Networking
Cisco WLC, LAP and option 43
26/06/10
It’s possible to provision WLC ip address to
Cisco LAPs via DHCP option 43.
Since some documentation isn’t very clear I put here a quick note:
option 43 hex f108c0a80a05c0a80a14
The string must begin whith “f1”. Next two digits are the number of following bytes, 4 bytes for each IP address of WLC.
1 WLC = 04
2 WLCs = 08
3 WLCs = 0c --> decimal 12 converted in hex
Next 4, 8 or 12 bytes are the IP addresses of WLCs in hex.
Remember: 2 hex digits are 8 bits or 1 byte, one IP address is 32 bits or 4 bytes or 8 hex digits.
So if we have 2 controllers with IP 10.0.0.1 and IP 10.0.0.11 the correct configuration inside the scope is:
option 43 hex f1080a0000010a00000b
HERE the link to full document from Cisco website
HTH
Since some documentation isn’t very clear I put here a quick note:
option 43 hex f108c0a80a05c0a80a14
The string must begin whith “f1”. Next two digits are the number of following bytes, 4 bytes for each IP address of WLC.
1 WLC = 04
2 WLCs = 08
3 WLCs = 0c --> decimal 12 converted in hex
Next 4, 8 or 12 bytes are the IP addresses of WLCs in hex.
Remember: 2 hex digits are 8 bits or 1 byte, one IP address is 32 bits or 4 bytes or 8 hex digits.
So if we have 2 controllers with IP 10.0.0.1 and IP 10.0.0.11 the correct configuration inside the scope is:
option 43 hex f1080a0000010a00000b
HERE the link to full document from Cisco website
HTH
Cisco call manager, the birth
12/01/10
SAN
JOSE, Calif. -- October 14, 1998 -- Cisco Systems,
Inc. today announced it has signed a definitive
agreement to acquire privately-held Selsius Systems,
Inc. of Dallas, Texas. Selsius is a leading supplier
of network PBX systems for high-quality telephony
over IP networks.
LINK
More infos on Wikipedia
LINK
More infos on Wikipedia
This Computer Gave Birth to the Internet
28/11/09
This Computer Gave Birth to the Internet
The first Internet connection, with UCLA's Leonard Kleinrock
More videos HERE
netcat
16/09/09
Netcat is a featured networking utility which reads
and writes data across network connections, using the
TCP/IP protocol.
LINK
L'ho usato per realizzare dei semplici script che eseguono usa serie di comandi su router/switch. La sintassi è molto semplice, es.
nc.exe < script.txt >> nclog.txt
dove
script.txt
contiene i comandi da eseguire e
nclog.txt
contiene l'output della sessione.
Il prossimo passo sarà l'uso di expect per realizzare script un po' più intelligenti.
LINK
L'ho usato per realizzare dei semplici script che eseguono usa serie di comandi su router/switch. La sintassi è molto semplice, es.
nc.exe < script.txt >> nclog.txt
dove
script.txt
contiene i comandi da eseguire e
nclog.txt
contiene l'output della sessione.
Il prossimo passo sarà l'uso di expect per realizzare script un po' più intelligenti.
Calence NOC
15/08/09
Insight Networking, azienda
americana di tutto rispetto (more
than 5,300 professionals worldwide, 44
nationwide markets and 530+ Cisco
certifications, including 30 CCIEs), ci
delizia con una foto a 360° del loro NOC.
QoS reminders
29/04/09
Tra tanti acronimi e codici vari non sempre riesco a memorizzare tutto e quindi cerco scorciatoie come il classico “come quando fuori piove”. Per il QoS invece è il router che ci viene incontro, suggerendo i valori di PHB, DSCP e precedence:
router(config)#class-map test
router(config-cmap)#match ip dscp ?
<0-63> Differentiated services codepoint value
af11 Match packets with AF11 dscp (001010)
af12 Match packets with AF12 dscp (001100)
af13 Match packets with AF13 dscp (001110)
af21 Match packets with AF21 dscp (010010)
af22 Match packets with AF22 dscp (010100)
af23 Match packets with AF23 dscp (010110)
af31 Match packets with AF31 dscp (011010)
af32 Match packets with AF32 dscp (011100)
af33 Match packets with AF33 dscp (011110)
af41 Match packets with AF41 dscp (100010)
af42 Match packets with AF42 dscp (100100)
af43 Match packets with AF43 dscp (100110)
cs1 Match packets with CS1(precedence 1) dscp (001000)
cs2 Match packets with CS2(precedence 2) dscp (010000)
cs3 Match packets with CS3(precedence 3) dscp (011000)
cs4 Match packets with CS4(precedence 4) dscp (100000)
cs5 Match packets with CS5(precedence 5) dscp (101000)
cs6 Match packets with CS6(precedence 6) dscp (110000)
cs7 Match packets with CS7(precedence 7) dscp (111000)
default Match packets with default dscp (000000)
ef Match packets with EF dscp (101110)
router(config-cmap)#match ip precedence ?
<0-7> Enter up to 4 precedence values separated by white-spaces
critical Match packets with critical precedence (5)
flash Match packets with flash precedence (3)
flash-override Match packets with flash override precedence (4)
immediate Match packets with immediate precedence (2)
internet Match packets with internetwork control precedence (6)
network Match packets with network control precedence (7)
priority Match packets with priority precedence (1)
routine Match packets with routine precedence (0)
Seminari Cisco free
20/04/09
Il ciclo di seminari "Zoom In", dedicato ai Partner Cisco che operano nell'ambito della Piccola e Media Impresa, ha l'obiettivo di illustrare le principali tecnologie che Cisco ha realizzato proprio per il mercato in cui questi partner operano quotidianamente.
LINK
Internet a 160Mbps per 45€/mese?
12/04/09
Certo, ma in
Giappone!
J:COM NET
(Fonte: TheNewYorkTimes)
Lo stesso provider offre anche un servizio di allarme per terremoti in arrivo: J:COM Earthquake Alert Service.
J:COM NET
(Fonte: TheNewYorkTimes)
Lo stesso provider offre anche un servizio di allarme per terremoti in arrivo: J:COM Earthquake Alert Service.
Ekahau HeatMapper
29/03/09
Ekahau HeatMapper
The Free Wi-Fi Coverage Mapping / Site Survey Tool
Ekahau rilascia grauitamente HeatMapper, un semplice ma utile tool per fare mini-survey WiFi e verifiche di copertura.
The Free Wi-Fi Coverage Mapping / Site Survey Tool
Ekahau rilascia grauitamente HeatMapper, un semplice ma utile tool per fare mini-survey WiFi e verifiche di copertura.
Open source router
21/02/09
Vyatta beats out Cisco, Juniper
for New Mexico win
Al di là dei meriti tecnici, dai commenti del forum mi pare salti fuori la solita diatriba: meglio un’appliance dedicata o un Linux che fa un po’ di tutto?
E’ indubbio che Linux possa ruotare, nattare, filtrare, ispezionare pacchetti ip, può fare routing (Quagga) etc., riporto un link che avevo già postato tempo fa: FUBRA: We think this could be a world's first: Forget Cisco or Juniper, yesterday we hooked up two Mac Mini boxes running Quagga in to the London INternet eXchange (LINX) to act as BGP border routers for the Fubra Network.
Al di là dei meriti tecnici, dai commenti del forum mi pare salti fuori la solita diatriba: meglio un’appliance dedicata o un Linux che fa un po’ di tutto?
E’ indubbio che Linux possa ruotare, nattare, filtrare, ispezionare pacchetti ip, può fare routing (Quagga) etc., riporto un link che avevo già postato tempo fa: FUBRA: We think this could be a world's first: Forget Cisco or Juniper, yesterday we hooked up two Mac Mini boxes running Quagga in to the London INternet eXchange (LINX) to act as BGP border routers for the Fubra Network.
onNetworking videos
08/10/08
Direttamente da informIT un sacco di video interessanti e scaricabili sul networking: LINK
OnNetworking (Audio + Video)
Conversations & tips from leading technologists and best-selling authors across a wide range of Networking disciplines: Certification, Administration, VOIP, Security, Architecture, & Support. Learn from experts working in every part of the industry.
MacMini as a router?
20/09/08
Vedere due MacMini che fanno da border router BGP non è certo cosa di tutti i giorni! E non in un lab casalingo ma al LINX! Impressive!
I due switch sotto invece son degli HP1800-24G, non certo dei prodotti di punta.
MIB Browser
17/09/08
Un ottimo MIB browser, disponibile in versione free ma solo per personal use, no commercial o professional: iReasoning MIB Browser
Ci vorrebbe qualcosa di simile però con licenza GPL o simile, senza limitazioni di uso, suggerimenti?
Zeroshell: syslog e 802.1x
07/09/08
Rainy Sunday, giorno di test:
1) installazione di una virtual machine Zeroshell su VMware Fusion
Operazione facile, configurato un ip dalla console e il resto si configura via web.
2) Configurazione syslog server: nella sezione System/Logs abilitare i remote logs:
3) su router e access point impostare l’ip del
server Zeroshell come syslog
4) Abilitazione autenticazione 802.1x Wireless per il
WiFi
a) creazione di un nuovo SSID con 802.1x PEAP
b) abilitazione del server radius di zeroshell nella
sezione Users/Radius, poi nella sezione Users/Users
creare gli utenti
c) nella sezione Radius/Access Points aggiungere IP e
shared secret per consentire all’AP di
comunicare col Radius Zeroshell
d) impostare l’ip di zeroshell come radius
dell’access point e il relativo shared secret
(varia a seconda dell’AP)
TEST FUNZIONAMENTO
iBook: autenticato al primo tentativo, quando si
accede al wiifi 802.1x domanda le credenziali,
vengono accettati username/password inseriti in
zeroshell
iPhone: funziona
WindowsXP: dopo aver scovato il sotto-sotto menù
annidato che consente di inviare delle credenziali
diverese da quelle di dominio... funziona configurato
così:
NOTE
Nè su Zeroshell nè sull’Access point è presente
una maschera dove forzare il logoff di un utente già
connesso.
ULTERIORI TEST
1) auto VLAN assignment per user:
2) Active Directory Synchronitazion (sarà disponibile
nelle future release di Zeroshell):
Riferimenti:
zeroshell
VMware Fusion
802.1x
PEAP
Managing Is Easy Compared to Technical Life
04/09/08
Cheatsheet
01/09/08
Niente a che vedere col barare negli esami, questi cheatsheet possono essere un aiuto in più per memorizzare sintassi e comandi su vari argomenti: LINK sul blog di PacketLife.
Ping Sweep
19/07/08
Interessante questa funzione avanzata del PING sui router Cisco:
Sweep range of sizes [n]:
Allows you to vary the sizes of the echo packets that are sent. This is used to determine the minimum sizes of the MTUs configured on the nodes along the path to the destination address. Performance problems caused by packet fragmentation is thus reduced. The default is no.
GRE over IPSEC o IPSEC over GRE?
12/06/08
Update: questo post è stato pubblicato nella sezione
Docs di AreaNetworking
QUI.
Ultimamente mi capita spesso di realizzare VPN con IOS, PIX o ASA. I primi tempi usavo il Wizard, poi son passato a configurare le varie componenti dall’interfaccia grafica, ultimamente uso spesso la command line, indispensabile sopratutto per il troubleshooting.
Tra i vari tipi di VPN non mi era ancora capitato di dover applicare la GRE over IPSEC. Parlando con colleghi alcuni mi correggevano: "Non GRE over IPSec ma IPSec over GRE".
Siccome l’argomento mi interessa e sono in fase di implementazione, ho ben pensato di farmi un piccolo lab per chiarire un po’ la questione:
Alla "nuvola" C4 ho collegato la ethernet dell’iMac che a sua volta collega un portatile usato per le prove.
Questa la configurazione IP dei due router:
R3#sh ip inte brief
Interface IP-Address OK? Method Status Protocol
FastEthernet0/0 10.2.0.2 YES manual up up
Loopback1 10.3.0.1 YES manual up up
Tunnel0 10.50.0.2 YES manual up up
R4#sh ip inte brief
Interface IP-Address OK? Method Status Protocol
FastEthernet0/0 10.1.0.220 YES manual up up
FastEthernet1/0 10.2.0.1 YES manual up up
Tunnel0 10.50.0.1 YES manual up up
E questa la configurazione dei tunnel:
R4#sh run inte tun 0
interface Tunnel0
ip address 10.50.0.1 255.255.255.0
tunnel source FastEthernet1/0
tunnel destination 10.2.0.2
crypto map vpn
end
R3#sh run inte tun 0
interface Tunnel0
ip address 10.50.0.2 255.255.255.0
tunnel source FastEthernet0/0
tunnel destination 10.2.0.1
crypto map vpn
end
Ometto i vari passaggi di configurazione di isakmp, tunnel-group, crypto map ecc. dato che sono facili e ben documentati in QUESTA guida sul sito Cisco.
Ora, la questione è... GRE over IPSEC o IPSEC over GRE, quindi qual è il pacchetto che effettivamente arriva dall'altra parte e chi viene incapsulato?
Innanzitutto una semplice prova: sul router R3 creo una access-list:
R3#sh ip access-lists 150
Extended IP access list 150
10 permit esp host 10.2.0.1 host 10.2.0.2 (890 matches)
20 permit udp host 10.2.0.1 host 10.2.0.2 eq isakmp (15 matches)
30 permit gre host 10.2.0.1 host 10.2.0.2
ed ecco la risposta, nessun match per il traffico GRE. Creo una access-list speculare su R4:
R4#sh ip access-lists 150
Extended IP access list 150
10 permit gre host 10.2.0.2 host 10.2.0.1
20 permit udp host 10.2.0.2 host 10.2.0.1 eq isakmp (30 matches)
30 permit esp host 10.2.0.2 host 10.2.0.1 (70 matches)
Provo a resettare la VPN con un "clear crypto session" e ancora, niente GRE, solo traffico ESP e UDP/isakmp.
Svelato l'arcano!
Al di là della prova empirica, ci si può arrivare anche per deduzione: il pacchetto GRE incapsula di tutto, unicast, multicast, etc mentre il pacchetto IPSEC in questo caso incapsula solo il GRE come specificato nella crypto map:
R4#sh crypto map
Crypto Map "vpn" 10 ipsec-isakmp
Peer = 10.2.0.2
Extended IP access list 100
access-list 100 permit gre host 10.2.0.1 host 10.2.0.2
Current peer: 10.2.0.2
Security association lifetime: 4608000 kilobytes/3600 seconds
PFS (Y/N): N
Transform sets={
strong,
}
Interfaces using crypto map vpn:
Tunnel0
FastEthernet1/0
Ultimamente mi capita spesso di realizzare VPN con IOS, PIX o ASA. I primi tempi usavo il Wizard, poi son passato a configurare le varie componenti dall’interfaccia grafica, ultimamente uso spesso la command line, indispensabile sopratutto per il troubleshooting.
Tra i vari tipi di VPN non mi era ancora capitato di dover applicare la GRE over IPSEC. Parlando con colleghi alcuni mi correggevano: "Non GRE over IPSec ma IPSec over GRE".
Siccome l’argomento mi interessa e sono in fase di implementazione, ho ben pensato di farmi un piccolo lab per chiarire un po’ la questione:
Alla "nuvola" C4 ho collegato la ethernet dell’iMac che a sua volta collega un portatile usato per le prove.
Questa la configurazione IP dei due router:
R3#sh ip inte brief
Interface IP-Address OK? Method Status Protocol
FastEthernet0/0 10.2.0.2 YES manual up up
Loopback1 10.3.0.1 YES manual up up
Tunnel0 10.50.0.2 YES manual up up
R4#sh ip inte brief
Interface IP-Address OK? Method Status Protocol
FastEthernet0/0 10.1.0.220 YES manual up up
FastEthernet1/0 10.2.0.1 YES manual up up
Tunnel0 10.50.0.1 YES manual up up
E questa la configurazione dei tunnel:
R4#sh run inte tun 0
interface Tunnel0
ip address 10.50.0.1 255.255.255.0
tunnel source FastEthernet1/0
tunnel destination 10.2.0.2
crypto map vpn
end
R3#sh run inte tun 0
interface Tunnel0
ip address 10.50.0.2 255.255.255.0
tunnel source FastEthernet0/0
tunnel destination 10.2.0.1
crypto map vpn
end
Ometto i vari passaggi di configurazione di isakmp, tunnel-group, crypto map ecc. dato che sono facili e ben documentati in QUESTA guida sul sito Cisco.
Ora, la questione è... GRE over IPSEC o IPSEC over GRE, quindi qual è il pacchetto che effettivamente arriva dall'altra parte e chi viene incapsulato?
Innanzitutto una semplice prova: sul router R3 creo una access-list:
R3#sh ip access-lists 150
Extended IP access list 150
10 permit esp host 10.2.0.1 host 10.2.0.2 (890 matches)
20 permit udp host 10.2.0.1 host 10.2.0.2 eq isakmp (15 matches)
30 permit gre host 10.2.0.1 host 10.2.0.2
ed ecco la risposta, nessun match per il traffico GRE. Creo una access-list speculare su R4:
R4#sh ip access-lists 150
Extended IP access list 150
10 permit gre host 10.2.0.2 host 10.2.0.1
20 permit udp host 10.2.0.2 host 10.2.0.1 eq isakmp (30 matches)
30 permit esp host 10.2.0.2 host 10.2.0.1 (70 matches)
Provo a resettare la VPN con un "clear crypto session" e ancora, niente GRE, solo traffico ESP e UDP/isakmp.
Svelato l'arcano!
Al di là della prova empirica, ci si può arrivare anche per deduzione: il pacchetto GRE incapsula di tutto, unicast, multicast, etc mentre il pacchetto IPSEC in questo caso incapsula solo il GRE come specificato nella crypto map:
R4#sh crypto map
Crypto Map "vpn" 10 ipsec-isakmp
Peer = 10.2.0.2
Extended IP access list 100
access-list 100 permit gre host 10.2.0.1 host 10.2.0.2
Current peer: 10.2.0.2
Security association lifetime: 4608000 kilobytes/3600 seconds
PFS (Y/N): N
Transform sets={
strong,
}
Interfaces using crypto map vpn:
Tunnel0
FastEthernet1/0
RFC 1925 - The Twelve Networking Truths
22/03/08
The truths described in this memo result from extensive study over an
extended period of time by many people, some of whom did not intend
to contribute to this work. The editor merely has collected these
truths, and would like to thank the networking community for
originally illuminating these truths.
LINK
TFTPD32
20/09/07
Ci sono molti tools utilissimi per chi lavora nel'ambito del networking; in genere li scopro tramite passaparola di amici/colleghi o tramite i blogs tipo BrokenPipes di Himawan e CiscoBlog del mitico Jeremy Cioara. Mi son ripromesso più volte di creare una pagina sul mio sito coi migliori tools, non tanto per un servizio di "pubblica utilità" quanto come riferimento personale quando cambio lavoro o computer (cose che di solito coincidono come 3 settimane fa). Facendola breve, come dice il titolo, segnalo TFTPD32: Tftpd32 includes DHCP, TFTP, SNTP and Syslog servers as well as a TFTP client.
D-Link DNS-323 - update
22/08/07
La prova: trasferimento di un unico grosso file da 30GB con robocopy da WinXP, per evitare che i tempi di accesso al disco influiscano sulle prestazioni di rete. ...Il risultato: la velocità massima di trasferimento è di 12,5MByte/s.... La velocità di 12,5MB/s è esattamente il massimo raggiungibile da un rete 100Mbit: ...Siccome portatile, switch e DNS-323 negoziano tutti a 1000Mbit ne risulta che il traferimento avviene esattamente al 10% della velocità massima, un po' scarso come prestazioni.
Triple CCIE
18/08/07
Complimentoni a Himawan Nugroho che è diventato triple CCIE! Il suo blog è una fonte di ispirazione per chi come me si impegna nello studio delle certificazioni Cisco.
Britain 'failing' net speed tests
05/08/07
"It is shocking that internet service providers can advertise ever-increasing speeds that seem to bear little resemblance to what most people can achieve in reality," said which.co.uk editor Malcolm Coles. "If it's unlikely that you'll reach the advertised speed it should be made clear up front, so that you know with some certainty what you're buying," he added.
Troubleshooting today: double VLAN tagging
16/07/07
Problema: l'EMC Celerra non si pinga nè dallo switch nè dal firewall, che è anche il gateway. Contesto: rete con switch HP 3500 e 2600, varie Vlan e trunks configurati. Soluzione: il Celerra era configurato per taggare i pacchetti ma anche la porta dello switch perciò i pacchetti uscivano col doppio vlan tag. Lezione imparata: il sistemista EMC ed il sistemista di rete dovrebbero parlarsi prima di agire.
OpenVPN server on OpenWRT
15/07/07
Per accedere da Internet ai computer di casa ho installato OpenVPN sul router OpenWRT. I passaggi son ben descritti sul forum di OpenWRT. Un bel client OpenVPN per MAC è TunnelBlik. L'idea sarebbe quella di installare OpenVPN anche sui PC di amici/parenti per supporto tecnico remotizzato via VNC dentro il tunnel VPN.
2 Laws of Desperate Workers
04/04/07
Law 1: To get a better job, you need to have good experience and build good working experience profile
Law 2: In order to get good experience and build good working experience profile, you need to work in a better job
LINK