TSHOOT – Part V, DHCP & NAT

bgp-internet

Då var det endast NAT & DHCP kvar att konfa upp (tidigare inlägg finns här). Förhoppningsvis sparar jag in en del tid nu till certet när jag faktiskt “hittar i nätet” och bara behöver fokusera på att leta efter fel istället.

Har sett att gns3vault.com har en hel del troubleshoot-labbar jag tänkte försöka mig på under veckan för lite extra träning. Men det är bara 7 dagar kvar nu och på något vis ska jag även försöka hinna nöta in repetition av Switch också… Att försöka sig på två cert samtidigt efter bara 3 veckors plugg = låååånga dagar (8-22 ftw). Ett under att jag inte drömmer om cisco än… 😀

Inbillar mig dock att switch är enklare än route, och tshoot räknar jag kallt med att inte behöva läsa någon teori inför… Så om allt går vägen så är jag faktiskt CCNP-certifierad nästa vecka, ett litet steg på vägen iaf…

NAT

Gjorde det enkelt för mig och tillät NAT för alla 10.1.x.x-10.2.x.x adresser, men har ingen info om hur cisco själva gör, antagligen är det väl bara ex. vlan10&20 som NATas.

R1(config)#ip access-list extended NAT
R1(config-ext-nacl)#remark NAT-ACL
R1(config-ext-nacl)#permit ip 10.1.0.0 0.0.255.255 any
R1(config-ext-nacl)#permit ip 10.2.0.0 0.0.255.255 any
R1(config-ext-nacl)#exit
R1(config)#interface fa0/1
R1(config-if)#ip nat outside
R1(config-if)#interface s1/0.12 point-to-point
R1(config-subif)#ip nat inside
R1(config-subif)#exit
R1(config)#ip nat inside source list NAT interface fa0/1 overload

HostA#ping 209.65.200.241
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 209.65.200.241, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 172/207/236 ms

R1#sh ip nat translations
Pro Inside global Inside local Outside local Outside global
icmp 209.65.200.225:1 10.1.1.6:1 209.65.200.241:1 209.65.200.241:1
icmp 209.65.200.225:34 10.2.1.10:34 209.65.200.241:34 209.65.200.241:34

Vackert. 🙂

DHCP

R4

R4(config)#ip dhcp excluded-address 10.2.1.1 10.2.1.10
R4(config)#ip dhcp excluded-address 10.2.1.254
R4(config)#ip dhcp excluded-address 10.2.2.1 10.2.2.10
R4(config)#ip dhcp pool VLAN10
R4(dhcp-config)#network 10.2.1.0 /24
R4(dhcp-config)#domain-name TSHOOT
R4(dhcp-config)#dns-server 10.2.1.254
R4(dhcp-config)#default-router 10.2.1.254
R4(dhcp-config)#exit
R4(config)#ip dhcp pool VLAN20
R4(dhcp-config)#network 10.2.2.0 /24
R4(dhcp-config)#domain-name TSHOOT
R4(dhcp-config)#dns-server 10.2.2.1
R4(dhcp-config)#default-router 10.2.2.1
R4(dhcp-config)#exit

Då R4 ligger utanför broadcast-domänen för både VLAN10 & 20 behöver vi konfa upp ip-helpers på både DSW1 & DSW2.

DSW1

DSW1(config)#inte vlan 10
DSW1(config-if)#ip helper-address 10.1.4.5
DSW1(config-if)#int vlan 20
DSW1(config-if)#ip helper-address 10.1.4.5

DSW2

DSW2(config)#inte vlan 10
DSW2(config-if)#ip helper-address 10.1.4.9
DSW2(config-if)#int vlan 20
DSW2(config-if)#ip helper-address 10.1.4.9

Vi kan verifiera så allt är ok med vår host på vlan10.

HostA(config)#inte fa0/0
HostA(config-if)#no ip add
HostA(config-if)#ip add dhcp
HostA(config-if)#end

HostA#sh inte fa0/0
FastEthernet0/0 is up, line protocol is up
 Hardware is AmdFE, address is cc04.05e0.0000 (bia cc04.05e0.0000)
 Description: Host-connection to Vlan 10
 Internet address will be negotiated using DHCP
...

*Mar 1 10:00:32.361: %DHCP-6-ADDRESS_ASSIGN: Interface FastEthernet0/0 assigned DHCP address 10.2.1.11, mask 255.255.255.0, hostname HostA

HostA#sh inte fa0/0
FastEthernet0/0 is up, line protocol is up
 Hardware is AmdFE, address is cc04.05e0.0000 (bia cc04.05e0.0000)
 Description: Host-connection to Vlan 10
 Internet address is 10.2.1.11/24

Det var sista delen i min “TSHOOT”-serie. Vi har nu konfat upp hela det här nätet från grunden, mycket enklare än vad jag hade räknat med faktiskt.

tshoot-whiteboard

Och det färdiga resultatet:

tshoot-done

GNS3-filen med färdiga konfigs finns att tanka hem här, troligtvis behöver du dock lägga till vlan:en på Dist & Access-switcharna igen.

TSHOOT – Part III, Dist-layer

tshoot-distlayer

Tar och bygger vidare på vårat tshoot-nät med Distribution-layer den här gången. Vi behöver bl.a. konfa upp EIGRP<->OSPF & RIP_NG <->OSPFv3 redistrubution.

Men först måste vi givetvis fixa L2/L3-konfig.. Tyvärr är just switch-funktionen i GNS3 väldigt begränsad (använder endast NM-16ESW-kort i 3640s), så våra port-channel nummer kommer inte stämma överens. Det finns inte heller möjlighet att skapa en L3-channel mellan DSW1 & DSW2 så här blir det endast en port som kommer användas.

Basic L3

R4

R4(config)#inte fa0/0
R4(config-if)#ip add 10.1.4.5 255.255.255.252
R4(config-if)#descrip to DSW1
R4(config-if)#no shut
R4(config-if)#ipv6 add 2026::2:1/122
R4(config-if)#inte fa0/1
R4(config-if)#ip add 10.1.4.9 255.255.255.252
R4(config-if)#desc to DSW2
R4(config-if)#no shut

DSW1

DSW1(config)#ip routing
DSW1(config)#ipv6 unicast-routing
DSW1(config)#int fa0/0
DSW1(config-if)#ip add 10.1.4.6 255.255.255.252
DSW1(config-if)#descrip to R4
DSW1(config-if)#no shut
DSW1(config-if)#ipv6 add 2026::2:2/122
DSW1(config)#int range fa1/13 - 14
DSW1(config-if-range)#descrip L3 Etherchannel to DSW2
DSW1(config-if-range)#no switchport
DSW1(config-if-range)#shut
DSW1(config-if-range)#
DSW1(config-if-range)#inte fa1/13
DSW1(config-if)#ip add 10.2.4.13 255.255.255.252
DSW1(config-if)#ipv6 add 2026::3:1/122
DSW1(config-if)#no shut

DSW2

DSW2(config)#ip routing
DSW2(config)#ipv6 uni
DSW2(config)#ipv6 unicast-routing
DSW2(config)#inte fa0/0
DSW2(config-if)#ip add 10.1.4.10 255.255.255.252
DSW2(config-if)#descrip to R4
DSW2(config-if)#no shut
DSW2(config-if)#int range fa1/13 - 14
DSW2(config-if-range)#descrip L3 Etherchannel to DSW1
DSW2(config-if-range)#no switchport
DSW2(config-if-range)#shut
DSW2(config-if-range)#inte fa1/13
DSW2(config-if)#ip add 10.2.4.14 255.255.255.252
DSW2(config-if)#no shut
DSW2(config-if)#ipv6 add 2026::3:2/122
DSW2(config-if)#exit

EIGRP

R4

R4(config)#router eigrp 10
R4(config-router)#no auto
R4(config-router)#no auto-summary
R4(config-router)#passive-
R4(config-router)#passive-interface default
R4(config-router)#no passive
R4(config-router)#no passive-interface fa0/0
R4(config-router)#no passive-interface fa0/1
R4(config-router)#network 10.1.4.4 0.0.0.3
R4(config-router)#network 10.1.4.8 0.0.0.3

DSW1

DSW1(config)#router eigrp 10
DSW1(config-router)#no auto-summary
DSW1(config-router)#passive-interface default
DSW1(config-router)#no passive-interface fa0/0
DSW1(config-router)#no passive-interface fa1/13
DSW1(config-router)#network 10.1.4.4 0.0.0.3
DSW1(config-router)#network 10.2.4.12 0.0.0.3

DSW2

DSW2(config)#router eigrp 10
DSW2(config-router)#no auto-summary
DSW2(config-router)#passive-interface default
DSW2(config-router)#no passive-interface fa0/0
DSW2(config-router)#no passive-interface fa1/13
DSW2(config-router)#network 10.1.4.8 0.0.0.3
DSW2(config-router)#network 10.2.4.12 0.0.0.3

RIPng

R4

R4(config-router)#inte fa0/0
R4(config-if)#ipv6 rip RIP_ZONE enable
R4(config-if)#int fa0/1
R4(config-if)#ipv6 rip RIP_ZONE enable

DSW1

DSW1(config)#inte fa0/0
DSW1(config-if)#ipv6 rip RIP_ZONE enable
DSW1(config)#int fa1/13
DSW1(config-if)#ipv6 rip RIP_ZONE enable

DSW2

DSW2(config)#inte fa0/0
DSW2(config-if)#ipv6 rip RIP_ZONE enable
DSW2(config)#int fa1/13
DSW2(config-if)#ipv6 rip RIP_ZONE enable

Redistribution

Då vi inte har multipoint-redistribution behöver vi inte använda oss av route-maps/tags i det här fallet.

R4(config)#router eigrp 10
R4(config-router)#redistribute ospf 1 metric 1500 1 255 1 1500
R4(config-router)#router ospf 1
R4(config-router)#redistribute eigrp 10 subnets
R4(config)#ipv6 router ospf 6
R4(config-rtr)#redistribute rip RIP_ZONE include-connected metric 20
R4(config)#ipv6 router rip RIP_ZONE
R4(config-rtr)#redistribute ospf 6 metric 5 include-connected

Verifiering

DSW2#sh ipv6 rip database
RIP process "RIP_ZONE", local RIB
 2026::2:0/122, metric 2, installed
 FastEthernet1/13/FE80::CE03:13FF:FE54:F10D, expires in 165 secs
 2026::3:0/122, metric 2
 FastEthernet1/13/FE80::CE03:13FF:FE54:F10D, expires in 165 secs
 2026::34:0/122, metric 7, installed
 FastEthernet1/13/FE80::CE03:13FF:FE54:F10D, expires in 165 secs
 ::/0, metric 7, installed
 FastEthernet1/13/FE80::CE03:13FF:FE54:F10D, expires in 165 secs

Ping till R1 från DSW2

DSW2#ping ipv6 2026::12:1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 2026::12:1, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 136/160/200 ms
DSW2#ping 10.1.1.1
Translating "10.1.1.1"
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.1.1.1, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 52/111/192 ms

Vackert!

En trace till webservern fungerar dock ej:

DSW2#traceroute 209.65.200.241 Translating "209.65.200.241"
Type escape sequence to abort.
 Tracing the route to 209.65.200.241
1 10.1.4.9 16 msec 48 msec 48 msec
 2 10.1.1.9 108 msec 48 msec 44 msec
 3 10.1.1.5 40 msec 80 msec 84 msec
 4 10.1.1.1 140 msec 108 msec 156 msec
 5 * * *

Detta beror helt enkelt på att vi inte konfigurerat upp någon NAT ännu i R1 så trafiken hittar inte tillbaka. Det fixar vi imorgon tillsammans med DHCP-tjänsten & access-layer. 🙂

CCNP – Troubleshoot prepp

Planen är ju som sagt att försöka sig på TSHOOT samtidigt som jag skriver cert för Switch nu i slutet på nästa vecka. Väldigt ont om tid så har i princip suttit dygnet runt nu senaste två veckorna… Är åtminstone klar med switch-teorin och samtliga labbar vi fått tilldelade av MDH men känner fortfarande att jag behöver läsa om vissa delar som inte känns helt hundra än, bl.a. RSTP, CEF & Backbonefast .

Problemet är att jag även borde ta och färska upp minnet för Route, svårt att få tiden att räcka till. 😀 Cisco har dock varit så sjyssta att de släppt hela topologin för TSHOOT, finns att hämta här.  Är ju betydligt enklare att felsöka i en topologi som inte är helt främmande så min tanke är att försöka mig på att bygga upp hela nätet själv i GNS3.

Kommer givetvis sakna eventuella route-maps/redistributions/acls m.m, men det ger iaf möjligheten att bekanta sig med topologin ordentligt och samtidigt repetera grunderna i både switch & route.

Ritade upp hela topologin på min whiteboard tidigare och det blev ju… lite halvkaos. 😀

tshoot-whiteboard

Men har tillbringat kvällen nu med att bygga upp det i GNS3 istället och det blev åtminstone lite bättre. Det är dock tyvärr inte möjligt att få ex. interface-nummer att stämma överens med den riktiga topologin (endast 16 switchportar i NM-16ESW korten).

tshoot topologi

Min plan är att dela upp arbetet i mindre “segment” och skriva inlägg för respektive del, när vi väl är klara med nätet kan vi ju även försöka oss på att implementera lite egna route-filtreringar osv.  Men nu närmar sig klockan snart 23 så ger mig för kvällen och kollar senaste Breaking Bad istället, 😀