Seja o primeiro a comentar

Por André Ortega, 07/05/2012 12:14

O ACS é o servidor de autenticação da Cisco, suportando RADIUS e TACACS+. Ele é usado para fazer autenticação nos equipamentos de rede (acesso administrativo) ou para autenticar os usuário de uma rede (802.1x).

Ou seja, nos dois casos este elemento é muito importante, e por isso o backup é indispensável.

Nas novas versões (a partir da versão 5) podemos fazer o backup via linha de comando (CLI) ou via browser (GUI). Para isso, primeiro temos que criar um repositório, que pode ser local (disco ou cd-rom) ou remoto (ftp, tftp, sftp e nfs). E depois executar o backup ou fazer o agendamento.

Fazendo backup no Cisco ACS 5.3, via linha de comando, para um FTP Server

1º) Criando um repositório (FTP)

conf t
repository nome-do-repositorio
  url ftp://10.10.10.50
  user admin password plain cisco123
  end

2º) Executando o backup

backup nome-do-backup repository nome-do-repositorio

Desta forma o backup será gerado imediatamente, e você pode usar o comando show backup history, para verificar o histórico e status das últimas operações.

Criando um repositório e agendando um backup via GUI

Também é simples criar o repositório e agendar o backup via interface gráfica.

1º) Acesse o menu esquerdo System Administration > Operations > Software Repositories.

2º) Informe as opções:

        Name: Nome do repositório
        Description: Descrição do repositório (opcional)
        Protocol: Local onde será armazenado o backup, neste exemplo no disco local
        Path: Caminho/Pasta onde o backup será salvo

OBS: Para usar uma pasta, você precisa cria-lá antes via linha de comando (mkdir disk:/backup/). Se você informar o caminho “\” o arquivo de backup será gravado na raiz.

3º) Acesse o menu esquerdo System Administration > Operations > Scheduled Backups.

4º) Informe as opções:

        Filename Prefix: Nome que será adicionado ao backup
        Repository: Selecione o repositório criado anteriormente
        Time of Day: Horário que o backup será realizado, e a recorrência (diário, semanal ou mensal).  

5º) Clique em Submit e o backup estará agendado.

Mais informações no User Guide e no CLI Reference Guide.

Até a próxima.

(4) Comentários

Por André Ortega, 13/04/2012 15:37

Já tratamos do Cisco EEM em outros posts aqui no blog, então não vou direto ao ponto. Segue um exemplo de script para que o switch envie um email com os processos em uso, caso o processamento chegue a 90%.

Com isso você pode descobrir qual processo está consumindo os recursos e assim fazer uma investigação mais acertiva.

Configurando 3750 para enviar email caso o processamento atinja 90%

event manager applet CPUusage90
event snmp oid 1.3.6.1.4.1.9.9.109.1.1.1.1.3.1 get-type exact entry-op ge entry-val 90 poll-interval 10
action 1.0 cli command "enable"
action 2.0 cli command "show process cpu"
action 3.0 mail server "10.10.10.4" to "seuemail@dominio.com.br" from "hostname@dominio.com.br" subject "Hostname CPU Alert" body "$_cli_result"

Na configuração acima temos:

• CPUusage90 – Nome do applet, que pode ser alterado.
• entry-val – Valor (90) que vai disparar as ações definidas abaixo.
• poll-interval – De quanto em quanto tempo o script será executado, em segundos.
• mail server – Ip do seu servidor de email.
• to – Destinatário do email.
• from - Remetente, no caso o equipamento que está enviando o alerta.
• subject – Texto que aparecerá no “assunto” do email.

Utilizei este script recentemente, por conta de um switch que de hora em hora dava um pico e batia 100%. No fim descobri que o processo SNMP ENGINE que estava subindo.

Até a próxima.

(4) Comentários

Por Leandro Oliveira, 29/03/2012 17:34

Talvez você ainda não saiba, mas os produtos da Apple (IPhone, IPad, Mac OS X) possuem um client de VPN nativo da Cisco, o que torna desnecessário a instalação de um client IPSec quando a solução dos concentradores tiver como base os produtos da empresa de San Francisco.
A idéia deste post é mostrar o processo de configuração em um Mac OS X (Lion), considerando que o equipamento concetrador (PIX, ASA, VPN3000 ou Router) já esteja configurado para VPN do tipo remote access, mão a massa…

O primeiro passo é abrir o menu Network em System Preferences

Dentro da janela Network clique no sinal de + no canto inferior esquerdo para adicionar uma nova conexão de rede, selecionando na nova janela que se abrirá as opções de Interface, VPN Type como mencionados abaixo, na opção Service Name atribua o nome que lhe for conveniente, clique em Create.

Depois que a conexão for criada ela aparecerá do lado esquerdo com o status em amarelo, clique na conexão e posteriormente em Authetication Settings

Na janela que abrirá basta cadastrar o nome do grupo e a shared secret ou certificado digital, clique em OK

Pronto! Sua conexão VPN esta pronta para uso bastando apenas clicar em Connect para estabelece-la

Até a próxima…

Leandro Oliveira

Seja o primeiro a comentar

Por André Ortega, 28/03/2012 11:12

Fazer o backup das configurações e atualizar o software de uma WLAN Controller – Cisco, é bem simples. Estes procedimentos podem ser realizados por linha de comando (CLI) ou pela interface gráfica (GUI), como ilustrado abaixo.

Para fazer o backup basta um computador com um TFTP Server instalado, e conectado diretamente a porta de serviços da WLC (gerência out-of-band). Também é possível fazer o backup através das distributions ports, usando a rede (neste caso verifica a conectividade antes de começar).

Backup da Configuração

1°) Acesse a WLC (https://IP_PORTA_SERVIÇO), faça o login e clique na guia COMMANDS.

2°) Clique na opção Upload File, e faça a seguinte configuração:

• File Type: Configuration
• Transfer Mode: TFTP
• IP Address: IP do TFTP Server
• File Path: ./
• File Name: Nome desejado

3º) Clique no botão Upload.

Ao termino da transferência você verá a mensagem “File transfer operation completed sucessfully”, e o arquivo backup estará salvo no diretório configurado no TFTP Server.

Atualizando o software

Antes de começar, faça o download do novo software da WLC no site da Cisco, veja o upgrade path para a versão que você deseja usar, compatibilidade do software com o seu hardware (WLC e access-points), bem como possíveis limitações.

Atenção: WLCs com software anterior a versão 5.2.157.0 não podem ir diretamente para a versão 7.0.230.0 (versão mais recente no momento).

1°) Acesse a WLC (https://IP_PORTA_SERVIÇO), faça o login e clique na guia COMMANDS.

2°) Clique na opção Download File, e faça a seguinte configuração:

• File Type: Code
• Transfer Mode: TFTP
• IP Address: IP do TFTP Server
• Maximum retries: 10
• Timeout (seconds): 6
• File Path: ./
• File Name: Nome do software

3º) Clique no botão Download.

Ao termino da transferência você verá a mensagem “TFTP File transfer is successful. Reboot the switch for update to complete”. Ou seja, você precisa reiniciar a WLC para que o novo software seja carregado.

Após reiniciar a WLC repita o procedimento e envie o arquivo ER.aes (Emergency Software Image).

Estes procedimentos podem ser realizados nas WLC appliances (2000, 2100, 3500, 4000, 4100, 4400, 5500), nos módulos para roteadores e 6500, e ainda para o 3750 com WLC integrada.

Um procedimento detalhado pode ser encontrado no site da Cisco e as informações sobre o software 7.0.230.0 estão aqui.

Até a próxima.

Seja o primeiro a comentar

Por André Ortega, 22/03/2012 12:17

A Cisco lançou, ainda discretamente, os novos firewalls ASA 5500-X. Esta nova série, que conta com os modelos 5512-X, 5515-X, 5525-X, 5545-X, 5555-X, além dos já existentes 5585-X, possui mais desempenho e pelo menos uma grande mudança.

Comparado com os hardwares da série anterior, os novos appliances oferecem até quatro vezes mais desempenho de firewall, mais portas ethernet (até 14 portas Gigabit) e fonte de alimentação redundante nos modelos 5545-X e 5555 X.

Além disso, estes novos equipamentos rodam o software versão 8.6.1, já 64 bits, e possuem aceleração em hardware dedicado para IPS.

E aqui está a maior mudança pra mim: Nestes equipamentos o IPS pode ser ativado sem a necessidade de hardware adicional.

Pode parecer estranho, mas por enquanto não há planos para descontinuar os modelos anteriores(ASA5505, 5510, 5520, 5540 e 5550), lançados em 2005, e que terão suporte, no mínimo até 2017.

Veja mais informações sobre os novos equipamentos nos links abaixo:

ASA for Small Offices and Branch Locations

ASA for Internet Edge

ASA 5500-X Q&A

Até a próxima.