BugID CSCut52232 Expired Signing Certificate in IOS-XR

Di tahun 2018, kami ( me, my friends) melakukan staging perangkat cisco NCS 5500 series beberapa unit, mungkin sekitar 14 unit which is terdiri dari 5508 dan 5516. Beberapa issue terjadi, salah satunya image ios-xr ini tidak bisa diupgrade ke versi baru karena certificatenya sudah expired. Ternyata di image versi baru, misalnya 5.x dan 6.x itu cisco menambahkan certificate ke dalamnya. Expirednya cert tersebut di October 2015, sebagaimana dijelaskan di [1].

Waktu itu gugling2 kenapa image ini tidak bisa diinstal/diupgrade ke versi yang lebih baru dan muncul log yang menyebutkan kalo certnya udah expired dst. Akhirnya nemu solusinya yaitu dengan menginstall SMU dimana merefer ke bug ID CSCut52232. Ini dijelaskan oleh link [2] juga solusi menginstall cert-nya di Troubleshooting Notes, namun ternyata ribet bet bet. Alhasil kita cari workaround lainnya yaitu dengan men-setting clock nya menjadi sebelum Oct 2015. Deng deng, instalasi pun lancar jaya.

[1] https://quickview.cloudapps.cisco.com/quickview/bug/CSCut52232

[2] https://www.cisco.com/c/en/us/td/docs/routers/technotes/MOP-CSS-to-Abraxas.html

Segment Routing Lab 1

Ada beberapa istilah dan teknologi baru di dunia Service Provider, yaitu:
1. Segment Routing MPLS (SR MPLS)
2. Segment Routing over IPv6 (SRv6)
3. PCE (Path Computation Element)
4. dst.

Apa istilah-istilah di atas, bisa di baca-baca di website [1]. Untuk introduction to Segment Routing, bisa dibaca-baca di link [2].
[1] http://segment-routing.net
[2] https://community.cisco.com/t5/service-providers-documents/asr9000-xr-introduction-to-segment-routing/ta-p/3166037

Saya coba ngelab menggunakan XRv, ngelabnya yang sederhana saja. Sebenernya mau test L3VPN tsb apakah akan jalan atau tidak jika protokol untuk distribusi label itu tidak menggunakan LDP. Eh ternyata benar, bisa juga :-D

Di R1 , R2, R3 running SR MPLS, dan running MP-BGP antara R1 dan R3. CE-01 punya loopback 100.100.100.100/32 dan CE-02 punya Lo0 100.100.100.101/32.

RP/0/0/CPU0:R1#show mpls ldp nei
Sat Jan 9 13:46:50.792 UTC

RP/0/0/CPU0:R1#show mpls interface
Sat Jan 9 13:46:53.382 UTC
Interface LDP Tunnel Static Enabled
————————– ——– ——– ——– ——–
GigabitEthernet0/0/0/0 No No No Yes
GigabitEthernet0/0/0/1 No No No Yes
RP/0/0/CPU0:R1#show mpls forward
Sat Jan 9 13:46:56.342 UTC
Local Outgoing Prefix Outgoing Next Hop Bytes
Label Label or ID Interface Switched
—— ———– —————— ———— ————— ————
17002 Pop SR Pfx (idx 1002) Gi0/0/0/0 10.1.2.2 0
17003 17003 SR Pfx (idx 1003) Gi0/0/0/0 10.1.2.2 120838
24001 Pop SR Adj (idx 1) Gi0/0/0/0 10.1.2.2 0
24002 Pop SR Adj (idx 3) Gi0/0/0/0 10.1.2.2 0
24005 Aggregate BLUE: Per-VRF Aggr[V] \
BLUE 0
24006 Unlabelled 100.100.100.100/32[V] \
Gi0/0/0/2 192.168.100.2 102340
RP/0/0/CPU0:R1#

LDP neighborship tidak terbentuk, artinya di router ini belum/tidak running LDP. Namun, forwardingnya sudah ada dan terlihat berbeda ‘labelisasi’ nya dari LDP.


RP/0/0/CPU0:R1#show bgp vpnv4 unicas summ | b Neig
Sat Jan 9 13:51:57.031 UTC
Neighbor Spk AS MsgRcvd MsgSent TblVer InQ OutQ Up/Down St/PfxRcd
3.3.3.3 0 65000 205 202 26 0 0 02:47:51 2

RP/0/0/CPU0:R1#

Terlihat prefix yang diterima di R1 under vrf BLUE.

RP/0/0/CPU0:R1#show bgp vpnv4 unicas | b Status
Sat Jan 9 13:52:17.030 UTC
Status codes: s suppressed, d damped, h history, * valid, > best
i – internal, r RIB-failure, S stale, N Nexthop-discard
Origin codes: i – IGP, e – EGP, ? – incomplete
Network Next Hop Metric LocPrf Weight Path
Route Distinguisher: 65000:100 (default for vrf BLUE)
*> 100.100.100.100/32 192.168.100.2 0 32768 ?
*>i100.100.100.101/32 3.3.3.3 0 100 0 ?
*> 192.168.100.0/30 0.0.0.0 0 32768 ?
*>i192.168.101.0/30 3.3.3.3 0 100 0 ?

Processed 4 prefixes, 4 paths
RP/0/0/CPU0:R1#

Bagaimana jika kita test ping dari CE ke CE.

CE-01#ping 100.100.100.101 source lo0
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 100.100.100.101, timeout is 2 seconds:
Packet sent with a source address of 100.100.100.100
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 11/13/17 ms
CE-01#

Show ip vrf interface di IOS-XR

Kadang, jika kita handle IOS-XR yang versi lama seperti di latform GSR12K atau CRS1, kita akan kesulitan melihat dan mapping antara IP Address, VRF Name dan atau vlannya. Di XR versi-versi baru, mungkin 5.x sudah langsung keliatan saat kita execute ‘show ip interface brief’, namun di GSR/CRS1 itu gak muncul nama VRF nya. Maka commandnya adalah:
show ipv4 vrf all interface brief [1]
Thanks to Brian McGahan 🙂
[1] https://ieoc.com/discussion/17899/equivalent-command-in-ios-xr

TDR Testing for UTP Cable

Saat kita mau cek kabel UTP (copper) yang tertancap di switch Cisco Catalys 2960, kita bisa menggunakan feature TDR (Time Domain Reflectometer). Yaitu suatu instrument electronic untuk mengetahui atau mendeteksi problem pada kabel UTP, coax dsb. Kita tau, di UTP ada 4 pair kabel yang warna warni itu.

Di Cisco 2960, seperti ini:
SW01#test cable-diagnostics tdr interface fa0/8
Link state may be affected during TDR test
TDR test started on interface Fa0/8
A TDR test can take a few seconds to run on an interface
Use ‘show cable-diagnostics tdr’ to read the TDR results.
SW-01#show cable-diagnostics tdr interface fastEthernet 0/8
TDR test last run on: September 30 14:10:08

Interface Speed Local pair Pair length Remote pair Pair status
——— —– ———- —————— ———– ——————–
Fa0/8 100M Pair A 46 +/- 15 meters Pair A Normal
Pair B 46 +/- 15 meters Pair B Normal
Pair C N/A Pair C Not Supported
Pair D N/A Pair D Not Supported
SW-01#

Penjelasan lebih detail apa itu TDR, bisa dibaca di link [1].
[1] https://community.cisco.com/t5/networking-documents/how-to-use-time-domain-reflectometer-tdr/ta-p/3119327

IEEE 1588 Precision Time Protocol

PTP = Precision Time Protocol

PTP Main Features:
1.
2.
3.
Clock Roles in Network:
1. Ordinary Clock
2. Boundary Clock
3. Transparent Clock
Port states in PTP:
1. Master –> port yg memiliki kualitas clock sync yg better
2. Slave
3. Passive –> port state yg konek antar boundary clock. Jika boundary clock ini sebagai slave/master, maka keduanya akan melkukan pruning.
PTP Messages:
1. PTP Sync Message
2. Follow up message

3. Delay Request Message

4. Delay Response Messages
PTP Master-Slave Synchronization:

ketika master dan slave saling sinkronisasi maka keduanya melakukan sync timestamp, akan ada delay 2s.

Secara umum, PTP message diklasifikasikan menjadi 2:

  1. Event Messages –> message that get timestamp
  2. General Messages –> messages that donot get timestamps.
  3.  

Source:

ISIS di IOS-XRv EVE-NG Bugs

Seharian ngutak-ngatik XRv 6.0.1 agar bisa adjacency dengan IOL di EVE-NG, namun tak kunjung berhasil. Adjacency ISIS tidak terjadi. Mencoba OSPF Adjacency, running well. Check and change MTU, hello padding, bahkan utak-atik NET address-nya, namun tetap tidak establish isis adjacency-nya. Mencoba ganti interface, reload XRv namun tetap sama. Padahal kalo sesama XRv, isis adjacency-nya establish.

XRv <> IOL

Akhirnya delete XRv yg saat ini running dan add new XRv.. Jrennng, isis adjacency is up :-D. Nge-bugs nampaknya.

 

 

SPAN/Mirroring in NCS 5500

Last a couple week we have an issue between cisco product and other vendor. The customer and other vendor  blame us that there is an issue in cisco side.  The issue is related to BFD session flapping. To prove that there is no issue in Cisco side then we did some troubleshooting from checking interface counter error (ok), reset bfd, reload line card until reload box. Unfortunately, there is no action in other vendor. Then we propose to do packet capture.

Continue reading “SPAN/Mirroring in NCS 5500”

How to view SNMP Community String in Cisco ASA

Sometime, we don’t know or forgot the snmp community string that configured in Cisco ASA. By default ASA is not displaying that string (encrypted).

CGNASA-01# show running-config | in community
snmp-server host management 10.x.x.x poll community ***** version 2c
snmp-server host management 10.y.y.y poll community ***** version 2c

We could view it by linux command-liked  with ‘more’. Continue reading “How to view SNMP Community String in Cisco ASA”

Save Config by Kron Job Cisco IOS XE

Beberapa hari lalu, ada laporan dari customer bahwa CPU di ASR 907 meningkat/spike. Hasil cek and ricek, snmp dan kron job cukup memiliki andil dalam meningkatnya process CPU router.
Ternyata di kron job, terdapat beberapa activitas save config (write memory) di jam 22 WIB dan jam 8. Menurut saya, save config cukup sekali saja dalam sehari supaya menghemat resource. Jikalau pun ada engineer yang lupa save config, lalu tiba-tiba listrik di site tersebut mati maka, minimal si engineer yang konfig me-restorenya dari precheck and post check activity. Jika engineer tidak melakukan pre check atau post check, maka itu merupakan human error, menyalahi prosedur.

kron policy-list SAVE_CONFIG
cli write memory
kron occurrence DAILY at 08:00 recurring
policy-list SAVE_CONFIG