Die neue Cisco AnyConnect Lizenzierung

Ein großer Vorteil der Cisco Remote-Access VPN-Lösung war bisher, dass die Lizenzierung recht einfach war und nicht pro  PC bezahhlt werden musste, auf dem der AnyConnect Client installiert war. Natürlich gab es auch Ärgernisse, z.B. dass AnyConnect Essentials und AnyConnect Premium nicht gemischt werden konnte.

Mit den aktuellen Änderungen für den neuen AnyConnect 4 wird zwar letzteres möglich sein, allerdings wird das gesamte Lizenzmodell deutlich aufwendiger. Was sich alles ändert:
Es gibt drei neue Lizenzstufen:

  • Plus Subscription
  • Plus Perpetual
  • Apex Subscription

Subscription heißt, dass man die Lizenz mit Laufzeiten von einem, drei und fünf Jahren erwerben kann. Die Lizenzierung des Headend Termination Devices (z.B. die ASA) ist unabhängig davon.
Im AnyConnect Plus sind die folgenden Features enthalten:

  • VPN
  • per App VPN (das ist neu in v4)
  • Web Security für CWS und WSA
  • Network Access Manager

Mit Ausnahme des neuen “per App VPNs” sieht das also ziemlich nach den bisherigen Features aus.
In der neuen AnyConnect Apex Lizenz kommen die folgenden Features dazu:

  • Posture
    Das gab es zwar vorher schon, neu ist aber, dass der AnyConnect Client jetzt auch für die ISE ab der kommenden Version 1.3 benutzt werden kann. Der alte NAC Posture Agent ist nicht mehr notwendig. Das ist eine Änderung, die schon lange überfällig ist. Erstaunlich, dass mir auf der diesjährigen Cisco Networkers von einem Cisco-Mitarbeiter noch gesagt wurde, dass dies auf absehbare Zeit nicht zu erwarten sei. 
  • Next Generation Crypto / Suite B
    Für Firmen, die für anständige Crypto extra Geld verlangen fallen mir viele Worte ein. Die könnte aber alle Einfluss auf potentielle Altersbeschränkungen dieser Seite haben …
  • Clientless VPN
    Was früher per AnyConnect Premium auf dem Headend Device lizenziert wurde, ist jetzt also von der Client-Lizenz abhängig.

Mit dem neuen AnyConnect benötigt jeder Client eine Lizens:

The number of Cisco AnyConnect licenses needed is based on all the possible unique users that may use any Cisco AnyConnect service. The exact number of Plus or Apex licenses should be based on the total number of unique users that require the specific services associated with each license type.

Die kleinste Lizenz-Stufe ist jetzt für 25 Clients. Für mein Setup mit zwei Macs und auf jedem Mac drei VMs mit XP/Win7/Win8 brauche ich also schon acht Lizenzen.

Was lange überfällig war, ist dass verschiede Versionen gemischt werden können:

Cisco AnyConnect Apex and Plus licenses can be mixed in the same environment.
The number of Plus licenses can be smaller or greater than the number of Apex licenses.

Das Lizens-Management bringt uns eventuell noch ein paar „Herausforderungen“ …

When a Cisco ASA is used Cisco AnyConnect, your production activation key (PAK) for Plus or Apex must be registered to the serial number of each individual Cisco ASA via the Cisco License Management portal.

Wie das genaue Handling sein wird, vor allem wenn man Szenarien hat, bei denen ein Client auf viele verschiedene ASAs zugreift, dass muss sich noch zeigen. Ich hoffe, dass es da keine Probleme geben wird.

Die genaue Beschreibung des neuen Lizenzmodells gibt es im Cisco AnyConnect Ordering Guide.

Die neue Cisco AnyConnect Lizenzierung

Rückkehr des IPJ

Das Internet Protocol Journal war eines der besten Publikationen im Netzwerk-Sektor. Deshalb war ich recht enttäuscht als dieses im letzten Jahr eingestellt wurde. Um so erfreulicher, dass das IPJ mit neuen Sponsoren neu aufgelegt wurde. So habe ich meine Ausgabe am Wochenende im Briefkasten gehabt.
Noch ist auf der neuen Webseite noch nicht zu finden, wie die Print-Ausgabe aboniert werden kann. Die Online-Version kann aber — wie früher auch — online herunter geladen werden.
Die Haupt-Themen der aktuellen Ausgabe sind

  • Gigabit Wi-Fi
  • A Question of DNS Protocols
Rückkehr des IPJ

Der (fast) perfekte Home-Office-Router

Gerade habe ich testweise meinen ersten Cisco 866VAE-k9 installiert. Hier beschreibe ich ein paar Eindrücke von diesem Gerät.

Warum der 866VAE-k9
Ich wollte einen IOS-Router mit eingebautem VDSL-Modem. Eine Zeitlang hatte ich eine Fritzbox als DSL-Router und Telefonanlage laufen, aber das ist einfach zu unflexibel. Die Fritzbox bleibt zwar die Telefonanlage bis ich da etwas besseres finde, aber als Router wollte ich ein vollwertiges IOS-Gerät haben, das zumindest anständig VPNs beherrscht und auch Policy-Based Routing kann. Zusätzlich benötigte ich DNS-Views um selektiv DNS-Abfragen an den DNS-Server im Büro zu senden. Weiterhin sollte der Router keinen oder zumindest einen sehr leisen Lüfter haben.
Meine Wahl fiel dann auf den Cisco 866VAE-k9, der ein eingebautes DSL-Modem hat, ohne Lüfter daherkommt und zudem noch recht günstig ist. Meine erste Befürchtung war zwar, dass er am 50 MBit-VDSL überfordert wäre, aber dort wurde ich angenehm überrascht.

Die VDSL-Konfig
Die Konfiguration des VDSLs bei diesem Router weicht deutlich von der ADSL-Konfig ab, wie sie auf älteren Geräten durchgeführt wurde. Hier ein kleiner Auszug aus der Konfig:

controller VDSL 0
 operating mode vdsl2
!
interface Ethernet0
 description VDSL Internet Verbindung - VLAN 7 tagged
 no ip address
 no ip route-cache cef
!
interface Ethernet0.7
 encapsulation dot1Q 7
 pppoe-client dial-pool-number 1
!
interface Dialer0
 description log. WAN-Interface
 dialer pool 1

Für VDSL erwartet die Telekom die Daten getagged mit VLAN 7. Dafür wird das logische Interface Ethernet0 verwendet, das als physikalischer Port nicht vorhanden ist.

Die VPN-Konfig
Die ist nicht weiter erwähnenswert da der Router wie jeder andere IOS-Router konfiguriert wird. Allerdings werden nicht alle VPN-Arten unterstützt. IKEv1 und IKEv2 sind beide supported, Crypto-Maps und VTIs gehen natürlich auch und FlexVPN soll ebenfalls gehen. DMVPN ist anscheinend nicht supported. Mit FlexVPN ist aber ein leistungsfähiger Nachfolger verfügbar. Auch WebVPN ist nicht enthalten, aber das ist bei der angepeilten Zielgruppe wohl auch nicht notwendig.
Ich habe mein VPN wegen der dynamischen IP-Adresse mit einem Virtual Tunnel Interface (VTI) auf der Spoke-Seite und einem dynamic Virtual Tunnel Interface (dVTI) auf der Hub-Seite konfiguriert.

Routing-Möglichkeiten:
Bei dVTIs muss die Aussenstelle mit dynamischem Routing angebunden werden. Da kann es von Nachteil sein, dass der Router kein OSPF und EIGRP unterstützt (der Router benutzt ein Advanced Security Image; diese haben auch bei anderen 800er Routern sehr eingeschränkte Routing-Möglichkeiten). Diese Routing-Protokolle sind unterstützt:

inet-home(config)#router ?
  bgp  Border Gateway Protocol (BGP)
  odr  On Demand stub Routes
  rip  Routing Information Protocol (RIP)

inet-home(config)#router

Eine echte Einschränkung sind die angebotenen Protokolle natürlich auch nicht, vor allem da BGP/ODR und RIP noch besser skalieren als EIGRP oder OSPF wenn eine sehr große Anzahl von Aussenstellen vorhanden sind. Ich habe jetzt unidirectional RIP für die Verbindung ins Büro laufen was auch sehr gut funktioniert.

Geschwindigkeit am Telekom-VDSL:
Da war ich wie schon erwähnt sehr überrascht. Bei ein paar massiven Downloads steigt die CPU-Last des Routers zwar auf gute 50%, aber dabei erreiche ich Download-Raten von guten 5.2 bis 5.3 MB/s. Mit der FritzBox 7390 habe ich nie über 4.9 bis 5.0 MB/s erreicht.

Aber natürlich gibt es ein paar Nachteile:

  1. Das Flash: Wir haben 2014 und das Flash ist so klein, dass man nicht einmal ein zweites Image ablegen kann. Das ist einfach nur peinlich!
  2. inet-home#sh flash:
    57344K bytes system flash allocated
    
    Directory of flash:/
    
        2  -rwx    28385048  Jan 31 2014 13:02:11 +01:00  c860vae-advsecurityk9-mz.152-4.M5.bin
        4  -rwx         780  Apr 19 2014 23:10:08 +02:00  vlan.dat
    
    55351296 bytes total (26959872 bytes free)
  3. CPU-Power
  4. Das muss ich noch etwas weiter untersuchen. Aber das Upgrade des Routers auf das neuere IOS 15.2(4)M6a lief über das LAN mit ca, 20 KB/s. Das war die CPU-Auslastung dabei:

    CPU utilization for five seconds: 99%/1%; one minute: 99%; five minutes: 97%
     PID Runtime(ms)     Invoked      uSecs   5Sec   1Min   5Min TTY Process
     234     1367564       10866     125857 97.20% 97.27% 94.18%   4 SSH Process

    Jetzt muss aber vor dem Update wegen des knappen Flashs das alte IOS gelöscht werden. Wenn dann das Update sehr lange dauert und der Router dabei eine sehr hohe Last hat, dann wäre mir etwas mulmig wenn ich das remote durchführen müsste.

  5. Keine VRFs
  6. Ok, für so ein kleines Gerät sollte man das auch nicht erwarten, aber die Trennung von internem und public Routing wäre schon schön!

Fazit?
Der Router ist recht günstig und kommt daher natürlich mit einigen Nachteilen. Wenn diese bekannt und nicht zu störend sind, dann ist der 866VAE sicher ein guter Kauf. Wenn etwas mehr Budget zur Verfügung steht würde ich aber doch lieber zu einem 886VAer greifen.

Der (fast) perfekte Home-Office-Router

Und wieder eine MD5-Verwendung weniger!

Der Untergang von MD5 ist nicht aufzuhalten. Zwar sehe ich auch heute noch immer wieder neue VPN-Konfigs, die mit MD5 arbeiten, aber nach und nach wird auch im Cisco IOS die Verwendung von MD5 reduziert. Während früher lokale Passwörter mit MD5 gehashed wurden, wird in aktuellen IOS-Versionen dafür SHA256 verwendet, was mit dem Password-Typ “4” gekennzeichnet wird:

R1(config)#username cisco secret 1234QWerYXcv

R1(config)#do sh run | i username
username cisco secret 4 irYgUmM5jSgCvMDO0jEQ3Z65YnGxJ1JbHhX4TrRyGX2
Und wieder eine MD5-Verwendung weniger!

Cisco ASA: Public-Key-basierte SSH-Logins

Die Router bieten schon längere Zeit (ab IOS 15.0) die Möglichkeit, sich per Public-Key-Authentifizierung anzumelden. Inzwischen besteht auch auf der ASA ab Version 8.4(4.1) diese Möglichkeit:

asa(config)# username test attributes
asa(config-username)# ssh authentication publickey ?

username mode commands/options:
  WORD  Raw SSH-RSA public key
asa(config-username)# ssh authentication publickey 

Nachdem man hier seinen Public-Key eingefügt hat, kann man sich per SSH ohne Angabe eines Passwortes mit der ASA verbinden.

Cisco ASA: Public-Key-basierte SSH-Logins

Cisco Networkers 2012 in San Diego, Tag 4 und 5


 
 
 

Für den Mittwoch habe ich mir wieder drei Sessions herausgesucht:

  • IPv6 Troubleshooting
  • Eine sehr interessante Session über die Fehlersuche in IPv6-Netzwerken. Diverse Szenarien und Technologien wurden beleuchtet und die möglichen Fallstricke gezeigt. Das wird in der nahen Zukunft sicher hier und da helfen.

  • Deploying Web-Security
  • In der Session ging es um die zwei Wege mit Cisco den Web-Traffic der Clients zu sichern. Zum einen wurde die Inhouse-Lösung mit den IronPort WSA erläutert und dann die Cloud-Lösung ScanSafe erklärt. Ich stehe dem Senden meiner Daten in die Cloud zwar sehr kritisch gegenüber, aber ScanSafe werde ich mir trotzdem anschauen. Das klang alles durchaus schlüssig.

  • Ethernet OAM – Technical Overview and Deployment Scenarios.
  • Mit OAM habe ich bisher noch keine Berührung gehabt. Zum Glück habe ich mich früher (für diverse Cisco-Kurse und die CCIE-Vorbereitung) kräftig mit Frame-Relay beschäftigt. Damit war dann auch das Meiste dieser Session zu verstehen. Das Link-Management funktioniert nicht nur sehr ähnlich, sondern verwendet auch diverse dort verwendete Begriffe.

Die Mittwochs-Keynote habe ich, wie die Jahre davor, wieder ausgelassen um mich auf der World of Solutions etwas umzuschauen. Meinem Vorsatz keine T-Shirts mehr mitzunehmen bin ich treu geblieben.

Abends war dann der Customer Appreciation Event, der im Baseball-Stadion Petco Park stattgefunden hat. Passend zu der Location war der diesjährige Cisco-Hut dann auch eine Baseball-Kappe. Selbstverständlich waren wieder ein paar LEDs eingearbeitet. Für Stimmung haben Zepparella und Wheezer gesorgt.

Cisco Live 2012 CAE

Donnerstag habe ich zum Abschluss vier Sessions gehabt (dafür blieben für das Mitagessen aber nur ca. 10 Minuten):

  • Deploying Secure Branch and Edge Solutions
  • In dieser Sessions wurden die neuesten Features der ISR G2 und ASR 1k gezeigt. Die neuesten IOS-Versionen bringen ein paar sehr interessante Features mit, die sehr vielversprechend sind. Aber nach dem Motto “Lieber ängstlich als offline” werde ich die neuen Funktionen eher noch nicht produktiv einsetzen, da dafür sehr neue IOS-Versionen nötig sind.

  • Advanced IPSec with FlexVPN and IKEv2
  • Nun hat man sich an VTI, DVTI und DMVPN gewöhnt (den Crypto-Maps weine ich keine Träne nach), da gibt es schon wieder die nächste Technik. In Zukunft wird alles im Bereich Site-to-Site und Remote-Access-VPNs unter dem Dach des FlexVPN laufen. In Grundzügen ist diese Technik den VTIs und DVTIs sehr ähnlich, bietet aber nicht nur eine enorme Flexibilität, sondern auch eine Vereinfachung der Konfiguration. Diese Session wurde direkt von dem Designer von FlexVPN gehalten. Und ich kann es kaum erwarten das einzusetzen. Aber “Lieber ängstlich …”

  • Practical PKI for VPN
  • Hier gab es viele Informationen zum PKI-Einsatz. Hätte ich diese Session früher gehört hätte ich mir viel Zeit sparen können, die ich mit Windows 2008-Büchern verbracht habe. Am interessantesten war aber eine Funktion, die schon am Sonntag im Techtorial gezeigt wurde: Das Device-Enrollment für mobile Geräte mit Hilfe der in Kürze erscheinenden Identity Services Engine 1.1.1. Das war einfach klasse. Das neue Release werde ich auf meiner ISE sofort einspielen wenn es verfügbar ist.

  • Architecting Solutions for Security Investigations and Monitoring
  • Die letzte Session des Tages war dann eine der interessantesten der ganzen Networkers. Zwei Mitglieder des Cisco-internen Security Incident Response Team haben erzählt wie sie Security-Vorfälle verfolgen und untersuchen. Einfach klasse; kein Cisco-Brainwashing, anstelle dessen viele Informationen wie die Cisco-Lösung an manchen Stellen nicht funktionieren oder nicht ausreichen. Dem Cisco Security Agent trauerten beide Vortragenden genau wie ich auch hinterher. IPS haben sie natürlich auch, benutzen es für den Client-Traffic aber nur im promiscous-Mode. Und die wichtigste Technik für Ciscos BYOD-Strategie war der Einsatz der Web Security Appliance (IronPort).

Zwischen der dritten und vierten Session gab es dann die Guest-Keynote die ich dieses Jahr zum Glück wieder mitgemacht habe. Die MythBuster haben über ihre Arbeit erzählt, wobei kein Auge trocken blieb. Die beiden haben wirklich den allerbesten Job; einfach klasse.

Und damit schließt dann der Networkers-Bericht. Während ich dies schreibe sitze ich im Flieger und bin hoffentlich in gut 15 Stunden wieder zu Hause.

Zusammenfassung: Dies war meine achte Networkers/CiscoLive und den USA. Wieder einmal war es insgesamt klasse und sehr informativ. Ich freue mich schon auf das nächste Jahr, da findet die CiscoLive vom 23. bis 27. Juni in Orlando statt.

Cisco Networkers 2012 in San Diego, Tag 4 und 5

Cisco Networkers 2012 in San Diego, Tag 3


 
Auch heute standen wieder drei Sessions auf dem Plan:

  • Network Diagnosis: Prevent Prepare Repair
  • Decloaking the Network: Evasions Exposed
  • Advanced Intrusion Prevention Systems

Die erste Session habe ich vor zwei Jahren schon einmal gehört. Das habe ich bei der Auswahl der diesjährigen Session nicht bemerkt. Da die Speakerin (sie bezeichnet sich selbst als “Lab-Rat”) aber enorme Erfahrung im Troubleshooting hat, war es auch dieses Mal wieder sehr informativ.

Die zweite und dritte Session gehörten zum Thema Intrusion Prevention, einem meiner Lieblingsthemen. Es gab etliche neue Informationen, aber für Level3-Sessions wurde auch wieder viel zu viel Zeit mit Basics verbracht.

Am Dienstagvormittag gab es, wie immer, die Keynote von John Chambers. Dabei wurden dann auch ein paar “Konferenz-Daten” bekannt gegeben:

  • 17.000 Teilnehmer waren vor Ort, 125.000 per CiscoLive virtual dabei.
  • über 40% der Teilnehmer das erste Mal dabei. Das heißt aber auch, dass etliche der Teilnehmer vom letzten Mal in diesem Jahr nicht wieder gekommen sind.
  • Von den 17.000 Teilnehmern waren nur 3.600 Cisco-zertifiziert. Da hätte ich einen höheren Anteil erwartet.

In der Keynote ging es um … ja, worum eigentlich …? Wie auch schon in den letzten Jahren konnte ich eine richtige Aussage nicht aus der Rede herausholen. Aber es macht schon Spaß ihm zuzusehen, da er eine gewisse Begeisterung beim Reden versprüht.

Auf der Worlds of Solutions habe ich dann noch das T-Shirt zu einer der interessantesten neuen Technologien ergattert:

Ab 17:00 Uhr ging die “World of Solutions”-Reception los, in der die Aussteller zu einigen Drinks und Häppchen einladen. Die habe ich aber nicht besucht, denn zur gleichen Zeit lief die CCIE/NetVet-Reception mit John Chambers. Leider wurde diese, wie in den letzten Jahren auch, parallel zur letzten Session des Tages gelegt, so dass ich John Chambers Rede in der kleinen Runde nicht mitbekommen habe. Aber die Fragerunde war wieder interessant und der Sammelpin ist sowieso dabei das Wichtigste.

Fragestunde mit John Chambers
Der CCIE/Netvet Sammelpin 2012

Ausserdem hatte man von der Location eine sehr nette Aussicht:

Die Aussicht über den Hafen

Blick über die Stadt

Danach ging es dann zur CCIE-Party. Die fand auf der USS Midway statt, einem alten Flugzeugträger, der zu einem Museum umgebaut wurde. Die Fotos sind von letzter Woche, als wir dort vorbeigelaufen sind. Abends war es einfach zu dunkel.

Auf der Party wurde ebenfalls ein WLAN zur Verfügung gestellt, was ich aber erst sehr spät bemerkt habe. Dieses hat dann erstaunlich gut funktioniert. Deutlich besser als das im Konferenz-Center, das mal wieder durch Ausfälle und Probleme größtenteils unbenutzbar war.

Cisco Networkers 2012 in San Diego, Tag 3

Cisco Networkers 2012 in San Diego, Tag 2


 

Am heutigen Tag standen drei Sessions auf dem Plan:

  1. “Exploring the Engineering behind a Switch”
  2. In dieser Session wurde detailliert beschrieben, welche Schritte durchlaufen werden, wenn ein neuer Switch entwickelt wird: Angefangen von der Idee, was das neue Gerät können muss, bis zur ersten Auslieferung. Dies war keine technische Session wie die meisten anderen, aber trotzdem sehr interessant, um ein wenig Hintergrundwissen zu erlangen, wie Cisco arbeitet.

  3. “Deploying TrustSec in Enterprise Branch and WAN Networks”
  4. TrustSec ist der Überbegriff für verschiedene Security-Technologien, die Cisco anbietet. Eine der interessanteren sind die SGT oder “Security Group Tags”. Dabei wird einem User bei der Verbindung mit dem Netzwerk eine ID zugewiesen, und diese wird in den Frames als Tagging transportiert (soweit das möglich ist). Andere Geräte können dann mit diesem Tag arbeiten, z.B. als SGFW (Security Group Firewall), basierend auf diesen Tags, die Pakete durchlassen oder verwerfen.

  5. “Maximizing Firewall Performance”
  6. In dieser Session wurden viele Parameter beleuchtet, die die Geschwindigkeit der Firewalls (ASA, FWSM, ASASM) beeinflussen. Dabei wurde intensiv auf die unterliegende Hardware eingegangen und Informationen gezeigt, die ansonsten schwer zu finden sind. Das war damit auch die beste Session des Tages.

Neben den üblichen WLAN-Ausfällen und extremen Temperaturschwankungen in den Räumen gab es heute auch die längste Schlange beim Mittagessen, die ich je erlebt habe. Vermutlich sind heute fast alle der erwarteten 15.000 Besucher eingetroffen.

Am Abend gab es dann die Welcome-Reception. Mit viel Bier und leckeren Häppchen wurde die Ausstellung eröffnet. Traditionell wird da als erstes das Badge gepimmt und die CCIE-Mütze abgeholt:

Pimp your Badge
Pimp your Badge

Passend zum IPv6 Launch-Day wurde die richtige Frage gestellt, die in Zukunft hoffentlich öfter mit “ja” beantwortet werden kann.

Enabled IPv6 on Something Today?
Enabled IPv6 on Something Today?

Beim Thema T-Shirts habe ich mich dieses Jahr zurückgehalten und nur Cisco-Shirts mitgenommen:

Von Cisco gab es dann auch noch einen USB-Stick als Armband:

Cisco USB-Stick
Endlich mal ein nutzbarer USB-Stick

Im letzten Jahr hatte ich mich noch gewundert, wo FastLane und Cisco USB-Sticks mit Kapazitäten von zwei bzw. einem GB gefunden hatten. Dieses Mal jedoch hat Cisco nachgebessert; der Stick hat acht GB! Damit kann man dann ja doch schon etwas anfangen.

Cisco Networkers 2012 in San Diego, Tag 2