Cisco Networkers 2010, Tag 2

Heute standen drei Sessions auf dem Programm:

1) Next-Generation Network Access Policy with Cisco ACS
Hier war die Arbeitsweise des ACS 5.x das Thema. Bei meinen Kunden habe ich bisher nur die 4.x-Versionen eingesetzt. Die neue Version wird komplett anders konfiguriert und verwaltet. Die Flexibilität macht aber klar, dass diese ACS-Version bei der nächsten Implementierung eingesetzt wird.
Nachdem gestern beim Techtorial alle gefroren haben (gefühlt ca. 10 Grad), gab es bei dieser Session das andere Extrem. Der Raum war völlig überhitzt und alle, die vom Vortag gelernt haben und in langer Hose und langem Hemd gekommen sind, haben geschwitzt. 😦 Ist halt schwer …

2) Incorporating Intelligent Access at the Campus Edge
Neue und erweiterte Protokolle bzw. Funktionen für die Userports wurden vorgestellt. POE+, das bis 30 Watt liefert, LLDP vs. CDP, EnergyWise, Neuerungen beim AutoQos sowie neue Smartport-Makros, die jetzt evtl. sogar benutzbar werden. Am Ende wurde “Smart Install” vorgestellt, mit der neue Switche automatisch im Netz mit der richtigen IOS-Version und Konfig bestückt werden können.

3) LISP – A Next Generation Networking Architecture
Das war die beste Session bisher. LISP bringt Erweiterungen, die hauptsächlich für multihomed-customers sinnvoll sind. Dabei wird die Identity (die IP des Endgerätes) von der Location (dem Anschluss an das ISP-Netz) getrennt. Eine extrem spannende Technologie, die aber noch nicht für den produktiven Einsatz verfügbar ist.

Und dann musste man aufpassen mit welchem WLAN man sich verbindet. Das ein oder andere würde das Budget doch etwas sprengen:

Abends war heute natürlich auch die “Welcome Reception” zur Eröffnung der World of Solutions. Das ist dann auch gleichzeitig der Tag, an dem einem von den Ausstellern die kostenlosen T-Shirts nur so aufgedrängt werden; ob man will, oder nicht.

Global Knowledge und Netapp


Splunk mit “Log, I’m your Father” und New Horizons


Das Solarwinds-Shirt ist nicht getragen, sondern war zu einer kleinen Flamme zusammengepresst; Fluke und Compuware

Das Cisco-Shirt gab es für die Teilnahme am Videoblog, von WhatsUpGold gab es eine Wasserflasche. Das Beste ist aber der “Pointy-haired Boss (PHB)”, der auf den Schreibtisch kommt. Ich weiß jetzt aber nicht mehr, welche Firma den verteilt hat …

Cisco Networkers 2010, Tag 2

Cisco Networkers 2010, Tag 0 und 1

Tag 0: Die Networkers ist gestartet. Gestern war nur Registrierung und man konnte seine Unterlagen abholen. Der Rucksack (unten auf dem Bild) macht einen qualitativ recht hochwertigen Eindruck. Auch wird wieder auf Einweg-Wasserflaschen verzichtet, man kann sich Wasser aus Spendern in die zugehörige Flasche abfüllen. Die Session-Unterlagen gab es dieses Mal auch wieder auf einem USB-Stick (ich wusste aber nicht, dass es überhaupt noch 2GB-Sticks gibt 😉 ), nachdem sie letztes Jahr nur online verfügbar waren. Das ist ganz praktisch, da kann man auf dem iPad bei Bedarf zurückblättern, wenn es vorne zu schnell geht.

Tag 1: Heute waren Techtorials. Ich habe mir das Thema “Unleashing the ASA” herausgesucht. Der Anfang war recht gut und einige Themen wurden behandelt, mit denen ich mich noch nicht beschäftigt habe. Leider ist die Session später etwas schlechter geworden, da wieder zu viele Basics behandelt wurden, die für eine “unleash”-Session eigentlich Voraussetzungen sein sollten. Egal, ein paar Ideen habe ich trotzdem mitgenommen.

Die WLAN-Versorgung war auch dieses Jahr wie immer am ersten Tag der Networkers. Sie funktionierte zumindest vormittags einfach nicht. Nachmittags wurde es dann etwas besser. Aber auch das kennt man ja schon. 🙂

Der CiscoLive 2010 Rucksack

Cisco Networkers 2010, Tag 0 und 1

Cisco Networkers 2010, Tag -4

Gestern am Mittwoch war die Anreise nach Las Vegas. Ich habe mich doch entschieden, nicht mit Continental und nur einem Zwischenstopp zu fliegen. Anstelle dessen habe ich (wie fast immer) wieder Lufthansa/United mit zwei Zwischenstops gebucht. Erster Stop war in München, der anschließende Flug nach Chicago hat mich dann zwar wieder nördlich von Hamburg vorbeigeführt, aber von Hamburg direkt gibt es halt nicht so viele Flugmöglichkeiten. Die Strecke verlief weiter über Island und Grönland. Eine Aschewolke ist mir dabei aber nicht aufgefallen. Das kann natürlich auch daran gelegen haben, daß ich mit dem Mittagessen beschäftigt war. Es gab Salat mit Lachs zur Vorspeise und hervorragend gegrillte Filetspitzen zur Hauptspeise. Dazu ein etwas zu süßer kalifornischer Rotwein. Im Gegensatz zu meinem Sitznachbarn habe ich aber nicht die Gelegenheit ergriffen, mit ca. 15 Cola/Jim Beam schnell die Bettschwere zu erreichen.
Eigentlich hatte ich wieder nur auf einen schönen Platz am Notausgang oder ein kostenloses Upgrade in die Economy Plus spekuliert, welches es für Lufthansa Statuskunden häufig gibt. Aber bei einer überbuchten Economy habe ich mich gegen das Business-Upgrade auch nicht gewehrt … 🙂

In Chicago gab es dann noch gute zwei Stunden Extra-Aufenthalt wegen eines heftigen (aber sehr schönen) Gewitters und nach 26 Stunden Gesamtreisezeit bin ich in Las Vegas angekommen. Da wäre ich mit Continental vermutlich doch besser geflogen.

Der Bericht wird weitergeführt, sobald die Networkers begonnen hat …

Cisco Networkers 2010, Tag -4

Cisco IOS: Per-Tunnel QoS für DMVPN

DMVPN ist eine der elegantesten VPN-Arten, wenn man eine größere Anzahl von Außenstellen hat, die über das Internet verbunden sind. Leider ist die Konfiguration von Quality of Service (QoS) hierbei leicht eingeschränkt. Vor einiger Zeit habe ich es bei einem ersten Kunden gewagt, Per-Tunnel QoS zu konfigurieren. Gewagt deshalb, weil ich dafür von meinem Lieblings-IOS, 12.4(15)T, auf ein neueres IOS wechseln musste. Im aktuellen Fall hat sich 12.4(22)T5 als stabil und zuverlässig genug herausgestellt. Die vorher getestete Version 12.4(22)T4 hatte massive Speicherlecks und war noch nicht einsetzbar.

Was ist Per-Tunnel-QoS?
Beim DMVPN registriert sich der Spoke-Router per NHRP, um seine (dynamische) public IP beim Next-Hop-Server (NHS) zu registrieren. Dabei kann der Router gleich einen Gruppennamen mitgeben, der in der Per-Tunnel-QoS-Konfiguration verwendet wird. Auf dem Hub wird für jede Gruppe eine QoS-Konfiguration angewendet. Damit lässt sich z.B. für jeden Spoke-Router die Datenrate auf die in der Außenstelle verwendete Downstream-Geschwindigkeit shapen. Wenn in der Hauptstelle eine Internet-Anbindung mit 34 MBit/s vorhanden ist, würde man damit normalerweise fast jede Außenstelle überlasten. Mit Per-Tunnel-QoS lässt sich das individuell runter regeln und wichtiger Traffic kann auch priorisiert werden.

Die Spoke-Konfiguration
Diese beschränkt sich auf eine Zeile in der Konfiguration:

interface Tunnel1
  description DMVPN-Tunnel Internet
  ...
  ip nhrp group SDSL2000-Std
  ...

Der Gruppenname (hier SDSL2000-Std) wird auf der Hub-Seite für die Auswahl der richtigen Policy verwendet. In diesem Beispiel ist die Außenstelle mit einer 2 MBit/s SDSL-Leitung angebunden, in der kein Voice verwendet wird. Die 2 MBit/s-Außenstelle mit Voice benutzt dann z.B. den Gruppennamen SDSL2000-Voice.

Die Gruppen sind auf dem Hub sichtbar:

HUB-Router#sh ip nhrp 
...
10.255.255.8/32 via 10.255.255.8
   Tunnel1 created 2w5d, expire 01:43:49
   Type: dynamic, Flags: registered used 
   NBMA address: 79.x.y.z 
   Group: SDSL2000-Std
10.255.255.9/32 via 10.255.255.9
   Tunnel1 created 20:53:37, expire 01:46:01
   Type: dynamic, Flags: registered 
   NBMA address: 88.x.y.z 
   Group: HSDPA-Std
10.255.255.16/32 via 10.255.255.16
   Tunnel1 created 2w5d, expire 01:54:05
   Type: dynamic, Flags: registered used 
   NBMA address: 80.x.y.z 
   Group: SDSL2000-Std
10.255.255.152/32 via 10.255.255.152
   Tunnel1 created 2w5d, expire 01:29:46
   Type: dynamic, Flags: registered 
   NBMA address: 80.x.y.z 
   Group: ADSL3000-Voice
...

Die Hub-Konfiguration
Auf dem Hub wird als Minimum eine Policy für Shaping konfiguriert, die von der NHRP-Gruppe abhängig ist:

policy-map SDSL2000-Std-Parent
 class class-default
    shape average 2000000
policy-map HSDPA-Std-Parent
 class class-default
    shape average 3000000

Diese Policy-Map wird im DMVPN-Tunnel an die Ziel-NHRP-Gruppe gebunden:

interface Tunnel1
  description DMVPN-Tunnel Internet
  ip nhrp map group HSDPA-Std service-policy output HSDPA-Std-Parent
  ip nhrp map group SDSL2000-Std service-policy output SDSL2000-Std-Parent

Für alle Standorte, die diese NHRP-Gruppen verwenden, wird die ausgehende Datenrate auf zwei, bzw. auf drei MBit/s begrenzt.
Für die Standorte, die auch Voice benutzen, muss innerhalb dieser begrenzten Datenrate aber der Voice-Traffic bevorzugt werden. Dafür wird eine hierarchische Policy-Map konfiguriert:

class-map match-all EF-TRAFFIC
  match  dscp ef 
!
policy-map ADSL3000-Voice
 class EF-TRAFFIC
    priority 256
 class class-default
    fair-queue
policy-map ADSL3000-Voice-Parent
 class class-default
    shape average 3000000
  service-policy ADSL3000-Voice

Hier wird in der Parent-Policy der Traffic auf 3 MBit geshaped. In diesen drei MBit/s wird 256 kBit/s für Voice-Traffic priorisiert. Auch das weitere gewünschte QoS-Verhalten würde in der Child-Policy konfiguriert werden. In dem Tunnel-Interface wird dann auch hier die Parent-Policy an die NHRP-Gruppe gebunden:

 interface Tunnel1
  ip nhrp map group ADSL3000-Voice service-policy output ADSL3000-Voice-Parent

Die Wirkung der QoS-Implementierung kann man dann mit “show dmvpn detail” und “show policy-map multipoint” überprüfen:

HUB-Router#sh dmvpn detail 
...
    1 80.x.y.z     10.255.255.16    UP 20:38:56    D     10.255.255.16/32
NHRP group: SDSL2000-Std
 Output QoS service-policy applied: SDSL2000-Std-Parent

    1  80.x.y.z    10.255.255.152    UP     2w5d    D    10.255.255.152/32
NHRP group: ADSL3000-Voice
 Output QoS service-policy applied: ADSL3000-Voice-Parent
HUB-Router#sh policy-map multipoint 

Interface Tunnel1  80.x.y.z

  Service-policy output: ADSL3000-Voice-Parent

    Class-map: class-default (match-any)
      3643772 packets, 1136319199 bytes
      5 minute offered rate 0 bps, drop rate 0 bps
      Match: any 
      Queueing
      queue limit 750 packets
      (queue depth/total drops/no-buffer drops) 0/0/0
      (pkts output/bytes output) 3744389/1409612078
      shape (average) cir 3000000, bc 12000, be 12000
      target shape rate 3000000

      Service-policy : ADSL3000-Voice

        queue stats for all priority classes:
          Queueing
          queue limit 64 packets
          (queue depth/total drops/no-buffer drops) 0/0/0
          (pkts output/bytes output) 1046668/312237672

        Class-map: EF-TRAFFIC (match-all)
          1045840 packets, 242902872 bytes
          5 minute offered rate 0 bps, drop rate 0 bps
          Match:  dscp ef (46)
          Priority: 256 kbps, burst bytes 6400, b/w exceed drops: 0
          

        Class-map: class-default (match-any)
          2597932 packets, 893416327 bytes
          5 minute offered rate 0 bps, drop rate 0 bps
          Match: any 
          Queueing
          queue limit 686 packets
          (queue depth/total drops/no-buffer drops/flowdrops) 0/0/0/0
          (pkts output/bytes output) 2697721/1097374406
          Fair-queue: per-flow queue limit 171
...

Verbleibende potentielle Probleme:
Auch Per-Tunnel QoS löst natürlich nicht alle Probleme. Wenn man z.B. mehrere Hubs hat, die Traffic zu den Spokes senden, dann weiß Hub1 nicht, wieviel Traffic Hub2 sendet. Auch haben die Hubs keine Information, ob die Spokes evtl. durch lokalen Internet-Traffic oder aber durch Spoke-to-Spoke-Kommunikation überlastet sind. Trotzdem kann die Kommunikation mit diesem Modell in vielen Fällen optimiert werden.

Zusätzlich werden einzelne Pakete durch das Shaping evtl. länger zurückgehalten, wodurch sich die Reihenfolge der IPSec-Pakete ändern kann. Der Replay-Buffer der Router muss also deutlich vergrößert oder der Replay-Check gar komplett ausgeschaltet werden:

crypto ipsec security-association replay window-size 1024
no crypto ipsec security-association replay window-size
Cisco IOS: Per-Tunnel QoS für DMVPN

Bye, Bye Cisco Security Agent

Den CSA (Cisco Security Agent) habe ich eigentlich recht gut gefunden. 2003 hat Cisco ihr HIPS-Produktportfolio mit dem Aufkauf der Firma Okena abgerundet. Aufgrund des hohen Preises hatte ich zwar keine Kunden für dieses Produkt, aber auf etlichen eigenen Windows-PCs lief er früher bei mir und hat den einen oder anderen Angriff abgehalten.

Nun ist er abgekündigt, es gibt keinen direkten Cisco-Nachfolger:
EOL for the Cisco Security Agent

Bye, Bye Cisco Security Agent