CiscoLive 2015 in San Diego – Tag 3

clus









Tag 3

Der dritte Tag startete mit einer Meraki MX Session:

  • Resilient WAN and Security for Distributed Networks with Cisco Meraki MX

Obwohl ich dem gesamten Cloud-Hype skeptisch gegenüber stehe, ist es doch schon faszinierend, wie einfach der Aufbau eines Netzes mit diesen Geräten ist. Mit den Meraki Access-Points habe ich schon länger zu tun, aber auch die Security-Appliances werde ich mal genauer anschauen. Auch wenn sich Meraki mit Roadmaps sehr bedeckt hält kam die Info, dass ein paar interessante Erweiterungen kommen werden:

  • IWAN
  • AnyConnect VPN
  • FirePOWER AMP
  • Direkte Unterstützung der ASA als Headend für Branch-VPNs

Dann kam die “Luminary Keynote – Dr. Peter Diamandis – Technology Futurist”

Das war der Einleitungstext zu dieser Keynote:

Dr. Peter Diamandis is a visionary, innovator, author, physician, engineer and entrepreneur. He is Chairman and CEO of the X Prize Foundation, the co-Founder and Executive Chairman of Singularity University and the co-founder and Vice-Chairman of Human Longevity Inc. He’s released two books, Abundance: The Future Is Better Than You Think in 2012 and Bold: How to Go Big, Create Wealth and Impact the World in 2015. In all of his work, Peter aims to encourage and enable radical breakthroughs for the benefit of humanity. He believes “the best way to predict the future is to create it yourself.”

Diese Keynote war einerseits sehr interessant, andererseits habe ich mich immer wieder gefragt in welcher Realität Peter Diamandis lebt. Seine These, dass eine Zukunft voller Reichtum ohne weiteres möglich ist, lässt sich aus der Sichtweise eines Multimillionärs sicher schlüssig begründen. Aber an manchen Stellen denkt man schon, er ist hier noch nicht durch die Straßen gelaufen wo nicht wenige Obdachlose unterwegs sind. Und ob die alle selbst schuld sind, weil sie halt ihre Chancen nicht genutzt haben?

Nach dem Mittag kam die nächste Session:

  • Tips and Tricks for Successful Migration From ASA CX and Cisco Classic IPS to FirePOWER Solutions

Wieder eine interessante Session mit ein paar Übersichten zu den Unterschieden zwischen den legacy Systemen (IPS und CX) und FirePOWER. Was ich gelernt habe war, dass es ein Tool gibt, das einen bei der Migration der IPS-Config zur FirePOWER unterstützt. Für die Migration von CX zu FirePOWER? Naja, anschauen was unter CX konfiguriert ist und etwas analoges im FirePOWER machen … Aber die Speaker waren auch der Meinung, dass dort Tools auf den Markt gebracht werden sollten. Zum Glück ist CX noch eine gute Zeit lang supported. Aber sobald die CX-Lizenz bei Kunden abläuft steht der Wechsel halt an.

Die letzte Session des Tages war bei mir dann

  • Emerging Threats – The State of Cyber Security

Auch sehr interessant, ein Mitarbeiter der Cisco TALOS Group (die regelmäßig sehr gute Beiträge unter blogs.cisco.com/security schreiben) berichtet über seine Arbeit und die Bedrohungen, die in der näheren Vergangenheit beobachtet wurden.

Nach den Sessions stand dann noch ein Besuch am Stand des Cisco Support-Forums an. Die “Cisco Designated VIP”-Geschenke wurden dieses Mal nicht auf der VIP-Party verteilt, sondern lagen zur Abholung am Stand bereit. So gab es wieder das Jahres-Poloshirt, Kofferanhänger (oder so), Touchpad-Stifte und USB-Adapter. Der kleine Kasten oben im Bild ist ein USB-Ladegerät für (amerikanische) Steckdosen und den 12-Volt Anschluss im Auto. Und es gab noch ein extra Ribbon zum pimpen des Badge. Irgendwann wird das unpraktisch, weil das Teil dann beim Händewaschen immer ins Waschbecken hängt … Am Cisco Sourcefire-Stand musste ich dann doch noch etwas abgreifen; das Snort Pig musste einfach mit!

Später war dann die CCIE-Party im/am Hotel “Del Coronado”. Sehr schöner Strand, das Essen war mal wieder super, aber keine weiteren Attraktionen wie häufig bei den vergangenen CCIE-Partys. Also einfach zum Chillen und es sich gut gehen lassen.

Advertisements
CiscoLive 2015 in San Diego – Tag 3

CiscoLive 2015 in San Diego – Tag 2

clus









Und weiter geht der Bericht zur CiscoLive 2015 in San Diego …

Tag 2

Am Montag, dem zweiten Tag, standen drei Sessions auf dem Plan:

  • QoS Design and Deployment for Wireless Networks
  • Eine sehr gute Session, die gezeigt hat wie QoS im WLAN implementiert ist und was es dabei so alles zu beachten gibt. Die Infos aus dieser Session sind besonders wichtig, sobald Voice oder Video im WLAN übertragen wird.

  • Internet Behavioral Analysis (IBA) using Self Learning Networks
  • Diese Session war sehr anstrengend. Rein theoretisch, da es dazu noch kein echtes Produkt gibt, aber die Idee ist, im Network Edge (auf bestehenden Komponenten wie Router und Switches) eine Anomalie Detection durchzuführen und auf Angriffe zu reagieren. Nach dem Paradigmen-Wechsel “Es ist keine Frage ob oder wann Du angegriffen wirst, sondern wo” wird der Traffic gemonitort und auf Änderungen in diesem Verhalten wird reagiert. Der Versuch IDS per Anomalie-Detection durchzuführen ist ja nicht neu, aber durchgesetzt hat es sich nicht. Und auch Cisco hat sich mit dem “Self Defending Network” schon versucht. Leider finde ich die zugehörige Werbung von Cisco nicht mehr. Muss ca. 10 Jahre her gewesen sein (“Das Netzwerk hat den Virus zerstört”).
    Hier in der Session ging es darum, was Cisco anders machen will und nach der Aussage des Speakers soll das schon in Testumgebungen funktionieren.

  • Network as a Sensor and Enforcer
  • In dieser Session war wieder viel bekanntes dabei, es ging darum wie man mit Hilfe der ISE, Netflow und Lancope das Netz analysiert und durch die ISE gesteuert Aktionen ausführt.

Am Nachmittag war dann auch die Keynote mit John Chambers. Als “Vorgruppe” haben One Direction Musik gemacht. In seiner letzten Keynote als CEO hat John Chambers über den digitalen Wandel geredet, und auch “Fast IT” kam immer wieder drin vor. Beim Thema Internet of Things (IoT) wurde sehr stark herausgestellt wie wichtig die Security bei dem Thema ist.
Ich gehe trotzdem davon aus, dass bei jeder zweiten Firma, die den digitalen Wandel oder das Thema IoT angeht, Security erst am Ende der Entwicklungsphase berücksichtigt wird. Und Firmwareupdates bei IoT-Devices um auf Security-Neuerungen zu reagieren? Ich bin sehr gespannt …
Am Ende der Keynote wurde dann auch der neue CEO Chuck Robbins vorgestellt. Mal sehen was der alles neu, anders oder vielleicht sogar besser machen wird.

Nach der Keynote wurde die World of Solutions (WoS) eröffnet. Wie immer wurde als erstes das Badge “gepimpt”, das Konferenz T-Shirt und das ein oder andere Gimmik abgegriffen.
So gab es bei Cisco einen CCIE-Hut und einen Selfie-Stick. Und das wo ich diese Teile so unendlich albern finde. Aber die ersten Test-Aufnahmen habe ich dann trotzdem damit gemacht.
Bei Veeam gab es einen 8GB USB-Stick und an den ganzen weiteren Giveaways bin ich einfach vorbei gelaufen. Nein, nicht noch mehr T-Shirts!

Abends gab es dann noch einen weiteren Punkt auf der Tagesordnung, das Cisco Designated VIP-Dinner. Von 20:30 bis knapp nach Mitternacht hatte wir viel Spaß mit den VIP-Kollegen, die man ansonsten halt auch nur aus der Cisco Support Community kennt. Und das Essen war mal wieder grandios.

Was gab es dann zu bemerken: Ich wurde in den Pausen zwar zwei mal gefragt wie das WLAN funktioniert, aber bei mir lief alles rund. Die Kaffeemaschine in der NetVet Lounge war wieder in Betrieb, aber was ich nicht erwartet habe, war dass Lavazza auch auf den Kapsel-Zug aufspringt. Ab und an ist mal eine gute/lustige Werbung zusehen. Diese hat mich dann an etwas erinnert … 😉. Und in San Diego fahren jede Menge dieser Rikschas rum. Erst dachte ich, “Oha, die müssen aber fit sein”. Aber ab und an sah man dann doch, wie sie (zumindest ohne Passagiere) ohne zu Treten die Hügel hochfuhren.

CiscoLive 2015 in San Diego – Tag 2

CiscoLive 2015 in San Diego

clus

Es ist mal wieder soweit, die CiscoLive steht an, was für mich das beste und wichtigste Fortbildungs-Event des Jahres ist. Am Donnerstag bin ich schon angereist um mich etwas vom JetLag zu erholen, und dann frisch in die erste Session am Sonntag zu starten. Hat nicht ganz geklappt, da ich mir eine dicke Erkältung aufgesackt habe. Naja, Hauptsache ich bin ab Montag abend zu den Abendveranstaltungen wieder fit … Tagsüber schleppe ich mich so durch!
Besonders hat mich natürlich wieder gefreut, dass ich als Cisco Designated VIP 2015 in Security die Konferenzgebühr erlassen bekommen habe.
Wie so oft habe ich nicht eines der Konferenz-Hotels gebucht, sondern ein günstigeres in der Nähe. Das Horton Grand im Gaslamb Discrict war eine sehr gute Wahl und in 10 Minuten zu Fuß vom Konferenz-Center aus erreichbar.

Tag 0

Samstag war als offizieller Termin wieder der Check-In angesetzt. Das WLAN im Konferenz-Center hat schon wunderbar funktioniert, aber da waren auch noch nicht so viele Leute da. Neu ist, dass das Badge jetzt mit RFID ausgestattet ist, anstelle mit einem einfachen Barcode. Mehr zu diesem Fortschritt am Tag 1 …
Nach dem Check-In war dann noch das Besuchen des Company Stores angesagt. Letztes Jahr habe ich zu lange gewartet und auf einmal waren die ganzen Rad-Trikots ausverkauft. Heute habe ich mir gleich zwei Stück für meine Frau und mich gesichert. Damit war der offizielle Part des ersten Tages abgeschlossen. Wer schon meine älteren CiscoLive-Berichte gelesen hat, weiß aber, dass ein enorm wichtiger inoffizieller Teil nicht fehlen darf, der Besuch im Outback Stakehouse wo wir mit Kollegen abends hin sind.

Tag 1

Um 8:00 ging mein vier-stündiges Techtorial „Practical Knowledge for Enterprise IPv6 Deployments“ los. Unter den Cisco Designated VIPs wurden zwei dieser Techtorials verlost, ich war einer der glücklichen Gewinner. Leider musste ich ohne richtiges Frühstück starten, dafür hat die Zeit nicht mehr gereicht. Zum Glück gab es etwas Obst in der NetVet-Lounge. Eine „richtige“ Kaffemaschine war aufgebaut, abrer leider noch nicht in Betrieb. Naja, dann halt später der erste gute Kaffee …
Der Zutritt zum Techtorial erwies sich etwas schwierig, der RFID-Reader brauchte gut fünf Anläufe bis er mich erkannt hat. Aber ist halt viel moderner als diese Barcodes … 😉 Das Techtorial selbst hat etwas gemischte Gefühle hinterlassen. Als Level 3 Session sollten die Basics nur kurz aufgefrischt werden, aber deutlich über zwei Stunden ging es dann doch nur um Basics wie IPv6 Header, Neighbor Discovery und ähnliches. Zwischendurch ging es aber auch immer wieder um neuere Standards, was sehr gut war. Die Speaker (die beide sehr gut waren), sind aber der Meinung gewesen, dass es absolut „advanced” sei, wenn man die Felder im IP-Header kennt. Da frage ich mich schon, ob ich oder die beiden die richtige Einstellung haben. Der für mich deutlich interessantere zweite Teil ist dann leider zu kurz gekommen und wurde nur im Eiltempo abgehandelt. Dort ging es darum, wie sich die verschiedenen Betriebssysteme (Windows, OS X, Linux, iOS und Android) mit IPv6 verhalten, welche Standards wo supported sind und was man alles benötigt wenn man keine heterogene Umgebung hat.
Die Unterlagen werde ich also noch einmal genauer durcharbeiten. So war das Techtorial aber hauptsächlich ein sehr willkommener Refresher, mit ein paar neuen Infos.

Zum Mittag gab es dann wie fast immer am ersten Tag Sandwiches. Die Terasse des Konvention-Center wurde hergerichtet, was eine perfekte Umgebung zum Ausspannen ist. Hier schreibe ich auch gerade diesen Beitrag.

Guten Kaffee gab es leider auch jetzt noch nicht in der NetVet-Lounge, die Kaffeemaschine war überhaupt nicht mehr da. Da sich im Center zwei Starbucks befinden kam dann daher mein Nachmittags-Käffchen. Morgen ab 8:00 soll die Kaffeemaschine wieder da sein. Die SLAs für dieses “Mission-Critical Device” könnte man noch einmal überdenken.

Das WLAN auf der Terasse ist wieder etwas „schwierig“. Die Geräte, mit denen ich mich schon gestern verbunden habe, funktionieren im großen und ganzen, mit meinem Mac konnte ich mich nicht verbinden. Aber da weiß man nie so genau, ob das nicht doch an der nicht gerade berühmten Wireless-Implementierung von Apple liegt. Vermutlich eher doch nicht an Apple, denn gerade während ich das hier geschrieben habe, ist auch auf dem iPad und dem iPhone mehrfach und ungefähr gleichzeitig die Verbindung zum WLAN verloren gegangen. Irgendwann konnte ch mich dann verbinden, aber es war unendlich langsam … Ich bin auf morgen gespannt, wenn alle Teilnehmer da sind.

Am Nachmittag wollte ich dann schauen, ob ich mich zu einem Test anmelden kann. Für den Inklusiv-Test habe ich leider den Anmeldezeitpunkt verpasst, aber mit 50% Rabatt auf den normalen Exam-Preis wollte ich dann doch noch einen Test machen. Nach einer guten halben Stunde in der Schlange kam dann die Ansage, dass alle Plätze komplett ausgebucht seien und man höchtens einen Platz bekommen kann, wenn jemand nicht zum Test erscheint. Ab morgen darf man es gerne probieren. So wenig Plätze vorzuhalten finde ich dann schon etwas schwach, vor allem wenn extra mit dem 50% Rabatt geworben wird. Später allerdings habe ich vom Kollegen Jens erfahren, dass er gerade einen Test buchen konnte. Also bin ich auch schnell hin habe den Test „Securing Cisco Networks with Threat Detection and Analysis (SCYBER)“ gebucht. Die Schulungsunterlagen dazu hatte ich zwar nicht, aber die Themen aus dem Blueprint waren mir recht gut bekannt. Nach etwas über einer Stunde Test in einem komischerweise nur halb gefüllten Test-Center habe ich nun den „Cisco Cybersecurity Specialist“ meiner Sammlung hinzugefügt.

Eine echte Innovation ist mir dann hier im Center aufgefallen. Portable Akkus um Smartphones und ähnliches auch über einen langen Tag zu bringen gibt es ja schon länger. Aber Automaten, an denen man diese immer wieder gegen gefüllte austauschen kann, die sind mir neu. Sehr gute Idee!

Das nenne ich Innovation!
Das nenne ich Innovation!
CiscoLive 2015 in San Diego

Cisco Live 2014 – Nachlese

CL2014Die diesjährige Cisco Live in San Francisco ist zwar schon einige Wochen her (18.-22. Mai; was diesmal sehr früh im Jahr war) und da ich etwas knapp in der Zeit war wollte ich auf eine Nachlese schon verzichten. Aber auf Aufforderung kommt diese jetzt mit deutlicher Verspätung trotzdem.
In diesem Jahr war ich mir nicht sicher, ob ich überhaupt zur Cisco Live wollte, da mir der Termin eigentlich überhaupt nicht passte. Aber da ich über den diesjährigen Cisco Designated VIP-Status die Eintrittsgebühr wieder umsonst bekommen habe, bin ich dann doch hin.
Das späte Buchen hat sich aber zumindest in Hinsicht auf die Hotelpreise als deutlicher Nachteil herausgestellt. Über die Cisco-Webseite waren keine Hotels mehr zu bekommen und auch über die typischen Buchungsseiten war nichts “preiswertes” mehr zu bekommen.
Da ich erst am Samstag angereist bin, habe ich am Sonntag diesmal auch kein Techtorial besucht. Mit JetLag und Müdigkeit bekommt man dann doch zu wenig mit. Das ist auch einer der Gründe warum ich normalerweise versuche lieber zwei/drei Tage vorher anzureisen.

Outback Prime Rib
Outback Prime Rib
So stand diesmal am Sonntag die kostenlose Prüfung und etwas Shoppen mit den auch anwesenden Trainer-Kollegen auf dem Programm. Und da einer der Kollegen zum Glück ein Auto gemietet hatte kamen wir da auch zu unserem obligatorischen Outback-Besuch mit einem hervorragenden Prime-Rib.

Montag bis Donnerstag waren dann wieder viele sehr interessante Sessions:

  • BRKSEC-1030 – Introduction to the Cisco Sourcefire NGIPS
  • Naja, hätte ich mal vorher darauf geachtet, dass dies eine 1000er Session ist. Das war deutlich zuviel Marketing!

  • BRKSEC-2053 – Practical PKI for Remote Access VPN
  • Eine extrem wichtige Session wenn man vor hat AnyConnect-VPNs mit Zertifikaten zu implementieren. Ich habe gehofft, dass schon auf Windows 2012 eingegangen wird, was aber nicht der Fall war. Trotzdem gab es auch hier den einen oder anderen Trick und Kniff der mir sicher mal helfen wird.

  • BRKCRT-2000 – HardCore IPv6 Routing – No Fear
  • Die Session war eine riesige Enttäuschung. Es ging nur und ausschließlich um IPv6 in den Cisco Zertifizierungen vom CCNA bis CCIE. HardCore? Keine Spur! Basierend auf meiner bisherigen Erfahrung werde ich in Zukunft wohl Sessions meiden wenn Scott Morris einer der Presenter ist. Da ist irgendwie nie “Real Life” drin sondern immer nur Zertifizierung.

  • BRKCRT-2206 – Cisco Cyber Security Analyst Specialist Certification
  • Das ist eine sehr interessante neue Zertifizierung, die ich mir als mittelfristiges Ziel mal auf die Liste schreibe.

  • BRKSEC-2042 – Web Filtering and Content Control in the Enterprise
  • Hier wurden die Vor- und Nachteile der verschiedenen Methoden (CWS/WSA/WSE/SF) anhand vieler Merkmale miteinander verglichen. Das war eine sehr gute Übersicht wenn man sich fragt welche Lösung jetzt die richtige wäre. CWS war dabei fast immer führend. Tja, wenn es nicht eine Cloud-Proxy-Lösung wäre …

  • BRKSEC-3001 – Advanced IKEv2 Protocol
  • Eine super Session. IKEv2 habe ich mir bisher komplett im Selbststudium beigebracht. In dieser Session gab es dann die für mich sehr wichtige Bestätigung, dass ich die Änderungen zu IKEv1 richtig gelernt und verstanden habe. Denn es passiert sehr schnell, dass man im Selbststudium etwas falsch versteht und das Falsche verinnerlicht.

  • BRKSEC-2025 – Snort Packet Processing Architecture
  • Interessant, aber hätte deutlich tiefer gehen können.

  • BRKSEC-3032 – Advanced – ASA Clustering Deep Dive
  • Auch wieder ein Highlight. Den Presenter habe ich in der Vergangenheit schon bei “ASA Performance Optimizations” erlebt. Der Mann lebt einfach die ASA und es gab jede Menge Infos zum neuen Clustering.

  • BRKRST-3336 – WAN Virtualization Using Over-the-Top (OTP)
  • OTP ist eine EIGRP-Erweiterung, die ich schon auf der letzten Cisco Live kennengelernt habe. Super interessant. Wird Zeit, dass bei einem Kunden mal wieder eine neue Routing-Implementierung ansteht, bei der das zum Einsatz kommen könnte. Die letzten Implementierungen liefen immer auf OSPF hinaus, obwohl EIGRP lange Zeit mein Lieblings-Protokoll war.

  • BRKRST-2304 – Hitchhiker’s Guide to Troubleshooting IPv6
  • Vor zwei Jahren habe ich diese Session schon einmal gehört und sie war sehr gut. Und da sich beim Thema IPv6 ja doch eine Menge tut werde ich diese Session auch in Zukunft sicher erneut anhören.

  • BRKSEC-3697 – Advanced ISE Services, Tips and Tricks
  • Auch ein Highlight der Networkers. Aaron Woland ist einer der Top-ISE-Leute bei Cisco. Im letzten Jahr war ich auch schon in dieser Session und es gab viel neues zur damals anstehenden Version 1.2. Dieses Jahr gab es zwar auch Wiederholung zum letzten Jahr, aber auch viel Neues und Infos zu der kommenden Version 1.3.

  • BRKSEC-3061 – Detect and Protect Against Security Threats, Before It’s Too Late!
  • Und wie in jedem Jahr sind natürlich auch schlechte Sessions dabei. Diese klang vom Titel her zwar recht gut und eine 3000er Session verspricht eigentlich auch Tiefgang, aber nach der Session habe ich mich gefragt was die Presenter einem eigentlich erzählen wollten. Das war irgendwie nix.

    Was gab es so bei der CiscoLive drum herum?

    • Montag
    • Die Keynote mit John Chambers. Ja, ich wiederhole mich, aber ich höre ihm gerne zu. Und wie jedes Jahr fragt man sich was er einem überhaupt gesagt hat … 😉 Auf jeden Fall ging es wie im letzten Jahr auch schon um das “Internet of Everything”, was auch zentrales Thema dieses Jahr war. Weiteres Thema war “Fast IT” Hat er wirklich gesagt, das die Kunden wollen, dass sich die IT-Welt schneller drehen, und die Innovationszyklen schneller werden müssen? Ok, machen wir uns darauf gefasst, dass das Hamsterrad der IT noch einen Gang zulegt.
      In der Certification-Lounge der World of Solutions wurde wieder der Cisco-Badge aufgepeppt und es gab ein paar CCIE-Geschenke. U.a. eine Ersatz-Akku zum Aufladen von Handys. Sehr praktisch, denn so etwas habe ich auch immer beim Rennrad-Fahren dabei. Ein iPhone-Akku hält halt doch keine vier Stunden wenn dabei der Weg getrackt wird.
      Abends war dann das Cisco Designated VIP-Dinner. Es wurden mal wieder sehr leckere Speisen und Getränke aufgefahren, und das erneute Treffen der VIP-Kollegen war sehr schön. Auch gab es wieder ein paar Goodies wie das 2014er VIP-Polo-Shirt oder eine Wanduhr.

    • Dienstag
    • Mittags war die CCIE/NetVet-Reception mit John Chambers. Sehr gefreut hat mich, dass die dieses Jahr nicht parallel zu anderen Sessions stattfand. Und ein alternatives Mittagessen nimmt man ja gerne mit. Das “normale” Mittagessen waren immer die abgepackten Sandwich-Boxen die zwar ok waren, aber halt auch kein überragender Gaumenschmaus. Die Reception fand in einem Restaurant gleich neben dem Convention-Center statt. Als ich aus dem Center kam war mein erster Gedanke “oh, was ist das denn für eine riesige Schlange; die armen müssen in der Sonne schwitzen”. Ok, eine Minute später habe ich gemerkt, dass das die Warteschlange der CCIE/NetVets war. Ein paar hundert Leute und beim Einlass nur eine Person die kontrolliert und einer der die Sammle-Pins verteilt. Aber ans Schlange stehen sollte man sich sowieso noch gewöhnen …
      Drinnen war es dann mehr als voll, was beim Essen nicht so sehr gestört hat. Als es in die Diskussion mit John Chambers ging war aber deutlich zu erkennen, dass dieser Laden viel zu klein war. Wer sich nicht direkt in der Mitte oder aber neben einem der Lautsprecher postieren konnte hat halt nicht viel mitbekommen. Ein Teil der Diskussion hat etwas widergespiegelt was als Gerüchte in letzter Zeit ab und an zu hören ist. Er werde im ersten Jahr nach seiner CEO-Zeit erst einmal überhaupt nichts machen. Ich bin schon gespannt wie irgendwann eine Cisco ohne John Chambers aussehen wird und was sich z.B. mit Sachen wie dieser immer sehr interessanten CCIE/NetVet Reception ändern wird.
      Abends war die CCIE-Party in der California Academy of Sciences. Mit Bussen wurden wir dort hingebracht und die Schlange zum Eingang war riesig. Zumindest für uns, die wir nicht-CCIEs als Gäste mitgebracht haben. Dann konnte man nämlich nicht direkt hinein. Trotzdem wie immer sehr leckeres Essen und viel Interessantes anzuschauen.

    • Mittwoch
    • Der Customer Appreciation Event fand im AT&T-Park statt, das Stadion in dem die San Francisco Giants normalerweise ihre Siege einspielen. Der Eintritt war mal wieder abenteuerlich. Die ca. 15000 Leute durch eine viel zu kleine Anzahl von Metall-Detecktoren zu bekommen dauerte so lange, dass sich um das Stadion herum eine wirklich gewaltige Schlange gebildet hat. Der Stimmung drinnen hat das nicht geschadet, Lenny Kravitz und Imagine Dragons haben für super Stimmung gesorgt. Und Essen und Getränke? Ja, auch gut und reichlich!

    • Donnerstag
    • Nachmittags gab es die Guest-Keynote. Salman Khan hat von seinem Leben erzählt und wie er die Khan Academy aufgebaut hat. Das war super erzählt und mit diversen Lachern gespickt. Eine tolle Leistung so ein Lern-Portal für jeden auf die Beine zu stellen.

      Am Donnerstag gab es dann aber auch den größten mitleidigen Lacher bzw. eine kleine Enttäuschung. Für das Ausfüllen der Konferenz-Evaluation bekommt man normalerweise ein kleines Geschenk. So hieß die Ankündigung dann auch sinngemäß “Fill out the conference-evaluation and get a Giants-Baseball-Cap”.

      Das Cisco BaseCap
      Das Cisco BaseCap
      Ok, habe ich gemacht und mein Basecap bekommen. Aber kurz nach mir hieß es nur noch “keine Caps mehr verfügbar”. Und der Lacher schlechthin? Für die 25000 angemeldeten Teilnehmer hat Cisco nur 3000 (oder 2000? Ich weiß es nicht mehr) Caps gehabt. Und davon gingen dann auch ein paar hundert ab, denn fast alle vom Staff hatten ja welche auf oder kurz vor Ende noch unter dem Tisch verschwinden lassen. Das gab dann auch einen kleinen Shitstorm, wobei einige öffentliche Kommentare dann ganz schnell wieder verschwunden sind … Das war wirklich traurig.

    Schön war, dass es das Mittagessen an verschiedenen Orten gab. U.a. im Yerba Buena Gardens, was sehr schön war:

    Die Zusammenfassung:
    Es hat wieder enorm Spaß gemacht die Networkers zu besuchen und es war fast durchgehend sehr interessant. Die gesamte Organisation hat aber an vielen Stellen gewirkt, als würde diese Veranstaltung zum ersten Mal ausgerichtet. Und San Francisco hat sich dieses Jahr als Veranstaltungsort einfach als viel zu klein herausgestellt.

    Die nächste Cisco Live findet dann (wie vor zwei Jahren) wieder in San Diego statt, der 7. bis 11. Juni ist schon im Kalender markiert. Ich freue mich jetzt schon wieder.

    Cisco Live 2014 – Nachlese

    Der (fast) perfekte Home-Office-Router

    Gerade habe ich testweise meinen ersten Cisco 866VAE-k9 installiert. Hier beschreibe ich ein paar Eindrücke von diesem Gerät.

    Warum der 866VAE-k9
    Ich wollte einen IOS-Router mit eingebautem VDSL-Modem. Eine Zeitlang hatte ich eine Fritzbox als DSL-Router und Telefonanlage laufen, aber das ist einfach zu unflexibel. Die Fritzbox bleibt zwar die Telefonanlage bis ich da etwas besseres finde, aber als Router wollte ich ein vollwertiges IOS-Gerät haben, das zumindest anständig VPNs beherrscht und auch Policy-Based Routing kann. Zusätzlich benötigte ich DNS-Views um selektiv DNS-Abfragen an den DNS-Server im Büro zu senden. Weiterhin sollte der Router keinen oder zumindest einen sehr leisen Lüfter haben.
    Meine Wahl fiel dann auf den Cisco 866VAE-k9, der ein eingebautes DSL-Modem hat, ohne Lüfter daherkommt und zudem noch recht günstig ist. Meine erste Befürchtung war zwar, dass er am 50 MBit-VDSL überfordert wäre, aber dort wurde ich angenehm überrascht.

    Die VDSL-Konfig
    Die Konfiguration des VDSLs bei diesem Router weicht deutlich von der ADSL-Konfig ab, wie sie auf älteren Geräten durchgeführt wurde. Hier ein kleiner Auszug aus der Konfig:

    controller VDSL 0
     operating mode vdsl2
    !
    interface Ethernet0
     description VDSL Internet Verbindung - VLAN 7 tagged
     no ip address
     no ip route-cache cef
    !
    interface Ethernet0.7
     encapsulation dot1Q 7
     pppoe-client dial-pool-number 1
    !
    interface Dialer0
     description log. WAN-Interface
     dialer pool 1

    Für VDSL erwartet die Telekom die Daten getagged mit VLAN 7. Dafür wird das logische Interface Ethernet0 verwendet, das als physikalischer Port nicht vorhanden ist.

    Die VPN-Konfig
    Die ist nicht weiter erwähnenswert da der Router wie jeder andere IOS-Router konfiguriert wird. Allerdings werden nicht alle VPN-Arten unterstützt. IKEv1 und IKEv2 sind beide supported, Crypto-Maps und VTIs gehen natürlich auch und FlexVPN soll ebenfalls gehen. DMVPN ist anscheinend nicht supported. Mit FlexVPN ist aber ein leistungsfähiger Nachfolger verfügbar. Auch WebVPN ist nicht enthalten, aber das ist bei der angepeilten Zielgruppe wohl auch nicht notwendig.
    Ich habe mein VPN wegen der dynamischen IP-Adresse mit einem Virtual Tunnel Interface (VTI) auf der Spoke-Seite und einem dynamic Virtual Tunnel Interface (dVTI) auf der Hub-Seite konfiguriert.

    Routing-Möglichkeiten:
    Bei dVTIs muss die Aussenstelle mit dynamischem Routing angebunden werden. Da kann es von Nachteil sein, dass der Router kein OSPF und EIGRP unterstützt (der Router benutzt ein Advanced Security Image; diese haben auch bei anderen 800er Routern sehr eingeschränkte Routing-Möglichkeiten). Diese Routing-Protokolle sind unterstützt:

    inet-home(config)#router ?
      bgp  Border Gateway Protocol (BGP)
      odr  On Demand stub Routes
      rip  Routing Information Protocol (RIP)
    
    inet-home(config)#router

    Eine echte Einschränkung sind die angebotenen Protokolle natürlich auch nicht, vor allem da BGP/ODR und RIP noch besser skalieren als EIGRP oder OSPF wenn eine sehr große Anzahl von Aussenstellen vorhanden sind. Ich habe jetzt unidirectional RIP für die Verbindung ins Büro laufen was auch sehr gut funktioniert.

    Geschwindigkeit am Telekom-VDSL:
    Da war ich wie schon erwähnt sehr überrascht. Bei ein paar massiven Downloads steigt die CPU-Last des Routers zwar auf gute 50%, aber dabei erreiche ich Download-Raten von guten 5.2 bis 5.3 MB/s. Mit der FritzBox 7390 habe ich nie über 4.9 bis 5.0 MB/s erreicht.

    Aber natürlich gibt es ein paar Nachteile:

    1. Das Flash: Wir haben 2014 und das Flash ist so klein, dass man nicht einmal ein zweites Image ablegen kann. Das ist einfach nur peinlich!
    2. inet-home#sh flash:
      57344K bytes system flash allocated
      
      Directory of flash:/
      
          2  -rwx    28385048  Jan 31 2014 13:02:11 +01:00  c860vae-advsecurityk9-mz.152-4.M5.bin
          4  -rwx         780  Apr 19 2014 23:10:08 +02:00  vlan.dat
      
      55351296 bytes total (26959872 bytes free)
    3. CPU-Power
    4. Das muss ich noch etwas weiter untersuchen. Aber das Upgrade des Routers auf das neuere IOS 15.2(4)M6a lief über das LAN mit ca, 20 KB/s. Das war die CPU-Auslastung dabei:

      CPU utilization for five seconds: 99%/1%; one minute: 99%; five minutes: 97%
       PID Runtime(ms)     Invoked      uSecs   5Sec   1Min   5Min TTY Process
       234     1367564       10866     125857 97.20% 97.27% 94.18%   4 SSH Process

      Jetzt muss aber vor dem Update wegen des knappen Flashs das alte IOS gelöscht werden. Wenn dann das Update sehr lange dauert und der Router dabei eine sehr hohe Last hat, dann wäre mir etwas mulmig wenn ich das remote durchführen müsste.

    5. Keine VRFs
    6. Ok, für so ein kleines Gerät sollte man das auch nicht erwarten, aber die Trennung von internem und public Routing wäre schon schön!

    Fazit?
    Der Router ist recht günstig und kommt daher natürlich mit einigen Nachteilen. Wenn diese bekannt und nicht zu störend sind, dann ist der 866VAE sicher ein guter Kauf. Wenn etwas mehr Budget zur Verfügung steht würde ich aber doch lieber zu einem 886VAer greifen.

    Der (fast) perfekte Home-Office-Router