Kommentar verfassen

switchport protected – Host Isolation

Hallo allerseits! In diesem „kurzen“ Beitrag werden wir eine Variante sehen, wie man Host auf einem Switch voneinander isolieren kann.

Hier geht es nur darum, dass protected Ports nur mit unprotected Ports kommunizieren können. Das heisst konkret, dass wir alle unsere Host-Ports als protected definieren werden und die Uplinks oder den Port wo unsere Gateway sind als unprotected lassen.

Cisco stellt für diese Aufgabe unter dem Switchport Befehl die option „protected“ zur Verfügung.

Als Beispiel dient folgende Topologie

Wir sehen, dass auf dem Switch die Ports wie folgt definiert worden sind:

CIsco Home Routing & Switching Switching
Kommentar verfassen

802.1Q, Q-in-Q und Layer-2 Tunneling Protocol

Hallo Allerseits, lange ist es her seit meinem letzen Eintrag. Ich melde mich zurück mit einem besonderen Thema.

Wer hat das nicht erlebt? Ein neuer Kunde kommt ins Datacenter mit einem Layer-2 Link und benutzt genau die gleiche VLAN-ID wie einen weiteren Kunde. Ärger schon vorprogrammiert!

Passiert das selten bis nie, und handelt es sich hier um eine oder zwei VLAN-IDs, dann könnte man (Ich sage nicht, dass es Best Practice ist) die VLAN-ID zu einer neuen, nicht zuvor genutzten ID, mittels „vlan mapping“ übersetzen. Ja, das könnten wir. Wir könnten aber auch auf unseren kompletten Infrastruktur VxLAN implementieren, auch das würde funktionieren.

Aber Q-in-Q ist ebenfalls eine Lösung.

Worum geht es hier? Vielleicht ein Bild hilft mehr als 1000 Wörter.

Wir, Layer-2 ISP, haben zwei Kunden, A und B. Diese verwenden nicht nur die gleiche VLAN-ID sondern auch die gleichen IP-Adressen und als wäre das nicht alles… die landen beide auf unserer Infrastruktur und benutzen gemeinsame Links. Es klingt alles nach einem schlechten Scherz, passiert aber öfters als man denkt.

Allgemein CCIE Journey CIsco Home Routing & Switching Switching
Kommentar verfassen

Quality of Service (QoS) – Kurze Einführung

Es muss bereits im Voraus klar gestellt werden, dass ganze Bücher über Quality-of-Service gibt. Es ist also nicht möglich alles in einem kurzen Artikel zu erfassen. Dennoch möchte ich trotzdem die Gelegenheit nutzen mein Wissen und Erfahrungen mit euch zu teilen. Vieles musste ich recherchieren, denn von der Theorie auf die Praxis liegen Welten. Wenn ich Traffic zuordne und klassifiziere, dann denke ich selten, welche Bits welchen Wert haben.

Ich hoffe, falls jemand dieses Artikel liest, dass es hilfreich ist und falls ich Fehler gemacht habe, dann freue ich mich über ein kurzes Feedback.

Artikel in dieser Reihe:
Quality of Service (QoS) – Kurze Einführung
Quality of Service (QoS) – Congestion Management

Woher kommt QoS und wie funktioniert das?

1981 wurde das ToS-Byte innerhalb des IP-Headers durch das RFC-791 definiert.

Schauen wir uns ein IP-Header ein bisschen mehr detailliert an

Ver | IHL | TOS | Packet Length
Identification | Flags | Fragment Offset
Time to live | Protocol | Header Checksum
Source address
Destination address
Options | Padding
Data

Am Anfang war das ToS-Byte wie folgt definiert:

0 ¦ 1 ¦ 2 ¦ 3 ¦ 4 ¦ 5 ¦ 6 ¦ 7
Precedence¦ Type of Service

Allgemein Home QoS
Kommentar verfassen

Quality of Service (QoS) – Congestion Management

Es muss bereits im Voraus klar gestellt werden, dass ganze Bücher über Quality-of-Service gibt. Es ist also nicht möglich alles in einem kurzen Artikel zu erfassen. Dennoch möchte ich trotzdem die Gelegenheit nutzen mein Wissen und Erfahrungen mit euch zu teilen. Vieles musste ich recherchieren, denn von der Theorie auf die Praxis liegen Welten. Wenn ich Traffic zuordne und klassifiziere, dann denke ich selten, welche Bits welchen Wert haben.

Ich hoffe, falls jemand dieses Artikel liest, dass es hilfreich ist und falls ich Fehler gemacht habe, dann freue ich mich über ein kurzes Feedback.

Artikel in dieser Reihe:
Quality of Service (QoS) – Kurze Einführung
Quality of Service (QoS) – Congestion Management

Congestion Management

Queuing

Erreicht einen Link sein maximales Durchsatz, dann müssen Pakete in den Queues verschoben, um das weiterleiten des Verkehrs zu kontrollieren. Pakete die markiert sind, können in verschiedene Queues platziert werden. Hingegen Pakete, die nicht zugeordnet werden konnten, landen in der Default Klasse (CS0) und werden nach Best Effort (BE) verarbeitet.

Allgemein Home QoS Routing & Switching
Kommentar verfassen

Cisco, 802.1x und WoL

Netzwerke… immer Probleme… nur Probleme.

Nach einer Migration konnte unser Windows Administrator, übers Wochenende, keine Maschine mittels WoL hochfahren.

WoL (Wake-on-LAN) ist ein Standard, um ausgeschalteten Computer über die Netzwerkkarte mittels ein «Magic Packet» wieder einzuschalten. Dies kann in grösseren Unternehmen von Nutzen sein, wenn sie über Weekend oder über Nacht, Updates installieren wollen. Das Paket ist speziell «gecrafted» und, soweit ich weiss, besteht das Payload aus 6 x FF in Folge und anschliessend 16 mal in Folge die MAC-Adresse der Destination.

Egal was in deiner Infrastruktur passiert, wenn etwas nicht mehr geht, dann liegt es definitiv am Netzwerk. Und dies mal hatten die Recht…

Allgemein CIsco Home Routing & Switching Switching
Kommentar verfassen

DHCP – IP-Address conflict with IP 0.0.0.0 & Cisco Switch

Hello everyone. Let me explain you in this short post the issues I had last week…

After a „successfully“ implementation of the new Cisco switches the customer started having issues while starting the notebook or comming back from a meeting and inserting the notebook back in to the docking station.

The client received an error message telling him there should be an IP-Address conflict with the IP 0.0.0.0. The message only offered an Okay button. If you click on it, the client got a new IP-Address and everything was fine.

Since all users were affected by this issue, a secondary effect emerged. All since all the clients were getting a new IP-Address the DHCP-Pool was empty of available addresses to assign.

So… what is the issue?

Allgemein CIsco Home Switching
Kommentar verfassen

Fortigate – VxLAN over IPSEC

Einführung

Virtual Extensible LAN (Kurz VxLAN) bietet uns eine Möglichkeit Layer-2 Domäne über Layer-3 Netzwerke zu strecken.

In diesem Artikel werde ich eine Variante erklären, wie man mittels eines VPN-Tunnel, IPSEC und VxLAN ein Layer-2 Segment, verschlüsselt, über zwei verschiedene Standorte ausdehnen kann.

Ausgangslage

Was wollen wir hiermit erreichen?
Host A und Host B befinden sich im selben Netz (10.240.50.0/24), aber standort technisch sind beide getrennt. Wir werden versuchen mittels VxLAN und IPSEC die Pakete im selben Netz über die zwei Standorte zu übertragen.

 

Konfiguration von VxLAN over IPSEC in einer Fortigate in 4 einfache Schritte

Fortigate Home Security Switching