Cisco Nexus 7K & 9K Local Authentication and Tacacs

Ada satu hal yang membuat saya bingung ketika AAA diaktifkan di Nexus 5K:

  • N5K bisa authenticate menggunakan user lokal dan sekaligus user tacacs (external).
  • N5K command authentication defaultnya bisa diset tacacs juga local

aaa authentication login default group tacacs local

Hal ini berbeda dengan 7K dan 9K, dimana ketika aaa diaktifkan maka akan hanya berlaku salah satu saja. Nah, juga di kedua nexus ini, tidak ada command “local” setelah group tacacs. Dimana menurut dokumentasinya, jika tacacs masih available maka autentikasi akan ke tacacs, namun jika tidak available akan menuju local. User local akan hidup by default jika tacacsnya tidak available. Berikut command aaa di N7K/9K.

aaa authentication login default group tacacs

Cisco TAC pun menjawab pertanyaan saya bahwa behaviornya jika tacacs aktif maka local tidak bisa digunakan. Tidak bisa aktif dua-duanya. TAC dari tim Nexus bilang bahwa kesimpulan ini ia dapatkan setelah diskusi dengan tim AAA/Security.¬† Namun ketika saya konfrontasi dengan menunjukan ‘keanehan’ tersebut, kenapa di N5K bisa hidup dua-duanya? Hmm, TAC blom menjawab. Meraka bingung atau mereka gak mau tau ya ūüôā

Nah, bagaimana dengan Cisco IOS dan XR?

 

Advertisements

Perbedaan Router OSFPv3 vs IPv6 Router OSPF

Baru baca dokumen dari Ciscopress, ternyata:

versi/mode lama:

ipv6 router ospf 1

interface loopback0

ipv6 ospf 1 area 0

contoh:

R2#sh run int lo0
Building configuration…

Current configuration : 159 bytes
!
interface Loopback0
ip address 2.2.2.2 255.255.255.255
ip ospf network point-to-point
ip ospf 1 area 0
ipv6 address 2001::2/128
 ipv6 ospf 1 area 0
end

R2#
R2#sh ipv6 ospf nei

OSPFv3 Router with ID (2.2.2.2) (Process ID 1)

Neighbor ID     Pri   State           Dead Time   Interface ID    Interface
11.11.11.11       1   FULL/BDR        00:00:37    5               GigabitEthernet1/0
R2#

versi baru:

router ospfv3 1

router-id x.x.x.x

interface loopback0

ospfv3 1 ipv6 area 0

contoh:

R1#sh run int lo0
Building configuration…

Current configuration : 129 bytes
!
interface Loopback0
ip address 1.1.1.1 255.255.255.255
ip ospf 1 area 0
ipv6 address 2001::1/128
ospfv3 1 ipv6 area 0
end

R1#

R1#sho ospfv3 neighbor

OSPFv3 1 address-family ipv6 (router-id 1.1.1.1)

Neighbor ID     Pri   State           Dead Time   Interface ID    Interface
11.11.11.11       1   FULL/BDR        00:00:37    6               GigabitEthernet1/0
R1#

R1#show ipv6 route ospf
IPv6 Routing Table – default – 12 entries
Codes: C – Connected, L – Local, S – Static, U – Per-user Static route
B – BGP, R – RIP, H – NHRP, I1 – ISIS L1
I2 – ISIS L2, IA – ISIS interarea, IS – ISIS summary, D – EIGRP
EX – EIGRP external, ND – ND Default, NDp – ND Prefix, DCE – Destination
NDr – Redirect, O – OSPF Intra, OI – OSPF Inter, OE1 – OSPF ext 1
OE2 – OSPF ext 2, ON1 – OSPF NSSA ext 1, ON2 – OSPF NSSA ext 2, l – LISP
O   2001::2/128 [110/2]
via FE80::A00:27FF:FE12:1C06, GigabitEthernet1/0
O   2001::11/128 [110/1]
via FE80::A00:27FF:FE12:1C06, GigabitEthernet1/0
O   2001:10:2:11::/64 [110/2]
via FE80::A00:27FF:FE12:1C06, GigabitEthernet1/0
O   2001:10:4:11::/64 [110/2]
via FE80::A00:27FF:FE12:1C06, GigabitEthernet1/0
R1#

di router lainnya, XR1:

RP/0/0/CPU0:XR1#sho ospfv3 neighbor
Sat May  6 12:49:39.045 UTC

Neighbors for OSPFv3 1

Neighbor ID     Pri   State           Dead Time   Interface ID    Interface
1.1.1.1         1     FULL/DR         00:00:37    4               GigabitEthernet0/0/0/2
Neighbor is up for 02:40:21
2.2.2.2         1     FULL/DR         00:00:34    4               GigabitEthernet0/0/0/1
Neighbor is up for 01:36:06

Total neighbor count: 2
RP/0/0/CPU0:XR1#

RP/0/0/CPU0:XR1#sho route ipv6 ospf
Sat May  6 12:51:35.657 UTC

O    2001::1/128
[110/1] via fe80::c804:15ff:fe14:1c, 02:42:12, GigabitEthernet0/0/0/2
O    2001::2/128
[110/1] via fe80::c805:15ff:fe14:1c, 01:35:21, GigabitEthernet0/0/0/1
RP/0/0/CPU0:XR1#

di versi baru ini support satu database LSA mencover IPv4 dan IPv6. Namun mekanisem transportnya menggunakan Ipv6. Begitu kata ciscopress[1].

[1] http://www.ciscopress.com/articles/article.asp?p=2294214&seqNum=4

 

BGP VPNv4 Route Refresh

Jika di BGP AF IPv4, kita mengenal soft-reconfiguration inbound. Maka di VPNv4, ada satu command yang tersembunyi yaitu “dont-capability-negotiate enhanced-refresh“. Namun sayangnya masih belum bisa melihat VPNv4 route-received-nya. Hmm, aneh juga ya.

Satu lagi, jika command di PE1 dan PE2 tidak sesuai, misalnya di PE1 menggunakan command:

neighbor 10.10.10.102 dont-capability-negotiate enhanced-refresh

Namun di PE2 :

neighbor 10.10.10.101 dont-capability-negotiate

Maka, statusnya akan “NoNeg” –> No Negotiation.

PE1-AS1#sh ip bgp vpnv4 all sum | b Neighbor

Neighbor        V           AS MsgRcvd MsgSent   TblVer  InQ OutQ Up/Down  State/PfxRcd
10.10.10.102    4            1       0       0        1    0    0 00:01:19 (NoNeg)
PE1-AS1#

Setelah di PE2 disamakan konfigurasinya, status prefix yang diterima akan terlihat. Jangan lupa clear ip bgp dulu. Jika tidak, maka statusnya tidak berubah.

PE1-AS1#sh ip bgp vpnv4 all sum | b Neighbor
Neighbor        V           AS MsgRcvd MsgSent   TblVer  InQ OutQ Up/Down  State/PfxRcd
10.10.10.102    4            1       6       4        5    0    0 00:00:03        2
PE1-AS1#

VPLS BGP Autodiscovery di Cisco

Sejak ada kasus BGP label unicast dimana customer yang berlangganan VPLS complain. Dan ternyata VPLS-nya menggunakan BGP autodiscovery (BGP AD). Terus terang belum pernah belajar BGP AD, sekadar mendengar dan pernah melihat dokumen BGP.

Karena penasaran, langsung saja nge-lab di GNS3 dengan router CSR1000v. Namun ternyata BGP AD ini tidak semudah yang dibayangkan. Ya, perpaduan antara MPLS, BGP dan VPLS. Beberapa kali mencoba bikin peering BGP, dan create l2vpn & bridge-domain namun ternyata tidak jalan. Pseudowirenya tidak muncul saat verify “show l2vpn vfi”. Baru ngecek dan ternyata sayah memasang ve id=1 di semua PE. VE (VPLS edge/endpoint) nya itu wajib UNIK. Gak boleh sama. Hhmm…

Thanks buat pembuat video di youtube[1] & [2].

[1] https://www.youtube.com/watch?v=PX2XnFh_dIg

[2] https://ccdewiki.wordpress.com/2013/06/24/vpws-auto-discovery-and-signaling/

 

BGP Labeled Unicast #2

Sudah sebulan lebih masih berkutat dengan BGP Labeled Unicast. Gagal maning.

Cisco IOS router by default mengirimkan capability BGP IPv4 unicast (AFI 1/1) dan BGP IPv4 Labeled Unicast (SAFI 1/4) ke neighbor BGP-nya. Sedangkan Juniper, nampaknya tidak. Juniper hanya memilih antara SAFI 1/4 atau AFI 1/1. Tentu ini menjadi agak sulit menyatukan kedua vendor ini. Kadang saling klaim ‘kebenaran’.

Lalu, apa jalan tengahnya?

BGP Label Unicast: non label not advertise

Sudah 3x melakukan aktivasi BGP Label Unicast, namun gagal maning.

#1: Menggunakan IOS SRD5, terjadi bgp flapping antara Cisco 7200 dan Juniper.

#2: Tidak ada feature add-path.

#3: Upgrade ios ke versi 15.2(4)s7. BGP peering ok, namun banyak prefix yang tidak dikirim oleh RR ke peer yang dienable BGP Label Unicast.

Ya, memang session bgp ipv4 unicast dan bgp label unicast (send-label) ini berbeda, sehingga capability nya berbeda pula.

Cisco Exam 300-207

Ujian di ruangan dingin, di Fakultas Teknik UI Salemba. Bayar registrasi ujian kode 300-207 for second attempt dan membayar biaya sebesar USD 250 via pearsonVUE. First attempt gagal total dan melayanglah uang USD250. Akhirnya belajar agak serius selama seminggu, dengan tetap mengandalkan dump terbary hehehe, juga baca-baca dokumen guide ISR, ASA CX, IPS dsb.

Ada satu lab yang tidak sesuai dengan dump yaitu terkait redirect proxy authentication menggunakan router ISR.

ISR-R(config)#parameter-map type content-scan global

scansafe server primary name proxy-a.scansafe.net port http 8080 https 8080

ISR-R(config-parameter)#scansafe server secondary name proxy-b.scansafe.net port http 8080 https 8080

ISR-R(config-parameter)#license 0 0123456789abcdef

ISR-R(config-parameter)#scansafe server content-scan on-failure block-all

ISR-R(config)#interface gi0/1

ISR-R(config-if)#content-scan out

 

pada saat verify,

ISR-R#show content-scan summary

semua servernya down down.

teringat akan dokumen yang pernah dibaca terkait cloud web security agar redirect ke proxy dimana ada parameter source interface. Saya coba masukan tambahan command berikut dan hasilnya Up.

ISR-R(config-parameter)#source interface gi0/1

Lanjut ke soal-soal berikutnya, alhamdulillah lancar dan skornya sangat baik. LULUS.

So, the last exam should be done this month, 300-209 (SIMOS).