čtvrtek 8. listopadu 2012

Cisco Nexus1000V je i ve free verzi

Cisco uvolnilo virtuální switch pro virtuální VMware a Hyper-V infrastruktury i ve free verzi. Jaké jsou rozdíly mezi free/essential a Advanced (placenou) verzí?


Doposud Cisco virtuální switch Nexus1000V pouze prodávalo. Nově vydalo i free verzi. Podívejme se tedy, jaké jsou rozdíly mezi oběma verzemi.

Společné vlastnosti:

  • podpora VLAN, ACL, QoS
  • VXLAN, vPath
  • LACP
  • multicast
  • NetFlow, ERSPAN
  • Management
  • vTracker
  • vCenter plugin

V Advanced verzi pak jsou dostupné i tyto vlastnosti:

  • podpora Cisco TrustSec
  • DHCP snooping, IP source guard, ARP inspection
  • VSG - Virtual Security Gateway

VSG byl předtím samostatný produkt, který je nyní dodáván v rámci Advanced balíčku N1K.

Vyplatí se nasadit N1K ve free verzi? IMHO by to nemuselo být špatné, protože vlastnosti advanced verze nejsou ani v přepínači integrovaném ve VMWARE a navíc jsou k dispozici další vlastnosti a lze sjednotit správu sítě. Správa sítě, která nezajišťuje správu virtuální infrastruktury. má možnost případně omezit i jednotlivé systémy tak, jako ve fyzické infrastruktuře.

Update 29.3.2013: Cisco Nexus 1000V je možno využít pouze s VMWARE Enterprise+. Viz informace např. na Cisco support community fóru.

Celý článek......
Vystavil Martin Pustka
Štítky: , ,

neděle 28. října 2012

Cisco Catalyst 2960 LAN Base a LAN Lite

Chcete pořídit Cisco Catalyst 2960 a nevíte zda LAN Base nebo LAN Lite?


Oba modely jsou velmi podobné a je potřeba zdůraznit, že LAN Lite verzi nelze povýšit na LAN Base, a to ani výměnou IOSu.

LAN Lite nepodporuje:

  • některé typy SFP traceiverů, konkrétně je problém s optickými ZX, BX a 100FX traceivery, které v Lite verzi nerozchodíte
  • omezená ACL
  • absence DHCP snoopingu, což bych v mnoha případech doporučil
  • není podpora 802.1x, web autentizace
  • omezená podpora QoS, není podpora policingu, DSCP, AutoQoS, definice front pro QoS
  • není podpora Flex Links, Link State Tracking
  • omezené množství VLANů: LAN Lite 64, LAN Base až 256
  • není podpora IPv6 - MLD snooping
  • LLDP-MED
  • není podpora RSPANu, MVR
  • není podpora IP SLA

Bližší info lze nalézt na Cisco webu.

WS-C2960-48TC-L se dá koupit za 21 tKč bez DPH, LAN Lite pak za 12 tKč bez DPH (ceny 2012/10). Upgrade z LITE na BASE verzi není možný ani výměnou IOSu. To nejde, osobně jsem to zkoušel.

Smysl má asi jen v nějakých jednoduchých a třeba samostatných částech sítě, kde výhodou je jednotná správa celé infrastruktury. V těchto situacích mi osobně pak ale chybí minimálně IP SLA.

A tragický mi připadá u LITE verze přístup k IPv6, kde není podporován MLD snooping. Mám totiž pocit, že interně se jedná v případě obou přepínačů o stejný HW a tak takové ořezávání bych pochopil u omezení na počty VLANů, QoS. Ale nevím, zda je dobrá cesta osekávat IPv6, DHCP snooping, ARP inspection, které se dnes u mnoha výrobců objevují u levných modelů. Zase je pravda, že ta podpora těchto funkcí není i u mnoha modelů konkurenčních výrobců stabilní.

Ve finále je třeba se hodně rozmyslet, zda koupit LAN LITE verzi a hlavně si uvědomit, že není možno ten prvek povýšit na LAN BASE.

Celý článek......
Vystavil Martin Pustka
Štítky: ,

pondělí 23. července 2012

Cisco Campus FEX

Koncept FEXů jsem popsal v jednom starším příspěvku o technologii Cisco Nexus 5000. V zásadě se jedná o to, že je nějaký centralizovaný prvek, ke kterému se formou modulů připojují jiné prvky bez vlastního managementu.


V oblasti LAN switchingu ale FEX koncept zatím není. Podle prezentace Catalyst switching innovations ze 4.března 2012 to vypadá, že Cisco Campus FEX technologii zmínilo i v nějakých svých materiálech a je zařazena do road-mapy. Autorem toho dokumentu je pán Hariprasad B.S. Holla, který pracuje na pozici Technical Marketing Engineer v Ciscu.

Moc pěkné. Dnes je praxe taková, že chcete-li vybavit rozvaděč spoustou portů, tak si koupíte nějaký levnější modulární přepínač (nejlevnější v Cisco portfoliu jsou Catalysty 4500). Ale i ten je omezen počtem volných slotů a interface karty nejsou nejlevnější...

Takže dnes si, kvůli úspoře, začnete budovat hvězdicovou topologii. Do středu topologie si postavíte agregační přepínač a k němu připojíte spoustu přístupových přepínačů. Hned máte spoustu prvků ke správě. Konzumují adresy, zdroje, máte o něce složitější správu, složitější SPT atd.

V Campus FEX konceptu připojíte k chytrému centrálnímu přepínači (Catalyst 4500/6500?) obyčejné prvky, které se na centrálním prvku jeví jako portové moduly. Výborné tedy je, že v případě, že fyzicky tento modul odejde, tak může jeho výměnu zajistit prakticky kterýkoliv majitel dvou rukou a jedné hlavy (ano, nohy jsou také třeba). Není potřeba do prvku nahrávat poslední IOS, konfiguraci původního přepínače atd. Stačí jedna adresa, jedno rozhraní.

Jinak ten dokument není nezajímavý. Sice jen bodově zmiňují vlastnosti, které by se v Catalystech měly objevit. Od VSS, ISSU, Wireshark přímo v IOSu, EVNka atd. Tak uvidíme, kdy se na světlo světa dostanou další konkrétnější informace.

Celý článek......
Vystavil Martin Pustka 0 komentářů
Štítky: ,

sobota 21. července 2012

PAT a NAT

Pár čtenářů mi na blog chodí, i když jsem dost dlouho psal jen koncepty, které jsem nepublikoval. Ale jeden pochvalný mail (díky :-) způsobil, že se dotahovaní konceptů budu snažit i věnovat. Takže jeden z konceptů dotahuji, dnes tedy PAT a NAT (ne MAT!) v Cisco IOSu.


Opět stejný důvod - příspěvek píšu, abych případně zatarasil slepé cesty jiným, ať to mají snadno, rychle, česky a odzkoušeně.

PAT je Port Address Translation, NAT je Network Address Translation. Klasický NAT se nakonfiguruje velmi jednoduše: 


interface FastEthernet0
  description Internet Connection
  ip address 1.2.3.4 255.255.255.0
  ip nat outside
  ! Pouzivame uRPF, ze ano :-)
  ip verify unicast source reachable-via rx allow-default allow-self-ping
!
interface vlan10
  description Internal network
  ip address 192.168.10.1 255.255.255.0
  ip nat inside
  ip verify unicast source reachable-via rx allow-default allow-self-ping
!
! Specifikujeme adresy sítí, ktere chceme překládat
access-list 1 permit 192.168.0.0 0.0.255.255
!
! Aplikujeme pravidlo pro NAT
ip nat inside source list 1 interface FastEthernet0 overload

Na kontrolu pak použijte příkazy show ip nat translations ..., které poskytují dostatek informací o NATu. Vyladit si NAT můžeme konfiguračními příkazy ip nat translation ..., kde lze nastavit různé timeouty, počty spojení atd.

Občas někdo potřebuje mít přímý přístup na port nějakého prvku zapojeného ve vnitřní síti (třeba remote desktop). Lepší cesta a bezpečnější cesta je tyto přístupy realizovat přes VPN, ale někdy to s různých důvodů nejde. Pro tyto případy lze realizovat tzv. destination NAT/PAT, kdy veřejná adresa (NAT) nebo třeba TCP/UDP port (PAT) směrovače lze mapovat na konkrétní privátní adresu, popř. port. V našem případě je příklad, kdy port TCP/8000 je směrován na privátní adresu 192.168.10.50:80. 

! Budeme potřebovat nějaký destination PAT
ip nat inside source static tcp 192.168.10.50 80 interface FastEthernet0 8000

Tento postup jsem ověřil na Cisco směrovacích řady 1800, tedy bez problémů by měl být aplikovatelný minimálně na všechny ISR směrovače.

Rozšířit konfiguraci můžeme i o to, že na výstupním rozhraní aplikujeme sekundární adresu. Na tuto adresu můžeme aplikovat NAT pravidla (hledejte místa, kde jsem dal FastEthernet0, dá se nahradit adresou).

Celý článek......
Vystavil Martin Pustka 0 komentářů
Štítky: ,

pondělí 16. července 2012

Export kontaktů z Nokie do Androidu

Došlo na to, že jsem musel mezi sebou prohodit SIMky v telefonech HTC Desire/Android a Nokia E52/Symbian. Kontakty v Androidu lze poměrně dobře udržet na SIMce (pokud stačí její kapacita), ale v Symbianu se mi to nepodařilo, tak jsem stál před tím, jak kontakty z Nokie dostat.


Tento článek píšu, abych případně zatarasil slepé cesty jiným a taky pro sebe. Kdybych náhodou podobnou anabázi chtěl (méně pravděpodobné) nebo dokonce musel podstoupit.

To, že si čísla budu přeposílat přes BT nebo SMSkama, jsem zamítnul hned v počátku. Směr byl poměrně jasný. Vezmu nějaký Linuxový program, vytáhnu kontakty ve tvaru jméno - číslo a to naleju do Androida.

Žádný rozumně vypadající Linuxový program jsem nenašel, takže jsem přebootoval do Windows7 a pustil Nokia PC Suite. Po spojení kabelovém s telefonem jsem z něj potřebná data stáhl velmi jednoduše. Ta šla z Nokia PC Suite exportovat do CSV formátu.

Ten formát má hodně položek. Takže jsem vytipoval ty správné (jméno, příjmení a číslo) a za pomoci AWK z toho vygeneroval slušně vypadající CSV.

Pak začala další peripetie. Jak to naimportovat do Androidu. Zde jsem ustoupil a kontakty nahrál na Google Contacts přes http://www.google.com/contacts

Výsledný mnou exportovaný soubor měl níže uvedený tvar. Pozor, musí být i záhlaví v tom správném formátu - na tom jsem se zadrhl asi nejdéle. 

     Mobile Phone,Last Name
     +420800123456,Franta Novak
     ...
     +420800123457,Jan Novak
A tento soubor už pak stačí jen uploadovat do GoogleContacts a počkat, až se objeví v telefonu, který máte se svým účtem synchronizovaný.

Update 29.11.2012: To je asi nevyhledávanější článek na blogu a tak si dovolím doplnění pro ty, co nevládnou Unixem a AWK. Napovím, že exportovaný CSV soubor z Nokia PC Suite lze nahrát do Excelu nebo OpenOffice calc. Pak si můžete uspořádat sloupce podle výše uvedeného příkladu a tento výstup exportovat opět jako CSV soubor (Uložit jako... CSV, oddělovač zvolte čárku). Tím získáte požadovaný výstup, který můžete případně upravit nebo doplnit obyčejným textovým editorem (Notepad, VIM, ale ne Word) a následně uploadovat na Google Contacts přes webové rozhraní.

Celý článek......
Vystavil Martin Pustka 0 komentářů
Štítky: ,