Zum Inhalt springen

Schlagwort: ISR1100

Cisco ISR 1100 DSL und Cellular Modem komplett ausschalten

Die LTE oder DSL Module in den Cisco ISR 1100 Router laufen trotz dem deaktivieren der Interfaces (Interface shutdown) weiter. Sie benötigen auch Strom.

Man kann aber den ganzen Controller herunterfahen, damit die LTE oder DSL Module keinen Strom mehr benötigen.

router#conf t
Enter configuration commands, one per line. End with CNTL/Z.

(config)#controller VDSL 0/3/0
(config-controller)#shut

Mit „show controllers“ kann man überprüfen ob die Module abgeschaltet sind.

router# sh controllers VDSL 0/3/0 brief

Controller VDSL 0/3/0 is ADMINDOWN
Daemon Status: ADMINSTATE
...

Ebenso das LTE Modul. Dieser Befehl ist aber nicht permanent und nach einem Reboot läuft dsa LTE Modul wieder.

#controller cellular 0/2/0
#lte radio off

WARNING(Controller cellular 0/2): Radio power OFF setting will NOT persists if router or modem resets. Save to startup configuration.Use "no lte radio off" to turn radio power ON

*Sep 30 2020 16:53:43 CEST: %CELLWAN-6-CELLULAR_BACKOFF_STOP: Cellular0/2/0: Cellular back-off has stopped on PDN 0
Kommentare geschlossen

Cisco ISR 1100 Pakete aufzeichen

In Ciscos IOS-XE ist ein Paket Recorder integriert. So kann man einfach zur Analyse und Fehlersuche Datenpakete aufzeichen und exportieren.

Ich habe einen Cisco ISR 1100 verwendet um VoIP Traffic im Wireshark zu analysieren.Der in Wireshark integrierte Stream Analyzer zeigt so sehr einfach ob Pakete verloren gehen oder Jitter und Delay zu gross sind.

Zur Konfig:
Zuerst sollte sehr restiktiv der Traffic gefiltert werden. Wir wollen nur Aufzeichnen, was wir wirklich benötigen.

ip access-list extended CAPTURE1-to-SBC
  permit udp host 10.1.11.45 host xxx.xxx.xxx.xxx       (SBC)
  permit udp host xxx.xxx.xxx.xxx  host 10.1.11.45 

Danach wird der Capture aufgesetzt. Hier muss der Name, die Access-Liste, die Buffer-Grösse und das Interface angegeben werden:

monitor capture toSBC access-list CAPTURE1-to-SBC buffer size 4 interface GigabitEthernet0/0/1 both

Ich zeichne allen Traffic welcher der vorhin definierten Access-Liste entspricht und von/zu dem Interface Gi0/0/1 kommt auf bis der Buffer von 4MB gefüllt ist.

Nun startet man die Aufzeichnung:

monitor capture start

Folgende Befehle sind nun nützlich:

sh monitor capture toSBC buffer      (zeigt den Inhalt des Buffers)
monitor capture stop                 (stoppt die Aufzeichnung)
monitor capture clear                (leert den Buffer)

Wenn man die Aufzeichnung an einem entfernten Ort erstellt, kann man sich die Daten z.B. über FTP zusenden.

conf t
 ip ftp source-interface GigabitEthernet0/0/0
 ip ftp username ftp-user
 ip ftp password ftp-password
end

monitor capture toSBC export ftp://xxx.xxx.xxx.xxx/capture1.pcap

(xxx.xxx.xxx.xxx wäre die IP des FTP Servers)

Mehr Infos findet man auf der Cisco Seite:

https://www.cisco.com/c/en/us/td/docs/ios-xml/ios/epc/configuration/xe-16-9/epc-xe-16-9-book/nm-packet-capture-xe.html

Kommentare geschlossen

Cisco ISR 1100 Software Versions

Bei den Cisco ISR 1100 Routern gibt es viele verschiedene IOS XE Software Versionen. Angefangen bei den 16.6. mit dem Codenamen Everest, über Fuji, Gibraltar bis zu den neusten Amsterdam Versionen 17.1.

Cisco fügt hier immer bei den neuen Versionen an 2ter Stelle (xx.01.xx zu xx.02.xx) neue Features hinzu. Meistens sind diese Versionen im Status ED (Early Deploment).

Die hinterste Stelle (xx.xx.01 zu xx.xx.02) bezeichnet reine Bug-Fix Releases. Meistens sind diese Versionen im Status MD (Maintenance Deployment).

Wer nicht alle Release Note zu lesen möchte kann diese kleine Liste zur hilfe nehmen.

Kommentare geschlossen

VPN von Cisco ISR 1100 Series nach Fortigate

Cisco Konfig

1. Verschlüsselungskey für das VPN definieren (keyring)

crypto ikev2 keyring KEY_VPN_Basel-Zuerich
  peer Fortigate
   address 46.11.11.11      (IP Adresse der Fortigate)
   pre-shared-key abc123    (langes, kompliziertes Passwort verwenden) 

2. IKEv2 Proposal definieren (SA)

crypto ikev2 proposal default
  encryption aes-cbc-256
  integrity sha512
  group 19


- show command:
router#sh crypto ikev2 proposal default
IKEv2 proposal: default
Encryption : AES-CBC-256
Integrity : SHA512
PRF : SHA512
DH Group : DH_GROUP_256_ECP/Group 19

3. IKEv2 Profil definieren

crypto ikev2 profile PROF_VPN_Basel-Zuerich
  match identity remote address 46.11.11.11 255.255.255.255
  identity local address 62.12.12.12
  authentication local pre-share
  authentication remote pre-share
  keyring local KEY_VPN_Basel-Zuerich
   

4. Access Liste für VPN Traffic erstellen  (ACL)

ip access-list extended VPNACL-VPN_Basel-Zuerich
 permit ip 10.20.20.0 0.0.0.255 10.10.0.0 0.0.63.255

 (von Clientnetz vor Ort nach Server-Netz über das VPN) 

5. IPSecTransform SET definieren  (Verschlüsselung im Tunnel)

crypto ipsec transform-set TS-VPN_Basel-Zuerich esp-aes 256 esp-sha256-hmac 

6. Crypto Map erstellen (definiert Peer, ACL, und Transform Set)

crypto map CMAP-VPN_Basel-Zuerich 10 ipsec-isakmp
  set peer 46.11.11.11
  set security-association lifetime seconds 86400
  set transform-set TS-VPN_Basel-Zuerich
  set pfs group19
  set ikev2-profile PROF_VPN_Basel-Zuerich
  match address VPNACL-VPN_Basel-Zuerich 

7. VPN aktivieren (Zuweisen der Crypto Map auf das Router Interface)

interface Dialer1
  crypto map CMAP-VPN_Basel-Zuerich 

9. NAT ins Internet (Traffic ins VPN ohne NAT)

ip access-list extended NATACL_nach_Internet
  deny   ip 10.20.20.0 0.0.0.255 10.10.0.0 0.0.63.255
  permit ip 10.20.20.0 0.0.0.255 any
  
ip nat inside source list NATACL_nach_Internet interface Dialer1 overload 

Die NAT Rule mit der Access Liste ist wichtig, damit der Traffic ins VPN nicht übersetzt wird.

Fortigate Konfig

Kommentare geschlossen

FlexVPN Solution – Remote Offices per VPN anbinden

ENTWURF

Dieser Blog Eintrag soll eine Übersicht der Möglichkeiten aufzeigen, welche Cisco FlexVPN bietet. Dies an einem konkreten Beispiel: Das Anbinden von Aussenstellen (Remote Branches) an einen zentralen Standort. Am zentralen Standort sind aus Gründen der Redundanz zwei Rechenzentren mit je einem VPN Router vorhanden.
Als Router benutze ich die neusten Cisco Router der 1100er Serie.

Die Aussenstellen sind entweder per FTTH, VDSL oder LTE angebunden.

Somit verwende ich viele der gebotenen Features dieser neuen Cisco 1100er Router. (DSL Modem, SFP GBIC, 3G, 4G LTE Modem, FlexVPN, OSPF, VRF)

Zuerst zur Hardware:
Cisco stellt anfangs 2018 die ISR 1100er Serie Router vor. Sie sollten die 1900er Router ersetzen und machen das, meiner Meinung nach sehr gut. Auch das Preis/Leistung Verhältniss stimmt hier wieder etwas mehr.
Die Router gibt es mit verschiedensten Interfaces, welche ziemlich elegant kombiniert werden können. (WLAN, DSL, LTE, 4Port Switch, 8Port Switch, PoE)

Siehe Cisco Seite: https://www.cisco.com/c/en/us/products/collateral/routers/1000-series-integrated-services-routers-isr/datasheet-c78-739512.html

Wichtig: Die Router mit den 8 Port Switches haben einen schnelleren Prozessor drin. Alle Security Services (wie VPN) müssen über eine SEC Lizenz aktiviert werden. Wenn die Router so bestellt werden, sind alle Lizenzen vorinstalliert. (Achtung: lange Lieferzeiten)
Zudem ist es Interessant, dass die IPsec Performance Lizenz (IPsec Performance: Additional 100 Mbps for ISR 1100-4P and 200 Mbps for ISR 1100-8P) gleich teuer ist wie die IPSec HSEC Lizenz, welche die Drosselung der VPN Performance komplett deaktiviert. (IPSEC HSEC License for Cisco ISR 1100 8P and ISR 1100 4P)

Ohne Performance oder HSEC Lizenz liefert der Router ca. 50mbit/sec IPsec Durchsatz.
Router & NAT Performance: An meinem Gigabit FTTH Anschluss bringt der Router die volle Bandbreite. Er reklamiert zwar mit der Meldung, dass die CPU Last höher als 80% ist, aber der Speedtest zeigt über 980mbit/sec an.

Dann zur Software:
Ich benutze das aktuelle Fuji Release von IOS XE.

Cisco IOS XE Software, Version 16.08.01
Cisco IOS Software [Fuji], ISR Software (ARMV8EB_LINUX_IOSD-UNIVERSALK9_IAS-M), Version 16.8.1, RELEASE SOFTWARE (fc3)

Und nun zum Aufbau der Umgebung

Schema:

Konfiguration der HUB Router:

vrf definition VPN
 description VPN OSPF
 rd 51873:5501
!
 address-family ipv4
 exit-address-family
!
vrf definition Internet
 rd 2:1
!
 address-family ipv4
 exit-address-family
!
!
crypto ikev2 authorization policy IPSECPRO_VPN
 route set interface
 route set access-list flex_route
!
crypto ikev2 keyring KEYRING-VPN
 peer ANY-PEER
  address 0.0.0.0 0.0.0.0
  pre-shared-key *password*
 !
!
crypto ikev2 profile IKEV2PRO_VPN
 match fvrf any
 match identity remote fqdn domain vpn.local
 identity local fqdn R101.vpn.local
 authentication remote pre-share
 authentication local pre-share
 keyring local KEYRING-VPN
 virtual-template 1
!
vlan internal allocation policy ascending
!
crypto ipsec profile IPSECPRO_VPN
 set ikev2-profile IKEV2PRO_VPN
!
!
interface Loopback252
 description *** Loopback252 : VPN Endpoint, OSPF ***
 vrf forwarding VPN
 ip address 10.252.251.101 255.255.255.255
 ip ospf 1 area 1
!
interface GigabitEthernet0/0/0
 description *** Gi0/0/0 : WAN : Uplink to Internet ***
 vrf forwarding Internet
 ip address IPADDRESS NETMASK
 ip tcp adjust-mss 1452
 load-interval 30
 negotiation auto
!
!
interface Virtual-Template1 type tunnel
 vrf forwarding VPN
 ip unnumbered Loopback252
 ip mtu 1400
 ip tcp adjust-mss 1360
 ip ospf 1 area 1
 tunnel source GigabitEthernet0/0/0
 tunnel vrf Internet
 tunnel protection ipsec profile IPSECPRO_VPN
!
router ospf 1 vrf VPN
 router-id 10.252.251.101
 capability vrf-lite
 default-information originate
!

Konfiguration eines VDSL Spoke Routers:

vrf definition VPN
 rd 51873:5501
 !
 address-family ipv4
 exit-address-family
!
vrf definition Internet
 rd 2:1
 !
 address-family ipv4
 exit-address-family
!
crypto ikev2 authorization policy IPSECPRO_VPN
 route set interface
 route set access-list flex_route
!
!
!
crypto ikev2 keyring KEYRING-VPN
 !
 peer HUB1
  address IPADDRESSHUB
  pre-shared-key PASSWORD
 !
!
!
crypto ikev2 profile IKEV2PRO_VPN
 match fvrf any
 match identity remote fqdn domain vpn.local
 identity local fqdn Rx.vpn.local
 authentication remote pre-share
 authentication local pre-share
 keyring local KEYRING-VPN
 ivrf VPN
!
crypto ipsec profile IPSECPRO_VPN
 set ikev2-profile IKEV2PRO_VPN
!
interface Loopback252
 description *** Loopback252 : VPN Endpoint, OSPF ***
 vrf forwarding VPN
 ip address 10.252.251.x 255.255.255.255
 ip ospf 1 area 1
!
interface Tunnel1
 description *** TUNNEL1 : IPsec IKEv2 Tunnel to HUB ***
 vrf forwarding VPN
 ip unnumbered Loopback252
 ip mtu 1400
 ip tcp adjust-mss 1360
 ip ospf 1 area 1
 tunnel source Dialer1
 tunnel destination IPADRESSHUBROUTER
 tunnel vrf Internet
 tunnel protection ipsec profile IPSECPRO_VPN
!
interface Ethernet0/3/0
 description *** Et0/3/0 : Ethernet BuiltIn for VDSL ***
 vrf forwarding Internet
 no ip address
 ip mtu 1500
 load-interval 30
 no negotiation auto
 ipv6 address dhcp
 pppoe enable group global
 pppoe-client dial-pool-number 1
!
interface Vlan10
 description *** VLAN10 : to Customer ***
 vrf forwarding VPN
 ip address IPADDRESS NETMASK
 no ip proxy-arp
 ip ospf 1 area 1
!
interface Dialer1
 description *** DIALER1 : VDSL Dialer ***
 vrf forwarding Internet
 ip address negotiated
 encapsulation ppp
 ip tcp adjust-mss 1452
 load-interval 30
 dialer pool 1
 ipv6 address dhcp
 ppp chap hostname USERNAME
 ppp chap password PASSWORD
!
router ospf 1 vrf VPN
 router-id 10.252.251.x
 capability vrf-lite
 default-information originate
!
interface GigabitEthernet0/1/0
 description *** Gi0/1/0 : VLAN10 - to Customer ***
 switchport access vlan 10
 switchport mode access
 load-interval 30
 no cdp enable
 spanning-tree portfast

Konfiguration eines FTTH Spoke Routers: (nur Unterschiede)

interface GigabitEthernet0/0/0
 description *** Gi0/0/0 : Uplink zu Swisscom BBCS Monzoon ***
 no ip address
 negotiation auto
!
interface GigabitEthernet0/0/0.11
 description *** Gi0/0/0.11 : Uplink zu Swisscom BBCS - VLAN 11 PPP ***
 encapsulation dot1Q 11
 pppoe enable group global
 pppoe-client dial-pool-number 1
!
!
interface Dialer1
 description *** DIALER1 : FTTH Dialer ***
 vrf forwarding Internet
 ip address negotiated
 encapsulation ppp
 ip tcp adjust-mss 1452
 load-interval 30
 dialer pool 1
 ipv6 address dhcp
 ppp chap hostname USERNAME
 ppp chap password PASSWORD

Konfiguration eines LTE Spoke Routers:

Spezielles:

MTU Size: Da auf den VDSL Anschlüssen auf der Swisscom Plattform die MTU 1460 ist, muss der VPN Traffic noch mehr fragmentiert werden.

VRF-Lite und OSPF: Sobald VRF auf einem OSPF Router aktiv ist, werden Type 5 LSA Statements nicht in die Routing Tabebelle geschrieben, da man so Loops verhindern will. Aber genau diese Routen benütigen wir hier in diesem Beispiel. Somit muss capability vrf-lite aktiviert werden:

router ospf
capability vrf-lite

Links:

https://integratingit.wordpress.com/2016/07/10/configuring-cisco-flexvpn-hub-and-spoke/

https://www.cisco.com/c/en/us/support/docs/security/flexvpn/118888-configure-flexvpn-00.html

https://packetpushers.net/cisco-flexvpn-dmvpn-high-level-design/

https://networkengineering.stackexchange.com/questions/38915/why-would-type-5-as-external-ospf-route-not-install-in-routing-table

http://packetlife.net/blog/2010/mar/29/inter-vrf-routing-vrf-lite/

https://markwardbopp.wordpress.com/2015/06/10/ospf-series-why-wont-my-ospf-route-install-what-does-downward-bit-setnon-backbone-lsa-mean/

Kommentare geschlossen
Wir benutzen Cookies um die Funktionalität der Webseite zu gewährleisten. Durch Deinen Besuch stimmst Du dem zu.