CCIEs.

If you’re dreaming to get multiple CCIEs you have to understand that it’s not possible to collect all of them, some of them passed away, were changed or modified or renamed:

• “Wan Switching”
• “ISP Dial”
• “SNA IP” - Integration CCIE (also known as CCIE Blue).
• “CCIE Storage Networking” - Storage Networking”. Retrieved 19 February 2015
• “Voice” - Retrieved 3 October 2015. Converted into “Collaboration”.

RANCID module for Lantronix SLC and vSLM.

Today I finished my work on RANCID module to backup configuration of Lantronix devices (SLC and vSLM). Tomorrow I will deploy the module on production system. Here is not the right place to upload the files. I will probably send them to “rancid-discuss” email group, but do know they are reluctant to upload anything new even to ftp://ftp.shrubbery.net/pub/rancid/contrib/.

Well, now I understand how rancid works a little bit later. What I can say is I’ve never saw so cumbersome undocumented scripts (expect and perl) in my life before. That was horrible experience. Never again!

Lantronix SLC 8000 - Configuring NTP client.

Today I realized the config that I put in Lantronix SLC 8000 to sync it with NTP servers doesn’t work and here is why - I haven’t enabled NTP client properly. Working configuration looks as following:

set datetime timezone PST8PDT
set ntp localserver1 10.0.0.1
set ntp localserver2 10.0.0.2
set ntp sync poll
set ntp state enable

Order is important as well as last two command. Show command outputs should look like this:

[Lantronix-01]> show datetime
Date/Time: Wed Jun 29 11:13:21 2016
Timezone: PST8PDT
Uptime: 62 days, 19 hours, 44 minutes
[Lantronix-01]> show ntp
___Current NTP Settings________________________________________________________
NTP: enabled
Synchronize via: Poll NTP Server
Poll NTP Server: Local Server
Local Server #1: 10.0.0.1
Local Server #2: 10.0.0.2
Local Server #3: 
Public Server: 0.pool.ntp.org
Available Public Servers - NTP Pool: 0.pool.ntp.org (random)
                           Australia: ntp2.tpg.com.au (203.26.24.6)
                           Brazil: c.ntp.br (200.192.232.8)
                           Canada: time.nrc.ca (132.246.168.148)
                           China: t2.hshh.org (61.129.66.79)
                           France: ntp.duckcorp.org (193.17.192.211)
                           India: ntp.vrlsoftwaresolutions.in (119.226.101.130)
                           Russia: ntp.xland.ru (194.67.106.186)
                           UK: ntp3.tcpd.net (109.169.86.133)
                           US/Arizona: ntp1.linocomm.net (69.64.72.238)
                           US/New Jersey: tick.jrc.us (67.128.71.65)
                           US/Texas: ntp.fwwds.com (99.72.86.235)
                           Switzerland: clock.tix.ch (194.42.48.120)
Current NTP status:
     remote           refid      st t when poll reach   delay   offset  jitter
==============================================================================
*10.0.0.1        105.109.47.100   3 u   46   64  377    0.288   -5.874   3.223
+10.0.0.2        105.109.47.100   3 u   43   64  377    0.729   12.684   4.559
 LOCAL(0)        .LOCL.          10 l    -   64    0    0.000    0.000   0.000
[Lantronix-01]>

CCIE Security v5 has been announced (Jun 10, 2016)

10 июня 2016 года Cisco анонсировала новую версию CCIE Security v5. Это послужило поводом для написания этой короткой заметки, которая посвящена тем, кто только сейчас задумался над получением CCIE Security. Моя мысль проста - если стоит задача получить CCIE Security, то нужно начать именно сейчас чтобы успеть сдать текущую версию 4 до того как вступит в силу новая версия v5 (до 31 января 2017).

Плюсы CCIE Security v4:
• Текущая версия экзамена (v4) существует уже более 3х лет и на данный момент экзамен является одним из самых старых в линейке CCIE. За 3 года было создано большое количество материалов по подготовке, что конечно же увеличивает шансы.
• CCIE Security дает наиболее широкий кругозор - routing, switching, ASA, IPS, ACS, ISE, WSA, WLC + LWAP, даже немного по голосовой части - в лабе есть CUCME и Cisco Phone. Это делает экзамен уникальным. Для начинающего инженера это скорее плюс, чем минус. Конечно все это нужно знать поверхностно и с уклоном на безопасность, тем не менее.
• Оборудование к лабе версии 4 уже достаточно устарело, поэтому создание собственной домашней лабы (что я всем советую) является вполне себе достижимой задачей.

Минусы:

• Как было указано в плюсах, CCIE Security v4 существует уже более 3х лет. Изменения были анонсированы 05 июня 2012, за пять дней до “Cisco Live” в городе “San Diego” проходившего с 10 по 14 июня 2012 года. Изменения же вступили в силу спустя чуть более 5 месяцев - 19 ноября 2012. Многие ожидали, что новая версия v5 будет анонсирована до или во время “Cisco Live” в городе “Las Vegas” с 10 по 14 июля 2016 года, но это случилось 10 июня 2016 (за месяц до “Cisco Live”). Изменения же вступят в силу 31 января 2017. Т.е. время ограничено (менее 7 месяцев). А при учете того, что расчитывать нужно на 2-3 попытки, то остается менее 5 месяцев на подготовку.
• Обратная сторона того, что в экзамене очень много продуктов и технологий. Вопрос создания полной топологии, получения необходимый лицензий может занять много времени.
• Как было указано в плюсах, оборудование уже достаточно устарело и это является минусом. В современном мире уже не найти IPS4240, трудно найти ISE 1.X. Если стоит задача не просто сдать CCIE Security, а изучить и получить опыт с современными продуктами типа FirePower, то вам стоит готовиться уже к v5.

Приблизительная стоимость проекта будет состоять из следующих пунктов:
• Материалы по подготовке к Written - пропускаю.
• $400 - CCIE Security Written. Скорее всего потребуется 2-3 попытки.
• Материалы для подготовки к лабораторной работе:
• (Опционально) $350..550 - Advanced CCIE Security Workbook v4 (Technology Focused)
• (Опционально) $299 - INE CCIE Security Version 4 Advanced Technologies Class
• Оборудование для подготовки (реальное железо) в минимальном исполнении.
– $800 = 4 x ASA5510 или выше.
– $200 = IPS4240.
– $400..600 = 6 x Catalyst 3560/3750 (как минимум один из шесли обязательно должен быть с IOS v15 и желательно с PoE, к примеру 3750V2-48PS).
– $350 = 5 x Cisco 1841 (256Dram, 64Flash).
– $400 = Cisco 2911 (для поддержки IKEv2).
– (Опционально) $400 = Cisco WLC 2504 + БП. Как альтернативу можно использовать vWLC.
– $20 = LWAP 1240.
– $20 = Cisco Phone.
– $400 = Сервер для виртуализации ACS, ISE, vWSA.
– $100 = Консольный концентратор на 32 порта (Cisco 2500 или маршрутизатор с модулем NM-32AS или более современными мидулями для асинхронных портов, или Openger CM/IM, или Lantronix, или любой другой аналог).
– (Опционально, но желательно) $200 = Система удаленного управления питания.
– $1600 - Попытка сдачи лабы. Скорее всего потребуется 2-3 попытки.
– $99999 - 1000+ часов свободного от работы времени на подготовку к экзамену и лабе.

Для тех кто хочет немного сэкономить на железе и готов вместо этого потратить свое время на работу с софтом для виртуализации (GNS3, IOU, VIRL, UNL), то минимальный стенд можно сократить до сервера, одного коммутатора с PoE и LWAP. Мое мнение состоит в том, что для текущих треков RnS v5 или SP v4 виртуализация является незаменимым инструментом, тогда как для почти всех остальных треков типа Collaboration v3, DataCenter v1 или v2, Wireless v3 виртуализация не применимо вообще или может покрыть лишь малую часть стенда. Security v4 можно виртуализировать на 95% как я упомянул ранее, но скорее всего вы потратите на отладку, нелепые баги, ограничения тут и там гораздо большее количество времени, чем на изучение самих технологий.

How to activate Evaluation License on Cisco ISR G2. [TESTED]

For those who use real hardware for CCIE Collaboration or Security Lab preparation…

Documentation

Understating Cisco IOS v15 Licenses.
Understanding CME-SRST License Activation.

Example - Enabling Security feature

conf t
 license boot module c2900 technology-package securityk9
 yes
 end
wri mem
reload

Checking results:

Router#show version | b License
License Info:

License UDI:

-------------------------------------------------
Device#   PID                   SN
-------------------------------------------------
*0        CISCO2911/K9          FGL111111A1

Technology Package License Information for Module:'c2900'

-----------------------------------------------------------------
Technology    Technology-package           Technology-package
              Current       Type           Next reboot
------------------------------------------------------------------
ipbase        ipbasek9      Permanent      ipbasek9
security      securityk9    EvalRightToUse securityk9
uc            None          None           None
data          datak9        Permanent      datak9

Configuration register is 0x2102

Router#
Router#show license
~
Index 2 Feature: securityk9
        Period left: 8  weeks 4  days
        Period Used: 0  minute  0  second
        License Type: EvalRightToUse
        License State: Active, In Use
        License Count: Non-Counted
        License Priority: Low
~
Router(config)#crypto ?
  call          Configure Crypto Call Admission Control
  ctcp          Configure cTCP encapsulation
  dynamic-map   Specify a dynamic crypto map template
  engine        Enter a crypto engine configurable menu
  gdoi          Configure GDOI policy
  identity      Enter a crypto identity list
  ikev2         Configure IKEv2 Options
  ipsec         Configure IPSEC policy
  isakmp        Configure ISAKMP policy
  key           Long term key operations
  keyring       Key ring commands
  logging       logging messages
  map           Enter a crypto map
  mib           Configure Crypto-related MIB Parameters
  pki           Public Key components
  provisioning  Secure Device Provisioning
  wui           Crypto HTTP configuration interfaces
  xauth         X-Auth parameters

Router(config)#

Admin area