Hallo!
Wie versprochen geht es heute mit NCM weiter – aber heute werden wir aktiv!
Fangen wir mit etwas einfachem an – dem Ändern einer Konfiguration mittels Vorlage.
Warum wollen wir sowas tun?
Es spart Zeit, da wir Änderungen auf hunderten von Geräten gleichzeitig durchführen können.
Wir können es auch als Aufgabe ansetzen und ausserhalb der Geschäftszeiten durchführen lassen, ohne daneben stehen zu müssen. Und es minimiert eine Fehlerquelle: Unsere Finger in der CLI
Also, Config Change Templates.
Es gibt ein paar die direkt mit NCM ausgeliefert werden, ebenso die Integration in die Community hier
Aber natürlich auch direkt aus NCM heraus
Ich bin gerade wenig abenteuerlich und habe ohnehin Hut und Peitsche verlegt, daher nehme ich einfach mal das Ding hier:
Oben klicke ich auf „Define…“
Wähle meinen Freund den Catalyst aus
Erstelle ein Banner
Wie jetzt Minuten…ich habe doch keine Zeit…
Na gut das ging schnell. Vorschau verfügbar:
NCM ist noch nicht übersetzt. Ich bin gespannt, wie das hier später auf Deutsch aussehen wird.
Keine Beschwerden – gut:
Test mit dem SSH Client meines Vertrauens:
Prima!
Aber wieder ein paar Schritte zurück. Ich wähle noch einmal die Vorlage aus aber dieses Mal klicke ich oben auf „Advanced…“
Jetzt sehe ich tatsächlich die Vorlage. Oben werden zuerst die Variablen ausformuliert:
Und in der unteren Hälfte sehen wir Cisco Commands
Tipp: Schaut euch an, wie die verschiedenen Vorlagen gebastelt sind. Ist gutes Lernmaterial und meiner Meinung nach interessanter als das Lesen des Handbuches.
Ich wechsle in den Bereich Configuration Management und ziehe mir eine neue Config
Klicke auf „compare“ und vergleiche die letzte Running gegen die neue
Jetzt bin ich natürlich kein Kunstbanause und mag das Banner überhaupt nicht!
Also klicke ich Upload und wähle die vorherige Version um den alten Zustand wieder aktiv zu setzen:
Das nächste Thema: Compliances. Zu Deutsch: Konformitäten. Was für ein Wort!
NCM bringt von Haus aus Vorlagen für ein paar mehr oder weniger bekannte Namen wie PCI, SOX oder auch HIPAA.
Als Beispiel PCI; es gibt 12 verschiedene Reporte
Ich aktivere einmal Nr 2, dazu klicke ich auf Manage Policies, Enable und „Update“.
Hinweis: Wir setzen hier auf den Informationen aus den beiden Jobs aus, die wir im letzten Posting definiert hatten.
Schliesslich schaue ich mir den Bericht an
Der Klick auf ein Ausrufezeichen ergibt Details
Wie funktioniert so etwas nun?
Die Dinge sind verschachtelt. Ein Report (PCI) enthält eine oder mehrere Policies (Vendor Defaults) welche eine oder mehrere Regeln enthalten (VTY Zugriff).
Die Regel von oben sieht so aus
Wenn wir also im Terminal nicht SSH in/out finden, ist das für uns bzw PCI ein Verstoss.
Diese Regel sieht lediglich eine Benachrichtigung vor – langweilig!
Was ich aber auch einsetzen kann, sind automatische Gegenmassnahmen.
Im Beispiel oben z.B. „no telnet“, „no feature telnet“ bei NX-OS oder was auch immer wir gerade brauchen.
Ihr merkt schon – das Regelwerk ist vollkommen frei gestaltbar, ich kann meine eigenen Regeln zusammenfassen und einsetzen.
Um Arbeit zu sparen schlage ich jedoch vor, die bestehenden Regeln zu sondieren und „auszuschlachten“, was sinnvoll erscheint.
Nun schliesslich etwas ganz Neues – IOS Firmware Updates in Version 7.6.
Was sticht zuerst ins Auge: Icons. In Farbe. Und bunt.
Ich gebe der Operation einen Namen und wähle die für meinen Switch passende Vorlage aus:
Nächster Schritt – das Auswählen des neuen Images.
Das Repository bestimmt ihr natürlich vorab, üblicherweise ein Netzwerkpfad.
Und nein, wir liefern die binär Dateien nicht mit NCM. Dazu geht ihr bitte mit eurem CCO Konto auf die Webseite des Herstellers.
Ziele auswählen, der Catalyst ist immer noch mein Freund – nur für wie lange noch?!
Das hier dauert ein wenig:
Na klar, ich reviewe:
Oben können wir durch die Kommunikation scrollen, darunter sehen wir die Warnung für unzureichenden Speicherplatz.
Alle Optionen hier sind vorausgewählt, ich lasse es einmal dabei:
Die Vorschau zeigt mir, was gleich passieren wird:
Das Backup des aktuellen Images wird übrigens in einem Unterordner im Repository erstellt, sortiert nach Gerätenamen sowie Datum.
Klicken wir jetzt wirklich auf weiter?!
Klar, es gibt das hier:
Und auch: http://www.cisco.com/c/en/us/support/docs/switches/catalyst-2950-series-switches/41845-192.html
Aber, aber…egal, ich klicke auf weiter. Und weiter.
YES eingeben ist wie das Bestätigen des Lesens irgendwelcher AGB.
Trommelwirbel setzt ein…oder Fahrstuhlmusik...
Reicht die Zeit noch, um sich nach einem neuen Job umzuschauen für den Fall, dass der Switch abraucht?
Zu spät!
Ich habe beim Prozess keinen automatischen Neustart angewählt, das mache ich nun manuell:
Übrigens: Niemals hinter einem Switch stehen während dieser neustartet. Ruiniert die Frisur.
Gefühlte Tage später und zwei graue Haare reicher:
Mein Freund der Switch und ich brauchen jetzt ein Bier!