NSX 6.4.4 Yenilikler

Birkaç gün önce çıkan NSX Data Center(NSX for vSphere) version 6.4.4’te yine çoğunluğu HTML5 ‘e gelenler olmak üzere bazı yenilikler mevcut. Bunlardan kısaca bahsetmek gerekirse:

1- HTML client update’leri: alttaki özellikler 6.4.4 sürümü ile artık HTML5 client ile de kullanılacaktır.

  • Logical Switches,
  • Edge Appliance Management,
  • Edge Services (DHCP, NAT),
  • Edge Certificates,
  • Edge Grouping Objects.

Desteklenen tüm HTML5 özelliklerini şuradan inceleyebilirsiniz.

2- Network ve Edge servislerinde de alttaki yenilik gelmiştir.

  • ESG(Edge Services Gateway) desteklenen statik route girdisi: Q-Large ve X-Large büyüklüklerindeki ESG’ler için statik route girdi adedi 2048’den 10240’a yükseltilmiştir.

 

Upgrade işlemleri için öncelikle VMware Ürün Uyumluluk Matris ‘ine bakmanızı, yeni sürüm notlarını okumanızı ve geçiş planlaması yapmanızı öneririm.

Okuduğunuz için teşekkürler.

 

vRealize Network Insight ve vRealize Log Insight Entegrasyonu

vRealize Network Insight’ta (vRNI olarak devam edilecek)  versiyon 3.8 itibariyle vRealize Log Insight’ı (vRLI olarak devam edilecek) data source olarak ekleme desteği geldi. Peki buna neden ihtiyaç var?

Öncelikle vRNI collector’unun NSX üzerinden her 10 dakikada bir bağlanarak değişiklikleri (firewall kuralları, security group’ları, vs.) çektiğini(polling) hatırlayalım. NSX üzerinde aşırı yük olduğu durumlarda bu polling süresinin daha fazla uzaması da ihtimaller dahilinde. Gerçek zamanlı hızlı bilgi ve çözüm dediğimizde ise akıllara syslog geliyor. Bir şekilde syslog yapısı ve vRNI collector’un birlikte çalışabilmesi harika olurdu. Bunun için vRLI ve vRNI’yı birbirine entegre ediyoruz. NSX çalışan bir veri merkezinde NSX security gruplarını monitör ediyoruz. Security grup’tan herhangi bir VM çıkarıldığında veya eklendiğinde bir olay meydana gelmiş olacak, loglar NSX manager’dan vRLI’a gönderilecek ve bir alert oluşturulmuş olacak. Bu alert’ı aldıktan sonra vRNI, NSX Manager’a bağlanarak security group’lardaki değişikliği poll edecek. Bu sayede vRNI üzerinden NSX ortamındaki değişikliği çok daha hızlı bir şekilde görmüş olacağız.

Not: Bu yazının yayınlandığı tarih itibariyle sadece security gruplar üzerindeki değişikliklerin uyarılması desteklenmektedir.

Hangi ürünler destekleniyor?

  • vRealize Network Insight min v3.8 olmalı,
  • vRealize Log Insight min. v4.5 olmalı,
  • NSX manager min. V6.2 olmalıdır.

Nasıl yapılıyor?

1. Öncelikle vRLI üzerinde “vRealize Network Insight Content Pack” yüklenmeli.

2. vRNI üzerinde Settings -> Accounts and Data Sources -> Add Source -> Log Insight seçilmeli ve data source olarak eklenmelidir.

  • Collector: hangi vRNI collector üzerinde webhooks’un alınacağı,
  • IP Address: vRLI ip adresi
  • Username/password: vRLI ‘a bağlanmak için kullanılacak erişim bilgileri
  • Authentication provider: local veya farklı bir kimlik doğrulama sağlayıcısı bilgisi

3. Submit’e tıkladıktan sonra alttaki gibi bir vRNI bize alttaki gibi bir URL verecek ve bununla vRLI’a bağlanarak gerekli adımları tamamlayacağız.

En son log insight üzerindeki işlemleri yaptıktan sonra entegrasyonu tamamlamış olacağız. Artık vRLI security group değişikliklerini takip edip direk olarak Network Insight’a gönderecek.

HP IRF Teknolojisi ve Konfigürasyonu

Bu yazımda HP’nin (A serisi ürünler) router ve switchlerinde kullandığı IRF teknolojisi, ne işe yaradığı ve konfigürasyonu üzerine konuşacağım. IRF (Intelligent Resilient Framework), switch platformlarında kullanılan bir sanallaştırma teknolojisidir. Amaç 2 veya daha fazla cihazı birleştirip tek bir cihaz gibi kullanma, yönetme ve çalıştırmayı hedeflemektedir. Benzer teknolojileri isim aynı olmasa bile cisco VSS , juniper Virtual Switch ile sunmaktadır. Cisco VSS ile ilgili detaylı bilgi ve örnekleri şurada inceleyebilirsiniz.

Faydalarını anlaşılır bir dille şu şekilde sıralayabiliriz.

  • Spanning-Tree bağımlılığını ortadan kaldırarak loop’tan bağımsız bir yol sunar ve hiç bir link blocked moda geçmez (IRF + LACP teknolojisi ile)
  • 2’den fazla cihazı tek bir IP adresi ile  tek cihaz olarak yönetmeye olanak sağlar.
  • Pasif cihazlar ve linkler yerine tüm cihazların aktif olarak çalıştığı bir network sunar.
  • STP bağımlılığı ortadan kalktığından düşük hızlı network convergence sürelerinden kurtarır.
  • Failover durumunda çok hızlı aksiyon alır.

IRF02

 

Şurada STP ile IRF arasındaki farklılık gayet güzel bir şekilde belirtilmiştir.

IRF01

Şimdi de 2 switch arasında IRF konfigürasyonunun nasıl yapıldığına bakalım. Switchleri alttaki gibi bağlayacağız.

IRF03

1- Öncelikle kullanacağımız switchleri factory-reset etmemiz gerekiyor. Bu sayede sıkıntısız bir yapı kurabilmek için ilk adımı atmış olacağız. Switchimize konsol kablosu ile bağlandığımızda EXEC modda “reset saved-configuration” ve “reboot” diyoruz ve süreci takip ediyoruz.

<TEST-SW>reset saved-configuration
The saved configuration file will be erased. Are you sure? [Y/N]:y
Configuration file in flash is being cleared.
Please wait ...
.....
MainBoard:
Configuration file is cleared.

<TEST-SW>reboot
Start to check configuration with next startup configuration file, please wait.........DONE!
This command will reboot the device. Current configuration will be lost, save current configuration? [Y/N]:n
This command will reboot the device. Continue? [Y/N]:y
#Apr 26 14:02:05:860 2000 GMZeminKat DEVM/1/REBOOT:
Reboot device by command.

%Apr 26 14:02:05:960 2000 GMZeminKat DEVM/5/SYSTEM_REBOOT: System is rebooting now.
Starting......
********************************************************************************
* *
* HP A5120-48G-PoE+ EI Switch with 2 Interface Slots BOOTROM, Version 607 *
* *
********************************************************************************
Copyright (c) 2010-2011 Hewlett-Packard Development Company, L.P.
Creation date : May 16 2011, 19:07:36
CPU Clock Speed : 264MHz
BUS Clock Speed : 33MHz
Memory Size : 128MB
Mac Address : d07e28b08ec4
Press Ctrl-B to enter Boot Menu... 0
Auto-booting...
Decompress Image....................................................................................
<HP>
#Apr 26 12:07:10:253 2000 HP SHELL/4/LOGIN:
Trap 1.3.6.1.4.1.25506.2.2.1.1.3.0.1: login from Console

%Apr 26 12:07:10:384 2000 HP SHELL/5/SHELL_LOGIN: Console logged in from aux0.

Dikkat ettiysek cihazın hostname’i de <HP> oldu, bu da bize işlemin başarılı olduğunu gösteriyor.

NOT: IRF’i eğer cihaz destekliyor ise çoğunlukla 10G portlar üzerinden yapıyoruz. Hatta 5120EI ve üzerinde 10G kullanmamız bizim için olmazsa olmaz bir şart haline geliyor. Cihazımız üzerinde 10G port yok ise uygun modülü ve SFP’yi almamız gerekiyor. Hangi cihaz, kaç adet cihazla, hangi portlar üzerinden ne şekilde IRF yapılandırır soruları için her zaman alttaki tabloyu (varsa güncellenmişini) kullanabiliriz.

Bu yazıda 5120EI serisi switch kullanılmıştır. Bu switch 10G modül üzerine takılı DAC kablolar ile IRF yapılandırabilmektedir.

IRF yapılacak cihazları hiçbir şekilde birbirine bağlamadan öncelikle konfigürasyonlarının tamamlanması gerekiyor. Bu IRF yapılandırması sırasında karşılaşılabilecek problemleri en aza indirgeyecektir.

İlk ve bundan sonraki switchte şu ayarları yapacağız:

– Cihaza düzgün hostname atamak (Örneğin: DataCenter-SW01)
– IRF aktifleştirme komutlarını girmek (irf member 1 renumber 1)

Switch factory-default olarak IRF member 1 olduğundan üstteki komutu girmemize gerek yok, fakat 1 hariç hepsinde bunu yapılandırıp; kaydedip reboot etmemiz gerekiyor.

<HP>system-view
System View: return to User View with Ctrl+Z.
[HP]sysname SW2
[SW2]
[SW2]irf member 1 renumber 2
Warning: Renumbering the switch number may result in configuration change or loss. Continue?[Y/N]y
[SW2]
[SW2]
[SW2]
[SW2]save
 The current configuration is saved to the active main board successfully.
 Configuration is saved to device successfully.
[SW2]quit
<HP>reboot
 Start to check configuration with next startup configuration file, please wait.........DONE!
 This command will reboot the device. Continue? [Y/N]:y
#Apr 26 12:11:39:832 2000 SW2 DEVM/1/REBOOT:
 Reboot device by command.
%Apr 26 12:11:39:923 2000 SW2 DEVM/5/SYSTEM_REBOOT: System is rebooting now.
Starting......

********************************************************************************
* *
* HP A5120-48G-PoE+ EI Switch with 2 Interface Slots BOOTROM, Version 607 *
* *
********************************************************************************
Copyright (c) 2010-2011 Hewlett-Packard Development Company, L.P.
Creation date : May 16 2011, 19:07:36
CPU Clock Speed : 264MHz
BUS Clock Speed : 33MHz
Memory Size : 128MB
Mac Address : d07e28b08ec4

Press Ctrl-B to enter Boot Menu... 0
Auto-booting...

User interface aux0 is available.

Press ENTER to get started.

Artık diğer komutlara geçebiliriz. Switch1 ile başlıyoruz.

[SW1]irf member 1 priority 32
[SW1]
[SW1]interface  Ten-GigabitEthernet1/1/1
[SW1-Ten-GigabitEthernet1/1/1]shutdown
[SW1-Ten-GigabitEthernet1/1/1]interface  Ten-GigabitEthernet1/1/2
[SW1-Ten-GigabitEthernet1/1/2]shutdown
[SW1-Ten-GigabitEthernet1/1/2]quit 
[SW1]
[SW1]irf-port 1/1
[SW1-irf-port1/1]port group interface Ten-GigabitEthernet1/1/1
 Info: You are recommended to save the configuration after completing your IRF configuration; 
 otherwise, it may be lost after system reboot.
[SW1-irf-port1/1]port group interface Ten-GigabitEthernet1/1/2
[SW1-irf-port1/1]quit 
[SW1]
[SW1]interface Ten-GigabitEthernet1/1/1
[SW1-Ten-GigabitEthernet1/1/1]undo shutdown
[SW1-Ten-GigabitEthernet1/1/1]interface Ten-GigabitEthernet1/1/2
[SW1-Ten-GigabitEthernet1/1/2]undo shutdown
[SW1-Ten-GigabitEthernet1/1/2]quit 
[SW1]
[SW1]
[SW1]irf-port-configuration active
[SW1]
[SW1]save
 The current configuration is saved to the active main board successfully.
 Configuration is saved to device successfully.
[SW1]
[SW1]
[SW1]

2. switch ile devam ediyoruz.

[SW2]
[SW2]interface Ten-GigabitEthernet2/1/1
[SW2-Ten-GigabitEthernet2/1/1]shutdown
[SW2-Ten-GigabitEthernet2/1/1]interface Ten-GigabitEthernet 2/1/2
[SW2-Ten-GigabitEthernet2/1/2]shutdown
[SW2-Ten-GigabitEthernet2/1/2]
[SW2-Ten-GigabitEthernet2/1/2]irf-port 2/2
[SW2-irf-port2/2]port group interface Ten-GigabitEthernet2/1/1
 Info: You are recommended to save the configuration after completing your IRF configuration; 
 otherwise, it may be lost after system reboot.
[SW2-irf-port2/2]port group interface Ten-GigabitEthernet2/1/2
[SW2-irf-port2/2]quit 
[SW2]
[SW2]
[SW2]interface Ten-GigabitEthernet2/1/1
[SW2-Ten-GigabitEthernet2/1/1]undo shutdown
[SW2-Ten-GigabitEthernet2/1/1]interface Ten-GigabitEthernet2/1/2
[SW2-Ten-GigabitEthernet2/1/2]undo shutdown
[SW2-Ten-GigabitEthernet2/1/2]quit 
[SW2]irf-port-configuration active
[SW2]
[SW2]save
 The current configuration is saved to the active main board successfully.
 Configuration is saved to device successfully.
[SW2]
[SW2]

Dikkatinizi 1. switchte olup 2.de olmayan alttaki komutun çekmiş olması lazım

irf member 1 priority 32

Eğer bu komut girilmezse switch üzerinde o değer “1” dir. Switchler bu değere göre aralarında IRF master’ı belirlerler. Hangi switchin priority değeri büyük ise o master seçilir. Diğer kalanlar ise slave ‘dir.

2 switch üzerinde tüm komutları girdikten sonra IRF bağlantısı yapılacak portlar arasındaki fiziksel bağlantıyı yapabiliriz. 1. Switch’in 10G port 1’i ile 2. Switch’in 10G port 2’si arasında  ve yine tersi olmak üzere 2 switchi birbirine bağlıyoruz.
Portlar “UP” olduktan sonra 2. switch!in (slave) kendiliğinden reboot olması gerekiyor. Switch üzerindeki değişimler konsol bağlantısı üzerinden takip edilebilir.

[SW2]
%Apr 26 12:08:46:726 2000 SW2 IFNET/3/LINK_UPDOWN: Ten-GigabitEthernet2/1/1 link status is UP.
#Apr 26 12:08:46:989 2000 SW2 STM/4/LINK STATUS CHANGE: 
 Trap 1.3.6.1.4.1.25506.2.91.6.0.1: Physical index of the member is 65536, member ID is 2. 
Link status of the IRF port with port index 2 and member ID 2 turned to 1.
Starting......


********************************************************************************
*                                                                              *
*   HP A5120-48G-PoE+ EI Switch with 2 Interface Slots BOOTROM, Version 607    *
*                                                                              *
********************************************************************************
       Copyright (c) 2010-2011 Hewlett-Packard Development Company, L.P.
       Creation date   : May 16 2011, 19:07:36
       CPU Clock Speed : 264MHz
       BUS Clock Speed : 33MHz
       Memory Size     : 128MB
       Mac Address     : d07e28b08ec4


Press Ctrl-B to enter Boot Menu... 0
Auto-booting...
Decompress Image..................................................................................................
..................................................................................................................
..................................................................................................................
..................................................................................................................
................OK!

<SW1>

SW2 de artık SW1 olarak geldi.

Peki yaptığımız konfigürasyon ne kadar çalışıyor?  Şu komutlarla IRF’in durumunu kontrol edebilirsiniz.

[SW1]display irf
MemberID  Slot  Role   Priority  CPU-Mac         Description
  +1      1    Master  32         00e0-fc0f-8c02  -----
  *2      2    Standby  1         00e0-fc0f-8c20  -----
--------------------------------------------------
 
 * indicates the device is the master.
 + indicates the device through which the user logs in.
 
 The Bridge MAC of the IRF is: 0023-895f-954f
 Auto upgrade                : yes
 Mac persistent              : always
 Domain ID                   : 1
 Auto merge                  : no

[SW1]display irf topology
                           Topology Info
 -------------------------------------------------------------------------
               IRF-Port1                IRF-Port2
 MemberID    Link       neighbor      Link       neighbor    Belong To
 2           DOWN       --            UP         1           00e0-fc0f-8c02
 1           UP         2             DIS        --          00e0-fc0f-8c02  

Ayrıca şu komutları da test ederken kullanabilirsiniz.

[SW1]display irf configuration
[SW1]display devices

Tabi yine tüm konfigürasyonu görüntüleyip SW2 interface’lerinin de SW1 üzerinde olduğunu görmek başarılı olduğumuzu gösterir.

[SW1]display interface brief 
The brief information of interface(s) under route mode:
Link: ADM - administratively down; Stby - standby
Protocol: (s) - spoofing
Interface            Link Protocol Main IP         Description
NULL0                UP   UP(s)    --
Vlan1                DOWN DOWN     1.1.1.1

The brief information of interface(s) under bridge mode:
Link: ADM - administratively down; Stby - standby
Speed or Duplex: (a)/A - auto; H - half; F - full
Type: A - access; T - trunk; H - hybrid
Interface            Link Speed   Duplex Type PVID Description
GE1/0/1              DOWN auto    A      A    1
GE1/0/2              DOWN auto    A      A    1
GE1/0/3              DOWN auto    A      A    1
*
*
*
GE2/0/1              DOWN auto    A      A    1
GE2/0/2              DOWN auto    A      A    1
GE2/0/3              DOWN auto    A      A    1
*
*
*
XGE1/1/1             UP   --      --     --   --
XGE1/1/2             UP   --      --     --   --
XGE2/1/1             UP   --      --     --   --
XGE2/1/2             UP   --      --     --   --

NOT: Tüm bunların ardından konfigürasyonumuzu kaydetmeyi unutmayalım !

Konu önerisi ve sağladığı içerik için Barış Helvacıoğlu’na teşekkür ederim 🙂

Okuduğunuz için teşekkürler.

 

CUCM (Call Manager) LDAP Integration & Authentication

Ip Telephony çözümü olarak CUCM kullanılan networklerde kullanıcı yönetimi (user management), yaptığımız kurulumlarda üzerinden geçilecek konuların başında gelmektedir. Çoğunlukla şu amaçlar için kullanıyoruz:

  • Userları telefonlarla eşleştirme,
  • Lisans kullanımının hesaplanması,
  • jabber kullanımı,
  • Voicemail
  • Kullanıcıların enduser sayfasına girerek kısa kodla arama vs. işlerini tamamlamaları.

End user oluşturmak ve yönetibilmek için  2 alternatifimiz var:

1- Local user: bütün kullanıcı adı, şifre, PIN, DN(Directory Number) biz oluşturmalı, güncellemeli ve yönetmeliyiz.

2- LDAP Entegrasyonu: LDAP protokolü ile microsoft AD(Active Directory) üzerinden girili bilgileri çekme.

Bu yazımızda AD ortamında oluşturulmuş kullanıcıları entegre edip, authentication işleminin nasıl yapıldığını anlatacağım. AD günümüz IT dünyasında sistem, network, storage ve yazılım gibi bir çok ana sektörün dizin hizmetini alabilmek için kullandığı bir platformdur. Detaylı bilgi için şuraya bakabilirsiniz.

Şimdi CUCM üzerinde bu işlemleri nasıl yaptığımıza bakalım.

Öncelikle LDAP integration ve synchronization kavramlarının ne demek olduğunu açıklayalım.

LDAP Integration: CUCM, LDAP üzerinden kullanıcı adı, telefon numarası, mail adresi gibi bilgileri çeker. Password’ü her kullanıcı için tek tek admin girmelidir.

LDAP Authentication: LDAP Integration yapıldıktan sonra, authentication da yapılarak ayrıca ilgili kullanıcının password bilgileri de çekilir. CUCM admin’inin user’ların password’leri ile ilgili herhangi bir aksiyon almasına gerek kalmaz. Active directory’de o kullanıcı ile işlem yapıldığında nasıl bilgisayarında oturum açma, maillerine ulaşma gibi bir çok uygulama etkileniyor ise aynı şekilde call manager  tarafı da etkilenecektir.

Active Directory entegrasyonu ile başlayalım. CUCM Administration sayfasına girdiğimizde System –> LDAP altında alttaki seçenekleri göreceğiz.

cucm_ad11

1- Öncelikle System  –> LDAP –> LDAP System altına girerek bir LDAP sunucusundan senkronizasyon yapabilmeyi aktifleştiriyoruz.

cucm_ad1

2- Bu adımda ise bir LDAP sunucu tanımlayarak senkronizasyonu başlatıyoruz. Yapmamız gereken System –> LDAP  –> LDAP Directory altına girerek işaretli parametrelerin girişini yapmış olmak.

Bu noktada şunu belirtmekte fayda var. Kullanacağınız LDAP manager hesabının tüm kullanıcı ve dizinleri okuma yetkisinin olması gereklidir. Fakat ayrı bir kullanıcı açıp, local-admin yetkisi vererek yapmanız bence daha uygun olur.

cucm_ad2

 

cucm_ad3Daha sonra perform full sync now diyerek User Management  –> End User’ a bakıyoruz.

cucm_ad6

 

 

 

cucm_ad4

İlgili OU altındaki tüm kullanıcıların gelmiş olması gerekiyor. Eğer gelmiyorsa,

  • – LDAP manager name/password,
  • – User search base,
  • – LDAP server ip address

kontrol edilmelidir.

Aşağıda örnek bir end user bulunuyor.  Dikkat: Password’ün  kontrolü buradan yapılıyor!

 cucm_ad5

LDAP Directory altında daha sonra yapılan tüm işlemler sonrası perform full sync now dememiz gerekiyor.

cucm_ad6

3- LDAP senkronizasyonu bittikten sonra bu adımda authentication’ı da LDAP sunucu üzerinden yapacağız. System –> LDAP  –> LDAP Authentication altına gelerek LDAP directory için kullandığımız parametreleri burada da kullanıyoruz. Verileri girdikten sonra Save butonuna tıklamamız yeterlidir.

cucm_ad7

User Management  –> End User ’ a baktığımızda ise password yönetiminin artık LDAP sunucuya (AD) geçtiğini görebiliriz.

cucm_ad8

4- Son olarak System –> LDAP –> LDAP Custom Filter ‘ın ne işe yaradığını anlatacağım. Bu zamana kadar bir OU’nun altında ne kadar kullanıcı var ise çektik. Sizden telefon kullanan 15 kullanıcının, 150 kullanıcılık bir OU içerisinden çekilmesi istense ne yapardınız? Cevap: LDAP ipPhone Filter.

Bunun için  System –> LDAP –> LDAP Custom Filter altına girip filtremizi oluşturmamız gerekiyor. Altta ipPhone için örnek bir filtre bulunmaktadır.

cucm_ad9

Bu filtre tabiki tek başına yeterli değil. Bunu LDAP directory altında enable etmek gerekiyor.

cucm_ad10

 

Bu filtre ile artık sadece ipPhone kısmına telefon numarası girilmiş kullanıcıları çekeceğiz.

Okuduğunuz için teşekkürler.

UBNT Nanostation M5 üzerinden vlan taşıma

UBNT serisi cihazlarla iki uzak mesafe arasında wireless üzerinden hızlı ve kaliteli bir şekilde veri transferi yapabiliyoruz. Peki taglenmeyen vlan 1 harici bir vlanı taşımak için ne yapmamız gerekiyor?

ubnt1

 

Bu noktada şunları yapmamız yeterli olacaktır.

  1. Access pointleri bağladığımız portları trunk yapmalı ve geçmesini istediğimiz vlan’lara izin vermeliyiz.
  2. Access pointlerde WDS(transparent bridge mode) ‘u enable etmeli; access pointlerden birisini station, diğerini de access point mode’una almamız gerekmektedir.

 

 

 

 

 

ubnt2

 

 

Bunları yaptıktan cihazlar artık gelen paketlerin vlan tag’li olup olmadığına bakmadan direk olarak taşımaya başlayacaklardır.

 

Okuduğunuz için teşekkürler.

Cisco ASA Firmware Upgrade Prosedürü     

Yaklaşık 7 yıldır bazı dönemler az bazı dönemlerde aşırı yoğun şekilde Cisco ASA (Adaptive Security Appliance) firewall ailesi ile çalışıyorum. Cisco’da firewall tarafı PIX ile başlayıp, 5500 serisi, 5500-X serisi, IPS modüllü, CX modüllü, sourcefire modüllü şeklinde gitmektedir. Bu süreç içerisinde ortak olan bir konu var o da iş firmware upgrade’i yapmaya geldiğinde upgrade path’ini (sorunsuz geçiş için takip edilmesi gereken yol) gerçekten anlamış ve uygulamış olmanın gerekmesidir.

asa_upgrade1

asa_upgrade2

asa_upgrade3

asa_upgrade4

 

asa_upgrade5

 

 

Peki bu upgrade path’i neden bu kadar önemli ?

Öncelikle upgrade’lerden beklentimiz bu geçişin sorunsuz yapılmasıdır. Sorunsuzluktan kastımız da tabiki 1000+ kural olan bir firewall’da geçiş sonrası konfigürasyonda kayıplar, eksikler veya hatalar oluşmaması ve cihazın performans olarak yeni sürüme uyumsuz olmamasıdır.

Şu anda çalışan ASA’lara baktığımızda üzerlerindeki code (versiyon) genellikle 7.x , 8.x ve 9.x ‘tir. Tabiki bütün ASA aileleri bu sürümlerin hepsini çalıştıramaz. Örneğin 5500-X olarak çıkan yeni nesil firewall’lar sadece 8.6 veya 9.x ile çalışabilirler (Daha eski sürümlerle çalışabilen 5585-X hariç). Ya da ilk ASA ailesi olan 5500 serisi modeline göre 7.x,  8.0, 8.1, 8.2, 8.3, 8.4 ve  9.x çalıştırabildiği gibi 8.5 , 8.6 veya 8.7 çalıştıramaz. Son olarak ASA 1000V olarak adlandırılan data center seviyesi cloud firewall sadece 8.7 versiyonu ile çalışır.

Upgrade yapacak ise bütün bu durumları bilmemiz gerekiyor. Aksi taktirde elimizdeki 5510 serisi firewall’umuzu 8.3’ten 8.7 ‘ye çıkarmak için saçımızı başımızı yolmamız an meselesi haline gelebilir  🙂

Peki bütün bu bilgileri nereden edineceğiz sorusuna cisco’nun hangi platform’da hangi code’u çalıştırmalıyız şeklinde verdiği matrix  ile cevap verebiliriz.

 

Tablo1 – Code Uyumluluğu

ASA OS
ASDM
ASA Model
ASA 5505
ASA 5510, 5520, 5540
ASA 5550
ASA 5580
ASA 5512-X, 5515-X, 5525-X, 5545-X, 5555-X
ASA 5585-X
ASASM
ASA 1000V
ASA 7.0
ASDM 5.0.Recommended: 5.0(8).
No
YES
No
No
No
No
No
No
ASA 7.1(1)
ASDM 5.1.Recommended: 5.1(2).
No
YES
No
No
No
No
No
No
ASA 7.1(2)
ASDM 5.1(2)
No
YES
YES
No
No
No
No
No
ASA 7.2
ASDM 5.2.Recommended: 5.2(4).
YES
YES
YES
No
No
No
No
No
ASA 8.0(2)
ASDM 6.0(2) and later.Recommended: 7.1(3).
YES
YES
YES
No
No
No
No
No
ASA 8.0(3)
ASDM 6.0(3) and later.Recommended: 7.1(3).
YES
YES
YES
No
No
No
No
No
ASA 8.0(4)
ASDM 6.1(3) and later.Recommended: 7.1(3).
YES
YES
YES
No
No
No
No
No
ASA 8.0(5)
ASDM 6.2(3) and later.Recommended: 7.1(3).
YES
YES
YES
No
No
No
No
No
ASA 8.1(1)
ASDM 6.1(1) and later.Recommended: 7.1(3).
No
No
No
YES
No
No
No
No
ASA 8.1(2)
ASDM 6.1(5) and later.Recommended: 7.1(3).
No
No
No
YES
No
No
No
No
ASA 8.2(1)
ASDM 6.2(1) and later.Recommended: 7.1(3).
YES
YES
YES
YES
No
No
No
No
ASA 8.2(2)
ASDM 6.2(5) and later.Recommended: 7.1(3).
YES
YES
YES
YES
No
No
No
No
ASA 8.2(3)
ASDM 6.3(4) and later.Recommended: 7.1(3).
YES
YES
YES
YES
No
YES
No
No
ASA 8.2(4)
ASDM 6.3(5) and later.Recommended: 7.1(3).
YES
YES
YES
YES
No
YES
No
No
ASA 8.2(5)
ASDM 6.4(3) and later.Recommended: 7.1(3).
YES
YES
YES
YES
No
YES
No
No
ASA 8.3(1)
ASDM 6.3(1) and later.Recommended: 7.1(3).
YES
YES
YES
YES
No
No
No
No
ASA 8.3(2)
ASDM 6.3(2) and later.Recommended: 7.1(3).
YES
YES
YES
YES
No
No
No
No
ASA 8.4(1)
ASDM 6.4(1) and later.Recommended: 7.1(3).
YES
YES
YES
YES
No
YES
No
No
ASA 8.4(2)
ASDM 6.4(5) and later.Recommended: 7.1(3).
YES
YES
YES
YES
No
YES
No
No
ASA 8.4(3)
ASDM 6.4(7) and later.Recommended: 7.1(3).
YES
YES
YES
YES
No
YES
No
No
ASA 8.4(4.1)1
ASDM 6.4(9) and later.Recommended: 7.1(3).
YES
YES
YES
YES
No
YES
No
No
ASA 8.4(5)
ASDM 7.0(2) and later.Recommended: 7.1(3).
YES
YES
YES
YES
No
YES
No
No
ASA 8.4(6)
ASDM 7.1(2.102) and later.Recommended: 7.1(3).
YES
YES
YES
YES
No
YES
No
No
ASA 8.5(1)
ASDM 6.5(1).
No
No
No
No
No
No
YES
No
ASA 8.6(1)
ASDM 6.6(1).
No
No
No
No
YES
No
No
No
ASA 8.7(1.1)2
ASDM 6.7(1).
No
No
No
No
No
No
No
YES
ASA 9.0(1)
ASDM 7.0(1) and later.Recommended: 7.1(3).
YES
YES
YES
YES
YES
YES
YES
No
ASA 9.0(2)
ASDM 7.1(2) and later.Recommended: 7.1(3).
YES
YES
YES
YES
YES
YES
YES
No
ASA 9.0(3)
ASDM 7.1(3).
YES
YES
YES
YES
YES
YES
YES
No
ASA 9.1(1)
ASDM 7.1(1) and later.Recommended: 7.1(3).
YES
YES
YES
YES
YES
YES
YES
No
ASA 9.1(2)
ASDM 7.1(3).
YES
YES
YES
YES
YES
YES
YES
No

 

Bu tabloya göre hareket ederek upgrade’i yapmamız sizce yeterli midir? Malesef hayır. Dikkat etmemiz gereken bir diğer konu daha var, o da cihazların üzerindeki memory (RAM) ile yeni code’un gereksinimi olan memory’i karşılamamız.

 

Tablo2 – Ram İhtiyacı

ASA Model Internal Flash Memory (Default Shipping) DRAM (Default Shipping)
Before Feb. 2010 After Feb. 2010 (Required for 8.3 and Higher)
5505 128 MB 256 MB 512 MB
5510 256 MB 256 MB 1 GB
5520 256 MB 512 MB 2 GB
5540 256 MB 1 GB 2 GB
5550 256 MB 4 GB 4GB
5512-X 4 GB N/A 4 GB
5515-X 8 GB N/A 8 GB
5525-X 8 GB N/A 8 GB
5545-X 8 GB N/A 12 GB
5555-X 8 GB N/A 16 GB
5580-20 1 GB 8 GB 8GB
5580-40 1 GB 12 GB 12 GB
5585-X with SSP-10 2 GB N/A 6 GB
5585-X with SSP-20 2 GB N/A 12 GB
5585-X with SSP-40 2 GB N/A 12 GB
5585-X with SSP-60 2 GB N/A 24 GB
ASASM 8 GB N/A 24 GB

 

 

Her iki tablodaki bilgileri kullanarak elimizde şubat 2010 öncesi alınmış bir ASA varsa ve biz bunu 8.4’e upgrade etmek ister isek öncelikle Tablo1’e bakıp code için uyumluluğunu göreceğiz. Ardından da RAM ‘ini kontrol etmemiz gerekecektir.

ASAtest# show ver | i RAM
Hardware:   ASA5510, 256 MB RAM, CPU Pentium 4 Celeron 1599 MHz

 

Görünüşe göre Tablo2 verileri bize bu cihazın RAM ‘inin 1GB’ya çıkarılması gerektiğini söylüyor. Buna göre mevcut donanım ile firmware upgrade ‘ini gerçekleştiremeyiz.

Upgrade path’inin neden önemli olduğunun tekrar altını çizdikten sonra nasıl olacağını konuşalım. Öncelikle bu konuda cisco’nun resmi olarak önerdiği yolu, yani üst seviyelere çıkmak için gereken versiyon geçişlerini izlemeliyiz. Bu yol bize tabiki code 7.0’dan 9.1’e sorunsuz geçeceğimizi söylemeyecek.

Bu noktada cisco’nun ASA’ların image’larını nasıl isimlendirdiği ile devam edelim. Image isimlerini şu şekilde göreceksiniz:

asaXYZ.bin

X: major release number
Y: minor number
Z: maintenance release number

Örneğin: asa841.bin

Şimdi kurallara geçelim:

  • ASA’lar için 8.3 versiyonu bir nevi milat. ASA’ların çalışma prensipleri 8.3 öncesi ve sonrası diye ikiye ayrılıyor. Bu sürümde NAT ve ACL yapısı değişiyor.
  • 8.3 veya sonrasına geçeceksek önerilen şekilde 8.2’ye geçiş yapmamız gerekiyor, diğer sürümlerden geçişi desteklemiyor.
  • Tavsiyem öncelikle üstteki tablolara göz atıp sonrasında gerekirse cisco tarafındaki dökümanlara bakmanız yönünde olacaktır.Aynı major ve minor versiyonlara sahip versiyonlar arasında sorunsuz geçiş yapabiliriz. Örneğin:  8.4.1 ‘den 8.4.7’ye geçebiliriz.
  • Bir minor release’den diğerine geçmek için arada minor release atlayamayız. Örneğin 8.0’dan 8.2’ye direk atlayamayız, arada 8.1’e geçmeliyiz.
  • Bir major release’den diğerine geçmek için ilgili major release içerisinde en son minor release’de olmamız gerekiyor. Örneğin 7.x’ten 8.x’e geçmek için en son sürüm olan 7.2’de olmamız gerekiyor. 7.1’den 8.0’a geçemeyiz.
  • 9.x’e geçmek için 8.3 veya 8.4 olmalıyız (5500 serisi için) ; 8.6 olmalıyız(5500-X serisi için)

Okuduğunuz için teşekkürler. Bir sonraki yazımızda görüşmek üzere.

 

HP Procurve Switch Üzerinde DHCP Server Konfigürasyonu

Uzun bir aradan sonra yazılara kaldığım yerden devam ediyorum. Bu yazımda ihtiyaç duyduğumuzda HP Procurve serisi bir switch’i  DHCP sunucu olarak çalıştırmayı anlatacağım. Genelde yaptığımız kurulumlarda ya da testlerde anlık olarak DHCP sunucu ihtiyacı olabiliyor. Bunun için ya windows tabanlı bir sunucu üzerinde DHCP sunucu servisini açarak devreye alırız ya da elimizdeki router, switch ile bu işi hızlıca çözmeye çalışırız.

Cisco 2960, 3560, 3650,3750, vs serilerinde kullanılan komutlar genelde standarttır ve hemen hemen hepsi DHCP server olarak çalıştırılabilir. Fakat HP procurve serisi üzerinde hem kullandığımız switch modelinin hem de üzerindeki yazılımın bu desteği vermesi gerekmektedir.

Son olarak bir kurulum sırasında 2920 switchi DHCP sunucu olarak konfigüre etmek istediğimde dhcp-server şeklinde bir config parametresi olmadığını gördüm. Fakat bildiğim kadarıyla HP procurve serisi L3 çalışabilen 2910, 2920 gibi cihazlarda dhcp sunucu desteği olmalıydı.

2920Switch# conf t
2920Switch(config)# dhcp?
dhcp
dhcp-relay
dhcp-snooping

Biraz araştırdığımda switchin ilgili firmware’inde DHCP server desteği yoktu.

2920Switch(config)# sh ver
Image stamp:    /ws/swbuildm/rel_orlando_qaoff/code/build/anm(swbuildm_rel_orlando_qaoff_rel_orlando)
Apr  4 2011 10:14:29
WB.15.12.15
1506

Boot Image:     Primary

Release note’larda yazdığına göre DHCP server desteği için firmware’in minimum Wx.15.16.0004 olması gerekiyordu. Ben de gerekli upgrade işlemini gerçekleştirdikten sonra tekrar kontrol ettiğimde feature’ın aktifleştiğini gördüm.

2920Switch(config)# dhcp?

dhcp
dhcp-relay
dhcp-server
dhcp-snooping

 

Ardından konfigürasyona başladım.
1- Öncelikle hangi vlan için bu ip dağıtım işini yapacaksak ilgili vlan’da dhcp-server ‘ı enable ediyoruz.

2920Switch(config)# vlan 11
2920Switch(vlan-11)# dhcp-server
2920Switch(vlan-11)#exit

2- Global config modda dhcp server için gerekli pool’u oluşturuyoruz. Pool’umuzun altındaki
a. Default-router : default gateway
b. Dns-Server : dns sunucu ip’si
c. Domain name : bulunduğumuz domain
d. Network : dağıtacağımız ağın subneti
e. Range : ip olarak dağıtacağımız aralık
Belirtmektedir.

2920Switch(config)# dhcp-server pool "Users"
2920Switch(Users)#  authoritative
2920Switch(Users)#  default-router 192.168.11.1
2920Switch(Users)#  dns-server 192.168.10.250
2920Switch(Users)#  domain-name "test.com"
2920Switch(Users)#  network 192.168.11.0 255.255.255.0
2920Switch(Users)#  range 192.168.11.10 192.168.11.250
2920Switch(Users)#  exit

3- Son olarak dhcp-server’ı servis olarak enable ediyoruz.

2920Switch(config)#  dhcp-server enable
2920Switch(config)#  exit

Konfigürasyon bittikten sonra bir pc ‘yi switchin ilgili vlan’ına alınmış porta bağlayarak testlere başlayalım.

2920Switch# sh dhcp-server 

 Configuration and Status - DHCP Server

  DHCP Server Enabled       : Yes 
  Traps Enabled             : Yes 
  Persistent Lease Database : No    
  Conflict Logging Enabled  : No  
  DHCP VLAN Interfaces      : 11          

2920Switch# sh dhcp-server binding 

 Status and Counters - DHCP Server Bindings

   Pool : Users                           

  IP Address       Hardware Address Lease Expiration               Type      
  ---------------- ---------------- ------------------------------ ----------
  192.168.11.10    10aa48-802099    Nov 29 2015 11:26:08           Dynamic   
  192.168.11.11    44dde6-e4683c    Nov 29 2015 13:55:47           Dynamic   
  192.168.11.13    44aae6-e593fb    Nov 28 2015 18:40:03           Dynamic   
  192.168.11.14    f0aaa2-969a28    Nov 29 2015 14:51:49           Dynamic   
  192.168.11.15    44aa5b-c16289    Nov 29 2015 12:06:59           Dynamic   
  192.168.11.18    44aae6-e4a10d    Nov 29 2015 08:27:06           Dynamic   
  192.168.11.19    68bb28-8a269e    Nov 29 2015 13:01:20           Dynamic   
 
 
2920Switch# sh dhcp-server pool 

 Status and Counters - DHCP Server Pools

  Pool           : Users                            
  Lease Period   : 1:00:00   
  Low Threshold  : 49        
  High Threshold : 193       
  Free Leases    : 233       

Ek olarak DHCP sunucu üzerinde static binding veya başka herhangi bir değişiklik yapmak istesek ne yapacağız?
Öncelikle dhcp-server servisini global olarak durduruyoruz(nedenini sormayın HP öyle istiyor :)).

2920Switch(config)# dhcp-server disable

Ardından binding için gerekli konfigürasyonu yapıyoruz. Buradaki örneğimizde mac adresi aabbcc-ddeeff olan bir cihaza 192.168.11.25’i verecek olalım.

2920Switch(config)# dhcp-server pool "Users"
2920Switch(Users)#   static-bind ip 192.168.11.25 255.255.255.255 mac aa:bb:cc:dd:ee:ff
2920Switch(config)#   exit
2920Switch(config)#   dhcp-server enable
2920Switch# sh dhcp-server binding 

 Status and Counters - DHCP Server Bindings

   Pool : Users                           

  IP Address       Hardware Address Lease Expiration               Type      
  ---------------- ---------------- ------------------------------ ----------
  192.168.11.10    10aa48-812099    Nov 29 2015 11:26:08           Dynamic   
  192.168.11.11    44dde6-e2383c    Nov 29 2015 13:55:47           Dynamic   
  192.168.11.13    44aae6-e343fb    Nov 28 2015 18:40:03           Dynamic   
  192.168.11.14    f0aaa2-966728    Nov 29 2015 14:51:49           Dynamic   
  192.168.11.15    44aa5b-c45255    Nov 29 2015 12:06:59           Dynamic   
  192.168.11.18    44aae6-e4a154    Nov 29 2015 08:27:06           Dynamic   
  192.168.11.19    68bb28-8a223a    Nov 29 2015 13:01:20           Dynamic   
  192.168.11.25    aabbcc-ddeeff    Nov 29 2015 12:13:01           Dynamic

Herhangi bir procurve switch DHCP sunucu servisi çalıştırmak istediğinizde öncelikle desteğinin olup olmadığını kontrol etmenizi tavsiye ederim.
Şurada 2920 için alttaki gibi bir ifade bulunduğunu ve bu desteği verdiğini görebilirsiniz.

L3 services
• NEW DHCP server
Centralizes and reduces the cost of IPv4 address management

Cisco 4500-E / 4500-X Serisi Switchlerde Virtual Switching System (VSS) Teknolojisi ve Konfigürasyonu

Bu yazımda cisco 4500/6500 serisi switch ürün ailelerinde sıklıkla kullanılan Virtual Switching System (VSS) yani IT dilinde sıklıkla kullandığımız cluster, stacking teknolojisinden bahsedeceğim.

Amacımız 2 switchi alıp bu özel teknoloji ile birbirine bağlayarak:

– Active/Active çalışan bir yapı kurmak,
– Spanning-Tree bağımlılığını ortadan kaldırmak,
– “N” verim alacak iken  diğer switchi de yatırmadan çalıştırarak “2N” verim almak.

 

VSS1

VSS yaptığımız switchlerde data plane aynı anda her iki switchte de aktif olarak kullanılmaktadır. Bu da bize gateway yedekliliği sağlayan FHRP protokollere (HSRP, VRRP, etc.) göre daha fazla throughput sağlamaktadır. Yukarıdaki şekilden de görüleceği üzere mantıksal anlamda 2 switch tek bir switch gibi çalışmaktadır.

VSS’i 2 adet switch ile yapıyoruz. VSS’e üye switchler birbirlerine standard Gigabit veya 10 Gigabit Ethernet bağlantıları üzerinden Virtual Switch Link (VSL) ile bağlanmaktadır. VSL üzerinden switchler arasındaki control plane trafiğinin yanı sıra kullanıcı trafiği de geçmektedir. Gereksinimleri altta bulabilirsiniz.

Ben örnek olarak VSS’i 4500X serisi switchler üzerinde yapılandıracağım.

Gereksinimler:

  1. 4500-E / 6500 serisi switchlerde VSS yapılacak ise şaseler üzerinde benzer işleve sahip supervisor’lerin bulunması gerekmektedir. Örneğin:
    1. 4500-E için Supervisor Engine 7-E veya 7-LE bulunmalıdır.
  2. Cihazlar üzerinde aynı IOS ve ROM versiyonu bulunmalıdır.
  3. Lisans olarak mimimum IP base olmalıdır.
    Feature LAN Base IP Base Enterprise Service
    • Virtual Switching System (VSS

     

    No Yes
    (SUP7E only)
    Yes
    • Support for Layer 3 MEC—VSS with Layer 3 Multichassis EtherChannel (MEC) at the aggregation layer
    • Support for VSLP Fast Hello—With VSLP Fast Hello, the Catalyst 4500-X configured for VSS can now connect Access Switches that do not support the ePAgP protocol.
    • Support for VSL Encryption
    • Support for Asymmetrix chassis
    No Yes (SUP7E)No (SUP7LE) Yes (SUP7E)Yes (SUP7LE)
  4. 1G ve 10G ethernet bağlantısı desteği vardır. 4500’lerde tavsiye edilen 10G portlar üzerinden yapılmasıdır.

Konfigürasyon:

    1. Öncelikle 4500-X switchlerin IOS ve ROM versiyonlarını karşılaştırıyoruz. Farklılık varsa cisco tarafından tavsiye edilen versiyonlara geçiş yapıyoruz
Switch-01#show version 
Cisco IOS Software, IOS-XE Software, Catalyst 4500 L3 Switch Software (cat4500e-UNIVERSAL-M), Version 03.05.03.E RELEASE SOFTWARE (fc1)
Technical Support: http://www.cisco.com/techsupport
Copyright (c) 1986-2014 by Cisco Systems, Inc.
Compiled Mon 05-May-14 10:33 by prod_rel_team



Cisco IOS-XE software, Copyright (c) 2005-2013 by cisco Systems, Inc.
All rights reserved.  Certain components of Cisco IOS-XE software are
licensed under the GNU General Public License ("GPL") Version 2.0.  The
software code licensed under GPL Version 2.0 is free software that comes
with ABSOLUTELY NO WARRANTY.  You can redistribute and/or modify such
GPL code under the terms of GPL Version 2.0.  For more details, see the
documentation or "License Notice" file accompanying the IOS-XE software,
or the applicable URL provided on the flyer accompanying the IOS-XE
software.



ROM: 15.0(1r)SG11
BackBone-SW uptime is 2 hours, 1 minutes
Uptime for this control processor is 2 hours, 3 minutes
System returned to ROM by reload
System image file is "bootflash:cat4500e-universal.SPA.03.05.03.E.152-1.E3.bin"
Jawa Revision 2, Winter Revision 0x0.0x40

Last reload reason: Reload command



License Information for 'WS-C4500X-16'
    License Level: ipbase   Type: Permanent
    Next reboot license Level: ipbase

cisco WS-C4500X-16 (MPC8572) processor (revision 9) with 4194304K bytes of physical memory.
Processor board ID JAE1852049Z
MPC8572 CPU at 1.5GHz, Cisco Catalyst 4500X
Last reset from Reload
12 Virtual Ethernet interfaces
32 Ten Gigabit Ethernet interfaces
511K bytes of non-volatile configuration memory.

Configuration register is 0x2102

Switch-02#show version 
Cisco IOS Software, IOS-XE Software, Catalyst 4500 L3 Switch Software (cat4500e-UNIVERSAL-M), Version 03.05.03.E RELEASE SOFTWARE (fc1)
Technical Support: http://www.cisco.com/techsupport
Copyright (c) 1986-2014 by Cisco Systems, Inc.
Compiled Mon 05-May-14 10:33 by prod_rel_team



Cisco IOS-XE software, Copyright (c) 2005-2013 by cisco Systems, Inc.
All rights reserved.  Certain components of Cisco IOS-XE software are
licensed under the GNU General Public License ("GPL") Version 2.0.  The
software code licensed under GPL Version 2.0 is free software that comes
with ABSOLUTELY NO WARRANTY.  You can redistribute and/or modify such
GPL code under the terms of GPL Version 2.0.  For more details, see the
documentation or "License Notice" file accompanying the IOS-XE software,
or the applicable URL provided on the flyer accompanying the IOS-XE
software.



ROM: 15.0(1r)SG11
BackBone-SW uptime is 2 hours, 51 minutes
Uptime for this control processor is 2 hours, 53 minutes
System returned to ROM by reload
System image file is "bootflash:cat4500e-universal.SPA.03.05.03.E.152-1.E3.bin"
Jawa Revision 2, Winter Revision 0x0.0x40

Last reload reason: Reload command



License Information for 'WS-C4500X-16'
    License Level: ipbase   Type: Permanent
    Next reboot license Level: ipbase

cisco WS-C4500X-16 (MPC8572) processor (revision 9) with 4194304K bytes of physical memory.
Processor board ID JAE1852049Z
MPC8572 CPU at 1.5GHz, Cisco Catalyst 4500X
Last reset from Reload
12 Virtual Ethernet interfaces
32 Ten Gigabit Ethernet interfaces
511K bytes of non-volatile configuration memory.

Configuration register is 0x2102

2.Lisansları kontrol ederek, aynı seviyede olduklarını görüyoruz.

Switch-01#show license image levels 
Module name        Image level  Priority  Configured  Valid license
--------------------------------------------------------------------
WS-C4500X-16       entservices  1         NO          entservices             
                   ipbase       2         NO          ipbase                  

Module Name     Role           Current Level     Reboot Level
--------------------------------------------------------------------
WS-C4500X-16    Active         ipbase            ipbase            

 

Switch-02#show license image levels 
Module name        Image level  Priority  Configured  Valid license
--------------------------------------------------------------------
WS-C4500X-16       entservices  1         NO          entservices             
                   ipbase       2         NO          ipbase                  

Module Name     Role           Current Level     Reboot Level
--------------------------------------------------------------------
WS-C4500X-16    Active         ipbase            ipbase            

3. Virtual Switch Domain ve Switch Numaralarının Belirlenmesi

Dikkat: Virtual Domain ID aynı, switch ID farklı olmalıdır.

Switch-01#conf t 
Enter configuration commands, one per line. End with CNTL/Z. 
Switch-01(config)#switch virtual domain 10 
Domain ID 10 config will take effect only after the exec command 'switch convert mode virtual' is issued 
Switch-01(config-vs-domain)#switch 1 
Switch-01(config-vs-domain)#end
Switch-02#conf t 
Enter configuration commands, one per line. End with CNTL/Z. 
Switch-02(config)#switch virtual domain 10 
Domain ID 10 config will take effect only after the exec command 'switch convert mode virtual' is issued 
Switch-02(config-vs-domain)#switch 2 
Switch-02(config-vs-domain)#end 

4.VSL Port Channel Oluşturulması

Dikkat: Port-channel numaraları muhakkak farklı olmalıdır. Yoksa benim gibi aynı verip 2 saatinizi neden çalışmadığını çözmeye çalışmakla geçirebilirsiniz 🙂

Switch-01(config)#int port-channel 9 
Switch-01(config-if)#switchport 
Switch-01(config-if)#switch virtual link 1 
Switch-01(config-if)#no shut 
Switch-01(config-if)#exit 
*Jan 24 05:19:57.092: %SPANTREE-6-PORTDEL_ALL_VLANS: Port-channel5 deleted from all Vlans
Switch-02(config)#int port-channel 10 
Switch-02(config-if)#switchport 
Switch-02(config-if)#switch virtual link 1 
Switch-02(config-if)#no shut 
Switch-02(config-if)#exit 
*Jan 24 05:19:57.092: %SPANTREE-6-PORTDEL_ALL_VLANS: Port-channel5 deleted from all Vlans

5.VSL Port Konfigürasyonu

(Benim kurduğum topolojiye göre switchler birbirlerine 1/15 ve 1/16 portlarından bağlılar. Her switchin portunu bir önceki adıma göre channel-group’a atıyoruz.)

Switch-01(config)#int range te1/15 - 16 
Switch-01(config-if-range)#switchport mode trunk 
Switch-01(config-if-range)#channel-group 9 mode on 
WARNING: Interface TenGigabitEthernet1/15 placed in restricted config mode. All extraneous configs removed! 
WARNING: Interface TenGigabitEthernet1/16 placed in restricted config mode. All extraneous configs removed! 
Switch-01(config-if-range)#exit 
Switch-02(config)#int range te1/15 - 16 
Switch-02(config-if-range)#switchport mode trunk 
Switch-02(config-if-range)#channel-group 10 mode on 
WARNING: Interface TenGigabitEthernet1/15 placed in restricted config mode. All extraneous configs removed! 
WARNING: Interface TenGigabitEthernet1/16 placed in restricted config mode. All extraneous configs removed! 
Switch-02(config-if-range)#exit 

6.Virtual Switch Mode’a Geçiş

Switchlerin “Virtual Switch” mode’a geçiş yapmaları için gerekli komutu önce 1. switchte (reboot olup açıldıktan sonra), sonrasında da 2. switchte yazıyoruz.

Switch-01#switch convert mode virtual 
This command will convert all interface names to naming convention "interface-type switch-number/slot/port", save the running config to startup-config and reload the switch. 
Do you want to proceed? [yes/no]: yes 
Converting interface names Building configuration... 
Compressed configuration from 6451 bytes to 2781 bytes[OK] 
Saving converted configuration to bootflash: ... 
Destination filename [startup-config.converted_vs-20130124-062921]? 
Please stand by while rebooting the system... 
Restarting system. 
Rommon (G) Signature verification PASSED
Rommon (P) Signature verification PASSED
FPGA   (P) Signature verification PASSED
Switch-02#switch convert mode virtual 
This command will convert all interface names to naming convention "interface-type switch-number/slot/port", save the running config to startup-config and reload the switch. 
Do you want to proceed? [yes/no]: yes 
Converting interface names Building configuration... 
Compressed configuration from 6111 bytes to 2713 bytes[OK] 
Saving converted configuration to bootflash: ... 
Destination filename [startup-config.converted_vs-20130124-062921]? 
Please stand by while rebooting the system... 
Restarting system. 
Rommon (G) Signature verification PASSED
Rommon (P) Signature verification PASSED
FPGA   (P) Signature verification PASSED

Bu komutların girilmesinin ardından switchler kapanıp açılarak her switchin Virtual Switch mode’a geçiş yapmış ve VSS konfigürasyonunun tamamlanmış olması gerekiyor. Artık switch portlarının gösterimi de (module/port) şeklinde değil (switch/module/port) şeklinde olacaktır.

Doğrulama:

1. Artık sadece active olan switche console üzerinden bağlanabilir veya telnet/ssh yaptığımızda active switch üzerinde session açılmış olarak göreceğiz.

Passive olan switche console ile bağlanmak istediğimizde:

Switch-02-standby> Standby console disabled

şeklinde bir ekran ile karşılaşacağız.

Domain ID ve switch ID bilgisinin kontrolü için:

Switch-01#show switch virtual 

Executing the command on VSS member switch role = VSS Active, id = 1


Switch mode                  : Virtual Switch
Virtual switch domain number : 10
Local switch number          : 1
Local switch operational role: Virtual Switch Active
Peer switch number           : 2
Peer switch operational role : Virtual Switch Standby

Executing the command on VSS member switch role = VSS Standby, id = 2


Switch mode                  : Virtual Switch
Virtual switch domain number : 10
Local switch number          : 2
Local switch operational role: Virtual Switch Standby
Peer switch number           : 1
Peer switch operational role : Virtual Switch Active

2. Switchlerin VSS’teki rolleri için:

Switch-01#show switch virtual  role 

Executing the command on VSS member switch role = VSS Active, id = 1

RRP information for Instance 1

--------------------------------------------------------------------
Valid  Flags   Peer      Preferred  Reserved
               Count     Peer       Peer

--------------------------------------------------------------------
TRUE    V        1           1          1

Switch  Switch Status  Preempt       Priority  Role     Local   Remote
        Number         Oper(Conf)    Oper(Conf)         SID     SID
--------------------------------------------------------------------
LOCAL   1      UP      FALSE(N )     100(100)  ACTIVE   0       0   
REMOTE  2      UP      FALSE(N )     100(100)  STANDBY  5305    6073

Peer 0 represents the local switch

Flags : V - Valid 
In dual-active recovery mode: No


Executing the command on VSS member switch role = VSS Standby, id = 2

RRP information for Instance 2

--------------------------------------------------------------------
Valid  Flags   Peer      Preferred  Reserved
               Count     Peer       Peer

--------------------------------------------------------------------
TRUE    V        1           1          1

Switch  Switch Status  Preempt       Priority  Role     Local   Remote
        Number         Oper(Conf)    Oper(Conf)         SID     SID
--------------------------------------------------------------------
LOCAL   2      UP      FALSE(N )     100(100)  STANDBY  0       0   
REMOTE  1      UP      FALSE(N )     100(100)  ACTIVE   6073    5305

Peer 0 represents the local switch

Flags : V - Valid 
In dual-active recovery mode: No

3. VSL ile ilgili bilgi almak için

Switch-01#show switch virtual link 

Executing the command on VSS member switch role = VSS Active, id = 1


VSL Status : UP
VSL Uptime : 20 hours, 0 minutes
VSL Control Link : Te1/1/15 
VSL Encryption : Configured Mode - Off, Operational Mode - Off


Executing the command on VSS member switch role = VSS Standby, id = 2


VSL Status : UP
VSL Uptime : 20 hours, 0 minutes
VSL Control Link : Te2/1/15 
VSL Encryption : Configured Mode - Off, Operational Mode - Off

4. VSL Port Channel ile ilgili bilgiyi görüntülemek için

Switch-01#sh switch virtual link port-channel

Executing the command on VSS member switch role = VSS Active, id = 1

Flags: D - down P - bundled in port-channel
I - stand-alone s - suspended
H - Hot-standby (LACP only)
R - Layer3 S - Layer2
U - in use N - not in use, no aggregation
f - failed to allocate aggregator

M - not in use, no aggregation due to minimum links not met
m - not in use, port not aggregated due to minimum links not met
u - unsuitable for bundling
d - default port

w - waiting to be aggregated

Group Port-channel Protocol Ports
------+-------------+-----------+-------------------
9 Po9(SU) - Te1/1/15(P) Te1/1/16(P)
10 Po10(SU) - Te2/1/15(P) Te2/1/16(P)

Executing the command on VSS member switch role = VSS Standby, id = 2

Flags: D - down P - bundled in port-channel
I - stand-alone s - suspended
H - Hot-standby (LACP only)
R - Layer3 S - Layer2
U - in use N - not in use, no aggregation
f - failed to allocate aggregator

M - not in use, no aggregation due to minimum links not met
m - not in use, port not aggregated due to minimum links not met
u - unsuitable for bundling
d - default port

w - waiting to be aggregated

Group Port-channel Protocol Ports
------+-------------+-----------+-------------------
9 Po9(SU) - Te1/1/15(P) Te1/1/16(P)
10 Po10(SU) - Te2/1/15(P) Te2/1/16(P)

5. Son olarak da redundancy(yedeklilik) durumunu  ve switchlerdeki IOS, config register parametrelerini görüntülemek için

Switch-01#show switch virtual redundancy 

Executing the command on VSS member switch role = VSS Active, id = 1


                  My Switch Id = 1
                Peer Switch Id = 2
        Last switchover reason = none
    Configured Redundancy Mode = Stateful Switchover
     Operating Redundancy Mode = Stateful Switchover

Switch 1 Slot 1 Processor Information :
-----------------------------------------------
        Current Software state = ACTIVE
                 Image Version = Cisco IOS Software, Catalyst 4500 L3 Switch Software (cat4500e-UNIVERSAL-M), Version 15.2(1)E3, RELEASE SOFTWARE (fc1)
Technical Support: http://www.cisco.com/techsupport
Copyright (c) 1986-2014 by Cisco Systems, Inc.
Compiled Mon 05-May-14 10:33 by prod_rel_team
                          BOOT = bootflash:cat4500e-universal.SPA.03.05.03.E.152-1.E3.bin,1;
        Configuration register = 0x2102
                  Fabric State = ACTIVE
           Control Plane State = ACTIVE

Switch 2 Slot 1 Processor Information :
-----------------------------------------------
        Current Software state = STANDBY HOT (switchover target)
                 Image Version = Cisco IOS Software, Catalyst 4500 L3 Switch Software (cat4500e-UNIVERSAL-M), Version 15.2(1)E3, RELEASE SOFTWARE (fc1)
Technical Support: http://www.cisco.com/techsupport
Copyright (c) 1986-2014 by Cisco Systems, Inc.
Compiled Mon 05-May-14 10:33 by prod_
                          BOOT = bootflash:cat4500e-universal.SPA.03.05.03.E.152-1.E3.bin,1;
        Configuration register = 0x2102
                  Fabric State = ACTIVE
           Control Plane State = STANDBY


Executing the command on VSS member switch role = VSS Standby, id = 2

show virtual switch redundancy is not supported on the standby

Kişisel Not: 4500X serisi switchler 4500-E ve 6500 serisi ürünlere göre daha yeni olduğundan eski IOS’larında sıkca bug’a rastlayabilirsiniz. Bu ürünlerde mümkün olduğunda güncel firmware kullanmak faydanıza olacaktır.

Detaylı bilgi için 6500 serisi switchlerdeki Sıklıkla Sorulan Sorular kısmını inceleyebilirsiniz.

HP v1910 Full CLI Mode

HP switch ürün aileleri temel anlamda Procurve(E serisi) ve H3C(A serisi)’den gelen switchlerden oluşmaktadır. Bu scalada en basit desktop tarzı switchten omurga şase switchlere kadar bir çok segmentte çözümler sunmaktadır. HP v1910 da giriş seviyesi diyebileceğimiz, çok yüksek performans sunmayıp basit switch ihtiyacını karşılayacak bir üründür.

Bu ürün normalde ağırlıklı olarak web based yani web üzerinden yönetilecek şekilde tasarlanmış ve kullanılmaktadır. Telnet/SSH veya konsol bağlantısı yapıldığında konfigürasyona yönelik çok fazla önerisi bulunmamaktadır. Fakat ben CLI adamıyım diyenler için de yazılacak özel bir kaç komutla cihaz aynı üst seviye abi’leri CLI ‘dan yönetime izin vermektedir.

Öncelikle cihazımıza telnet veya SSH ile bağlanmak için ilgili protokollere izin verilip verilmediğini kontrol ediyoruz. Eğer erişim kapalı ise bağlantı kurmak istediğimiz protokole izin veriyoruz.

hp1910_cli0

Sonra cihaza telnet ile bağlanarak username/password yazıp login oluyoruz.hp1910_cli

Sonra _cmdline-mode on yazarak full erişime geçmeye çalışıyoruz.hp1910_cli2

Çıkan soruya Y olarak yanıt veriyoruz.hp1910_cli3

Password yerine de 512900 yazıyoruz (Varsayılan password).hp1910_cli4

Artık cihazımın CLI arayüzünü kullanarak konfigürasyon yapabiliriz. Altta konfig modda yapılabilecekler bulunmaktadır:

[HPv1910]?
System view commands:
  aaa                      Specify AAA configuration
  acl                      Specify acl configuration information
  archive                  Specify archive settings
  arp                      Specify ARP configuration information 
  bootrom-update           bootrom update
  clock                    Specify the system clock
  cluster                  Specify cluster configuration information
  command-privilege        Specify the command level 
  configuration            Specify configuration settings
  copyright-info           Copyright information configuration
  cut                      Cut connection
  delete                   Delete function
  dhcp                     DHCP configuration subcommands 
  dhcp-snooping            DHCP Snooping
  display                  Display current system information
  domain                   Add domain or modify domain attributes
  dot1x                    Specify 802.1X configuration information 
  execute                  Batch Command
  file                     Specify file system configuration information 
  ftp                      Specify FTP configuration information 
  gratuitous-arp-learning  Gratuitous Arp learning function 
  gratuitous-arp-sending   Sending gratuitous-arp packet when receiving 
                           different sub-network arp packet function 
  habp                     Specify HABP configuration information
  header                   Specify the login banner 
  hotkey                   Specify hotkey configuration information 
  igmp-snooping            IGMP snooping
  info-center              Specify information center configuration information
  interface                Specify the interface configuration view 
  ip                       Specify IP configurations for the system
  job                      Schedule a system task
  jumboframe               Jumboframe command
  lacp                     Configure LACP Protocol
  lldp                     Link Layer Discovery Protocol(802.1ab) 
  local-user               Specify local user configuration information
  logfile                  Specify log file configuration
  loopback-detection       Detect if loopback exists
  mac-address              Configure MAC address
  mirroring-group          Specify mirroring-group
  multicast-vlan           Multicast VLAN
  ndp                      Neighbor discovery protocol
  ntdp                     Specify NTDP configuration information
  ntp-service              Specify NTP(Network Time Protocol) configuration 
                           information
  ping                     Ping function 
  pki                      Specify PKI module configuration information
  port-group               Port group 
  public-key               Specify public-key module configuration information
  qos                      Command of QoS(Quality of Service)
  quit                     Exit from current command view
  radius                   Specify RADIUS configuration information
  return                   Exit to User View 
  rmon                     Specify RMON
  save                     Save current configuration
  sftp                     Specify SFTP service attribute
  snmp-agent               Specify SNMP(Simple Network Management Protocol) 
                           configuration information
  ssh                      Specify SSH (secure shell) configuration information
  ssl                      Specify SSL (Secure Socket Layer) configuration 
                           information
  stack                    Switch stack system
  storm-constrain          Port storm-constrain
  stp                      Spanning tree protocol
  super                    Modify super password parameters
  sysname                  Specify the host name 
  system-failure           System failure handling method 
  system-guard             System guard function 
  tcp                      Specify TCP(Transmission Control Protocol) 
                           configuration information 
  telnet                   Specify TELNET configuration information
  temperature-limit        Set temperature limit
  tftp                     Specify TFTP configuration information
  tftp-server              TFTP Server 
  time-range               Specify time-range configuration information
  tracert                  Trace route function 
  traffic                  Specify traffic configuration information
  undo                     Cancel current setting
  user-group               Specify user group configuration information
  user-interface           Configure the user terminal interface 
  vlan                     Configure VLAN
  voice                    Specify voice VLAN
  web                      Web configuration

Windows 7 & 8 ‘in NTP Server Olarak Kullanılması

NTP (Network Time Protocol) ün kısaltmasıdır. Türkçesi Ağ Zaman Protokolü’dür. NTP, değişken gecikmeye sahip paket anahtarlamalı ağlar üzerindeki bilgisayarların saatlerinin eş zamanlanmasının sağlanması için kullanılan bir protokoldür. Protokol, jitter buffer kullanımı sayesinde özellikle değişken gecikmenin etkilerine karşı dirençli olacak şekilde tasarımlanmıştır.

NTP, hala kullanılan en eski  internet protokollerinden birisidir(1985’den beri).

NTP, UDP 123 no’lu port üzerinden çalışır.

Hemen hemen bütün network cihazları üzerinde NTP desteği olabileceği  ve kullanılabileceği gibi bizim için UC (unified communications) işlerinde zorunluluktur. Haberleşmenin temeli zaman senkronizasyonuna dayandığından ses konularında NTP göz ardı edilemez bir parametre olmuştur. Konu sadece sesin olduğu ortamda ortak zaman parametresinin olması ve takibi değil bazı özelliklerin çalışması için de olmazsa olmazdır.

Örneğin cucm (call manager) kurulumu yaparken geçerli bir NTP server veremez ve cihazın zaman senkronizasyonunu bu cihaz üzerinden yapamaz isek kurulumu sürdüremeyiz.

Her zaman üzerinde ntp server koşan bir sunucu bulmamız kolay olmadığından bu yazımızda windows 7 veya 8 işletim sistemine sahip bilgisayarımızı nasıl NTP server yapabileceğimizi konuşacağız.

Öncelikle bilgisayarımızda windows + R tuşuna basarak veya çalıştır kısmına “regedit” yazarak kayıt defterini açıyoruz.

wind7_8_ntp_server1

Sonrasında aşağıdaki adımları takip ediyor ve belirtilen yerlerdeki değişiklikleri yapıyoruz.

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NTPServer\Enabled
‘Enabled’  yazan flag’in içerisine girerek 1’i seçiyoruz.

wind7_8_ntp_server2

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters\Type
Type’ı NTP olarak seçiyoruz.

wind7_8_ntp_server3

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config\AnnounceFlags
‘Announce Flags’ kısmını daha güvenilir bir zaman kaynağı göstermesi için 5 olarak değiştiriyoruz.

wind7_8_ntp_server4

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config\LocalClockDispersion
‘LocalClockDispersion’ kısmını “0”(sıfır) olarak değiştiriyoruz.

wind7_8_ntp_server5

Bütün hepsini yaptıktan sonra windows time protokolünü stop/start yapıyoruz.

wind7_8_ntp_server6

Son olarak servislere girip W32Time servisinin çalıştığını gördükten sonra startup type: Automatic olarak değiştirerek windows makinemizi ntp server olarak ayarlamış oluyoruz.

wind7_8_ntp_server7

Sonrasında ister call manager, voice gateway ister router/switch/firewall için NTP sunucusu yerine windows makinemizi kullanabiliriz.

Uyarı: Makine üzerinde windows firewall kapalı olmalı veya NTP sunucunun düzgün çalışması için UDP 123 portunun açılması gerekir.