Monthly Archives: December 2021

Firmware upload on Cisco Nexus

When I was trying to figure out how to upgrade the Cisco Nexus switch for a customer, I ran into the problem that I also had to upload the firmware to the relevant switch(es). The firmware to be uploaded was too large for tftp. At the time I thought of WinSCP, but that doesn't work out-of-the-box. So below is an explanation of how I got it to work.

  1. First of all you want to make a backup of the current firmware and configuration and for that you have to enable the two features below on the Cisco Nexus switch. First command is to check which features are already enabled:
    show feature | sec enabled
    feature bash-shell
    feature scp-server

2. Als deze features ingeschakeld zijn, kun je met WinSCP inloggen op de Nexus switch. Let wel op dat je bij protocol SCP selecteert. Daarna de rest invullen en bewaren of meteen inloggen.

Wake-On-LAN

To route broadcast traffic from the SCCM server over different vlans, an access list must be set on the core switch (where the routing takes place). You can do this with the extended access list below. Give the access list a recognizable name and then set an entry per SCCM server. 

  1. Configure Access-list
    With the access list you indicate that the SCCM servers are allowed to send a broadcast
    In place of the xx you enter the IP address of your own SCCM server
ip access-list extended "<naam acl>"
     10 permit ip xx.xx.xx.xx 0.0.0.0 0.0.0.0 255.255.255.255


ip directed-broadcast access-group "<naam acl>"

If the customer uses 802.1x, the switch port must also be configured to allow WOL traffic on 802.1x ports. This is closed by default.
But with the command below you set that this is allowed through

aaa port-access <port-list> controlled-direction in

Finally, you also have to set the firewall to allow broadcast traffic. This is blocked by default on a CheckPoint firewall. But you can configure it through the Gaia interface or via clish. You can do this for

3. Configure ip-broadcast helper on the firewall 3

Via the Gaia WebGui you can set this up by choosing the interface that your customer vlans are behind. With UDP Port you choose 9 and as relay the ip address of the vlan interface.

Configureren IPv6 op Fortigate

(Alleen Nederlands/Dutch only)

Sinds 1 december is het bij Ziggo mogelijk om IPv6 naar je eigen router te krijgen als je Ziggo modem in bridgemode staat. Omdat je vanuit Ziggo maar een aantal aanwijzingen krijgen over wat je allemaal moet instellen op je router om dit werkend te krijgen. Maar dit is natuurlijk voor veel routers verschillend. Ook binnen firmware versies zijn er verschillen. Bijvoorbeeld voor FortiOS 6.x en 7.x bestaan er verschillen. Hieronder zal ik uit de doeken doen hoe ik dit voor mijn Fortigate 60E heb ingesteld inclusief voor meerdere subnets/vlans

  • Herstart je Ziggo modem, dan weet je zeker dat alles opnieuw wordt ingetraind. Ook al zie al een IPv6-adres op je Fortigate
  • Configureer eerst de WAN interface op je Fortigate, het kan zijn dat deze alleen WAN heet of net zoals mij WAN1 of WAN2 heet. <show system interface> Dan zie je hoe de interface nu ingesteld is, voor leesbaarheid heb ik hier alleen de IPv6 configuratie hier staan. Onthoud hierbij het nummer wat staat onder <config dhcp6-iapd-list> Dit nummer moet je straks bij de configuratie van je LAN-interface(s) noteren
config system interface
    edit "wan1"
        config ipv6
            set ip6-mode dhcp
            set ip6-allowaccess fabric
            set dhcp6-prefix-delegation enable
            config dhcp6-iapd-list
                edit 5
                    set prefix-hint ::/56
                next
            end
        end
    next
  • Herstart na deze configuratie je Fortigate, zo weet je zeker dat de wijzigingen tussen je Ziggo modem en Fortigate op de juiste manier toegepast worden.
  • Na de herstart gaan we verder met de configuratie op de LAN-interface(s)
  • Let op bij <set ip6-delegated-prefix-iaid> hier refereer je aan het nummer wat bij de WAN-interface zag bij <config dhcp6-iapd-list>
  • Let ook op bij het <config ip6-prefix-list> het IPv6-subnet welke hier staat is voor iedereen anders. Kijk hiervoor in de GUI bij de interface en daar zul je jouw toegewezen subnet zien staan. Vul deze hier dan in.
config system interface      
      edit "internal"

        config ipv6
            set ip6-mode delegated
            set ip6-allowaccess ping https ssh snmp
            set ip6-delegated-prefix-iaid 5
            set ip6-send-adv enable
            set ip6-other-flag enable
            set ip6-upstream-interface "wan1"
            set ip6-subnet ::1/64
            config ip6-prefix-list
                edit 2001:1c03:xxxx:xxxx::/64
                next
            end
            config ip6-delegated-prefix-list
                edit 1
                    set upstream-interface "wan1"
                    set subnet ::/64
                next
            end
        end