut man mit seinem CCO Account. Das Tool ist Java basieren und das handling denkbar einfach. Einzige Bedingung ist, dass der PC von dem man das Tool startet, IP connectivity auf alle Geräte haben muss + entsprechende Login Berechtigung.

Die folgenden Screenshots sollten für sich sprechen:

Dashboard

  (mehr …)