Cisco Etherchannel konfigurieren (IOS 4506-E)

Zur redundanten Anbindung und zur Erhöhung der Ausfallsicherheit verbindet man Gerät gern mit mehr als einem Kabel sowohl in Ringstrukturen als auch zu einem anderen Gerät. Spanning Tree verhindert dabei Loops. Verbindet man z.B. 2 Core Switche mit mehreren Kabeln kann man auch einer höhere Bandbreite nutzen.

Switch 1:
# conf t
(config)#int port-channel 1
(config-if)#
(config-if) description "Channel zu Core-2"
(config-if) switchport
(config-if) switchport mode trunk
(config-if)exit
(config)#int range te1/1-2
(config-if-range)# description "10gig to Core2
(config-if-range) switchport mode trunk
(config-if-range) channel-group 1 mode desirable
(config-if-range)end

Switch 2 ist analog, also:
# conf t
(config)#int port-channel 1
(config-if)#
(config-if) description "Channel zu Core-2"
(config-if) switchport
(config-if) switchport mode trunk
(config-if)exit
(config)#int range te1/1-2
(config-if-range)# description "10gig to Core2
(config-if-range) switchport mode trunk
(config-if-range) channel-group 1 mode desirable
(config-if-range)end

Verifizieren:
#sh etherchannel summary
Flags: D - down P - bundled in port-channel
I - stand-alone s - suspended
R - Layer3 S - Layer2
U - in use f - failed to allocate aggregator

M - not in use, minimum links not met
u - unsuitable for bundling
w - waiting to be aggregated
d - default port
Number of channel-groups in use: 1
Number of aggregators: 1
Group Port-channel Protocol Ports
------+-------------+-----------+-----------------------------------------------
1 Po1(SU) PAgP Te1/1(P) Te1/2(P)

Defaultmäßig wird ein anhand von Destination Mac bzw. Destination IP im Load Balancing Algorithmus festgelegt welcher Link im Etherchannel benutzt wird. Das kann bei genutzt das kann aber bei vielen Verbindungen zwischen den selben Systemen zu einer einseitigen Nutzung des Channels kommen. mittels
port-channel load-balance src-dst-port
kann man z.B. Src und Destination Port als Kriterium wählen.

Warum man Webseiten kompatibel machen und alle Browser unterstützen sollte

Wie ein Post im Opera blog zeigt, hat sich ein (ungenannter) Serverhersteller selbst ins Bein geschossen. er liefert an Opera die Hardware für ein paar 100.000€ bestellen wollten mit einer Admin Gui aus in der folgendes JavaScript steht:
if (is.opera)
{
window.location.href="config/error.htm";
}

Tja.. Vorbeiprogrammiert. So macht man sich (zumindest bei Opera) zurecht keine Freunde.

Immer wieder hört man „das nutzen doch eh nur 5% der User, ich optimiere für IE und Firefox. Das ist schon richtig, aber auch die 5% können viel Geld in der Hand haben bzw. negative Publicity bringen.

Meiner Meinung nach sollte gelten: Optimieren kann jeder wie er will, solange es für jeden Browser bedienbar bleibt. wenn mal ein Pixel in einem selteneren Browser verrutscht geht die Welt nicht unter, aber „Du darfst hier nicht rein, weil wir nur IE und Firefox unterstützen“? Dafür gehören Verantworliche gehängt, gevierteilt und öffentlich misshandelt.

Cisco ASA Factory reset & firmware per tftp

Eigentlich sollte die ASA bei auslieferung in einem default Zustand sein, so das man z.B. über einen dhcp auf dem Management port eine Verbindung bekommen sollte – sagt Cisco.
So scheint es zumindest bei den hier geliferten 5550 nicht zu sein. aber man kann diesen Zustand durcht ein
conf t
configure factory-default

schnell wieder herstellen.

mittels
ciscoasa(config)# copy tftp flash
Address or name of remote host [192.168.1.12]? 192.168.1.2
Source filename [asdm-621.bin]?
Destination filename [asdm-621.bin]?
Accessing tftp://192.168.1.2/asdm-621.bin...!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

bzw.
ciscoasa(config)# copy tftp flash
Address or name of remote host [192.168.1.2]?
Source filename [asdm-621.bin]? asa821-k8.bin
Destination filename [asa821-k8.bin]?
Accessing tftp://192.168.1.2/asa821-k8.bin...!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

kann man über einen geeigneten tftp schnell eine aktuelle Firmware einspielen

Cisco ASA – ASDM error: Unconnected sockets not implemented

Ähnlich wie dem anderen asdm Problem gibt es noch andere schöne Fehler die beim starten des ASDMs auftreten können. In diesem Fall ASA 8.04 und ASDM 6.13, welche auf einer ASA 5550 vorinstalliert waren.
Laut diesem Blog kann man das Problem mit einer älteren Java Version oder einem neueren ASDM lösen ich habe letzteres gemacht und per tftp die asa-821 und asdm-621 installiert.

Und: die ASA 5550 kopiert deutlich fixer als z.B. eine 5520 😉 16 MB in gefühlten 5 Sekunden.. endlich mal Geschwindigkeit bei Cisco.

LUKS, dmcrypt debian lenny neuen Schlüssel hinzufügen

Mein Server hat ein Standard Lenny und ich habe bei der Partitionierung/Installation ein voll verschlüsseltes System gewählt.
Das Passwort kenne nur ich, aber nach einem Stromausfall ist meist nur meine Holde daheim, die kennt aber das Passwort nicht. Ich vertraue Ihr, keine Frage, aber mein Passwort bekommt sie nicht.. aber man kann ja bei LUKS verschiedene Passwörter einrichten.

Als erstes sucht schaut man welches Hardware Device wirklich ein LUKS device ist:
for I in /dev/[h,s]d*; do cryptsetup isLuks $I; if [ $? -eq "0" ]; then echo "$I ist LUKS"; fi; done
/dev/sda2 ist LUKS

Also /dev/sda2

Das gucken wir uns mal an:
# cryptsetup luksDump /dev/sda2
LUKS header information for /dev/sda2
Version: 1
Cipher name: aes
Cipher mode: cbc-essiv:sha256
Hash spec: sha1
Payload offset: 2056
MK bits: 256
MK digest: a2 82 c2 fa 2a a2 ff eb 72 65 23 6b a0 2b 58 16 0f 4d 7c 02
MK salt: 4e 5c be 61 94 2a c3 bd 06 dd ce 01 a2 7e 9f 1e
3c 29 0d 49 58 b0 bc f5 9d 27 b2 b6 a3 4b 5f 32
MK iterations: 10
UUID: 83c19b6b-eb63-4515-a63d-04bf33142126
Key Slot 0: ENABLED
Iterations: 213596
Salt: 22 33 44 55 66 77 88 99 aa bb cc dd ee ff ee dd
cc bb aa 99 88 77 66 55 44 33 22 11 00 11 22 33
Key material offset: 8
AF stripes: 4000
Key Slot 1: DISABLED
Key Slot 2: DISABLED
Key Slot 3: DISABLED
Key Slot 4: DISABLED
Key Slot 5: DISABLED
Key Slot 6: DISABLED
Key Slot 7: DISABLED

Dann kann man einen key dazu hinzufügen z.B. in Slot 7:
# cryptsetup luksAddKey /dev/sda2 --key-slot 7
Enter any LUKS passphrase:
key slot 0 unlocked.
Enter new passphrase for key slot:
Verify passphrase:
Command successful.

Und auch wieder löschen
# cryptsetup luksDelKey /dev/sda2 7
luksDelKey is a deprecated action name.
Please use luksKillSlot.
Enter any remaining LUKS passphrase:
key slot 7 verified.
Command successful.

(Das nächste mal also mit LuksKillSlot)

Schon hat man mehr als ein Passwort zum entschlüsseln.

GPS Logger und Photos taggen

Ein bisschen eingelesen habe ich mich, nachdem ich meine ersten Alben in der Gallery getaggt habe.

Ich will eine GPS Logger um meine Bilder zu taggen.

Angeblich soll Copiks Photomapper taugen so ein User im Flickr Forum Photomapper und andere Alternativen werden auch in der c’t erwähnt.

Interessantes Themenfeld, bin gespannt wie sich viele getaggte Bilder in der Gallery machen.