Tomasz Wendlandt

Jedną z prostszych spraw, ale początkowo wydająca się trudną jest upgrade FWSMów. Poniżej mini HOWTO.

1) Pobieramy nowy software z http://www.cisco.com/kobayashi/sw-center/index.shtml

Security Software -> Cisco Catalyst 6000 Firewall Services Module (FWSM) Strong Cryptographic (3DES) Software -> c6svc-fwm-k9.3-2-4.bin

2) Wrzucamy obraz na MSFC

[root@server ~]# scp c6svc-fwm-k9.3-2-4.bin juggler@sw6500.dc2:c6svc-fwm-k9.3-2-4.bin

3) Uruchamiamy na MSFC serwer TFTP

sw6500-dc2(config)#tftp-server disk0:c6svc-fwm-k9.3-2-4.bin

4) Zakładam, że istnieje wcześniej połączenie MSFC < -> FWSM, jeżeli nie należy takowe utworzyć

5) Kopiujemy obraz z MSFC na FWSMa

fwsm-dc2# copy tftp flash:

Address or name of remote host []? 1.1.1.1

Source filename []? c6svc-fwm-k9.3-2-4.bin

Destination filename [image]?

Accessing tftp://1.1.1.1/c6svc-fwm-k9.3-2 4.bin...
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
6062592 bytes copied in 27.820 secs (224540 bytes/sec)
fwsm-dc2#
[Connection to 127.0.0.11 closed by foreign host]

6) Rebootujemy FWSMa

fwsm-dc2# reload
Proceed with reload? [confirm]
fwsm-dc2#

***
*** --- START GRACEFUL SHUTDOWN ---
Shutting down isakmp
Shutting down File system

[Connection to 127.0.0.11 closed by foreign host]

7) Po rebootcie sprawdzamy wersję

fwsm-dc2# sh version
FWSM Firewall Version 3.2(4)
Device Manager Version 5.2(2)F

Compiled on Tue 08-Jan-08 17:24 by fwsmbld

fwsm-dc2 up 2 days 16 hours
failover cluster up 85 days 2 hours

Hardware:   WS-SVC-FWM-1, 1024 MB RAM, CPU Pentium III 1000 MHz
Flash STI Flash 7.4.0 @ 0xc321, 20MB

 0: Int: Not licensed        : irq 5
 1: Int: Not licensed        : irq 7
 2: Int: Not licensed        : irq 11
The Running Activation Key is not set, using default settings:

Licensed features for this platform:
Maximum Interfaces          : 256
Inside Hosts                : Unlimited
Failover                    : Active/Active
VPN-DES                     : Enabled
VPN-3DES-AES                : Enabled
Cut-through Proxy           : Enabled
Guards                      : Enabled
URL Filtering               : Enabled
Security Contexts           : 2
GTP/GPRS                    : Disabled
BGP Stub                    : Disabled
VPN Peers                   : Unlimited

Serial Number: xxxxxxxxxxx
Running Activation Key: 0x00000000 0x00000000 0x00000000 0x00000000
Configuration last modified by enable_1 at 10:01:01.000 UTC Fri Jan 25 2008

Jeżeli całość była robiona na standby’owym FWSMie po przełączeniu failoveru, możemy powtórzyć procedurę na drugim FWSMie. Przełączenie failoveru między FWSMami robimy poprzez:

fwsm-dc2# failover active

Oczywiście możemy postawić sobie serwer TFTP z boku, nie musi być uruchamiany z MSFC, ale to już kosmetyka. Osobiście bardziej odpowiada mi taka metoda. Jedna ważna sprawa, przed upgradem i ewentualnym reloadem upewnij się czy na obu Cat6500/7600 masz takie same VLANy terminowane na FWSMie.

firewall module 1 vlan-group 10
firewall vlan-group 10 10-1000

Jeżeli nie będą się zgadzały możesz narobić sobie problemów;).

CDP Tools to trzy programy umożliwiające korzystanie z Cisco Discovery Protocol na uniksach. Przykładowo jeżeli chcemy rozgłaszać obecność naszego hosta za pomocą CDP piszemy:

./cdp-send -L 10 -D domena-vtp -n juggler eth0

i sprawdzamy czy jesteśmy widoczni na switchu:

sw12#sh cdp neighbors
Capability Codes: R – Router, T – Trans Bridge, B – Source Route Bridge
S – Switch, H – Host, I – IGMP, r – Repeater, P – Phone

Device ID            Local Intrfce         Holdtme   Capability    Platform   Port ID
sw15                Gig 0/2               143            S I      WS-C2960-4Gig 0/2
juggler             Fas 0/28              172             H       i686      eth0

Working baby!:) Soft na licencji GPL, czasami może się przydać;).

Drobna wskazówka dla osób zarządzających sprzętem Cisco, gdy zachodzi potrzeba wrzucenia nowego IOSa, zamiast używać TFTP, można skorzystać z uniksowego scp. Wystarczy wcześniej uruchomić serwer ssh na ciskaczu:

Router (config)# ip scp server enable

i voile! Teraz wystaczy przegrać plik z uniksa na Cisco.

Jeżeli ktoś z Was chciałby skompilować natywnego Cisco VPN Client’a na Linuksie >= 2.6.19 i miał z tym problemy to polecam stronkę http://tuxx-home.at/archives/2007/05/29/T16_34_26/, gdzie znajduje się patch na kernel. Po jego nałożeniu problem z kompilacją znika.

Pod adresem http://www.cisco.com/cgi-bin/Support/CatCfgConversion/catcfg_xlat.pl (wymagany login CCO) znajduje się narzędzie do automatycznej konwersji składni pliku konfiguracyjnego z CatOSa do IOSa. Czasami może sie przydać;).

2 nowe URLe związane z Cisco:

Blogs@Cisco i Cisco Subnet

Pojawiła się okazja wrzucenia na jedno z urządzeń corowych modularnego IOSa. Rzeczywiście bardzo przyjemna sprawa, tak jak podaje sam producent. Dla tych, którzy jeszcze nie mieli okazji usłyszeć o tym rozwiązaniu, podsyłam link do prezentacji we flashu (marketingowa papka), white paper oraz link do configuration and installation guide’a…szkoda, że Cisco zdecydowało się tak późno na wprowadzenie takiego rozwiązania, JunOS miał to od zawsze;).

Jak podaje ccie.pl będzie TAC po polsku. Na początek 5 dni w tygodniu 8 godzin na dobę.

News z ostatnich dni. Cisco łączy się z IronPortem. IronPort to świetny komercyjny MTA, który potrafi obsłużyć bardzo dużą ilość wiadomości przesyłanych drogą elektroniczną. Całość oparta jest na gałęzi FreeBSD 4.x. Niestety bez dostępu do shella FreeBSD, ale za to z własnym CLI i bardzo przyjemnym interfacesem www. Jedno z nielicznych rozwiązań komercyjnych, do którego nie mogę mieć zastrzeżeń i śmiało polecam. Ciekawe jak fuzja obu firm wpłynie na integrację produktów Cisco i IronPort. Poniżej zamieszczam orginalną wiadomość.

Dear Valued Customer,
I am pleased to inform you of some exciting news – IronPort Systems has
agreed to merge with Cisco Systems. Cisco intends to have IronPort remain
as an independent business unit with the Cisco Security Technology Group.
This is great news for you, our customer, because it means that you will
continue to get the innovation, responsiveness and customer support that you
have come to expect from IronPort. None of the processes or people will
change. IronPort will maintain a separate sales force, separate customer
support system and separate product development.
The big win for our customers will come over time as IronPort and Cisco
begin to integrate our products and technologies. Both IronPort and Cisco
share the vision that security must operate at the application layer and at
the network layer. Over time we envision functions like IronPort Reputation
Filters and the Layer 4 Traffic Monitor (from the IronPort S-Series) to be
tightly integrated into Cisco networking products.
At IronPort, we passionately believe that we need to offer comprehensive
protection for our customers – across all network ports and at all network
egress points. The best way to achieve this goal is to join forces with a
networking leader, and of course Cisco is by far the best choice in this
regard.
I know that many of you have put your professional reputations on the line
when you made the decision to purchase IronPort products. It is my hope that
we have continued to live up to the very high expectations that go along
with this type of responsibility. In many ways, this merger validates the
choice that you made – IronPort, the clear messaging security industry leader,
has been acquired by Cisco, the clear networking industry leader.
Our success at IronPort is a result of having both world-class customers to
guide our development, and also a fantastically strong team of employees.
Cisco has recognized this fact, and we are structuring the merger so that
IronPort remains an independent business unit within Cisco. This means that
the IronPort organization itself will remain intact as we build the company
we aspire to be tomorrow.
You’ll be hearing lots more from us as we partner with Cisco to stop the latest
generation of spam, viruses, spyware and phishing. But most importantly,
the IronPort that you have placed your trust in will still be the IronPort
that you turn to for answers in the future.
We look forward to continuing to work with you to stop the ever growing
range of attacks and help make the Internet safe.
Sincerely yours,
Scott Weiss
CEO
IronPort Systems
950 Elm Avenue
San Bruno, CA 94066

Jak wiadomo standardowo sekwencja CTRL-SHIFT-6-X powoduje zawieszenie sesji. Jeżeli ktoś odczuwa potrzebę zmiany tej kombinacji może zrobić tak:

# conf t
(config)# line vty 0 4
(config-line)# escape-character 3

Co spowoduje zmianę escape key na CTRL-C