Cisco Short Cuts

Heute habe ich mich beim Ausführen eines extended pings vertippt und aus Versehen 50.000 Pings abgesetzt. Während die Ausrufezeichen über den Bildschirm flogen, machte ich mich auf die Suche der richtigen Abbruch-Tastenkombination. Wenn Ihr es auch mal wieder eilig habt und ein traceroute oder extended ping vorzeitig beenden wollt, könnt Ihr folgende Tastenkombination verwenden.

Traceroute & Extended Ping beenden
CTRL-SHIFT-6
Steuerungstaste + Shift-Taste + 6

Domain-Name lookup beenden
Mit der selben Tastenkombination könnt ihr einen Domain-Name lookup beenden, wenn Ihr euch z.B. bei einem Befehl vertippt hat. Alternativ könnt ihr mit dem Befehl
no ip domain lookup verhindern, dass das IOS Gerät unbekannte Eingaben versucht, über DNS aufzulösen.

9800-40-1#conf t
9800-40-1(config)#no ip domain lookup

Eigene Break-Sequence für VTYs definieren
Ihr könnt euch auf den VTYs eigene Break-Sequenzen konfigurieren, mit der Ihr eine Idle-Session beenden könnt. Mit dem Befehl escape-character bestimmt ihr einen ASCII-Wert, den ihr mit der Tastenkombination CTRL und SHIFT verwenden könnt.

9800-40-1#conf t
9800-40-1(config)#line vty 0
9800-40-1(config-line)#escape-character 3

Mit dem Befehl vacant-message könnt Ihr den Nutzern einen entsprechenden Hinweis geben, welcher erst erscheint, wenn die Session in den idle-Zustand wechselt.

9800-40-1#conf t
9800-40-1(config)#line vty 0
9800-40-1(config-line)#vacant-message #

**** Your are sitting on an idle session ****
Escape Character is CTRL+SHIFT+3

Cisco WLC 9800-40 Software Upgrade

Meine Catalyst 9800er WLAN Controller wurden mit der IOS XE Version 16.10.1 ausgeliefert. Ich werde zunächst ein Software Upgrade auf die Version 16.11.01 machen. Das IOS Image habe ich dafür lokal auf meinem Rechner abgelegt. Zunächst versuche ich das Software Upgrade über die Weboberfläche durchzuführen. Als Zielort wähle ich „bootflash“ oder „harddisk“ aus. Bei beiden Einstellungen wird zwar das neue Image auf den Controller kopiert, die Routine bricht aber jedes mal nach dem Kopiervorgang ab. Es wurden keine Pakete installiert und auch keine Boot-Parameter gesetzt. Mit folgenden Schritten habe ich es dennoch geschafft, das neue IOS auf dem Controller zu aktivieren. 

Image kopieren

Per Web GUI kopiere ich das Image auf den Controller. Da das Image lokal auf meinem Rechner liegt, wähle ich als Transport Type Desktop (HTTPS). Als Speicherort wähle unter File System „bootflash“. 

Administration / Software Upgrade

Nachdem der Fortschrittsbalken des Kopiervorgangs 100% anzeigt, bricht die Verbindung zum WLAN Controller ab. Es ist nicht erkennbar, ob eine Installationsroutine durchgeführt wurde. Auf dem CLI überprüfe ich daher, ob das Image ordnungsgemäß geladen wurde. Im Bootflash ist zu sehen, dass die Datei komplett geladen wurde. Dennoch wurde das Image nicht auf dem Controller installiert. Er läuft immer noch mit IOS XE Version 16.10.01.

9800-40-1#dir bootflash: | incl 16.11
   16  -rw-        100233216   Nov 1 2019 07:24:09 +00:00  C9800-40-universalk9_wlc.16.11.01c.SPA.bin

9800-40-1#show version:
Cisco IOS XE Software, Version 16.10.01
Cisco IOS Software [Gibraltar], C9800 Software (C9800_IOSXE), Version 16.10.1, RELEASE SOFTWARE (fc4)
Technical Support: http://www.cisco.com/techsupport
Copyright (c) 1986-2018 by Cisco Systems, Inc.
Compiled Mon 19-Nov-18 08:27 by mcpre

Alternativ kann das Image auch direkt über das CLI auf den WLAN Controller kopiert werden. 

9800-40-1#copy tftp://192.168.10.1//tftpboot/C9800-40-universalk9_wlc.16.11.01c.SPA.bin

Image installieren / aktivieren 

Nun muss das Image auf dem Controller aktiviert werden. 

9800-40-1#sh install summ
[ Chassis 1 2 ] Installed Package(s) Information:
State (St): I – Inactive, U – Activated & Uncommitted, C – Activated & Committed, D – Deactivated & Uncommitted
——————————————————————————–
Type  St   Filename/Version
——————————————————————————–
IMG   C    16.10.1.0.216
——————————————————————————–
Auto abort timer: inactive
——————————————————————————–

Man sieht, dass bisher nur die Version 16.10 installiert und aktiv ist. 

Mit dem Befehl install add file wird das neue Image automatisch auch auf den Standby Controller kopiert, sofern die Controller bereits im SSO Cluster konfiguriert sind. 

9800-40-1#sh bootflash: | inc 16.11
30  884905681 Nov 01 2019 08:20:38.0000000000 +00:00 C9800-40-universalk9_wlc.16.11.01c.SPA.bin 

9800-40-1#install add file bootflash:C9800-40-universalk9_wlc.16.11.01c.SPA.bin
install_add: START Fri Nov  1 08:37:26 UTC 2019
install_add: Adding PACKAGE

— Starting initial file syncing —
[1]: Copying bootflash:C9800-40-universalk9_wlc.16.11.01c.SPA.bin from chassis 1 to chassis 2
[2]: Finished copying to chassis 2
Info: Finished copying bootflash:C9800-40-universalk9_wlc.16.11.01c.SPA.bin to the selected chassis
Finished initial file syncing

— Starting Add —
Performing Add on all members

  [1] Add package(s) on chassis 1
  [1] Finished Add on chassis 1
  [2] Add package(s) on chassis 2
  [2] Finished Add on chassis 2
Checking status of Add on [1 2]
Add: Passed on [1 2]
Finished Add

Image added. Version: 16.11.1c.0.503
SUCCESS: install_add  Fri Nov  1 08:39:56 UTC 2019

Mit show install summary sieht man, dass das file jetzt zwar vorhanden, aber noch nicht aktiviert ist.

9800-40-1#sh install summ
[ Chassis 1 2 ] Installed Package(s) Information:
State (St): I – Inactive, U – Activated & Uncommitted,
            C – Activated & Committed, D – Deactivated & Uncommitted
——————————————————————————–
Type  St   Filename/Version
——————————————————————————–
IMG   I    16.11.1c.0.503
IMG   C    16.10.1.0.216
——————————————————————————–
Auto abort timer: inactive
——————————————————————————–

Mit dem Befehl install activate wird jetzt das neue Image auf beiden Chassis aktiviert.

9800-40-1#install activate
install_activate: START Fri Nov  1 08:50:47 UTC 2019
install_activate: Activating PACKAGE
Following packages shall be activated:
/bootflash/C9800-rpboot.16.11.01c.SPA.pkg
/bootflash/C9800-mono-universalk9_wlc.16.11.01c.SPA.pkg
/bootflash/C9800-hw-programmables.16.11.01c.SPA.pkg

This operation requires a reload of the system. Do you want to proceed? [y/n]y
— Starting Activate —
Performing Activate on all members

  [1] Activate package(s) on chassis 1
    — Starting list of software package changes —
    Old files list:
      Removed C9800-mono-universalk9_wlc.16.10.01.SPA.pkg
      Removed C9800-rpboot.16.10.01.SPA.pkg
    New files list:
      Added C9800-mono-universalk9_wlc.16.11.01c.SPA.pkg
      Added C9800-rpboot.16.11.01c.SPA.pkg
    Finished list of software package changes
  [1] Finished Activate on chassis 1
  [2] Activate package(s) on chassis 2
    — Starting list of software package changes —
    Old files list:
      Removed C9800-mono-universalk9_wlc.16.10.01.SPA.pkg
      Removed C9800-rpboot.16.10.01.SPA.pkg
    New files list:
      Added C9800-mono-universalk9_wlc.16.11.01c.SPA.pkg
      Added C9800-rpboot.16.11.01c.SPA.pkg
    Finished list of software package changes
  [2] Finished Activate on chassis 2
Checking status of Activate on [1 2]
Activate: Passed on [1 2]
Finished Activate

Install will reload the system now!
SUCCESS: install_activate  Fri Nov  1 08:54:56 UTC 2019
9800-40-1#
Chassis 1 reloading, reason – Reload command

Der WLAN Controller rebootet am Ende der Installationsroutine. Nach dem Reload ist die Neue IOS XE Version am aktiviert. 

9800-40-1>en
9800-40-1#sh ver
Cisco IOS XE Software, Version 16.11.01c
Cisco IOS Software [Gibraltar], C9800 Software (C9800_IOSXE), Version 16.11.1c, RELEASE SOFTWARE (fc3)
Technical Support: http://www.cisco.com/techsupport
Copyright (c) 1986-2019 by Cisco Systems, Inc.
Compiled Tue 18-Jun-19 21:18 by mcpre

Von Version 16.11.01 nach Version 16.12.02

Seit der Version 16.11. funktioniert die Installationsroutine über die Web GUI des WLAN Controllers einwandfrei. Folgende wenige Schritte sind nötig, um von Version 16.11.01 auf Version 16.12.02 upzugraden. 

Wie bereits in Version 16.10 starte ich den Kopiervorgang des neuen Images auf der Web Oberfläche unter Administration / Software Upgrade 

Administration / Software Upgrade
Save Configuration & Reload

Cisco WLC 9800-40 Day-Zero-Configuration

Mir stehen heute zwei nagelneue Cisco Catalyst 9800-40er WLAN Controller (WLC) zur Verfügung. Allerdings habe ich keinen physischen Zugriff auf die Geräte. Ich werde das initiale Setup also per Konsolen-Zugriff über entsprechende Terminalserver machen. 

Namen, Passwörter und IP Adressen werde ich in meinem Beitrag aus Sicherheitsgründen in fiktive Werte ändern. 

Das initiale Setup ist recht einfach. Man benötigt nur ein paar wenige Schritte, um den Controller aktiv ans Netz zu bringen. 

Ich werde hier nur die Schritte beschreiben, die notwendig sind, um den Controller anschließend über seine Web-Oberfläche erreichen und weiter konfigurieren zu können. Alle beschriebenen Schritte müssen auf beiden Controllern konfiguriert werden. 

Controllername

Zunächst konfiguriere ich einen Namen für den WLC. 

Controller 1:

hostname 9800-40-1

Controller 2:

hostname 9800-40-2

Lokaler Username mit Adminrechten

Um im Anschluss auf die GUI zugreifen und die Konfiguration fortsetzen zu können, benötigen wir einen User mit Adminrechten. 

Konfiguration auf beiden Controllern identisch:

username admin_user privilege 15 password 7 xxxxxx

Management Zugang

Für die Anbindung der beiden WLCs wurde im Kunden-RZ ein dediziertes VLAN eingerichtet. Je nachdem von wo wir auf den WLC zugreifen werden, muss es sich hierbei um ein geroutetes Netz handeln. In meinem Fall ist der WLC bereits vor Ort beim Kunden eingebaut und an die dortige RZ-LAN-Infrastruktur angebunden. 

Controller 1:

vlan 222
name WLC-Management-Netzname WLC-Management-Netz

interface vlan 222
ip address 192.168.1.4 255.255.255.240

ip route 0.0.0.0 0.0.0.0 192.168.1.1

Controller 2:

vlan 222
name WLC-Management-Netzname WLC-Management-Netz

interface vlan 222
ip address 192.168.1.5 255.255.255.240

ip route 0.0.0.0 0.0.0.0 192.168.1.1

Port Konfiguration / Port Channel

Für die LAN Anbindung an das Kunden-RZ Netz verwende ich zunächst zwei der 4 verfügbaren 10Gbps Interfaces des WLCs und konfiguriere diese als EtherChannel. Obwohl es sowohl auf der CLI als auch auf der GUI konfigurierbar ist, wird LACP auch auf den neuen 9800er WLCs (Version 16.10.1) noch nicht unterstützt. Der LACP Channel scheint zwar aufgebaut zu werden, es werden jedoch keine Daten darüber transportiert. Wir müssen also eine statische Channel-Konfiguration erstellen, das heißt der Channel Mode muss „on“ sein. 

Konfiguration auf beiden Controllern identisch:

interface Port-channel1
switchport trunk allowed vlan 222
switchport mode trunk
!
!
interface TenGigabitEthernet0/0/0
switchport trunk allowed vlan 222
switchport mode trunk
channel-group 1 mode on
no shut
!
!
interface TenGigabitEthernet0/0/1
switchport trunk allowed vlan 222
switchport mode trunk
channel-group 1 mode on
no shut

AP Kommunikation über Mngt-VLAN

Nun weisen wir das neue VLAN (im Beispiel VLAN 222) mit der konfigurierten IP Adresse dem WLC Management Interface zu. Sofern sich der WLC in einer geschützten Umgebung befindet, sollten zunächst die Ports für den Management-Zugriff (TCP22 für SSH und TCP443 für https) auf der Firewall freigeschaltet werden. 

Konfiguration auf beiden Controllern identisch:

wireless management interface Vlan222

Country Code für WLC

Da es in unterschiedlichen Ländern unterschiedliche Anforderungen und Regularien bezüglich der Sendeleistung, der Kanäle und Interfaces für den Betrieb von WLAN Access Points (AP) gibt, wird der WLC für die entsprechende Länder-Domäne konfiguriert. So kann sichergestellt werden, dass z.B. die gesetzlichen Grenzwerte für die Sendeleistung nicht überschritten werden. 

In meinem Fall handelt es sich um ein exklusives Controller-Paar für einen deutschen Kunden mit Standorten ausschließlich in Deutschland. Somit konfigurieren wir nur einen Country Code. 

Den Country Code können wir nur konfigurieren, wenn alle Radio-Interface ausgeschaltet sind. Daher empfiehlt es sich, diesen Konfigurationsschritt direkt am Anfang durchzuführen, solange noch keine WLAN APs am Controller aktiv sind. Anschließend können Radio-Interfaces sofort wieder eingeschaltet werden. 

ap dot11 5ghz shutdown
ap dot11 24ghz shutdown
ap country DE
!
9800-40-1#sh run | incl country
ap country DE
!
no ap dot11 5ghz shutdown
no ap dot11 24ghz shutdown

Nach diesen wenigen Konfigurationsschritten sollten beide Controller per Web-GUI erreichbar sein. In einem meiner nächsten Beiträge werde ich die beiden Controller in einen High-Availability-Cluster schalten.