Cisco ASA eigenes Objekt „INTERNET“

Jeder der schon mit einer Cisco ASA zu tun hatte, der hat sich viellicht auf schon darüber genervt, dass es kein Objekt gibt, welches das Internet, also alle Netze, ausser private Adressbereiche. 

Solche Objekte gibt eis bei anderen Hersteller wie beispielsweise Sophos schon längst. Deren Definition geht sogar noch ein Schritt weiter indem sie das Obekt noch auf die WAN Schnittstelle(n) binden.

 

(mehr …)

CSCur43050 APs mfg in September/October 2014 unable to join an AireOS controller

Zum Jahresenden überrascht Cisco mit einem heftigen Bug:

CSCur43050

 

Doch worum gehts beim CSCur43050?

New Aironet APs with factory installed recovery IOS are able to join the controller 8.0.100.0 and download 15.3(3)JA IOS. But after the AP reload, the APs are unable to join the controller. On the AP, logs similar to the following are seen:

*Oct 16 12:39:06.231: AP has SHA2 MIC certificate – Using SHA2 MIC certificate for DTLS.

*Oct 16 13:14:56.000: %CAPWAP-5-DTLSREQSEND: DTLS connection request sent peer_ip: ***.***.***.*** peer_port: 5246Peer certificate verification failed FFFFFFFF

*Oct 16 13:14:56.127: DTLS_CLIENT_ERROR: ../capwap/base_capwap/capwap/base_capwap_wtp_dtls.c:496 Certificate verified failed!
*Oct 16 13:14:56.127: %DTLS-5-SEND_ALERT: Send FATAL : Bad certificate Alert to ***.***.***.***:5246
*Oct 16 13:14:56.127: %DTLS-5-SEND_ALERT: Send FATAL : Close notify Alert to ***.***.***.***:5246

Another symptom of this problem is that the AP may be able to join the 8.0.100.0 controller, download the IOS code, boot up and join the controller OK … but when it goes to upgrade to newer 8.x code, it gets stuck in a loop failing the download.

 

(mehr …)

Cisco AP 2702 AUX Port?!

Wer schon mal einen der neuen Cisco Aironet 2700 Series Accesspoint in der Hand hatte, hat sicher schon bemerkt das sich zwischen Console und Ethernet ein neuer AUX Port befinden.

 

Wozu ist dieser Port?

Ungleich anderen Herstellern, welche bei 802.11ac Accesspoints bewusst 2 Ethernet Ports für Portchannaling verbauen, damit der Accesspoint mit 2x1Gig angebunden werden kann und kein WLAN->LAN Engpass entsteht, wurde dieser Port nicht als Upstream sondern als Downstream definiert.

Cisco beschreibt ihn folgender Massen:

(mehr …)

Cisco Nexus Airflow

Gerade im Datacenter ist es wichtig bei allen Devices den Airflow zu beachten, im speziellen da heutzutage fast immer ein Kalt/Warmgang Konzept eingesetzt wird.

Good to Know:

Als erster ist zu beachten das „Front“ bei Cisco Datacenter Switchen nicht gleich der Port Seite ist, sondern Front ist die PowerSupply und Fan Seite des Switches. Die Ports sind folglich auf der „Back“ Seite.

Im Beispiel am Nexus 5k sieht das so aus:

  (mehr …)

AIR-CAP1552E-E-K9 joint nicht auf einem WLC 2504

Gerade Stunden damit verbracht 5 Cisco 1552 AP’s an einem 2504er Controller anzumelden

Simples Lab Setup, alle AP’s an einem Switch, Controller in der selben Broadcast Domain, DHCP direkt auf dem Controller. Die AP’s sollten also in der Lage sein, über Broadcast den Controller zu finden. 

Brandneue AIR-CAP1552E-E-K9 aus der Schachtel. Via Console der erste Schock:

cisco AIR-SAP1552E-E-K9 (PowerPC 8349) processor (revision A0) with 98294K/32768K bytes of memory.
Processor board ID FCZ1751H00F
PowerPC 8349 CPU at 533Mhz, revision number 0x0031
Last reset from power loss
AVR Microcontroller 2 - SW Version: 00.01.09
AVR Microcontroller 6 - SW Version: 00.01.00
4 Gigabit Ethernet interfaces
2 802.11 Radios

32K bytes of flash-simulated non-volatile configuration memory.
Base ethernet MAC Address: DC:A5:F4:B8:8C:00
Part Number : 73-13538-02
PCA Assembly Number : 800-31224-01
PCA Revision Number : 03
PCB Serial Number : FOC172952Z5
Top Assembly Part Number : 800-34853-05
Top Assembly Serial Number : FCZ1751H00F
Top Revision Number : A0
Product/Model Number : AIR-CAP1552E-E-K9

Handelt es sich hier wirklich um CAPWAP Accesspoints? Scheinbar sind das Standalone! WTF!

(mehr …)

Cisco Active Advisor

Heut ein praktisches Tool entdeckt, wenn man mal schnell eine Bestandsliste oder ein Mini Security Audit bei einem Kunden erstellen muss.

https://ciscoactiveadvisor.com/

Einloggen tut man mit seinem CCO Account. Das Tool ist Java basieren und das handling denkbar einfach. Einzige Bedingung ist, dass der PC von dem man das Tool startet, IP connectivity auf alle Geräte haben muss + entsprechende Login Berechtigung.

Die folgenden Screenshots sollten für sich sprechen:

Dashboard

  (mehr …)

Nexus 7k DHCP Relay + Netflow limitation

Ein leidiges Thema! Wir haben vor einiger Zeit einen unserer Kunden von Cisco Catalyst 6500 auf Nexus 7000 migriert. Zum Einsatz kamen Sub2 mit Fab2 Modulen:

Mod  Ports  Module-Type                         Model              Status
---  -----  ----------------------------------- ------------------ ----------
1    0      Supervisor module-2                 N7K-SUP2           active *
3    48     1/10 Gbps Ethernet Module           N7K-F248XP-25      ok
4    48     1/10 Gbps Ethernet Module           N7K-F248XP-25      ok
 
Xbar Ports  Module-Type                         Model              Status
---  -----  ----------------------------------- ------------------ ----------
1    0      Fabric Module 2                     N7K-C7009-FAB-2    ok
2    0      Fabric Module 2                     N7K-C7009-FAB-2    ok
3    0      Fabric Module 2                     N7K-C7009-FAB-2    ok
 

(mehr …)

Cisco VPN Client läuft nicht mehr nach Upgrade auf Windows 8.1

 Das Problem mit Windows 8.1 scheint bekannt zu sein. Von Seiten Cisco gibt es aktuell kein Update, da das Problem nicht direkt mit dem Cisco Client zu tun hat sondern mit dem DNE [1] (Determinist Network Enhancer) Treiber.

 Offizielles Microsoft Forum

http://social.technet.microsoft.com/Forums/windows/en-US/ad556ff3-8d33-453e-8b16-71e36e23e2c6/cisco-vpn-client-and-windows-81-preview-determinist-network-enhancer-dilema?forum=w8itpronetworking

  (mehr …)