11 June 2018

CMNO - Certified Meraki Network Operator #8320

"SIIIIIIIIIIIIMMM!"

Mais um objetivo conquistado!

A história deste é engraçada. Era um dos meus objetivos mas não fazia intenção de o tirar por esta altura. A prioridade era e continua a ser o CCIE-Wireless mas o destino tem destas coisas e temos de aproveitar as oportunidades conforme elas no vão surgindo.

Recebemos um convite para participarmos num evento da Meraki, relacionado com a certificação CMNA, só que a quando da inscrição para esse evento, recebemos a resposta que já não haviam vagas para qualquer um dos 3 dias.

"Bom, apesar de este ser considerado como equivalente ao CCNA, a opinião geral é que se trata de um exame mais focado em pré-vendas. Deixa lá ver o que é preciso para o CMNO..."

Meraki CMNO-Resources



Quanto mais lia sobre a certificação, mais vontade me dava de me inscrever e tentar o laboratório de 6 horas. Felizmente, para além de ter clientes com soluções Meraki desde 2015 e de ter instalado e configurado diferentes tipos de redes Meraki, ainda tenho ao meu dispor a rede de backup da nossa empresa, que é composta por uma firewall MX, um switch MS, um Access Point MR e um par de câmaras de vídeo CV. O único problema era que a experiência com o SM é quase nula mas felizmente os manuais da Meraki são simples e de fácil leitura:

Documentation.meraki.com

Outra coisa que pesou bastante na minha decisão de me inscrever no CMNO é que não havia qualquer custo de inscrição. O exame ia ser feito remotamente via sessão webex, ou seja, não ia precisar de pedir autorização para custos adicionais ou de me ausentar do país para fazer o exame. O mais difícil iria ser arranjar tempo para conseguir testar todas os diferentes componentes até ao exame, enquanto mantinha o meu trabalho atualizado e uma vida familiar de pai presente.


Durante um mês, para alem de estudar em casa após deitar os pequenos, aproveitei todos os momentos "calmos" para poder estudar e testar cada uma das aplicações que tinha à minha disposição.


À medida que se aproximava a data do exame, agendado para uma terça-feira, decidi reservar a segunda-feira anterior para garantir que tinha todas as condições disponíveis desde as 9h00, hora de início do exame, até às 16h, hora limite do exame, ou seja, para além de todo o estudo e preparação técnica, era preciso garantir os recursos extra:
    - Uma sala parcialmente isolada e onde não fosse interrompido ou incomodado durante o exame.
    - Um monitor externo para ter o plano de exame num monitor enquanto outro serviria para aplicar as configurações.
    - Ligação à Internet. Com redundância de tecnologia (wired ou wireless) e de operador de internet.
    - 1l de água
    - Snacks para ir "enganando a fome" e não arriscar uma paragem prolongada para o almoço perdendo tempo precioso.

O exame foi diferente dos outros exames práticos que já tinha feito e foi o mais próximo da realidade que alguma vez fiz, ou seja, todos os alunos partilhavam a mesma sessão de webex e fomos encorajados a nos ajudarmos uns ou outros. Foi interessante ir fazendo o meu exame e ainda dar umas dicas a pessoal que estava com alguma dificuldade em descobrir onde configurar alguns parâmetros.

Tal como tinha previsto, a única parte que tive alguma dificuldade e precisei de pedir ajuda ao fórum foi quando cheguei ao SM. Consegui configurar boa parte do que me foi pedido mas havia um passo que simplesmente não conseguir aplicar a configuração corretamente. Mesmo tendo ajuda dos meus companheiros de exame, não havia maneira de dar a volta ao assunto.


Os nervos começavam a dar lugar ao pânico quando reparei que estava sentado há mais de duas horas. Decidi fazer uma pausa, ir tomar um café, espairecer um pouco e limpar a cabeça.

Quando regressei e revi o que se estava a passar, lá reparei no meu erro. Voltou a entrar tudo nos eixos e lá segui até ao final do exame.

A sessão de troubleshooting foi deliciosa (mas bem "puxadinha" 😂) .
É preciso conhecer bem o modelo OSI para saber o que poderá estar a causar o problema e como o resolver e nunca esquecer a regra de ouro; "O troubleshooting começa SEMPRE pelo layer 1".

Apanhei quase de tudo; desde portas em shut, PoE em baixo, vlan's trocadas, tag/untag, rotas trocadas, até ACLs a bloquearem a saída do feed das câmaras de vídeo.
Mas o maior stress, é como se trata de uma solução "em cloud", as alterações que aplicamos às configurações não são instantâneas e há sempre uns 20 segundos em que estamos suspensos num estado de: "será que era isto? mais isto ainda não subiu porquê? será que fiz o apply? vou ver a config outra vez... e agora? será que está? era aquilo? deixa lá ir ver a config outr... ESPERA! Já está! Era mesmo aquilo! Boa, siga para o próximo!"

Consegui concluir todo o exame quase duas horas antes da hora limite e com confiança num resultado positivo.

Uma semana depois, estou a sair do emprego quando recebo um email com o título:
"The Cisco Meraki Te... : CMNO Achieved..." e não li mais nada. 😃😃😃
Siga celebrar mais um! 🎇🎆🎇🎉🎊

Mas a celebração foi breve porque os meus "Himalais" surgiam de novo no horizonte. Está na altura de voltar a tentar escalar todo o CCIE-Wireless. O written que terei de fazê-lo pela 3ª vez (para renovar a coleção de certificações Cisco e a versão do written que eu tenho já não é compatível com a nova versão do lab) e o preparar muito bem a segunda tentativa ao Lab.
BRING IT!!!

12 February 2018

Converter de Lightweight em Mobility Express e de Mobility Express em Lightweight

Converter de Lightweight para Mobility-Express


1º Configurar um DHCP server ou garantir que há um DHCP disponível de modo a que o AP ME assuma um endereço IP
2º Activar um servidor TFTP que tenha uma imagem de Mobility Express (ex: AIR-AP1830-K9-8-3-133-0.tar).
3º Ligar o AP que se pretenda converter e aguardar que arranque e ganhe endereço pelo DHCP server
4º Confirmar a conectividade entre o AP e o TFTP server.
5º Aceder ao AP ME por consola (login password de default são as clássicas Cisco/Cisco/Cisco) e aplicar o comando:

#ap-type mobility-express tftp://<ip tftp>/AIR-AP1830-K9-8-3-133-0.tar

Aguardar pela conclusão da conversão, que será cerca de 5 a 10 minutos.

Após a conclusão do reset, há duas maneiras de correr o wizard de instalação básica: a "clássica" e o SSID "ciscoairprovision"

Clássica - Tal como os restantes WLCs, aceder por consola e configurar o clássico install wizard

"CiscoAirProvision" - Aguardar pela activação automática do SSID "ciscoairprovision". Aceder a esse SSID (password: password ) e aguardar pela abertura automática de um browser com o wizard de instalação. Aplicar as configurações básicas necessárias para o Mobility-Express.

No final, o equipamento será reiniciado automaticamente e o SSID "CiscoAirProvisioning" deixará de estar disponível.


"Ninguém sabe da password de admin ou como aceder à configuração do WLC! E agora?!"
É o mesmo que os WLC "clássicos", ou seja, reiniciar o AP ME, aceder por consola, aguardar pela mensagem "Enter User Name (or 'Recover-Config' this one-time only to reset configuration to factory defaults)" e escrever Recover-Config

Passados uns minutos voltamos a ter os Wizards de configuração inicial, quer por consola, quer pelo SSID "CiscoAirProvision"


-----------------------------------------------------------

"Estou em modo ME mas dava jeito fazer uns comandos de shell no AP. E agora?"

Aplicar o comando:

(Cisco Controller) >apciscoshell
!!Warning!!: You are entering ap shell. This will stop you from establishing new telnet/SSH/Web sessions to controller.
 Also the exsisting sessions will be suspended till you exit the ap shell.
 To exit the ap shell, use 'logout'


Para voltar a modo ME basta aplicar o comando:

AP706B.B986.3A98>logout

(Cisco Controller) >



---------------------------------------------------------------

Converter de Mobility-Express para Lightweight

Aplicar o comando:
#ap-type capwap

ex:
AP706B.B986.3A98#ap-type capwap
AP706B.B986.3A98#[*12/07/2017 02:09:05.1618] Cleaning ME config if any..
[*12/07/2017 02:09:05.1718] Cleaning config files..
[*12/07/2017 02:09:05.1818] AP Type changed: ME to CAPWAP. AP Mode changed to local mode. AP Rebooting...
[*12/07/2017 02:09:05.1918] AP Rebooting: Reset Request from Controller(AP Type Changed from ME to CAPWAP)


Writing reload timestamp (Thu Dec  7 02:09:05 UTC 2017) to disk


[12/07/2017 02:09:06.2815] UBIFS: un-mount UBI device 0, volume 3

The system is going down NOW!

....... 

Aguardar pela conclusão da conversão, que será cerca de 5 a 10 minutos.

Mais detalhes em:
Cisco Mobility Express User Guide v8.2




01 February 2018

SNMPv3 e SNMPv2

Criar user para SNMPv3


Num Authonomous AP

ap(config)#snmp-server user <user> <group> v3 auth md5|sha <auth passwd> priv des56 <encrypt passwd>

No WLC

config snmp v3user create <user> rw|ro <auth type> <encrypt type> <authkey> <encryptkey>
ex:
config snmp v3user create pisnmp3 rw hmacsha aescfb128 prime1234567 prime1234567



No Prime

Network -> Add Device -> General Parameters: IP Address <ip address>

SNMP Parameters:
version: v3
username:pisnmp3
Mode: AuthPriv
Auth. Type: HMAC-SHA
Auth. Password: prime1234567
Privacy Type: CFB-AES-128
Privacy Password: prime1234567


SNMPv2

Num AutonomousAP

ap(config)#snmp-server community <ro name> ro
ap(config)#snmp-server community <rw name> rw


No WLC
config snmp community create <name>
config snmp community ipaddr <ip> <mask> <name>
config snmp community accessmode ro|rw <name>
 

config snmp community mode enable <name>

ex:
config snmp community create pisnmp2
config snmp community ipaddr 192.168.1.0 255.255.255.0 pisnmp2
config snmp community accessmode ro pisnmp2
config snmp community accessmode rw pisnmp2

config snmp community mode enable pisnmp2

No PrimeNetwork -> Add Device -> General Parameters: IP Address <ip address>
SNMP Parameters:
version: v2c
Read Community: pisnmp2
Confirm Read Community: pisnmp2
Write Community: pisnmp2
Confirm Write Community: pisnmp2

23 January 2018

HSRP

Configuração de HSRP

(config)#int vlan <int>
(config-if)#standby <group> <ip/ipv6> <vip>
(config-if)#stand <group> timers <hello> <timer>

(config-if)#stand <group> priority <priority>
(config-if)#stand <group> preempt delay <minimum/reload/sync>

(config-if)#stand <group> authentication text <string>
ou 
(config-if)#stand <group> authentication md5 key-string <string>


#show stand vlan <vlan> <group> brie

#debug standby ?
  errors   HSRP errors
  events   HSRP events
  packets  HSRP packets
  terse    Display limited range of HSRP errors, events and packets
  <cr>

11 December 2017

CCIE-Wireless lab prep - notas - LoadBalancing e IPv6



Etherchannel Load-Balancing

(config)#port-channel load-balance <tipo de lb>


(config)#port-channel load-balance ?

  dst-ip       Dst IP Addr

  dst-mac      Dst Mac Addr

  src-dst-ip   Src XOR Dst IP Addr

  src-dst-mac  Src XOR Dst Mac Addr

  src-ip       Src IP Addr

  src-mac      Src Mac Addr


Com WLCs é boa prática usar src-dst-ip

--------------------------------------------

IPV6
configurar ipv6 num interface

O mais básico e simples é deixar que os equipamentos configurem automaticamente:

(config-if)# ipv6 address autoconfig


é atribuído automaticamente um endereço baseado nos prefixos em Router Advertisement, em formato eui-64.

Em alternativa, é possível configurar os endereços de acordo com os seguintes comandos:



(config)#int <slot>/<port>
(config-if)#ipv6 add <ipv6 address> <type>
 
·         ipv6 address ipv6-prefix/prefix-length eui-64
·         ipv6 address ipv6-prefix/prefix-length link-local
·         ipv6 address ipv6-prefix/prefix-length anycast

Example:
Device(config-if)# ipv6 address 2001:DB8:0:1::/64 eui-64
·         Specifying the ipv6 address eui-64 command configures global IPv6 addresses with an interface identifier (ID) in the low-order 64 bits of the IPv6 address. Only the 64-bit network prefix for the address needs to be specified; the last 64 bits are automatically computed from the interface ID.

Example:
Device(config-if)# ipv6 address FE80::260:3EFF:FE11:6770 link-local
·         Specifying the ipv6 address link-local command configures a link-local address on the interface that is used instead of the link-local address that is automatically configured when IPv6 is enabled on the interface.

Example:
Device(config-if) ipv6 address 2001:DB8:1:1:FFFF:FFFF:FFFF:FFFE/64 anycast
·         Specifying the ipv6 address anycast command adds an IPv6 anycast address.
IPv6 Address Type: Anycast
An anycast address is an address that is assigned to a set of interfaces that typically belong to different nodes. A packet sent to an anycast address is delivered to the closest interface (as defined by the routing protocols in use) identified by the anycast address. Anycast addresses are syntactically indistinguishable from unicast addresses, because anycast addresses are allocated from the unicast address space. Assigning a unicast address to more than one interface makes a unicast address an anycast address. Nodes to which the anycast address is assigned must be explicitly configured to recognize that the address is an anycast address.