Monthly Archives: February 2010

vlan rant

diverse, ,

Io cand am setat prima oara VLAN-uri pe un switch era un Catalyst, si acolo aveam:

interface FastEthernet 1/0
switchport mode trunk
switchport trunk vlan allowed 100,200,300
switchport access vlan 400

Chestia de mai sus mi se parea extraordinar de logica: stiam din prima citind un config ce setari are o interfata. Dupa aia ma-m jucat si cu altii, recte HP si Juniper. Si astia doi vendori nu cre’ca i-au lasat pe programatori sa fumeze ce trebuie si la ei VLAN-urile se definesc pe dos si ilogic. Exemplu de-mi vine acu in minte ca tot mi-au futu creierii cu VLAN-uri in ultima vreme vine de la HP

vlan 100
tagged 1
vlan 200
tagged 1
vlan 300
tagged 1
vlan 400
untagged 1

Eh, ia si urmareste intr-un mod facil ce port in ce VLAN-uri e cand in fata ai doar configuratia si n-ai acces pe switch. Ultima parte e importanta, ca daca ai acces pe switch, te scoti relativ usor cu show vlan ports 1, daca n-ai acces… ai cam supt-o cand sunt multe porturi si multe VLAN-uri, ca trebuie sa-ti faci in cap schema de retea si s-o transcrii in format Cisco like :((

N-o face Cisco totul bine, da macar asta cu VLAN-urile are sens si logica. Din pacate altii isi urasc netadminii si fac setupuri de te scarpini pe dos dupa urechi.

De ceva vreme ma tot tineam sa scriu da m-au tot oprit VLAN-urile din scris…

cocalarul parfumat

diverse

Asta seara, dupa Shutter Island, ca tot mi-am adus aminte c’ar fi cazul sa-mi iau un parfum nou ca asta curent e oarecum pe terminatelea am mers cu piticul din dotare la Sephora ca tot ne era in drum de la Hollywod Multiplex sa vedem ce au.

In timp ce mai miroseam una alta p’acolo, intra un magazin un jmecheras din asta wannabe, cu cheile de la masina atarnand ostentativ, se duce la standul de parfumuri barbatesti, alege unul, se da cu ele in disperare pe gat si pe fata, dupa care pe maini si pleaca.

Ma uitam la pitic, piticul la mine si aveam asa o privire din asta de “wtf was that ?”… cre’ca e o moda la cocalari sa faca economie la parfumuri.

3com si wireless-ul

diverse, , , , ,

Mda, deci, de marti asa de pe la ~ 14:30 pana seara tarziu, si dupa aia cu repetitie pana acu m-am cacat pe mine in fel si chip sa pun pe picioare o solutie de wireless zice’se moderna, adica AP-uri destepte managerizate de un Wireless Controller.

Din motive sa zicem mai putin importante, solutia aleasa a fost de la 3Com, si anume WX3010 + AP9552, ca deh sa fie 802.11n in 5GHz. Si d’aci s-a cam rupt firul.

Problema e clasica: hardware-ul e facut in China dupa cum crede Huawei de cuviinta, firmware-ul tot pe acolo, documentatia… tot acolo. Problema misto e ca e putina. Si nu e nici coerenta.

Si uite asa, noroc ca era produs nou si am putut apela la suport si sa cer hint-uri pe ici si pe colo ca sa inteleg ce si cum au gandit aia chestiile.

Sa incep cu inceputul: AP-urile merg in doua feluri (bine asta e valabil pentru orice solutie wireless managed): FAT si FIT:

  • FAT inseamna ca AP-ul e standalone si poti sa te dai la el fie CLI fie via interfata web
  • FIT inseamna ca AP-ul e managed de un controller si nu prea ii mai faci nimic dupa ce il legi de controller

Si aci a inceput prima distractie care a insemnat timp pierdut de o zi si jumate asa, give or take. Iau docoment PDF de la 3com de pe site cu procedura din aia ca pentru prosti: dai click colea, te legi cu seriala aci, butonezi asta si intr-un final apoteotic are trebui sa mearga. Eh, ghinion, ca nu mergea cum ziceau ei: AP-ul buta, descoperea controller-ul, intra in starea de ImageLoad – care presupunea ca’si descarca de pe controller o imagine noua de firmware, dupa care se restarta. Prima banuiala a fost ca poate asa e normal si l-am lasat in pace. Dupa vreo 5-10 restart-uri asa am ajuns la concluzia ca ceva e futat, prima idee venita in creieras: dead on arrival. Zic lasa, ca mai am. Despachetez un alt AP, urmez fix aceeasi procedura, zbang, aceesi duda: AP-ul se restarta intr-o veselie. Caut chestii pe site-ul de suport, dau numai de link-uri moarte, as in 404, la diverse tutotiale din astea video de pas cu pas. Bazai la distribuitorul din Romania cu problema, se uita si el la jucarie da nu vede nimic in neregula. Bazai la reprezentantul tehnic 3Com in Romania, sapa si el un pic si vine cu raspuns de la un fel de specialist pe wireless care rezolva problema. Problema complet stupida de altfel: pe controller pui firmware-ul pe care AP-urile o sa si-l ceara cand buteaza prima oara in FIT mode, eh, numai ca minunatul controller are o lista – apdb cu ce ce versiune vine fiecare firmware, ca la chinezi le-a fost greu sa mai faca o subrutina care sa se uite in .bin-urile de pe flash si sa vada ce versiune au. Controllerul stia ca are versiunea tz02, iar eu aveam pe flash tz02sp002. Eh, si ce se intampla de fapt: AP-ul se rebuta cu firmware-ul dat de controller, se inregistra la controller, isi trimitea versiunea de software, controllerul vedea ca nu bate cu ce stia el ca trebuie sa fie, dadea instructiuni la AP sa-si ia versiunea corecta de software, ala downloada ce trebuia si uite asa ca la budisti, ciclul se repeta la infinit. Explicat la controller ce versiune de firmware e si ca prin minune AP-ul nu se mia reseta intr-o veselie.

Din capitolul cum sa te zgarmi in cur bagandu-ti mainile pe gura, controller-ul wireless minune e foarte special: contine un asa numit AC (access controller) si un Unified Switch – doua device-uri intr-unul care comunica intre ele printr-un port de gigabit virtual. Si drept urmare ai un switch cu PoE in care infigi AP-urile care switch mai departe leaga AC-ul de retea si de AP-uri. Daca lasi switch-ul in pace si nu-l configurezi deloc, poti sa dai acces la clienti intr-un VLAN default si cam asta e tot. In schimb, daca vrei sa mapezi SSID-uri la VLAN-uri si nu stii cum sa le legi… ai cam supto cu foarte mult spor. Cu mica mea aventura am supt-o tot cam o zi asa, ca nu priceam ce mortii si ranii ma-sii nu merge. Cu ocazia asta aveam si-un caz deschis la suport, dau reply, primesc reply: Think of the GigabitEthernet 1/0/11 as virtual interface between the network switch and the AC and create trunking between the interfaces. Si uite asa m-am luminat. Da s’a facut repede bezna, ca tot nu veneau VLAN-urile spre AC si nu vedeam nici un MAC pe nicaieri. Aici si mai interesant: 3Com in mareata lor genialitate, daca pe un switch de-al lor ai doau porturi puse in trunk cu “permit vlan all” nu forwardeaza nimic dintr-o parte in alta, ci trebuie sa definesti local pe swich VLAN-urile pe care le vrei sa traverseze doua trunk-uri. Noroc ca, dintr-un motiv care mie iar imi scapa, comanda “vlan all” care face ceva foarte interesant in 2-3 minute: creeaza 4094 de intrari de VLAN in baza lui de date interna. De ce doar 4094 din 4096… beats me, da macar le face in liniste fara sa comenteaza prea mult, doar pune pe ecran cate un punctulet cam pentru fiecare VLAN :)) Dupa ce faci trunking pe switch, trebuie sa faci trunking si pe wireless controller. La ala am definit doar VLAN-urile care ma interesau, nu de alta da asta daca le definesc pe toate mi le toarna pe toate in interfata grafica, si daca vreau sa folosesc vlan 100 si 200… am belit-o cautand pagina cu pagina pana dau de ele in lista….

Ca sa fie treaba treaba, 3Com a inventat hybrid port, adica nici trunk da nici access. Pe undeva pe langa. Hybrid port asta te lasa sa ai X VLAN-uri tagged si Y VLAN-uri untagged pe acelasi port. care o fi logica sa ai 2-3 VLAN-uri untagged pe un singur port imi scapa la ora asta, insa probabil prin China retelele sunt altfel :)

Futerea maxima e cand creezi SSID-urile si vrei sa le legi de un VLAN anume, daca gresesti si pui si VLAN 1 ca acces pe SSID-ul tau… tot traficul o sa se duca bucuros pe VLAN 1. Partea si mai futacioasa e ca daca gresesti, nu mai repari asta si s-o faci si sa mearga decat daca stergi de tot SSID-ul si-l recreezi.

Partea misto si care dadea cele mai multe WTF-uri e ca la un moment dat un config mergea bine, dupa un reboot…. lipsa.

Concluzia e ca nu prea e documentatie, aia care e relativ degeaba, site-ul de suport e vai de creierii lui. Astea’s genul de echipamente pe care le recomanzi la dusmani sa vezi cum se descurca sub stres sau cum a fost cazul meu, sa stau 4 zile cate 12-14 ore la servici sa sap in variante de configurari.

Si ca factor WTF suplimentar a mai fost si Windows-ul 7 de la mine de pe laptop care daca-l freci la cap cu connect/disconnet from wireless network la un moment dat se confuzeaza si fara restart nu prea o sa mai colaboreze in privinta wireless-ului – asta am descoperit-o mia tarziu cand nu intelegeam de ce nu merg anumite chestii SSID-uri la mine pe laptop, da pe altele mergeau. Si cum distractia nu se termina niciodata cand ai mediu heterogen si fiecare laptop are wireless de la diversi in diverse stadii de 802.11n draft, ba lipsa de suport pentru 802.11a si deci nexam access in banda de 5 GHz sau se leaga in 5GHz da si cu AP-ul in fata lui se leaga doar la130Mbps si nu la 300Mbps, sau laptopul meu care are card intel 5300 AGN cand vede un SSID care se gaseste si in g si in n se duce direct in g, sau pe g am mai mult semnal ca pe n, sau mai stiu io ce ciudatenii.

Tot la capitolul putere semnal, fiecare tara cu de la sine putere a decis ca un AP poate emite cu maxim o anumita putere. Cum io am chiulit la fizica, tot ce stiu e ca cu cat sunt mai multi dbm cu atat e mai bine si ca zgomotul sa fie cu dbm d’astia negativi, preferabil foarte negativi. Si uite asa in China ai voi cu 22dbm iar in Romanica ai voie doar cu 12 respectiv 16 dbm. Din sapaturile facute, astia in China te lasa sa dai cat mai mult si uite asa AP-urile mele se cred la ele acasa, adeca in China.

Dupa ce-mi trec nervii si mai linistesc si cu wirelessul ma zbate gandul sa torn un config pe wiki, ca poate mai ajung si altii in stadiul de suicidal wannabe in incercarea de a configura dracii din astea.

acronime si wireless

diverse,

Azi am descoperit ce nasol e sa lucrezi pe echipamente noi si sa nu stii acronime, mai ales ca help-ul e scris de chinezi si e semi-useless.

Da sa incep cu inceputul: azi cautam intr-un controller wireless de la 3Com cum sa activez criptarea AES pe WPA pe un SSID anume. Gaseam WPA, da nu gaseam si AES-ul, ca pe controller erau doua optiuni mari si late: TKIP sau CCMP. Initial m-am lasat pagubas si l-am pus pe TKIP, am injurat chinezii de la Huawei ca nu’s in stare sa implementeze si ei AES. Acu seara am facut o chestie super mega jmekera: am cautat pe Wikipedia ce inseamna CCMP, si ca printr-un facut din ala Murphy style, CCMP implementeaza AES :) Dupa aia am gasit ce inseamna si RSN – ca tot aveam optiune pe acolo de asa ceva, si incep sa fiu destul de incantat de controller la ce stie sa faca.

Acu mai astept sa vina si AP-urile asa vad ce parere au ele vis-a-vis de controller si de ce setari am facut io pe el. Si cel mai important, sunt tare curios cati clienti suporta simultant un AP si cata banda da la fiecare cu CCMP.

surubul

diverse

… gasit in roata de dimineata cand am ajuns la munci era asa mic si dragutl si filetat pana in pastele ma-sii de era roate jumate dezumflata. Si cum firma s-a mutat in cartier de jmecheri, preturile la serviciile Sama Service sunt pe masura – ca era cea mai apropiata chestie de facea pene din zona – si o pana la ei costa nici mai mult nici mai putin de 60RON :((