Standard-ACLs

Wie oft wird dieser Mist eigentlich noch verbreitet?

Question: Where should you place standard ACLs in the Network?
Answer: Standard ACLs should be placed as close as possible to the destination to prevent unintended traffic from filtering to your other networks.

Standard-ACLs werden nicht zum Filtern von Traffic verwendet! Dazu sind die extended Access-Listen da. Standard-ACLs haben ihre Daseinsberechtigung z.B. im Filtern von Routing-Updates, für Access-Classes, etc. Aber leider ist die Original-Aussage in diversen Cisco-Trainings zu finden und wird auch genauso oft nachgeplappert (leider auch von Leuten, die es besser wissen sollten).

Standard-ACLs

IPX hat gewonnen!

Naja, zumindest in der Art und Weise Netzwerk-IDs zu konfigurieren finden wir die alte HEX-Notation bei IPv6 ja auch wieder. Es ist also an der Zeit, sich an die ganzen “sprechenden” Netzwerk-IDs aus den Buchstaben A, B, C, D, E, F und der Zahl 0 (wie “o”) zu erinnern, die man früher gerne verwendet hat.

Da wären z.B.:

ADAC, AFFE, BABE, BEBE, BEEF, B00B, CAFE, C0DE, DEAD, D00F, EFFE, FACE, FEED, FEFE, F00D

Mehr fällt mir beim besten Willen nicht mehr ein … Wer kennt noch weitere sprechende Namen?

P.S. Nein, ein “Best Practice” soll das hier nicht werden. Ein sinnvoller Adressplan ist diesen Namen sicher vorzuziehen.

IPX hat gewonnen!

Konfiguration eines DNS-Servers im Cisco IOS

In meinem Heim-Netz stehen im Moment ein paar Änderungen an, um einen PC-Server mit seinen diversen Diensten abzulösen. Der erste Schritt war die Migration des DHCP-Servers auf einen Catalyst 3560. Über den DHCP-Server im IOS bzw. der ASA wurde aber vermutlich schon genug geschrieben.

Der nächste Schritt ist die Migration des Windows 2003 DNS-Servers auf meinen Internet-Router (im Moment ein Cisco 1841 mit IOS AdvSec. 12.4(20)T). Im IOS ist ein fast vollwertiger DNS-Server enthalten, dessen Konfiguration dem eines “richtigen” DNS-Servers sehr ähnlich ist. Alles was man in dem hervorragenden Buch “DNS and BIND” gelernt hat, bleibt auch hier gültig. Einschränkungen sind, daß man im IOS keinen Zonentransfer machen kann, was für ein Heim-Netz aber verschmerzbar ist. Weiterhin funktionieren die Reverse-Lookup-Zonen nicht, das vermisse ich schon mehr.

Eine kleine Basis-Konfiguration (der IOS DNS-Server kann noch deutlich mehr):

Als erstes wird die Zone definiert:

ip dns primary domain-name soa primary-server-name mailbox-name 
     [refresh-interval [retry-interval [expire-ttl [minimum-ttl]]]]

Im einfachsten Fall ist das also ein

gw(config)#ip dns primary example.com soa ns.example.com admin.example.com

Für die fehlenden Angaben werden vom Router automatisch Default-Werte eingetragen:

gw(config)#do sh run | i ip dns
ip dns server
ip dns primary example.com soa ns.example.com admin.example.com 21600 900 7776000 86400

Die Zeile “ip dns server” wurde vom Router auch automatisch konfiguriert.

Als nächster Schritt wird dem Router noch ein eigener Domain-Name mitgegeben und die Ressourcen des Netzes werden definiert:

gw(config)#ip domain-name example.com
gw(config)#ip host gw.example.com 10.255.250.1
gw(config)#ip host server.example.com 10.255.255.10
gw(config)#ip host csamc.exampe.com 10.255.255.14
gw(config)#ip host c3560.exampe.com 10.255.255.1
gw(config)#ip host c2940.exampe.com 10.255.255.5

und so weiter und so fort. Ein Eintrag, der bei dem DNS-Server nicht zwingend ist, aber zu einer “sauberen” Konfiguration dazugehört, ist,

gw(config)#ip host example.com ns ns.example.com
gw(config)#ip host ns.example.com 10.255.250.1

Genau so können bei Bedarf MX- und SRV-Records eingetragen werden.

Wer in seinem Home-Netz redundante Server hat, kann natürlich auch mehrere Adressen für einen FQDN konfigurieren:

gw(config)#ip host www.example.com 10.255.255.11 10.255.255.12

Als letzte Konfiguration muss dafür gesorgt werden, daß der Router auch Anfragen für fremde Domains zu einem Upstream-DNS-Server weiterleiten kann. Ich benutze vor meinem 1841 eine Fritzbox als DSL-Router, daher reicht ein einfacher name-server-Eintrag:

gw(config)#ip name-server 192.168.178.1

Wenn der Router seine IP-Konfiguration per DHCP oder PPP bekommt, kann auch der gelernte DNS-Server verwendet werden:

interface Dialer1
 ip address negotiated
 encapsulation ppp
 ppp ipcp dns request

Überprüfen kann man die Konfiguration mit einem “show hosts”:

gw#sh hosts
Default domain is example.com
Name/address lookup uses domain service
Name servers are 192.168.178.1

Codes: UN - unknown, EX - expired, OK - OK, ?? - revalidate
temp - temporary, perm - permanent
NA - Not Applicable None - Not defined

Host                      Port  Flags      Age Type   Address(es)
example.com               NA    (perm, OK)  0  NS       ns.example.com
SOA      ns.example.com admin.example.com
0 21600 900 7776000 86400
gw.example.com            None  (perm, OK)  0   IP    10.255.250.1
server.example.com        None  (perm, OK)  0   IP    10.255.255.10
csamc.exampe.com          None  (perm, OK)  0   IP    10.255.255.14
c3560.exampe.com          None  (perm, OK)  0   IP    10.255.255.1
c2940.exampe.com          None  (perm, OK)  0   IP    10.255.255.5
ns.example.com            None  (perm, OK)  0   IP    10.255.250.1
www.example.com           None  (perm, OK)  0   IP    10.255.255.11
10.255.255.12
security-planet.de        None  (temp, OK)  0   IP    88.198.206.211
gw#

Der letzte Eintrag (security-planet.de) ist ein temporärer, den der Router über seinen Upstream-DNS aufgelöst hat.

Und hier komplett die relevante Konfiguration:

hostname gw
!
ip domain name example.com
ip host example.com ns ns.example.com
ip host gw.example.com 10.255.250.1
ip host server.example.com 10.255.255.10
ip host csamc.exampe.com 10.255.255.14
ip host c3560.exampe.com 10.255.255.1
ip host c2940.exampe.com 10.255.255.5
ip host ns.example.com 10.255.250.1
ip host www.example.com 10.255.255.11 10.255.255.12
ip name-server 192.168.178.1
!
ip dns server
ip dns primary example.com soa ns.example.com admin.example.com 21600 900 7776000 86400
Konfiguration eines DNS-Servers im Cisco IOS

CCIE Plaques

Anmerkung: Diesen Beitrag wollte ich eigentlich schon längst abgeschickt haben, wollte aber noch ein paar genauere Daten suchen. Der Beitrag “Thoroughly Disappointed” von Joe Harris erinnerte mich jetzt aber daran, ihn doch schon zu veröffentlichen:

Als 2005er CCIE habe ich ja leider nicht die schöne Holz-CCIE-Tafel mit der Medaille bekommen, wie sie z.B. auf der Webseite von Heinz Ulm zu bewundern ist. Man kann diese alten Tafeln zwar auch als “Jung-CCIE” in den Staaten bestellen, das habe ich bisher aber nicht getan. Meine ist aus Kunststoff, die aber auch ganz schick ist:

Jetzt habe ich aber im März meinen zweiten CCIE (R/S) gemacht und habe erwartet, daß ich das gleiche Modell nochmal bekomme, halt nur mit einem anderen Aufdruck. Aber diese CCIE-Tafel sieht schon wieder anders aus (die Farbe stimmt nicht ganz, sie ist mehr blau – evtl. sollte ich mich doch mehr mit dem Weissabgleich meiner Kamera beschäftigen):

Grund genug sich einmal umzuhören, von wann bis wann, die unterschiedlichen CCIE-Tafeln verwendet wurden:

Original aus Holz:

verwendet bis 13.03.2001, CCIE#7019

schwarz/silber Plastik-Modell:

verwendet ab 17.07.2001 (CCIE#7817)
verwendet bis 26.09.2006 (CCIE#16931)

blaues Plastik-Modell:

verwendet ab 21.5.2007 CCIE#17999

Wenn jemand genauere Daten hat, um das noch besser einzugrenzen, würde ich mich über eine Nachricht freuen.

Weiteres zu den Plaques:

  • Es gibt Gerüchte, dass es von der originalen Version kurzfristig auch eine “günstigere” gab. Dazu fehlen mir aber jegliche Informationen.
  • Am Ende der Phase mit der Original-Plaque wollte Cisco überhaupt keine Plaques mehr versenden, anstelle dessen sollten sie im CCIE-Store erwerbbar sein.
  • Beim Wechsel von der grau/anthrazit-farbenen auf die blaugrüne sind teilweise beide Plaques versendet worden.
CCIE Plaques

Skandal: DNSSEC hilft nicht gegen Hardware-Ausfälle

Es liest sich so, als wenn das manche Leute denken würden:

Gerne verweisen sie darauf, dass DNSSEC kein Allheilmittel für die Absicherung des DNS ist. “Nach allem, was wir wissen, wäre der jüngste Angriff auf Server der IANA und ICANN nicht durch DNSSEC verhindert worden, denn dabei wurden die Domains beim Registrar gekapert”, sagt Dittler. Verhindert werden könne eben nur eine Manipulation auf der Strecke, nicht an der Quelle selbst. Die Umleitung des Datenverkehrs von Youtube kürzlich wäre ebenfalls durch eine DNSSEC-Signatur nicht verhindert worden. “Das war ein reines Routing-Problem.” Auch gegen die Fälschung der BGP-Routen suchen die Experten gerade ein Mittel – dafür braucht es ein weiteres PKI-System, parallel zu DNSSEC.

Skandal: DNSSEC hilft nicht gegen Hardware-Ausfälle

QNAP TurboStation

Um meinen Server im Arbeitszimmer mittelfristig los zu werden, habe ich mir gerade ein NAS gekauft. Der Beschreibung und den diversen Bewertungen im Internet nach, sollte die QNAP TurboStation das perfekte Gerät für mich sein. Um erst einmal mit einem kleinen Gerät testen zu können, habe ich mich für die Version “TS-109 Pro II” entschieden, die Platz für eine interne Festplatte bietet.
Die ersten zwei Ernüchterungen kamen innerhalb der ersten Stunde:

  1. Das Gerät akzeptiert kein Admin-Password mit einem “$”:
  2. Die Entwickler der Weboberfläche wissen nicht, welche IP-Adressen erlaubt sind und welche nicht:

    Mit dem letzten Subnet einer “Klasse” habe ich in den letzten 10 Jahren keine Probleme mehr gehabt. Selbst mit Betriebssystemen, die nicht für eine saubere IP-Unterstützung bekannt waren… Und wenn die IP über das Windows-Konfigurationsprogramm gesetzt wird, dann klappt es auch mit meiner gewünschten IP.

Das fängt ja gut an … Ich berichte weiter, wenn es sich lohnt.

QNAP TurboStation

Cisco IOS 12.4(20)T

Auf dem Weg zum IOS 12.5 hat Cisco gerade ein neues T-Release herausgegeben. Die Liste der neuen Features ist wieder einmal mehrere Bildschirmseiten lang. Auf den ersten Blick fand ich folgende Sachen sehr interessant:

… und noch viel mehr. Da muss man sich mal wieder etliche Stunden im Lab einschließen!

Etliche Hardware, die man noch im Einsatz haben könnte, wird allerdings nicht mehr unterstützt. Z.B.

  • 1701, 1711, 1712, 1721, 1751, 1751-V, and 1760
  • 3725 and 3745

Update: Und das erste Problem ist auch schon da. Mit SecureCRT unter Windows kann ich mich nicht mehr auf den Router verbinden. Mit dem Linux-ssh geht es hingegen ohne Probleme. 😦 Die Tests gehen weiter …

Update 2:Wer mit Dynamips arbeitet muss für dieses Release den 7200er benutzen. Alle anderen von Dynamips simulierten Router werden nicht mehr von 12.4(20)T unterstützt.

Update 3: Ok, das mit SSH war easy. Um mit SecureCRT weiterhin auf einen 12.4(20)T-Router zugreifen zu können, muss man in den Session-Optionen unter SSH2 -> “Key exchange” einfach den Punkt “diffie-hellman-group14” aktivieren und ganz nach oben schieben. Dann kann man auf dem Router auch mit “ip ssh dh min size 2048” die minimale DH-Keysize (früher default 768 Bit) konfigurieren.

Cisco IOS 12.4(20)T

Rückblick: Cisco Networkers 2008 in Orlando, Florida

Nun ist sie vorbei (schon vor zwei Wochen), die diesjährige Networkers oder “Cisco Live”, wie sie inzwischen heißt, in den USA.

Nach zweimal Las Vegas und einmal Anaheim war ich dieses Mal in Orlando (Florida).
Ein paar Worte zu Orlando: In dieser Stadt regnet es jeden Tag mindestens einmal. Zumindest aber in den neun Tagen meines Aufenthaltes. Die Regentropfen sind riesengroß, aber zum Glück warm. Die gefühlte Luftfeuchtigkeit liegt, auch wenn es nicht regnet, bei ca. 150 Prozent. Da ist das Klima in Las Vegas doch irgendwie angenehmer (dort soll die Networkers 2010 und 2011 wieder stattfinden). Auch bei längerem Regen hat sich übrigens niemand genötigt gesehen, die Rasensprenger abzustellen. Einmal stand ein paar Meter weiter ein großes Schild, das zum Wasser sparen aufrief …
Weiterhin ist die einzige Daseinsberechtigung von Orlando, Familien mit Kindern Vergnügungsparks zur Verfügung zu stellen. Also letztendlich frei nach dem Motto: Mehr gibt es hier nicht zu sehen, bitte gehen Sie weiter …

Positiv ist mir im Vergleich zu Deutschland aber aufgefallen, dass niemand rumheult, weil in Restaurants und Kneipen nicht geraucht werden darf. Aber das nur am Rande.

Um besser mit dem Jet-Lag klar zu kommen, bin ich ein paar Tage früher angereist. Die erste Suche führte mich zu einem “Panera Bread“; das ist eine Bäckerei-Kette in der es fast so guten Kaffee wie bei Starbucks gibt, aber der Kuchen ist deutlich besser (nicht so süß) und es gibt dort richtiges Brot. Zum Glück war einer dieser Läden nur ca. 2km vom Hotel entfernt. Die nächsten Pflichtbesuche galten den Restaurants “Joe’s Crab Shack” und dem “Outback Steakhouse“. Mehr braucht man in den USA nicht, um zu Überleben.

Auf der Networkers habe ich dann Techtorials (Sessions über einen ganzen Tag) zu den Themen 802.1x und SIP gehört. Bei .1x kannte ich das meiste zwar schon, es gab aber einige gute Ideen zu dem Thema Fallback und einen Ausblick auf zukünftige Entwicklungen. SIP war ein ganzer Tag Protokoll-Analyse. Ein Thema so trocken wie Staub, aber von einem der Autoren diverser SIP-RFCs vorgetragen. Da blieb keine Frage offen. Puh. Die nächsten Tage waren wild gemischt mit den Themen HA, PKI, Routing, IPv6, etc.

Zwischen den Sessions war die World of Solutions (WOS, die Abkürzung gibt es bei uns in Deutschland doch auch …). Auf den Partnerständen konnte man sich über neue Produkte und Services informieren und “Free T-Shirts” abgreifen. Bei mir waren es dann eines von Global Knowledge, das offizielle Cisco Live-Shirt, eines vom neuen Cisco Learning Network und eines von Nokia. Das letzte gab es, weil ich auf die Frage, seit wann es die Rolling Stones gibt, am schnellsten richtig geantwortet habe. Moment, nur vier T-Shirts? Das ist ja ein Versagen auf der ganzen Linie! Ich schätze, dass echte Profis mit 10 bis 20 T-Shirts da rausgehen. Apropos T-Shirts: Bis auf das GK-Shirt haben alle eine sehr gute Qualität. Das GK-Shirt ist aus sehr dünnem Stoff, während die GK-Shirts der letzten Jahre von besserer Qualität waren.
Der Rest der Konferenz-Ausstattung ist auf diesem Bild zu sehen:

Nachdem die Tasche des letzten Jahres nicht sehr gut angekommen ist, hat Cisco eine Umfrage gestartet, was für eine Tasche verwendet werden soll. Gewonnen hat ein Rucksack, der auch als Umhängetasche getragen werden kann. Dieses Jahr gab es die Unterlagen auch nicht gedruckt, sondern auf einem 2GB USB-Stick. Als NetVet (das ist man, wenn man in den fünf Jahren vor dieser USA-Networkers dreimal teilgenommen hat) konnte man sich auch ein CiscoPress-Buch aussuchen. Ich habe “Network Security Technologies and Solutions” von Yusuf Bhaiji gewählt. Auf den ersten Blick sieht es sehr gut aus, mehr zu dem Buch kommt später in einem eigenen Beitrag.

Am Dienstag war die CCIE-Party:


Die fand in der “NASCAR Racing Grill Bar” in den Universal Studios Resort statt. Essen, Getränke und alle Daddelautomaten waren kostenlos. Das beste an der CCIE-Party war aber das Geschenk: Ein Bierkrug mit eingraviertem CCIE-Logo (oben auf dem Bild zu sehen). Einfach klasse!

Für den Customer Appreciation Event am Mittwoch hat Cisco das Universal Studios Resort gemietet.

Es gab zwei Shows der Blue Man Group und natürlich wieder Essen, Bier, 3D-Kino, etc. umsonst. Der Hut ist dieses Jahr nicht so spektakulär wie in den letzten zwei Jahren aber immer noch schick. Eines meiner Lieblingsmotive war natürlich auch wieder dabei:

Ein wenig Statistik (aus dem Kopf): Knapp 11.000 Teilnehmer, davon gut 750 CCIEs (IMHO relativ wenige) und 500 NetVets . Beim CCIE-NetVet-Mittagessen mit John Chambers waren ca. 180 Leute.
Apropos 11.000 Leute, die mussten natürlich auch irgendwie verpflegt werden:

Eine Erinnerung aus der John Chambers-Keynote war das neue Cisco-Motto (zumindest ich habe es das erste Mal gehört):

“The best in the world, the best for the world”

Über den ersten Teil kann man ja zumindest noch streiten. Immerhin spielt Cisco in fast jedem Bereich in der Oberliga mit. Und auch, wenn sie nicht immer die besten Produkte haben, findet man wenige Hersteller, die viel gutes aus einer Hand bieten. Bei dem zweiten Teil aber kann ich nur den Kopf schütteln. Wie sollen die Interessen einer kommerziell agierenden Firma das beste für die Welt sein? Ich schätze eher, dass sich die Interessen der Aktionäre kaum mit dem decken, was für diese Welt am besten wäre.

Letztes Jahr habe ich geschrieben, dass das Rahmenprogramm der 2007er Networkers schwer zu toppen sei. Und das hat Cisco in meinen Augen auch nicht geschafft. Die letzte Keynote mit dem Kolumnist/Comedian Ben Stein war zwar auch super, hatte aber nicht die Klasse von John Cleese im letzten Jahr.

Zum Rückflug: Was macht man, wenn die United … Halt, habe ich das nicht schon einmal geschrieben? Ja, vor einem halben Jahr saß ich beim Rückflug aus Raleigh auch am selben Gate (C1) in Washington und United hatte auch dieses Mal wieder keine Lust loszufliegen. Diesmal waren es aber “nur” 4 Stunden Verspätung …

Rückblick: Cisco Networkers 2008 in Orlando, Florida

Cisco VPN-Client mit Windows XP SP3

Beim neuen Einrichten meines Notebooks hatte ich Probleme, den Cisco VPN-Client zu installieren. Bei der Installation des virtuellen Adapters brach das Setup ab. Abhilfe schafft eine manuelle Neuinstallation des DNE (Deterministic Network Extender) wie es auf der DNE-Support-Seite beschrieben ist:

  1. Erstmal den alten VPN-Client deinstallieren, falls er noch auf dem System ist.
  2. Mit Winfix alle alten Teile des DNE entfernen.
  3. Installation des dneupdate-Paketes.
  4. Installation des Cisco VPN-Clients (bei mir läuf jetzt die Version 5.0.03.0560).
Cisco VPN-Client mit Windows XP SP3