Monthly Archives: July 2018

Troubleshoot

Posted on by

Odgovori na pitanja:

  1. Nakon uspješno dodanog NFS ver. 3 storage-a na sve hostove, datastore-i su vidljivi, no na njima nije moguće kreiranje virtualnih računala.

 

O: 

-Da li na datastore-u ima dovoljno prostora (Zapunjen)

-Da li su NFS dozvole ispravno konfigurirane (Read-Only)

-Da li se VM može kreirati na nekom drugom Datastore-u (Izoliran problem na jednom hostu)

-Da li postoji manje od 32000 file-ova na problematičnom datastore-u (Ograničenje NFS-a)

-Da li je block size ispravno podešen (Ograničenje veličine file-a)

 

  1. Prilikom dodavanja novog ESXi servera u infrastrukturu uočeno je da na iSCSI LUNovi nisu vidljivi nakon što su podešene postavke za software-ski iSCSI target. 

 

O:

-Da li su mrežne postavke ispravno podešene (IP, maska, port 3260)

-Da li HBA može pristupiti storage-u (ping, vidljivost)

-Da li postoji firewall koji blokira pristup storage-u (Windows Firewall, iptables, firewalld)

-Da li je podržana komunikacija storage-a i HBA-a (supported configuration)

-Da li je napravljen rescan Storage Devices-a (trenutno nije vidljiv)

-Da li ostali hostovi vide sporne Datastore-ove

 

  1. Prema informacijama dobivenim od korisnika primjećen je pad performansi virtualnih računala vezano za pristup disku. Problem se pojavljuje nakon što je na lokaciju isporučen novi ESXi server kojeg je prethodno pripremio pripravnik u ICT podršci na osnovupostojeće dokumentacije. I ESXi serveri i iSCSI target imaju po dvije IP adrese za iSCSI komunikaciju.

 

 

O:

-Da li je instaliran zadnji dostupan driver i firmware

-Da li je latencija prema storage-u prevelika (da li odstupa više od BP-a)

-Da li su procesor ili memorija slobodni

-Da li je problem uopće vezan uz dodavanje novog hosta (Možda je storage krenuo u rebuild RAID polja što se poklopilo točno sa dodavanjem servera)

-Da li se problem manifestira sa svim hostovima (Da li je problem samo sa novim hostom)

-Da li je stvarno sporost ili normalan rad sustava

 

  1. Nakon zamjene hardwerske FC kartice na jednom od poslužitelja nije više moguće pristupiti dijeljenim datastoreima.

 

 

O:

-Da li je instaliran zadnji dostupan driver i firmware

-Da li napravljen rescan datastore-a

-Da li ostali hostove vide datastore

-Da li je promijenjen stari WWN u novi na ACL-ovima i Initiator postavkama

-Da li je zoniranje ispravno odrađeno

-Da li FC switch šalje RSCN poruke

-Da li je FC kartica ispravna

 

  1. Nakon normalnog korištenja datastore-a na NFS v4.1 serveru, datastore-i više nisu dostupni za korištenje.

Prema informacijama nitko ništa nije mijenjao tijekom zadnjih mjesec dana na opremi.

 

O:

-Da li su datastore-ovi mountani

-Da li su datastore-ovi vidljivi na FC infrastrukturi

-Da li je storage živ

-Da li po logovima stvarno nije ništa dirano

 

  1. Nakon normalnog korištenja datastore-a na NFS-u, pojavljuju se korumpirane virtualna računala na datastoru, te ih se mora vraćati iz arhive da bi sustav oporavili. Prema informacijama u sustav je dodano par novih ESXi servera koji su se također spojili na taj NFS.

 

O:

-Na koji način se korupcija manifestira (OS ili Hypervisor level)

-Da li file-ovi na datastore-u imaju postavljen lock

-Da li postoje već snimljeni i dokumentirani problemi koji se pojavljuju i nama na online zajednicama

-Da li postoje problemi hardverske prirode koji bi uzrokovali ovakav kvar (storage level)

 

  1. Od zadnje rekonfiguracije i radova na sustavu i mreži prošlo je dva tjedna. Danas, nakon kvara baterija na UPS-u i ponovnog pokretanja, pristup iSCSI storage-u više ne radi samo s nekih ESXi servera.

 

O:

-Što se točno rekonfiguriralo i kako (change management)

-Da li je konfiguracija ostala spremljena na mrežnoj opremi (prilikom gašenja se resetirala na staro)

-Da li je uslijed nestanka struje došlo do kvara na hardveru

 

  1. Zbog višestrukih prijava na helpdesk za slabe performanse rada s diskovima sumnja se na probleme s storage sustavom. Problemima su zahvaćene samo neka virtualna računala. Svi ESXi serveri imaju pristup do svih datastora. 

 

O:

-Da li su svi problematični VM-ovi na istom datastore-u

-Da li su svi problematični datastore-ovi sa istog LUN-a na storage-u

-Da li je ispad diska uzrokovao slabije performanse zbog rebuilda RAID polja

-Da li su svi path-ovi do storage-a online

-Da li je ispravna mrežnom (FC) opremom

 

  1. Najavljeni su radovi zbog kojih je potrebno jedan od 32 ESXi servera privremeno onemogućiti unutar HA clustera. Slobodnih resura ima dovoljno za failover, te je server uspješno ugašen za radove. No nakon nenadanog kvara drugog ESXi servera, dio virtualnih računala nije ponovo pokrenut. ESXi serveri imaju pristup do različitih vrsta datastora.

 

O:

-Da li hostovi imaju pristup do datastore-ova na kojima su problematične virtualke

-Da li je na virtualkama konfiguriran HA

-Da li su virtualne mašine članovi neke host affinity grupe

 

  1. Najavljeni su radovi zbog kojih je potrebno preseliti dio virtualnih računala na živo s nekoliko servera na neke druge ESXi server. Do danas se nije koristila funkcionalnost vMotiona. Prilikom pokušaja selidba migracije nije uspjela.

 

O:

-Da li su ispravne mrežne postavke

-Da li je vMotion omogućen na predviđenim portovima za to

-Da li je mreža dovoljno brza za odradu vMotion-a

-Da li se hostovi vide na mreži

-Da li postoji dovoljno resursa na drugom hostu za prihvat virtualki

 

WLC

Posted on by 
    #### WLC ####

WLC ip 192.168.1.1 255.255.255.0
 default router 192.168.1.254
 dhcp server 192.168.1.254

    #### ROUTER ####

ip dhcp pool IT
 network 192.168.1.0 255.255.255.0
 default-router 192.168.1.254
 dns-server 8.8.8.8
!
ip dhcp pool AP
 network 192.168.10.0 255.255.255.0
 default-router 192.168.10.254
 dns-server 8.8.8.8
!
ip dhcp pool Guest
 network 192.168.30.0 255.255.254.0
 default-router 192.168.30.254
 dns-server 8.8.8.8
!
!
ip forward-protocol udp 5246
!
interface FastEthernet0/0.1
 description IT
 encapsulation dot1Q 1 native
 ip address 192.168.1.254 255.255.255.0
 ip nat inside
 ip virtual-reassembly in
!
interface FastEthernet0/0.10
 description AP
 encapsulation dot1Q 10
 ip address 192.168.10.254 255.255.255.0
 ip nat inside
 ip helper-address 192.168.1.1
 ip virtual-reassembly in
!
interface FastEthernet0/0.30
 description Guest
 encapsulation dot1Q 30
 ip address 192.168.30.254 255.255.254.0
 ip access-group GUEST in
 ip nat inside
 ip virtual-reassembly in
!
interface FastEthernet0/1
 ip address 10.10.2.151 255.255.255.0
 ip nat outside
 ip virtual-reassembly in
 duplex auto
 speed auto
!
ip nat inside source list WIFI interface FastEthernet0/1 overload ( pazi na interface)
ip route 0.0.0.0 0.0.0.0 10.10.2.254 (ovo je adresa od profesora)
!

OVO MOZDA NECE TREBATI 
ip access-list extended GUEST
 deny   ip 192.168.30.0 0.0.1.255 192.168.1.0 0.0.0.255
 deny   ip 192.168.30.0 0.0.1.255 192.168.10.0 0.0.0.255
 permit  ip any any

ip access-list extended WIFI
 permit ip 192.168.1.0 0.0.0.255 any
 permit ip 192.168.10.0 0.0.0.255 any
 permit ip 192.168.30.0 0.0.1.255 any
!


    #### SWITCH ####

interface FastEthernet1/0/1
 description ROUTER    
 switchport trunk encapsulation dot1q
 switchport trunk allowed vlan 1,10,30
 switchport mode trunk
!
interface FastEthernet1/0/2
 description WLC
 switchport trunk encapsulation dot1q
 switchport trunk allowed vlan 1,10,30
 switchport mode trunk
!
interface FastEthernet1/0/3    
 description AP
 switchport access vlan 10
 switchport mode access

interface FastEthernet1/0/4
 tu stavi PC (bit ce default vlan 1)
!

WiFi

Posted on by

WIFI configuration

1. DIO – CLI
WLC-u ne možemo odmah pristupiti kroz browser već je potrebno prvo kroz CLI vratiti ga na tvorničke postavke i proći kroz postupak autoinstalacije!
1. Reboot-ati WLC da se pojavi odzivnik sa “Recover-Config”


2. Pod User: upišemo Recover-Config ….. nakon toga započinje system recovery process


3. Kada se WLC bootao sa tvorničkim postavkama pita nas da li želimo autoinstall, kažemo yes…


4. U procesu autoinstalacije moramo odraditi postavke koje nas WLC traži a koje su mu nužno potrebne za operativni rad…
*Važna napomena – management ip adresu postavljate neku svoju (preko nje se spajate kroz browser na wlc a isto tako nju wlc koristi za uspostavu capwap tunela s AP-om).
DHCP je adresa koju postavite na routeru I neka bude ista kao I default router!
Ostalo sve možete postaviti identično kao što je u ovom primjeru!

5. Nakon što ste odradili autoinstalacijski proces i možete se ulogirati sa admin userom kojeg ste postavili, potrebno je aktivirati SSC i MIC certifikate na WLC-u koji su nužni za enkripciju (DTLS) control message-a koje se razmjenjuju između WLC-a i AP-a:
(WLC)> Config ap lifetime-check mic enable
(WLC)> Config ap lifetime-check ssc enable
2. DIO
Gotovi smo sa CLI-om i sada konačno možemo pristupiti kroz web browser.
1. Moramo postaviti time-zonu i provjeriti da li nam je dobro postavljen sat


2. Sad možemo krenuti u instalaciju WLAN-a za Goste, prvo moramo postaviti novi dinamički interfejs:


3. Pod naš novi interfejs “guest” postavimo ip adresu i ostale parametre koji će se odnostiti na mrežu za goste, npr. ja sam stavio 192.168.30.0/24 mrežu za goste


4. Sada treba postaviti WLAN za goste…pritisnemo „create new“ i go


odaberemo naziv ssid-a- ja ću vam na samom ispitu reći koje ćete nazive staviti


Da bi nam WLAN bio aktivan moramo označiti status „enabled“ i pod interfejs odabrati guest kojeg smo malo prije kreirali…


Sada kreiramo sigurnosne parametre za naše SSID-eve, npr. za IT ćemo staviti WPA+WPA2 i PSK-a malo kompleksniji password


A za goste ćemo napraviti web autentikaciju…

to se radi u dva koraka:pod L2 sec stavimo “none” a pod L3 sec odaberemo web authentication


Da bi mogli isprobati web-autentikaciju moramo kreirati nekog gost usera – tab security, local net user

ja sam proizvoljno usera nazvao Pero i odredio da će se on autenticirati samo na SSID net4u, vi ćete tu staviti naravno ssid za goste…


WIFI Troubleshooting

S obzirom da ste svi na vježbama imali problema s povezivanjem AP-a i WLC-a kada su bili u različitim subnetima, a da se nitko osim Filipa Domislovića nije potrudio napraviti bilo kakav suvisli troubleshooting (već ste samo zaključili da to ne radi, a to nije inženjerski pristup!!!), ovdje vam izlažem i taj dio kako ne bi svi popadali na ispitu:
1. Debug s AP-a:
Žuto sam vam označio najbitnije iz debug-a
– Prvo možete vidjeti da AP dobije od DHCP-a (koji je na routeru) ip adresu iz pool-a za AP, ja sam stavio da je to mreža 192.168.10.0/24
– Nakon toga vidite drugo što sam označio sa žutim, AP pokušava pronaći WLC da uspostave CAPWAP. I tu dolazimo do ključne stvari na kojoj ste svi osim Filipa pali!
– AP ima svoj algoritam koji provodi čak 5 koraka u pokušaju pronalaska WLC-a:
– Ako su na istom segmetu (dakle isti vlan) onda će se pronaći bez problema tako što će AP poslati broadcast upit tražeći da mu se javi WLC i ovaj će mu odgovoriti s unicast porukom i uspostavit će tunel
– Ako se nalaze u različitim segmentima onda se AP i WLC ne mogu pronaći na taj način kroz broadcast poruke, nego AP mora imati ili statički definiranu adresu WLC-a, ili mora koristiti u DHCP serveru option 42, ili mora na routeru biti podignut dns server da AP može resolvati po imenu ili možete najjednostavnije napraviti DHCP relay kako bi prosliedili broadcast upit u drugu mrežu prema WLC-u.
– Ako ništa od navedenog niste napravili na vašem routeru onda imate problem kojeg ste svi imali na vježbama da AP ne može pronaći WLC….a evo sada i slike da vidite sve ovo napisano:


Kao što vidite ako ste u dhcp pool za AP postavili dns 8.8.8.8 onda će vaš AP preko google dns-a pokušati resolvati WLC po nazivu „CISCO-CAPWAP-CONTROLLER“ i to naravno neće proći….
Nakon toga AP javlja da nije mogao pronaći WLC i šalje dhcp-u zhtjev za novom ip adresom kako bi ponovo pokušao pronaći WLC, vidite da je moj AP sada dobio novu adresu 192.168.10.4 (gore je imao 192.168.10.3) i tako to ide u nedogled…to je odgovor vama koji ste me na vježbama pitali zašto AP svaku minutu dobije novu ip adresu…sad znate i taj odgovor
Ovaj „problem“ možete riješiti na 4 različita načina kako sam vam gore napisao, a najjednostavniji je da postavite dhcp relay na routeru za što vam trebaju dvije komande:
Router (config-if)#interface f0/0.10
ip helper-address 192.168.2.1
S ovom naredbom ste omogućili da virtualni interfejs (gtw od AP-a) prosljeđuje broadcast upite AP-a točno prema adresi WLC-a (192.168.2.1 je u mom primjeru adresa WLC-a, vi ćete tu staviti ip adresu vašeg WLC-a tj. management interface-a na WLC-u)
Router (config)#ip forward-protocol udp 5246
S ovom naredbom ste eksplicitno omogućili routeru da prosljeđuje udp pakete po portu 5246 što je port CAPWAP tunela.
I to je to…..sada će AP bez problema pronaći WLC jer će njegov upit stići do WLC-a i dobit će odgovor te će podići capwap tunnel….evo i slike za taj dio žuto


AKO STE SVE OVO USPJEŠNO NAPRAVILI UPRAVO STE PROŠLI ISHOD 3….A SAD SLIJEDI
ISHOD 4
Važna napomena – bez uspješno riješenog Ishoda 3 nije moguće položiti Ishod 4 jer se jedno na drugo nadovezuje!!!
1. Cisco Clean Air
Potrebno je konfigurirati ovaj feature pomoću kojeg će WLC izraditi report o interferenciji a vi ćete na ispitu odgovoriti na neka pitanja koja ćete iščitati iz tog report-a:
Konfiguracija je jednostavna, pod tabom – wireless – u lijevom kutu 802.11 b/g/n (a/n/ac ne trebate za ispit) – odaberete cisco clean air
Označite sve kvačice da enablate stavke i ubacite sve parametre za detekciju interferencije


Ovako izgleda u monitoring sustavu nakon što se konfa clean air (treba mu malo vremena da pokaže prva izvješća, tako da odgovarajte na druga pitanja dok se za cca 5 min ne pokaže prvo izvješće)!


Ovako izgleda sam graf nakon što odaberete izvještaj kojeg želite pogledati


2. Slijedi drugi dio testa sa pitanjima gdje trebate mijenjati kanal i snagu emitiranja signala te usporediti neke vrijednosti…
Ovako se ručno ulazi u konfiguraciju AP kroz wlc i postavljaju custom parameti, kada se mišem pozicionirate na ovu strjelicu desno žuto ponudit će vam se „configure“:


Ovo što sam zažutio su parametri koje ručno možete mijenjati, po defaultu sve wlc radi automatski ali u zadatku će se tražiti da ručno promijenite kanal i snagu emitiranja samo za 802.11 b/g/n!


Također, tražit će se od vas da nakon što promijenite snagu napišete i izračunate u dBm i mW za koliko se dogodila promjena, evo primjera (snagu emitiranja možete pronaći u početnom monitoringu, ne advanced, pod tabom acess points, žuto i tu vrijednost pretvorite u mW, odnosit će se samo na 2.4 GHz):


3. NetSpot
Također dio prikaza (mjerenja) ćete odraditi s alatom NetSpot (svi ga možete skinuti doma na svoja računala https://www.netspotapp.com/netspotpro.html i isprobati, jako je jednostavan za koristiti). Na ispitu će vas sve čekati već pripremljeno tako da nećete gubiti vrijeme na instalacije.
A evo i prikaza gdje se lijepo vidi razlika u signalu kada sam mijenjao snagu emitiranja signala, u ovom manjem prozoru žuta linija označava moju mrežu net4u u odnosu na druge, ovdje možete vidjeti kako se moj signal preklapa sa drugima, a pogotovo kada sam smanjio snagu emitiranja možete vidjeti prekid žute linije i pad s -38 dB na -50 dB što je velika razlika i utječe na perfomanse, nešto slično tome ćete i vi na ispitu napraviti i testirati: